セキュアなプロトコル「Host Identity Protocol」HIPを利用した、ゼロトラストネットワークアクセス（ZTNA）とは？ 昨今、VPN脆弱性によりマルウェアが仕込まれたり情報漏洩が多発しています。バッチワークが行えず、脆弱性を保持したまま運用されるVPN。これからはゼロトラストな時代。これまでのやり方では、企業を情報をデータを守る事は難しい。さらにはIoTデバイスをどうやって守るか？⇒隠して守る！ これらを、容易に実現できる仕組みをご紹介

1. セキュアなプロトコル
Host Identity Protocol/HIPを利用した
ゼロトラストネットワークアクセス（ZTNA）とは?
脱VPN脆弱性・IoTセキュリティ・セキュアリモートアクセス
Takuma Miki

2. 2
は安全でしょうか？
2020年
増加したテレワーク・現地訪問NG・海外拠点、、
「 リモート接続 」
から していますでしょうか？
社内・工場ネットワークは でしょうか？
御社の VPN環境は安全 でしょうか？

3. ２０１９年・２０２０年 VPNを狙った攻撃が増加
コロナによるリモートアクセス増加も関連か!?
3
VPNの脆弱性 脆弱性情報
Fortinetの脆弱性 （CVE-2018-13379）
Pulse Secure/VPNサーバの脆弱性 （CVE-2019-11510）
Citrix/VPNアプライアンスの脆弱性 （CVE-2019-19781）
F5 BIG-IPの脆弱性 （CVE-2020-5902）
Microsoft Exchange Serverの脆弱性 （CVE-2020-0688）
機器の脆弱性を悪用されVPNの接続に
用いられる認証情報が漏洩
各メーカとも、早急に対策可能なパッチをリリース。
対応には問題無し！！！
ただ、導入側のユーザ企業が怠ると・・・
攻撃者は・・・・
・公開されている脆弱性情報 や Shodan等で、脆弱性のシステムを探し出す。
⇒次ページ参照
・攻撃ツールは、インターネットで入手することも可能。
インターネットに接続しているさまざまな機器を検索できる
Webサービス
↓

4. 4
間違っていけないのは・・・
正しい運用のVPNは安全です！
VPNメーカは対策を実施しています！！
ただ・・・しかし、、、
は狙われてる・悪用されてます！！！

5. ※VPNの脆弱性を悪用した攻撃手順
1. インターネットをスキャンしてパッチが適用されていない
リモートアクセス ＆ VPNサーバを調査
2. 「 脆弱性 」を突いて内部ネットワークへ侵入
3. ログやキャッシュなどからアカウントデータを取得
4. ドメイン管理者のアカウント情報を取得
5. ネットワークを横方向へ移動
6. ランサムウェアをネットワークシステムへ拡散
7. ランサムウェア攻撃などを実施
攻撃の原因は・・・・・管理者？
＜VPNサーバのパッチ運用しているのか？＞
・脆弱性機器を把握できているのか？
・VPNサーバにパッチ運用行っているのか？
・きっちりパッチ管理している？
「人手が足りない」「 後回し 」「運用が回らない」
結果：変更・バージョンしたがらない・・・・
＜リモートアクセスの意味を理解しているか？＞
従業員・ベンダーにインターネット/VPN経由で
リモートアクセスの許可をしている。
：リモートで業務/作業などを許可するのは、
インターネット経由のスキャン対象になる
＝攻撃者もサーチ（探索）可能になる
Internet
VPN装置

6. インターネットVPNは、便利であり、
「 つなぐ 」 為に 「 境界（入口）で認証」 ＆ 「暗号化 」は、
行われていた
ただし、、、
通過すれば、、すり抜ければ・・・・
そしてあなたのそばで、、、
脆弱性が狙われている、いつも ・・・
COVID-19でリモート必要・狙われるネットワーク
製造業/DX化・IoTの活用・テレワーク・・・
常に危険で、どこからでも・さまざま「つながる時代」へ
↓
セキュリティを考慮し、利便性を高めるには・・・

