| セキュリティソリューション--企業ポリシーにあったの選択を |
資料請求 |
|
| 1.データの流れと対策ソリューション |
企業内の各ゾーン毎の脅威と対応するソリューションをまとめると下図のとおりになります。
| 内部ネットワークゾーン |
|
公開ネットワーク
(非武装領域) |
外部ネットワークゾーン |
脅威
|
ファイルのコピー、持出し |
PCの不正操作、PCの持出し、盗難
外部デバイスへのコピー
Winnyがインストールされている(ファイルがばらまかれる)
有害サイトへのアクセス |
ウィルス
迷惑メール |
Mailによる個人情報流出、
web経由で個人情報流出
Winnyによる情報流出
|
ウィルス
迷惑メール |
ゾーン
|
|
|
 |
 |
|
| ソリューション |
DBの暗号化(秘文) |
稼動監視システム(セキュリティ管理ソリューション)
@ライトウェル社のLAM
Aハミングヘッズ社のSEP(セキュリティプラットフォーム)
Bクオリティ社のQND
COCNのPCパトロール(月額1台に付き525円)
(Winnyがあるかどうかの監視、ウウィルス対策ソフトのバージョンチェック、迷惑メールフルタリング)
|
ファイアホール |
LAM、SEP、QND
目付君(Mail監視、HTTP監視) |
VPN
関所君
|
|
| 2.セキュアなネットワークの構築 |
1.インタネット-VPNの構築
ブロードバンドを企業内ネットワークで使用する場合、インタネットではセキュリティ上問題のため、通常IP-VPNを使用する。VPNとはVirtual
Private Network(仮想私設網)の略で、認証、暗号、トンネリング技術などにより、仮想的にセキュアなネットワークを構築し、あたかも専用線のように利用することができるため、遠隔地の拠点同士が安全に通信を行うことができる。
インタネットVPNとIP-VPN
IP-VPNは通信キャリアが提供しているIP-VPN網を利用したサービスで、通常のインタネットを使用するよりも高くなるが、専用のIP網のためセキュリティは高く保たれる。
又、インタネットVPNは、通常使用されているインタネット回線を使用し、暗号等の技術を使用し、仮想的なプライベイトネットワークを構築するもので、通常のインタネットを使用するため安い代わりに、暗号処理をルータあるいはソフトウェアで行う必要がある。VPNの方式として、IPSec-VPN、SSL-VPNなどがある。
2. ファイアーウォールの敷設
|
| 3.PC操作の監視システム |
企業内の従業員のPC操作、データの流れ・アプリケーションの動きをトータルにカバーし、ネットワーク全体の効率的な管理するツールの導入が考えられます。推奨ソリューションとしては、LAM、SEP、QND等があります。下表はLAMの資料を参照
|
機能説明 |
| 稼動管理 |
アプリケーションの稼働状況の数値化による現状の運用実態の把握から、不正アプリケーションの禁止、かってなソフトウェアのインストールの禁止をすることができます。 |
| 操作プロセス管理 |
PCの操作ログを克明にログ化します。障害直前の操作の把握、不正なデータ編集等
セキュリティ対策(主に抑止効果)に威力を発揮します。また特定の操作や特定の時間帯だけの状況を抽出する機能が搭載され何かあった時には必須の機能です。 |
| プリントログ管理 |
プリンタメーカーに依存することなく印刷履歴を取得。「誰が?」「いつ」「何のファイル
を?」「どのプリンタに?」「何枚?」という細かい情報まで取得可能です。印刷枚数の制
限値を設定し指定枚数以上の出力については警告を発信することができます。
|
| ファイル配布 |
数千〜数万台のクライアントにファイルを一斉配布!エージェントモジュールのアップグレードもこのファイル配布機能使用してすることができます。
|
| リモートコントロール |
遠隔地のクライアントをリモートで操作できます。障害対応時のメンテナンスに役立
ちます。 |
| webコンソール |
Cat3で取得した情報をWeb上で閲覧可能!データベースから任意の情報を抽出してグラフ化、ダウンロードも可能です。 |
| 内部漏洩監視 |
