Sanctuary デバイスコントロール/アプリケーションコントロールロックインターナショナル |
掲載日:2007/12/11 |
|
|
デバイス&アプリケーション制御、ブラックリスト方式で大丈夫?
内部統制における情報セキュリティ統制を強化するにあたり、ぜひ導入の検討をしたいのが「使用できるUSBメモリなどのデバイスを限定・監視」するデバイス制御と「実行できるアプリケーションを限定・監視」するアプリケーション制御。しかし、これらを行う製品といえば「ブラックリスト方式」による制御がほとんどであった。
例えば「ブラックリスト方式」によるウイルス対策ソフトウェアは、基本的にウイルスやスパイウェアが発生し、被害にあってからはじめてブラックリストに登録・対処するようになっている。裏を返せば、新種のウイルスやスパイウェアなどが発生した場合、どこかで被害が発生した後にブラックリストが更新されなければ対処ができない、ということであり、未知の脅威に対して常にリスクを背負うことになる。
ホワイトリスト方式でのデバイス&アプリケーション制御が安心!
そこで今回紹介するのが、ロックインターナショナルの『Sanctuary デバイスコントロール/アプリケーションコントロール』。最大の特長は、「ホワイトリスト方式」によってデバイス、アプリケーションを制御する点にある。
「ホワイトリスト方式」の仕組みは至って簡単。システム管理者によってホワイトリストに登録されていないデバイス、アプリケーションはすべて使用、実行を禁止する、というものだ。非常に高いセキュリティを実現できるのはもちろん、新種・不明のウイルスプログラムやスパイウェアを一切起動させないため、新たな脅威が現れるたびにブラックリストを更新する、という手間もなくなる。
|
そんな本ソリューション、米国国務省や米国空軍、英国国防省、ロンドン警視庁などでも導入されている、と言えばいかに高いセキュリティを実現できるかが容易に想像できるだろう。
デバイスコントロール、アプリケーションコントロール単体でも導入が可能な『Sanctuary デバイスコントロール/アプリケーションコントロール』。まずはその導入事例、そしてそれぞれの特長を見ていこう。
警察関連団体 |
「Sanctuary デバイスコントロール」の導入事例 |
「Sanctuary デバイスコントロール」は先にも述べたように米国国務省、ロンドン警視庁など世界でもトップレベルのセキュリティが求められる機関に評価され、導入されている。日本国内でもすでに地方自治体、ライフライン系企業、外資金融系企業、コンサルティング企業など、情報漏洩やウイルス感染などには一際敏感な機関、企業に導入されており、その評価は高まる一方だ。ここではそんな中から国内警察関連団体の事例を紹介する。
■導入企業・団体
国内警察関連団体
■本製品選定のポイント
既にホワイトリスト方式によるセキュリティの優位性はよく知っていたため、ホワイトリスト方式に則ったデバイスアクセス制御ができる製品を探していた。複数ある製品の中から、利便性、安全性ともに最も優れていると感じた「Sanctuary デバイスコントロール」を選定した。
■導入の効果
1.まず、導入テストの段階で、庁舎内では禁止されていたはずのiPodをはじめとする様々なデバイスが検出された。そこで、従業員に対する「イントラネット内で使用してはいけないデバイス」について、再教育の徹底ができた。
2.ホワイトリスト方式により、特定のシリアルナンバーを持ったUSBメモリのみを登録し、それ以外のデバイスは一切使用禁止という状態で運用開始。これにより情報漏洩、マルウェアの持ち込みなどに対して非常にセキュアな環境を構築することができた。また、デバイスの使用に関してはすべてのログが記録されるように設定されているため、ユーザのセキュリティ意識を常に高く保つことにも成功している。
特長1 |
非常に短期間での導入が可能!最短で2ヵ月程度という例も。 |
ブラックリスト方式と比べた場合、ホワイトリスト方式は「デフォルトの状態では何のデバイス、アプリケーションも使えない」ということであるため、ポリシー設定の前から非常にセキュアである。
本当に必要なデバイス、アプリケーションのみをとりあえずは登録すればシステムの使用開始が可能。さらに、Active DirectoryやeDirectoryの内容に基づいたユーザ、ユーザグループに対してアクセス権を付与可能なため、ユーザがPCにログインするだけでアクセス制限を適用できる。これらの理由により、テストからポリシー設定、ロールアウトまでが非常に短期間で済むのが大きなメリット。ネットワークの規模にもよるが2ヵ月程度での導入も可能であるという。
特長2 |
「Sanctuary デバイスコントロール」の特長 |
■きめ細かいデバイスアクセス権限の設定が可能
読み込みのみ、もしくは読み込み・書き込み両方OK、スケジュールに応じたアクセス権、一時的なアクセス権、オンライン/オフライン時別アクセス権、インターフェースタイプ別アクセス権、ディスクタイプ/ノンディスクタイプ別アクセス権など、きめ細かいデバイスのアクセス権設定が可能。
■シャドーイングによる持ち込み/持ち出しの監視
リムーバブルデバイスを介して持ち込み/持ち出しされたデータのファイル名またはファイルそのもののバックアップを記録。これにより、ユーザのセキュリティ意識を高め、情報漏洩のリスクを抑える。
■ログ・レポート機能