7. ゼロトラストネットワーク

8. ゼロトラストネットワークアクセス（ZTNA）
• 境界型の終焉 信頼済みのリスク
• VPNの脆弱性
働き方改革/
テレワーク
• ラテラルムーブメント
• 標的型攻撃対策
※IPA情報セキュリティ10大脅威 第1位 2019/2020
セキュリティ
• 業務アプリ/サーバはクラウドへ
• 様々な環境にある社内プラットフォーム
ハイブリット/
マルチクラウド
セグメンテーション
の重要性
ここにきて、 が注目されている理由
コロナ禍以前から唱えらえていた！

9. 9
ゼロトラストネットワークを実現する容易なネットワークセキュリティ
T e m p e r e d 「 A i r w a l l 」
1. ：ゼロトラストネットワークアクセス（ZTNA）
2. ：マイクロセグメンテーション
3. ：セキュアリモートアクセス
4. ：管理者の許可のもと信頼された相手とだけ繋ぐ
5. ：HIP（Host Identity Protocol）
6. ：デバイス認証・暗号化・デバイスクローキング

10. 10
ゼロトラストネットワークを実現する容易なネットワークセキュリティ
T e m p e r e d 「 A i r w a l l 」
1. ：ゼロトラストネットワークアクセス（ZTNA）
2. ：マイクロセグメンテーション
3. ：セキュアリモートアクセス
4. ：管理者の許可のもと信頼された相手とだけ繋ぐ
5. ：HIP（Host Identity Protocol）
6. ：デバイス認証・暗号化・デバイスクローキング
ちょっとまった！
これ何？

11. HIPというプロトコル
知っていますか？
ヒップ？
エイチアイピー？
独自プロトコル？

12. ｜
｜
これです！
出典: フリー百科事典『ウィキペディア（Wikipedia）』：プロトコル番号一覧

13. Q:HIPとは？？？
簡単に言うと・・・

14. A:セキュリティを考慮して
作られたプロトコル
えっ！TCP/IPは？
TCP/IPは安全でない？？

15. コンセプト： ID /ロケータの分離 ！
：IDとLocatorを同時に持つIPアドレスには限界がある！！！ ⇒IDベースの通信へ
：識別子を2048bit の RSA 公開鍵を使って強力に暗号化して、ユニークなIDとして識別
：IDを識別子、認証し、ホワイトリストに登録されたIDの相手のみと通信を実施
：ネットワークとして、拒否（DoS）攻撃や中間者攻撃にも耐性あり！
・HIPでセッションを張った後は、IPsec同等の暗号化（AES-256）で暗号化通信
HIP （Host Identity Protocol）とは・・・・

16. TCPは繋げるを優先・・・ HIPはセキュリティを優先！
物理リンク (L1)
ネットワーク (L2-L3)
トランスポート (L4)
アプリケーション (L5-L7)
MAC address
IP Address
IP Address: Port
IP Address: Port
Internet 2.0 –
“Network everything”
物理リンク（L1）
ネットワーク（L2-L3）
トランスポート（L4）
アプリケーション（L5-L7）
MAC address
IP Address
Host Identity Protocol
(HIP)
Host Identity Tag: Port
Host Identity（L3.5）
Host Identity Tag: Port
Internet 3.0 –
“Network ONLY CRYPTO-IDENTIFIED things”
UNTRUSTED
“まずは繋ぐ, ⇒ そして認証＆許可！”
TRUSTED
“まずは認証＆許可 ⇒ そして暗号化 ⇒ 繋ぐ”
セキュアに、
信頼されたNWに、
つなぐ！