・FD・MOなど、記録メディアの使用禁止を端末ごとに設定。
・各端末のウェブへのアクセスをモニタし、URL、ホームページタイトル、閲覧時間を保存。閲覧禁止ウェブをログからワンクリックで指定
・指定したフォルダのデータ容量のモニタ。権限のないアクセスへの警告メールを発信。「休日」「深夜」の全操作ログの保存。 |
|
| 4.暗号システム(秘文のご紹介))) |
情報漏洩対策としては、以上のネットワーク監視をしてもなおかつ内部の人間の情報の持ち出しを完全に禁止することは不可能に近く、持ち出されてもなおかつ安全性を保つ方法として暗号化があります。暗号化システムとして”秘文”を紹介致します。以下のようなケースに活用できます。
・PCをドライブ単位に暗号化
・リムーバブルメディアのデータを暗号化
・社外に持ち出して利用するデータも暗号化
・ファイルをコピーして持ち出すことや印刷を制限
・ファイルサーバの共有ファイルを暗号化
・パソコンデータを完全削除
秘文の機能をまとめると下表のとおりになります。
|
機能説明 |
| ファイル暗号機能 |
・クライアントPC上のファイルを暗号化してディスクに保存します。
・秘文に1回ログインするだけで、暗号化・復号化は秘文が自動的に行います。
ユーザが暗号化・復号化を意識する必要はありません。
・暗号化されたファイル対する、他のユーザからの操作(削除、更新)を秘文がガードします。 |
| 認証機能 |
・秘文へのログインは、ユーザID/パスワードの他、指紋認証でも行えます。
<対応システム> 日本電気(株)製 NEC指紋認証ユニット SecureFinger |
自己復号型暗号
ファイル作成機能 |
・暗号化ファイルと復号化プログラムを一体化した自己復号型の暗号ファイルを作成します。
・復号時に特別なソフトウェアは必要ありません。
・メールの添付ファイルなど、配布データの機密を守ります。 |
| データ削除機能 |
・不要となったパソコンのデータをフォルダまたはファイル単位に削除します。
削除用データを上書きすることで、削除データの復元を防止します。 |
|
| 5.MetaFrame XPについて--究極のセキュリティ対策 |
以上のようなセキュリティ対策を講じてもPCの中に既に個人情報がある場合は、情報漏洩は防ぎようがありません。又、経済産業省のガイドラインを見てもPC内には極力ファイルのない状態が好ましいと言っている。そこで究極の対策としては、”PC内を空っぽにしておく”方法がある。これは企業でネットワークに接続されているPCの中をが空にしてしまうため、特に内部の人災に対しては強力な対策といえる。MetaFrame XPでは、MetaFrameXPサーバにアプリケーションを集中して保有し、クライアントPCにはアプリケーションやデータを保有しません。従って、ユーザがMetaFrameXPサーバにログインすると、MetaFrameサーバ上にユーザごとの仮想的なWindows環境が生成されます。ユーザがPCのマウス、キーボードから操作すると、入力情報がMetaFrameXPサーバに転送されます。MetaFrameXPサーバはユーザに画面の情報を転送します。更にMetaFrameXPサーバは、画面情報の差分をユーザに転送します。サーバ上の仮想Windows環境でさまざまなアプリケーションをあたかもローカル環境であるかのように使用できます。
| クライアントPC |
インタフェース |
MetaFrameXPサーバ
|
アプリケーションサーバ |
|
|
|
| Windowsアプリケーション |
 |
| 業務アプリケーション |
| ブラウザ |
| エミュレータ |
|
(仮想windows環境を提供) |
| アプリケーションサーバ |
|
DBサーバ
|
|
| webアプリケーション |
|
|
従って、MetaFrameXPでは、MetaFrameXPサーバのアプリケーション情報をクライアントPCとやりとりするための様々な機能があり、それらの機能をユーザやグループごとに制限し、監視することでデータ漏洩のリスクを最小化することができます。更にデータの保存先をサーバに集約したり、クリップボードや印刷に関する機能に制限を与えることによりセキュリティを強化できます。
|
