Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
HP TechPulseプロアクティブ管理
セキュリティおよび
プライバシー ホワイトペーパー
発行:2018年11月
本書は2018年11月のHP TechPulseプロアクティブ管理サービス更新に適用されます。
追加情報については、HPの担当者にお問い合わせください。
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
1ページ
目次
はじめに ............................................................................................................................................................................................................ 2
セキュリティ分野でのソート リーダーシップ ............................................................................................................................... 2
サービスレベル セキュリティ ................................................................................................................................................................... 2
HP TechPulseプロアクティブ管理の概要 ........................................................................................................................................... 3
HPセキュア ソフトウェア開発ライフサイクル(SSDL) ............................................................................................................. 4
HP TechPulseのサービスレベル セキュリティ ...................................................................................................................................... 6
データ センター ........................................................................................................................................ Error! Bookmark not defined.
ネットワーク .............................................................................................................................................................................................. 7
アプリケーション、ホスト、および管理者セキュリティ .......................................................................................................... 7
データ セキュリティ ................................................................................................................................................................................ 7
独立した検証 .............................................................................................................................................................................................. 8
「最適」なサードパーティー技術 ...................................................................................................................................................... 8
データの収集、保存、プライバシー ....................................................................................................................................................... 9
データ収集 .................................................................................................................................................................................................. 9
データ プライバシー ................................................................................................................................................................................ 9