テンプレート保存も可能なログ・レポート機能により、詳細なデバイス使用の解析が可能。内部統制での監査時などに役立つのはもちろん、管理上の疑問点、不審点を徹底的に追求できる。
■サイレントインストールに対応
SMS、Group Policies、WinInstallなどMSI(Microsoft Windows Installer)を使用したツールでのクライアントへのサイレントインストールに対応。これによりクライアントへの展開を迅速に行える。
■その他の特長
・特定リムーバブルデバイス、CD/DVDメディアの個別管理
・プラグ&プレイデバイスを素早く検知
・コピー量制限
・リムーバブルメディアの暗号化
・ファイルのフィルタリング
・オフラインでのポリシー配布に対応
・暗号化USBメモリにも対応
・多言語対応
特長3 |
「Sanctuary アプリケーションコントロール」の特長 |
■未知のプログラムはまとめてシャットアウト
ホワイトリスト方式により、登録していないアプリケーション/プログラムはすべてシャットアウト。これにより、未知のウイルスやスパイウェア、ゼロデイ攻撃に対しても非常にセキュア。WinnyをはじめとするPtoPソフトウェア、ゲームなど不要ソフトの排除に対しても効果大だ。
■ログ・レポート機能
テンプレート保存も可能なログ・レポート機能により、詳細なアプリケーション使用の解析が可能。内部統制での監査時などに役立つのはもちろん、管理上の疑問点、不審点を徹底的に追求できる。
■大規模ネットワークにも対応
データベース、複数設置可能なアプリケーションサーバ、クライアント、という三層構造によって、大規模ネットワークや複雑な構成のネットワークにも柔軟に対応可能。
■オフラインPCの保護
PCがネットワークから切り離された場合でも、最終接続時のポリシーが維持される。
■その他の特長
・アプリケーションの自動検知
・ロケーションやパスルールに基づくアプリケーション実行許可
・ポリシー作成・施行の前にアプリケーション使用状況を検討・分析可能
・信頼できるユーザに対して、ローカルでの実行ファイル使用許可付与が可能
・マクロ・スクリプトにも対応
・オフラインでのポリシー配布に対応
・多言語対応
製品名 | Sanctuary デバイスコントロール/アプリケーションコントロール |
---|---|
メーカー | Sanctuary |
クライアント側OS | Windows 2000 Professional (SP4以上)/XP Professional (SP2 以上)/XP(SP2)/Embedded for Point of Service (WEPOS)/XP Tablet PC Edition/Vista Ultimate/Business |
クライアント側対応プロセッサ | Intel(R) Pentium(TM) III以上または同等以上のAMDプロセッサ |
クライアント側必要メモリ容量 | 512 MB 以上 (Windows 2000/XP の場合) / 1 GB 以上 (Vista の場合) |
クライアント側必要ディスク容量 | 6 MB(プログラム ファイル用)/15 MB(インストール用)/10 MB 以上(データ用)(デバイス コントロールでシャドーイングを行う場合は 3 GB 以上) |
クライアント側その他動作環境 | - |
サーバ側OS | Windows 2000 Server (SP4 以上)/Server 2003 (SP1 以上) |
サーバ側対応プロセッサ | Intel(R) Pentium(TM) III以上または同等以上のAMDプロセッサ |
サーバ側必要メモリ容量 | 512 MB以上 |
サーバ側必要ディスク容量 | 45 MB(プログラム ファイル用)/55 MB(インストール用)/3 GB 以上(データ用:ユーザ数および運用方法による) |
サーバ側その他動作環境 | MDAC v2.6 SP1 以上 (Windows 2000 を使用する場合)、Microsoft SQL Server 2000/2005 または SQL Server 2005 Express Edition(データベース用) |
その他特記事項 | 100 Mbps以上のネットワーク環境が必要です。 上記サーバの必要サイズは、アプリケーションサーバとデータベースサーバを1台で構成した場合の合計値です。 上記構成で対応可能なクライアント台数は2000台程度が目安となりますが、運用方法によって台数は変動いたします。 アプリケーションサーバの台数を追加することで大規模ネットワークへの対応も可能です。 |
製品サイトURL:http://filesecurity.jp/ |
価格情報 ●アプリケーションサーバ…9万円(税別)〜(1ライセンス) 補足説明 |
サポートエリア 全国 補足説明 |
|
製品・サービスの取扱い企業
株式会社ロックインターナショナル
部署名:ソフトウェア事業部
住所:東京都渋谷区代々木2−11−5
TEL:03-5304-5395
FAX:03-5304-5396
e-mail:sales@h2soft.co.jp
URL:http://filesecurity.jp/
掲載企業
株式会社ロックインターナショナル
部署名:ソフトウェア事業部
住所:東京都渋谷区代々木2−11−5
TEL:03-5304-5395
FAX:03-5304-5396
e-mail:sales@h2soft.co.jp
URL:http://filesecurity.jp/