17. HIPは 4-Way Handshake ！
端末認証・暗号化・ホワイトリスト
Authentication, Authorization, Accountability (AAA)
Initiator Receiver
HIP Service
Airwall 150
HIP Service
Airwall 150
I1: HIT(i), HIT (r)
I2: HIT(i), HIT(r), solution DH(i)
K(i) sig
R2: HIT(r), HIT(i), sig
R1: HIT(r), HIT(i), puzzle DH(r)
K(r) sig
認証:
Base Exchange は、TCP セッションの確立前に呼び出され、2 回のラウンドトリップ時間で 4 つのメッセージで構成され、Diffie-
Hellman キーを配布してホストを認証します。

18. HIPは 4-Way Handshake ！
端末認証・暗号化・ホワイトリスト
Authentication, Authorization, Accountability (AAA)
Initiator Receiver
HIP Service
Airwall 150
HIP Service
Airwall 150
Peer-to-Peer ESP Protected Tunnel
信頼できる通信:
Base Exchange の後、相互に認証および承認された HIP サービスは、対称キーを使用して、証明書ベースのカプセル化セキュリティ ペ
イロード (ESP) で保護されたトンネルを相互に形成します。

19. では、このセキュアな
HIPを
使っている仕組みは？

20. Temperd “Airwall”
① HIP による オーバレイNW＆ネットワーク分離 & 暗号化通信
② 簡単にセキュアネットワークを！※既存NW構成OK/IP重複OK!
③ オーケストレーション＝センター集中の一元管理
④ 容易なマイクロセグメントを実現 ～守りたい重要な個所を～
⑤ VLAN/ACL/IPアドレス設計からの脱却 ⇒IDを指定するだけ！
5
つ
の
ポ
イ
ン
ト
！

21.  1999年：米国海軍が”HIP”を考案
 2002/3年：IETF標準化団体でHIPを検討
 2004年：IETF内でHIPのWorking Group組織
◦ ボーイングR&DのDavid Mattesも参加
 2005年：ボーイングプロジェクト開始。その後導入
 2012年4月：Asguard社設立。商用版リリース
 2014年10月：Tempered Networks設立
21
製品コンセプト:ソリューション背景

22. HIPの歴史：別途ホワイトペーパーもご用意

23. Zero Trust Network Access （ZTNA）
～容易にセキュアネットワーク接続・ネットワークセグメンテーション・NW管理を実現～
オーケストレーションエンジン
設定・変更を一元的に
①Airwall Conductor
Airwallデバイス
＆
Airwallクライアントソフト
各デバイス/セグメントに配備
②Airwall Services
Airwall IDルータ
復号化せずにプライベートま
たは非ルーティングエンドポ
イント間のピアツーピア暗号
化接続を許可します
③Airwall relay

24. Clients Servers
Clouds
Hypervisors
Appliances
HIPswitch 150
HIPswitch75
HIPswitch 500
HIPswitch 250
Airwall
～容易にセキュアネットワーク接続・ネットワークセグメンテーション・NW管理を実現～

25. 社内LAN・WAN・インターネット・LTE網ネットワーク
Airwall Conductor
＝セキュアNWを一元管理・設定＝＝
DeviceB
重要サーバ
DeviceA
特定デバイス
Airwall Services
[Airwall Gateway ]
CONTROL PLANE
DATA PLANE
TCP/IP
Airwall Services
[ Airwall Client ]
外部から安全に接続。OT/IoTデバイスをクローキング＝隠す。VPNの脆弱性克服
・既存のネットワークからステルス化（デバイス見えなく）し攻撃を受けなく
・ACL・FWルール・VLAN設定でのNW設計が不要＝GUIでデバイス選択・登録のみ
・必要な時だけ・必要な端末だけ・管理者主導でつながせる
DC
Airwall Services
[ Airwall Gateway ]
攻撃者からは見えない
OT/IoTデバイス・サーバ・PC等
（見えない＝攻撃されない）
拠点
必ず、登録されている相手とだけ通信
（知らない端末からの通信には応答しない）
管理者が、通信する端末をGUIで登録
：変更の際は簡単に追加・削除可能
FW
必ず、登録されている相手とだけ通信
（知らない端末からの通信には応答しない）
必ず、登録されている相手とだけ通信
（知らない端末からの通信には応答しない）
L3
セキュアオーバレイNW（ID通信・暗号化通信・デバイス認証）
Host Identity Protocol（HIP）＆Eencryption [AES-256]
25