データ保管 ............................................................................................................................................................................................... 10
データ保存 ............................................................................................................................................................................................... 10
サービスの監視および報告 ..................................................................................................................................................................... 10
サービスの監視 ....................................................................................................................................................................................... 10
サービスの報告 ....................................................................................................................................................................................... 11
ユーザー アクセスおよび制御に関するセキュリティ .................................................................................................................... 11
アクセス権 ............................................................................................................................................................................................... 11
ID管理 ......................................................................................................................................................................................................... 11
セッション管理 ....................................................................................................................................................................................... 12
フィールド検証 ....................................................................................................................................................................................... 12
まとめ ............................................................................................................................................................................................................. 12
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
2ページ
はじめに
クラウドにアウトソーシングされるIT業務が増加するにつれて、システムの分離とマルチテナント化によるセキュリ
ティおよび管理の新たな課題が持ち上がっています。こうした課題は、脅威がますます複雑化する環境で、企業、規
制、および地理的な境界をまたいだ運用を行う必要性によって、いっそう重大になっています。HPが掲げる目標は、
このような新たな局面で、HPの製品およびサービスを使用するお客様に、確実性、洞察力、および制御の手段を提供
することです。
HPでは、デバイス内に埋め込まれた制御ポイントや、境界をまたぐ高度な自動管理モデルなどの技術を開発する、優
れた技術力を持つ多種多様な技術センターを構えています。これらの技術により、トップから末端までの堅牢な信頼
の連鎖が形成されています。HPは、近年見られる大規模な攻撃を検知して緩和するための新たなメカニズムも絶えず
探求し続けています。
セキュリティ分野でのソート リーダーシップ
セキュリティに対するHPの取り組みは、自社製品で終わりではありません。当社はパートナー エコシステム内のセ
キュリティ面でのベストプラクティスを提唱し、世界中の数十万もの独立したIT再販業者およびサービス提供事業者
に研修およびリソースを提供する企業として重要な役割を担っています。実際のところ、HPはクラウド セキュリティ