26. 管理者が許可した相手とだけ通信＝それ以外の通信（＝攻撃）は無視
26
クローキングすることにより
スキャンにさえ応答しない
脆弱性を狙う攻撃者から見つからない！
隠して守る＝許可された相手とだけ通信。それ以外は応答しない（HW版）
HIP（ Host Identity Protocol ）を使い、セキュアアクセスを実現！

27. 現在の堅牢なネットワークは、設計は、構築は、、、
セキュリティを気にしながら作られるネットワークは、手間で設定が面倒である
ON-PREMISES
WIRELESS
NETWORKS
VENDORS
REMOTE DEVICES
Internet
CELLULAR NETWORKS
FW/VPNs
VPNs
FW RULES ACLs
APNs
SEC GROUPS
ACLs
CERTIFICATES
IPSEC TUNNELS
CERTIFICATES
SSH KEYS
SSH KEYS
VPNs
FW/VPNs
APNs
FW RULES
ACLs
VPNs
VLANS
CGNAT
CGNAT
NAT MULTI-NAT
FW RULES
ACLs
VPNs
VLANS
CERTIFICATES NAT
IPSEC TUNNELS
FW RULES
ACLs
VPNs
VLANS
CERTIFICATES
MULTI-NAT
IPSEC TUNNELS
FW RULES
Different:
• IP/DNS Namespaces
• Security Controls
• Networking Context
• Workloads
• Address-Defined
課題
Different:
• Users
• Access Points
• Locations/Networks
• Roaming
課題 Different:
• Vendors
• Systems
• Users / Time
• Locations/Networks
課題
Different:
• IP/DNS Namespaces
• Security Controls
• Networking Context
• Networks
• Internet
• MPLS
• WiFi
• Cellular
課題
interface gigabitethernet 0/3
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
same-security-traffic permit inter-interface
route outside 0 0 209.165.201.1 1
nat(dept1) 1 10.1.1.0 255.255.255.0
nat(dept2) 1 10.1.2.0 255.255.255.0
router rip
network 10.0.0.0
default information originate
version 2
ssh 209.165.200.225 255.255.255.255 outside
logging trap 5
ルータ＆ファイヤーウォールで頑張る
VPNのルールをガリガリ・・・
Router>enable
Router>#configure terminal
Router(config)#hostname CORP
ISP(config)#interface serial 0/0/0
CORP(config-if)#description link to ISP
CORP(config-if)#ip address 192.31.7.6 255.255.255.252
CORP(config-if)#no shutdown
CORP(config)#interface fastethernet 0/1
CORP(config-if)#description link to 3560 Switch
CORP(config-if)#ip address 172.31.1.5 255.255.255.252
CORP(config-if)#no shutdown
VLAN職人によるコンフィグ作業
ACLを追加・変更・面倒・・
device(config)# ip access-list standard Net1
device(config-std-nacl-Net1)# deny host 10.157.22.26
device(config-std-nacl-Net1)# deny 10.157.29.12
device(config-std-nacl-Net1)# deny host IPHost1
device(config-std-nacl-Net1)# permit any
device(config-std-nacl-Net1)# exit
device(config)# int eth 1/1
device(config-if-e10000-1/1)# ip access-group Net1 in
頑張る
人日工数
面倒
作業・作業・作業

28. Airwall ～管理者が定めたデバイスだけ いつでも、どこでも、容易に つなぐ！～
The Condctor
～全ての設定を行う～
HIP Relay
～IDでルーティングを～
HIP Switch
～HIP装置～
日本
アジア諸国
欧州
アメリカ
HIP Client
～クライアントソフト～
守りたい
安全につなぎたい
IoTデバイス
守りたい
安全につなぎたい
PC
守りたい
安全につなぎたい
端末
社内LAN・WAN・インターネット・LTE網

29. 29
HIP × IDN
こんな使い方どうでしょう

30. こんなシーンで簡単なセキュアネットワークのご利用！
～NW分離・暗号化通信を必要～

31. 実際の利用ケース① クラウドとつなぐ！
◆マイクロセグメンテーションとHIPトンネルによるセキュアNW接続
Internet
自治体
クラウド
お悩み
• 自治体システムの運営を委託されているが、自治体側と自社
の異なるセキュリティポリシーを共存させる必要がある
メリット
• マイクロセグメンテーションとホワイトリスト設定による
通信端末の限定
ポイント
• 既存NWを使用したまま、NW分離の実現
• AWS環境を利用したサーバレス構成
Proxy

32. 実際の利用ケース② IoTとつなぐ！＆隠して守る
◆ステルス化とLTE網によるガントリークレーンの制御と集中管理
LTE網
お悩み
• ガントリークレーンへの貨物データの配信や制御の為、個別
にUTM及びWifi網を設置していたが運用コストが高い上に個
別の設定ミスによる事故を心配
メリット
• UTMからHIPスイッチへ置き換え
• 通信先を限定へ
ポイント
• マイクロセグメンテーション化による安全性の向上と
IDNによる集中管理による運用コスト低減と設定ミス防止

33. 実際の利用ケース③ ビルシステムを安全につなぐ！
◆ビルディングオートメーション を セグメンテーション化！
お悩み
• ビル内のネットワーク（空調/エレベータ/電気等）はL2フラッ
トで構成されており、攻撃を受けた際にビル全体に被害が及ぶ危
険性がある。
メリット
• 既存NWのシステム前段にHIPSwitchを設置するだけで、各シス
テムごとにマイクロセグメンテーション化。また、外部から各シ
ステムへの攻撃もステルス化により抑制。
ポイント
• NW上に挟むだけでマイクロセグメンテーションが可能許可した
デバイス間の通信のみ疎通が可能なので、外部攻撃による内部探
索や感染拡大を抑制可能
エレベータ
システム
空調
システム
電気
システム
管制室
エレベータ
システム
空調
システム
電気
システム

34. 私たちは、
最近こんなことやって
みました！

35. 35
Non-Windows/
Non-Linux Servers
生産ラインシステム
SCADA/DCS
HitrianDB
稼働情報
Server
インターネット
HIP Relay
HIP
インターネット回線が無い工場
工場内NWに接続可能なポイントに
モバイルSIM利用可能な
Airwall GWを配備
国内拠点工場セキュリティ＆Secure Remote Access
国内拠点
Conductors
WAN越え・キャリア越えは
クラウド上のHIP RelayでIDルーティング実施
Internet Line
HIP
本社SOC
：Nozomiを監視
：生産ラインを監視
・スイッチからミラーポートでパケット取得
・解析データについては、
Nozomi ⇒ Airwall GW
：マネージメントネットワーク経由
～工場内へのリモートアクセス ＆ 工場セキュリティ/Nozomi Networksへセキュアリモートアクセス～
本社

36. ハイブリット環境でセキュアなPeer to Peer！
Airwall Conductor
「オンプレDC と AWS と Azureをつなぐ！」
「NW設計意識せずにGUIでクリックするだけで」
オンプレDC DevOps
Test stage/DevOps Production/DevOps
Production/DevOps
リモート接続/DevOps

37. 端末認証・トンネル・エンドツーエンドで暗号化（ESPモード）
諸外国とHIPを利用してPeer to Peer！

38. Fin.
Zero Trust Network Access
セキュアリモートアクセス
IoTセキュリティ（隠して守る）