アライアンスによって選ばれた最初のマスター トレーニング パートナーです。クラウド セキュリティ アライアンス
(CSA)は、クラウド コンピューティング環境のセキュリティ確保を推進するために、ベスト プラクティスの定義お
よび意識喚起を専門に行う国際的な組織です。CSAは、最も有名なクラウド セキュリティ プロバイダー認証プログラ
ムであるSTAR(Security, Trust & Assurance Registry)を運営しています。これは、自己評価、第三者による監査、および
継続監視による三層からなるプロバイダー保証プログラムです。
クラウド コンピューティングおよび情報セキュリティ分野に精通したグローバルなセキュリティ技術ベンダーである
HPは、現場のセキュリティ プロセスおよび実装に的を絞ったベンダーに中立的なセキュリティ研修を提供する企業と
して好ましい立場にあります。HPは、世界中の学習センターと多くのパートナー施設およびお客様の開発現場にて、
35年以上にわたる複雑な技術研修要件を満たすことで得た経験から学ぶコースを提供しています。
サービスレベル セキュリティ
1950年代、W. エドワーズ・デミングらはTQM(Total Quality Management)などの品質管理の概念を製造業に導入しまし
た。これは最初に日本で根付き、結果として日本製の自動車の品質は米国製の自動車の品質を凌駕しました。1970年
代に米国に届いた品質転換の概念は、ITソフトウェア業界では1980年代に登場し、HPではCEOのジョン・ヤングによっ
て品質プログラム「10X」が導入されました。この目標は、ソフトウェアの品質を10年以内に一桁向上させるというも
のです。これらの品質プログラムでは、再現性、品質の組み込み、品質管理、およびテスト依存からの脱却というこ
とが注目されました。
それから30年が過ぎ、品質に対するこの包括的なアプローチの結果、ハードウェア、ソフトウェア アプリケーション、
および製品にサイバーセキュリティの回復性を組み込むための重要な機能が開発され、最適なサードパーティー技術
を提供するベンダーとのパートナーシップが確立されました。
セキュリティは、すべての階層にセキュリティ制御機能を展開することによって維持されます。1つの階層に障害が発
生した場合、侵害を最小化してセキュリティを常に維持するために、制御機能が他の領域に配置されます。
HP TechPulseプロアクティブ管理は、その開発プロセスだけでなくアーキテクチャにも、業界で実証済みのサービスレ
ベル セキュリティを適用します。
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
3ページ
HP TechPulseプロアクティブ管理の概要
HP TechPulseプロアクティブ管理(以下HP TechPulse)は、組織のデバイス、データ、およびユーザーのソーシングと
管理を行うためのクラウドベースのワンストップ ソリューションです。分析およびプロアクティブな管理を実現する
ために、HPはインテリジェントなデバイス指標、ベストプラクティスのデータ センター ストレージとセキュリティ、
機械学習機能、および業界をリードするクラウドベース技術を統合しました。これにより、エンドポイント デバイス
分析、管理ツールおよび機能が統合され、すべてが1つのマネージド サービスとして提供されるようになり、HPサー
ビスエキスパートによる企業IT管理支援を活用することができます。
このサービスは、すべてのHP TechPulseデバイスにインストール可能な軽量ソフトウェア コンポーネントと連携して、
ウィルス対策の状態、ファイアウォールの状態、セキュリティ設定、デバイス状態の監視(バッテリの状態、ハード
ディスクの状態、CPU使用率)などのデバイス指標を提供します。
データ指標は地域データ センターに安全に渡され、IT管理タスクの実行に必要なデバイス データおよびユーザー デー
タのみが収集されます。
これらのデバイス指標は、その後、HP TechPulseのすべてのお客様のメリットとなるように、Amazon Web Servicesで広
範囲に活用されます。全世界の4,000万に及ぶHPの管理対象デバイスの機械学習から得られる有益な情報に基づき、豊
富なツールセットと実用的なレポートが提供されるので、HPサービス エキスパートはセキュリティの脅威とパフォー
マンスの問題をより適切に修正し軽減することができます。ユーザー情報は、クラウドベースのHP TechPulseポータル
に入力するか、HP TechPulseクライアント コンポーネントによって自動的に収集されます(図1を参照)。
図1:HP TechPulseプロアクティブ管理
アーキテクチャの観点から見れば、HP TechPulseは攻撃者がユーザー デバイスの制御を奪うことを妨げるように設計
されています。管理制御を行うには、ユーザーが事前にその操作を知り承認する必要があります。ユーザーは、クラ
イアントを管理する許可をリクエストしているのが誰かを判別することができます。つまり、すべてのポリシー設定
の変更および実行コマンドがHP TechPulseからのものであるかどうかを確認できます。さらに、HP TechPulseから通信
されるすべてのコンテンツおよびソースを管理対象クライアントで検証する必要があり、クライアントはプロビジョ
ニングが正しく実行されていることを確認できます。
オペレーティング システムによっては、デバイスを管理するためのHP TechPulseリクエストに関する検証済み情報を
ユーザーに提供するために、プロビジョニング プロセス中にソフトウェア コンポーネントまたはクライアント アプ
リケーションが各デバイスにインストールされます。
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
4ページ
同様に、HP TechPulseサーバーは、管理対象デバイスから受け取る現在の設定、イベント、および結果が正確であるこ
とを認識していなければなりません。管理対象デバイスから通信されるすべてのコンテンツおよびソースはサーバー
によって検証され、検証の手段は管理対象デバイスの登録プロセスの一部として確立されます。
クライアント ソフトウェアの展開および詳細設定
Microsoft Windowsデスクトップ オペレーティング システムを実行中のデバイスの場合、HP TechPulseはリモート管理用
のユーザー デバイスを登録するときに軽量ソフトウェアを展開します。このソフトウェアは定期的にチェックインし
てサーバーからコマンドを受け取り、特定のタスクを実行します。また、ソフトウェアはそれ自身が収集したデバイ
ス固有のデータと、サーバー コマンドが成功したか否かの報告をサーバーに返します。HPでは、すべてのソフトウェ
アについて、セキュア開発プロセス(本書の後半で詳述します)に従っています。このプロセスでは、ソフトウェア
の操作や不正なアクセスを防ぐために、開発ベスト プラクティス、セキュリティ上の脅威モデリング、および静的コー
ド分析が使用されます。
HP TechPulse Windowsコンポーネントはすべての通信でポート443(標準のSSLポート)を使用します。ソフトウェアは
Windowsデバイスにインストールされると、24時間に最低1回サーバーをポーリングします。すべてのWindowsデバイ
スでサーバーとクライアントの間の通信に使用されるプロトコルは、HTTPSだけです。さらに、公開鍵ピンニングが使
用されます。この技術を使用すると、クライアントは特定のSSL証明書を持つサーバーにしか(当然HTTPS経由で)接
続することができなくなり、この場合、SSL証明書はHP TechPulseの本番サイトの証明書になります。サーバーは、サー
バーとクライアントの間で交換されるすべてのメッセージについて、追加レベルのデジタル署名および検証機能とし
て、別の暗号鍵のセットを使用します。
HP TechPulseは証明書のインストールを行わず、オペレーティング システムの証明書ストアの改ざんも行いません。し
たがって、アドウェアの存在によって実行されるシステム変更は導入されません。
HPセキュア ソフトウェア開発ライフサイクル(SSDL)
アプリケーションのセキュリティに対する業界の典型的なやり方は事後対応的であり、品質管理の分野での教訓を活
かせていません。よく見られるアプローチは次の2つです。
• 「見て見ぬふりをする」:セキュリティ パッチによる事後対応を特徴とします。このアプローチはCVEに依存
し、脆弱性を回避したり最小化したりするための努力はほとんど行われません。この姿勢は、セキュリティ
関連の規制による負担が最も軽い業界部門に最も多く見られます。
• 「セキュリティをテストに組み込む」:顕著に見られる現象は、アプリケーションに回復性が設計されないこ
とです。そうする代わりに、テスト中に脆弱性を見つけて修復することに労力が投じられ、セキュリティ パッ
チの適用も併用されます。このアプローチは公共部門、セキュリティの規制を受けた業界、および医療業界
で最もよく見られます。これらの部門は規制への遵守を示す必要があり、規制としては、たとえば米国のFISMA
(Federal Information Security Management Act)、PCI-DSS(Payment Card Industry Data Security Standard)、HIPAA
(Health Information Portability and Accountability Act)、HITECH(Health Information Technology for Economic and
Clinical Health)などがあります。
しかしながら、品質属性としてのセキュリティは、品質管理分野で数十年前に学んだのと同様に、ライフサイクルの
すべての段階で適用される必要があります。重要ポイントとして、以下のことがあります。
• 品質をテストで組み込むことはできません。設計して構築した後にテストされる必要があります。
• 不具合(すなわちセキュリティ上の不具合および脆弱性)は、ライフサイクルの後半でなく早い段階で見つ
けた方が、ずっと安く済みます。
HPはソフトウェアのセキュリティを重大なテーマとして捉え、セキュア ソフトウェア開発ライフサイクル(SSDL)の
採用に至りました。このプロセスには以下に示すいくつかの目標が結びつけられています。
• セキュアなソフトウェア アーキテクチャによりサイバー攻撃を受ける対象を減らす
• コードに起因する脆弱性を最小化する
• 顧客のデータおよびIDに関するプライバシーとセキュリティを保護する
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
5ページ
HPではこの目的を達成するために、具体的なセキュリティ関連手順をソフトウェア開発プロセスに組み込み、セキュリ
ティ プロセスが適切に実行されたかどうかを確認するマイルストーン審査を実行し、ソフトウェア アーキテクト、開
発者、テスト技術者、プログラム マネージャー、および管理者に対して継続的なセキュリティ研修を展開しています。
SSDLプロセスには以下の7つの段階があります。各段階を以下に示します。
• 研修(第1段階):SSDLプロセス、セキュリティを強化した設計、脅威モデリング、セキュアなコーディング
を扱う正規のコース
• 要件(第2段階):ソフトウェア プロジェクトのきわめて初期のセキュリティ計画で、機能ごとのセキュリティ
リスク評価など
• 設計(第3段階):セキュリティ アーキテクチャの定義および文書化と、重要なセキュリティ コンポーネント
の特定
• 実装(第4段階):設計された保護スキームおよびマイグレーション アプローチの実行と、ピア コード レビュー
および妥当性検証
• 検証(第5段階):動的コード分析、ファジングおよび侵入テストと、攻撃対象領域のレビューの実行
• リリース(第6段階):SSDL要件が満たされていること、および既知の脆弱性がないことの確認
• 対応(第7段階):リリース段階で概略が記載された応答タスクの実行
図2:HPセキュア ソフトウェア開発ライフサイクル
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
6ページ
HP TechPulseのサービスレベル セキュリティ
このセクションでは、HP TechPulseが様々な通信階層でセキュリティを確保するためにサービスレベル セキュリティ
をどのように適用しているかについて説明します。
データ センター
HP TechPulseアプリケーションは、AWS(Amazon Web Services)によってホストされており、具体的にはAmazon EC2
(Amazon Elastic Compute Cloud)です。Amazon EC2はAWSクラウド内の拡張可能なコンピューティング能力を提供しま
す。HP TechPulseはAWSを使用することで、Amazonが大規模なグローバル インフラストラクチャを信頼性の高い安全
な方法で提供してきた15年を超える経験を利用できます。詳しくは、AWSの情報ポータル(http://aws.amazon.com/ec2/)
を参照してください。
物理階層では、施設およびネットワークのセキュリティを守るために配備される制御に取り組むことが重要です。顧
客データおよびデバイス データは、冗長性を提供するために地理的に分散したAWSデータ センターに保管されます。
クラウド ホスティングの業界リーダーとして認識されているAWSとパートナーを組むことで、HP TechPulseは今日利用
可能な最も柔軟かつセキュアなクラウドコンピューティング環境の1つに構築されたクラウド インフラストラクチャ
を継承します。セキュリティ上の重要な特徴として、以下のことがあります。
• セキュリティ重視の設計:AWSクラウド インフラストラクチャは、セキュリティに最も関心が高い顧客の要
件を満たすように設計されたAWSデータ センターに収容されています。AWSインフラストラクチャは高い可
用性を提供しつつ、顧客のプライバシーおよび隔離に関して強力な保護手段を提供するよう設計されていま
す。
• 高度な自動化:AWSでは、AWS独自の環境およびスケール要件に合わせてツールを調整するために、大半のセ
キュリティ ツールは目的に応じて構築されています。これらのセキュリティ ツールは、データおよびアプリ
ケーションを最大限保護するために構築されています。つまり、AWSセキュリティ エキスパートはルーチン
作業に費やす時間を減らし、AWSクラウド環境のセキュリティを高める予防的な対策に注力することができ
ます。
• 高い可用性:AWSは、システムの停電に対して最大限の回復性を提供するために、複数の地理的リージョン、
さらには各リージョン内の複数のアベイラビリティ ゾーンにわたってデータ センターを構築しています。
AWSでは十分な帯域幅を追加利用できるようにデータ センターが設計されているため、重大な中断が発生し
た場合でも、存続している他のサイトにトラフィックを負荷分散できるだけの十分な容量があります。
• 多くの認可:AWSが受けた1つ1つの認定は、セキュリティ上の特定の制御が備わっており、意図したとおり
に動作することを監査人が確認したことの証です。AWSのアカウント担当者に連絡することで、該当するコ
ンプライアンス レポートを見ることができます。AWSが準拠しているセキュリティ規制および基準について
詳しくは、AWSのコンプライアンスに関するWebページを参照してください。お客様が政府、業界、および企
業のセキュリティ基準および規制を満たすことができるように、AWSでは認定レポートを提供しています。
このレポートには、多くのグローバル セキュリティ基準の要件をAWSクラウド インフラストラクチャが満た
していることが記載されており、基準には、ISO 27001、SOC、PCI Data Security Standard、FedRAMP、Australian
Signals Directorate(ASD)Information Security Manual、Singapore Multi-Tier Cloud Security Standard(MTCS SS 584)
などがあります。AWSが準拠しているセキュリティ規制および基準について詳しくは、AWSのコンプライアン
スに関するWebページを参照してください。
物理的および環境面でのセキュリティ、AWSへのアクセスおよびネットワーク セキュリティについて詳しくは、AWS
Overview of Security Processesのホワイトペーパーをお読みください。
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
7ページ
ネットワーク
ファイアウォールやその他の境界デバイスなどのネットワーク デバイスは、ネットワークの外側の境界およびネット
ワーク内の重要な内部境界で通信を監視および制御するために配置されます。これらの境界デバイスは、ルール セッ
ト、アクセス制御リスト(ACL)、および構成を利用して、特定の情報システム サービスへの情報のフローを補強して
います。
ACLやトラフィック フロー ポリシーは、トラフィックのフローを管理および補強するために、管理対象インターフェ
イス上で確立されます。ACLポリシーはAmazon情報セキュリティによって承認されています。これらのポリシーはAWS
のACL管理ツールを使用して自動的にプッシュされ、これらの管理対象インターフェイスが最新のACLを適用できるよ
う支援します。
セキュリティを強化したアクセス ポイント
AWSでは限られた数のアクセス ポイントをクラウド上に戦略的に配置することで、インバウンドおよびアウトバウン
ドの通信とネットワーク トラフィックをより包括的に監視できるようになります。これらの顧客アクセス ポイントは
APIエンドポイントと呼ばれ、これらはHTTPアクセス(HTTPS)が可能です。HTTPSにより、AWS内のストレージや計算
インスタンスとのセキュアな通信セッションが確立できます。さらに、AWSではインターネット サービス プロバイダー
(ISP)とのインターフェイス通信を管理する専用のネットワーク デバイスが実装されています。AWSでは、AWSネッ
トワークのインターネット側のエッジで複数の通信サービス用の冗長接続が使用されています。これらの各接続には
専用のネットワーク デバイスが使用されています。
アプリケーション、ホスト、および管理者セキュリティ
論理階層では、ホスト システム、そのシステム上で稼働するアプリケーション、およびホスト システムならびにそのアプリケーションを管理する管理者を保護するための様々な制御機能が実装されています。
HP TechPulseおよび顧客データへの管理者アクセスは制限され、厳しく管理されています。最小権限付与に基づくアクセスの原則が適用されます。タスクを実行するために必要な個人にのみ(ただし、適切なバックグラウンド チェックおよびアカウント管理要件を満たす場合のみ)アクセス権が許可されます。
データ セキュリティ
HP TechPulseで交換されるデータには、業界標準のSSL(Secure Sockets Layer)プロトコルであるTLS(Transport Layer
Security)v1.2のAWS実装が使用されます。TLSは複数レベルでのデータの保護に役立ち、サーバー認証、データの暗号
化、およびデータの整合性を提供します。TLSはアプリケーション層の下で実装されるため、ユーザーからの追加のス
テップまたは手続きに依存しない受動的なセキュリティ メカニズムです。このため、クライアント アプリケーション
およびそのユーザーが、セキュア通信のことをほとんどあるいはまったく知らなくても攻撃者から適切に保護されま
す。これらの機能は偶発的な破損や悪質な攻撃からデータを保護するのに役立ち、一般的なWebベースの脅威を回避
するためのものです。クライアントとサーバー間のネットワーク通信のSSL暗号化に加えて、HPはログおよび「保存
データ」(サーバー データベースに格納されているデータ)を暗号化します。暗号化アルゴリズムではCBCモードのAES-
256が使用されます。このアルゴリズムを使用して暗号化されるデータの例として、デバイスの位置情報があります。
HP TechPulseによって管理されるクライアント デバイスでは、オペレーティング システムおよびクライアント サイド
ソフトウェアをHP TechPulseのシステム要件に示しておく必要があります。HP TechPulseは管理者によって定義された
特定のデバイスのセキュリティ ポリシーを適用できますが、ユーザーのログイン電子メールおよびパスワード以外は
エンド ユーザー展開のためのセキュリティ要件がありません。従業員のログイン電子メールおよびパスワードはTLS
プロトコルのAES-128ビット暗号化によってログイン時に暗号化されます。
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
8ページ
独立した検証
HP TechPulseソリューションのセキュリティを確保するために、資格を持つ経験豊富なサイバーセキュリティ企業が
Webアプリケーションの侵入テストを定期的に実施します。このセキュリティ評価サービスによって、アプリケーショ
ンのセキュリティ制御が配備され、かつ正しく機能するかどうかを確認できます。このテストには、サービス妨害攻
撃、すべてのネットワーク インターフェイスのストレス テスト、コンポーネントによって利用されるすべてのファイ
ル形式のファジングなどが含まれますが、この限りではありません。内外の関係者によって実施される侵入テストに
よって、サービスのセキュリティ制御の効果に対する重要な情報が得られます。これらのレビューの結論やその後の
制御の継続的な評価は、後続のスキャン、監視、およびリスク緩和対策に使用されます。この種類の侵入テストの結
果には私的な極秘情報が含まれるため、お客様と共有されません。
「最適」なサードパーティー技術
HP TechPulseマネージド サービス プラットフォームには、堅牢なエンドポイント管理ツールと洞察に富む分析機能が
統合されており、HP TechPulseのサービス エキスパートはこれを利用して、お客様のマルチOS環境をプロアクティブ
に管理します。サードパーティー技術としては、AirWatchで強化されたVMware Workspace ONEの統合テクノロジがあり
ます。
AirWatchは、物理インフラストラクチャ、論理インフラストラクチャ、ポリシー、処理手順、運用を厳重に管理するた
めの包括的なセキュリティ インフラストラクチャを開発しました。
AirWatchでは、Tier IIIの地理的に離れたコロケーション設備およびクラウド プロバイダーと連携することで、完全な制
御、ネットワーク、およびデータ冗長性を実現しています。ビジネス継続性計画や災害復旧の戦略に沿って、仮想マ
シン、ロード バランサー、ファイアウォール、SAN、およびIPSが利用されます。専任の情報セキュリティおよび運用
チームが、SaaSのポリシーおよび処理手順を管理します。
責任およびリスクの軽減のために順守するセキュリティ基準および規制には、次のようなものがあります。
• NIST SP 800-53リビジョン4:セキュリティ対策のモデリングに使用されます。
• SSAE 16 SOC2:AirWatchは、HPのコロケーション データ センターおよびクラウドでホストされるグローバル
データ センター向けのSOC2報告書を取得しており、これは要求に応じて提供されます。
AirWatchでは、物理データベースおよび仮想データベースを使用して、システムの効率を最適化します。本番システム
は2つのプライマリ データ センターでホストされ、夜間バックアップのクロス レプリケーションによってパフォーマ
ンスのニーズ、データの増大、および絶えず変化するセキュリティの課題に対応します。
ネットワークは、高可用性、冗長性、拡張性に対応するように構成されています。ローカルのロード バランシングは、
SaaS環境のフロントエンドに組み込まれています。コアのネットワーク セキュリティ インフラストラクチャには、冗
長Ethernetスイッチ、LANの分離、ファイアウォール、侵入の検出および監視などが含まれます。インターネット アク
セスは、冗長Ethernet接続を介して、AirWatch環境に提供されます。リンク障害が発生すると、冗長リンクへの自動フェ
イルオーバーが開始されます。これはユーザーに対し透過的に行われます。また、AirWatchでは物理LANの分離を組み
込むことで、単一のセキュリティ漏えいポイントを低減しています。
冗長なモジュール形式の大規模なファイアウォールが、インターネットとAirWatch SaaS環境の間に配置されます。IPS
(侵入防止システム)が、すべての内部ネットワーク トラフィックを監視し、不審な活動を記録して、不審なネット
ワーク活動に対して警告を発します。ローカル ロード バランサーのフェイルオーバー ペアにより、冗長性、高可用
性、およびパフォーマンスの向上が実現します。
AirWatchでは、FCAPS(Fault, Configuration, Accounting, Performance, and Security:障害、構成、課金、性能、セキュリティ)
モデルに従って、SaaS環境を監視します。システムは、主要なパフォーマンス項目に関連する問題をサポート担当者に
通知するように構成されます。各データ センターには独自の収集ポイントがあり、AirWatchクラウドのサポート担当者
が、SNMP、ICMP、およびカスタム構築ツールのシステム インフラストラクチャを組み合わせて一元的に監視します。
AirWatchには、BCP(ビジネス継続性計画)およびDR(災害復旧)計画が備わっており、これらの計画は毎年、または
既存のシステムに大きな変更が行われた場合に更新されます。BCPおよびDR計画は、本番環境の展開を別の場所のデー
タ センターにフェイルオーバーしてテストされます。AirWatchのBCPおよびDRのアプローチには、データおよびハード
ウェアの冗長性、ネットワーク構成の冗長性およびバックアップと、堅牢かつ定期的なテスト演習などが含まれます。
初期設定では、AirWatchは、米国の標準が定めるPII(個人特定可能情報)を保管しません。
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
9ページ
データの収集、保存、プライバシー
データ収集
HP TechPulseでは、IT管理タスクを実行するために、デバイスおよびユーザーに関する特定のデータが収集されます。
収集されるデータを次に示します。
HP TechPulseで収集されるデバイス データには、次の分類が含まれることがあります。
• ハードウェア:バッテリ、BIOS、ディスク、ディスプレイまたはモニター、グラフィックス、インベントリ、
メモリ、ネットワーク インターフェイス、PnP、プロセッサ、システム クロック、システム スロット、温度
およびシステム パフォーマンス データなど
• ソフトウェア:コンプライアンス、エラー、インベントリ、パフォーマンス、使用率、Webアプリケーション
使用データなど
• セキュリティ:レポート対象外デバイス、オペレーティング システムのパッチ検出および管理、デバイスの
位置情報、デバイスのロックおよびワイプ、セキュリティ ポリシー設定、セキュリティ ポリシー適用、セキュ
リティ脅威、ストレージ暗号化、ユーザー セキュリティ設定、Wi-Fiプロビジョニング、Windows Information
Protection違反データなど
• Windowsイベント ログ:アプリケーション、ディレクトリ サービス、ファイル レプリケーション、セキュリ
ティ、およびオペレーティング システム データに関連するユーザー アクションおよびシステム リソース使
用状況イベントなど
• HP保証およびCare Pack:標準の保証および延長された保証のデータなど
HP TechPulseで収集されるユーザー データには、次のものが含まれます。
• ユーザーの電子メール アドレス
• 最後にログオンしたユーザー アカウント
• ログオンの連続失敗回数(ユーザーがログオンするとゼロにリセットされます)
データ プライバシー
データ プライバシーはHPプライバシー ポリシーによって世界各国で管理されています。このポリシーは定期的に更
新され、http://www8.hp.com/us/en/privacy/ww-privacy.htmlで見ることができます。
プライバシー ポリシーでは次のトピックについて扱います。
• 個人情報の収集
• HPがお客様の情報を使用する方法
• HPがお客様の情報を共有する方法
• 子供のプライバシー
• お客様の選択と、お客様が優先して選択するプライバシー
• お客様の情報へのアクセスおよび正確性
• お客様の情報のセキュリティ保持
• 本仕様の変更
• HPへの連絡
• 自動データ収集ツール
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
10ページ
データ保管 HP TechPulseのデータ保管は、有料加入者のユーザーおよびデバイス情報に限定されます。
データ保存
データ保存はあらゆるコンプライアンス プログラムの重要な部分であり、データを適切に管理するために必要です。
HPのデータ保存ポリシーには、次に示すデータ保存ベスト プラクティスが盛り込まれています。
• データの保管が必要な期間に満たない場合、契約または法的要件に違反したり、セキュリティに影響を及ぼ
したりする可能性がある。
• データの保管が必要な期間よりも長い場合はプライバシー規制に違反することがあり、このことはお客様の
関心が最も高く、販売時の問い合わせが最も多い。
• データをいったん削除したら、お客様や法執行機関に提供する義務はない。
HP TechPulseの顧客データは夜間にバックアップされて保存されます。データは災害復旧目的でのみ存在し、「特定の
時点への復旧」サービスは提供されていません。アカウントを取り消した場合、その後のデータ収集を防ぐためにHP
TechPulseクライアントをアンインストールする必要があります。MBI、HBI、またはPIIを含む紙の文書はセキュリティ
を確保したシュレッダー サービス業者によって破棄されます。HP TechPulseは紙の文書の使用および保持を行いませ
ん。
さらに、HP TechPulseはユーザー データおよびデバイス データの保管を有料顧客に制限しています。
サービスの監視および報告
HP TechPulseではサービスを定期的に更新し、最新の機能および更新をお客様に配信しています。また、HP TechPulse
は様々な方法で、定期的または予定外の更新やサービスの変更をお客様に通知しています。保守サービスなどのサー
ビスの中断が予定されている場合は、8時間前にお客様に通知します。
HPでは最適なサービスを提供するために、継続的にサービスの監視と報告を行っています。
サービスの監視
HP TechPulseのアプリケーションおよびWebサイトでは、信頼性およびパフォーマンスの監視を24時間365日行ってい
ます。また、ネットワークのパフォーマンスおよび可用性の監視も継続的に行っています。すべての監視ツールは、
問題や警告をサービス エンジニアに直接送信します。発生した例外は、確認を要する優先度の高い作業項目として、
社内チケット システムに自動的に登録されます。
サービスは応答しきい値に従って1分ごとにポーリングされます。
• サーバー側の応答は400ミリ秒未満
• ブラウザーの応答時間は3秒未満
しきい値を超えた場合、次の自動エスカレーション処理が実行されます。
• 待機中の対応するマトリックス エンジニアにアラート電子メールが送信されます
• 待機中のエンジニアの携帯デバイスにプッシュ通知が送信されます
• 電子メールが運用チームの配信リストに送信されます。
サービスでは次に示す様々な監視ツールが使用されます。
• New Relic:システムの様々なコンポーネントを監視し、さらに重要なこととして、ボトルネックが生じたと
きにボトルネックの特定およびデバッグを支援します。ほとんどのアプリケーションおよびサービスはNew
Relicでの測定に対応しているため、継続的なデータ収集およびほぼリアルタイムでのパフォーマンス測定が
可能です。
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
11ページ
• Amazon CloudWatch:プロビジョニング、サービス障害、しきい値の到達(メモリ消費など)に関するイベン
トを監視します。重要な顧客シナリオ(利用可能なトランザクションに対するユーザー数およびデバイスの
比率を徐々に増加させる)をシミュレーションするための使用可能なすべてのサービスのトランザクション
監視およびテストをサードパーティーの監視ソリューションで実行できます。このサードパーティー ソ
リューションは、ポータル、サインアップの試行、アプリケーションのサインイン、およびグループ可用性
の増減に関するイベントを監視します。
サービスの報告
開発作業またはサービス更新が終わった後、すべてのインシデントがレビューおよび分類されて、最も重要な問題領
域が特定されます。サービス品質(QoS)の事後分析・検討会議が行われ、発見された事項のレビュー、根本原因の特
定、および改善のための変更の実装が行われます。
サービスの可用性および連続稼働時間も日次で監視され、月次でレビューされます。正常な稼働に対する障害の比率
を求めることで、HP TechPulseの月次の可用性が算出されます。
HP TechPulseは内部のインシデント ログや可用性に関する履歴データをお客様に開示しませんが、HPは99.9%のアップタイムを目標としてサービス品質に取り組んでいることを約束します。
ユーザー アクセスおよび制御に関するセキュリティ
アクセス権 HP TechPulseでは、アプリケーションのアクセス権を制御するための役割ベースの管理が使用されます。HP TechPulse
アカウントでは、以下の2つの主要な役割を使用できます。
• IT管理者の役割は、一次アカウント保持者で、企業の従業員に代わってデバイスを管理する役割を担います。
• 従業員の役割は、企業のアカウント内のユーザーとして権限をIT管理者が承認したユーザーで、自分の作業を
行うために個人的に使用するデバイスを管理できます。
HP TechPulseは、一元化された場所からセキュアなIT管理を実行できるように設計されています。したがって、次の制
御方法によってアカウントの動作が統制されます。
• IT管理者は、ユーザーが変更できるすべてのポリシー設定を(一元化されたダッシュボードから)変更できま
す。
• IT管理者は、自分の管理下にある設定をユーザーが変更することを禁止できます。管理対象の設定をユーザー
が表示する機能はポリシーによって制御されます。
• アカウントが管理者によって管理されているかユーザーが管理しているかにかかわらず、すべての設定の現
在の状況を検索することができます。
ID管理
HP TechPulseユーザー ログインIDおよびAzure Active Directoryフェデレーションの2つのメカニズムがサポートされてい
ます。
HP TechPulseのログインIDに必要なパスワードは長さが最低6文字で、大文字、小文字、数字が少なくとも1文字以上含
まれます。文字と数字を組み合わせたパスワードなどの強いパスワードが推奨されますが、必須ではありません。パ
スワードの履歴は保持されず、パスワードの定期的な強制変更は現時点では使用できません。HP TechPulseのログイン
IDにより、パスワードの回復は、リセット リンクを受け取るための電子メール アドレスをユーザーが送信することに
よって行われます。新規ユーザーの追加は非常に簡単で、ユーザーの電子メール アドレスを新規ユーザー管理に入力
し、ユーザーをシステムに招待するだけです。コンソールへのアクセスには、標準の「ユーザー」ロールより上の権
限が必要です。HP TechPulseのユーザーを削除することによってユーザーをシステムから削除できます。ユーザー アカ
ウントを保持しながら、コンソールへのアクセスを削除できます。
HP TechPulseプロアクティブ管理
© 2018 HP Development Company, L.P. 4AA7-1182JPN
本書の内容は、将来予告なしに変更されることがあります。
12ページ
セッション管理
現時点ではユーザーが所有できるセッション数に制限はありません。ユーザー セッションは30分以上操作がない状態
が続くとタイムアウトになり、デバイス セッションは操作がない状態が24時間続くとタイムアウトになります。認証
の試行を5回連続で失敗すると、ユーザー アカウントがロックされます。パスワードを回復するには、ユーザーはリ
セット リンクを受け取るために電子メール アドレスを送信することが必要な場合もあります。
フィールド検証
フィールド検証は、HP TechPulseアプリケーションのフォーム入力フィールドを保護するために使用されます。検証は、
データ型(文字列、日付および時刻、通貨など)およびビジネス ルール(必須または推奨)によって行われます。フィー
ルドは、ビジネス役割および操作(読み取りおよび書き込み)によって保護されることもあります。スクリプト機能
を使用した検証が追加で適用されることもあります。
まとめ
HPは、脅威の状況が急速に変化することを認識しています。サイバー攻撃の進化は1990年代後半のファイル削除やWeb
サイトの改変に始まり、その後は資格情報の窃盗やランサムウェアなどの金銭目的の段階に入りました。ごく最近の
攻撃は潤沢な資金を持つ国民国家によって行われ、送電網を破壊したり、数万台のコンピューターやモバイル デバイ
スを操作不能にしたりすることを狙っています。
HPは40年以上前から、こうしたリスクに挑むことを任務としています。HP TechPulseプロアクティブのようなアプリ
ケーションのデザインは、セキュリティ上の脅威の検出および保護に関するHPのイノベーションによる遺産と、セキュ
リティを重視した昨今の投資の影響を受けたものです。その結果、アプリケーション、物理データ センター、および
エンドユーザー アクセス機能をすべて含む統合化されたセキュリティ プラットフォーム上に構築された、クラウド
ベースのセキュアなIT管理ソリューションが提供されました。HP TechPulseにはセキュリティ機能が組み込まれている
ため、ITリソースが限られた組織であっても、複数の強力なセキュリティ階層を使用して、組織のデバイス、データ、
およびユーザーの日々の管理を簡素化する、信頼できるツールを手にすることができます。