Embed Size (px)
Citation preview
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 1
アイベクス株式会社
製品紹介資料
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 2
ログ管理 制御の重要性と録画による抑止向上・
テキストベースの抑止だけでは不十分。先般、大量の個人情報が流出するセキュリティ事件が発生しました。セキュリティ監視やデバイス制御(不十分な)は行っていましたが、許可のないデバイスが接続することができ、 MTP ( Media Transfer Protocol ) /PTP ( Picture Transfer Protocol )の制御が行えていませんでした。また、定期的なログ分析を行わず、システム管理者権限がユーザ毎に細かくアクセスコントロールできていないことから大きな情報漏えい事故となりました。
• ユーザ毎のデバイス接続制限、アクセスのコントロールが必要。
万が一事故が起こった際、ログを起点とした業務違反操作の割り出しと対象ログと連携したピンポイントな不正操作動画を確認することで、迅速な情報漏えい事故の原因追求・解決へと導きます。
スピーディな事故の解明と対策によって損害を最小限に止め、信頼を保持します。
◆ 対策として
・ デバイス接続制限・ アクセスコントロール
録画による抑止効果
• さらなる抑止効果として録画によるユーザ操作の詳細な証跡管理が求められる。
・ 定期的なログ分析
デバイス制御やアクセスコントロールすることで、事前情報流出を防ぐことはもちろん、
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 3
ISAC2 製品概要(イメージ図)
ISAC2 概念図
ISAC2 サーバー機能は、 IP アドレス・Port 番号を指定することによって、対象PC のリモート接続利用時のアクセス制限を可能にします。
なお、 IP アドレスは直接指定する以外にも、正規表現やワイルドカード指定など柔軟に設定が行えるほか、 URL (ページ単位)での指定にも対応しています。
アクセスコントロール+録画すべてのユーザーが、必ず ISAC2 サーバーを経由し業務サーバーにアクセスする構成例
動画記録形式が一般的なM PEG 4を利用しており、ストレージの拡張やバックアップ等の 運用が容易。
お客様がセキュアな環境をお求めの場合
サーバ
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 4
アクセス制限機能の概要
アクセス制限機能の概要
取得ログ・制御項目 0 内容 ログ 連携 録画 制御 アラート
通信通信情報(接続先 IP アドレス・使用ポート番号・利用アプリケーション)を取得します。 ◎ ⇒ ◎ ◎ ◎
Web アクセス WEB アクセス情報(ウィンドウタイトル、 URL 等)を取得します。 ◎ ⇒ ◎ ◎ ◎
ファイル操作ファイル操作情報(参照・書込・削除・移動・ファイルコピー)を取得します。 ◎ ⇒ ◎ ○ ◎
アプリケーション利用 アプリケーションの利用情報(起動・終了)を取得します。 ◎ ⇒ ◎ ◎ ◎
印刷 印刷情報(ドキュメント名・出力頁数・プリンタ名等)を取得します。 ◎ ⇒ ◎ ◎ ◎
クリップボード クリップボードを利用したコピーおよびペーストの情報を取得します。 ◎ ⇒ ◎ ◎ ◎
ウィンドウタイトル アクティブウィンドウタイトルの情報を取得します。 ◎ ⇒ ◎ ○ ◎
ログインログインユーザ情報(ユーザ名、コンピュータ名、 IP アドレスなど)を取得します。※リモートアクセス時には、アクセス元端末情報の取得が可能です。 ◎ ⇒ ◎ - ◎
システム日時 システム日時変更情報を取得します。 ◎ ⇒ ◎ ◎ ◎
USB 機能 USB 外部デバイスの接続情報(接続・取出)を取得します。 ◎ ⇒ ◎ ◎ ◎
詳細に取得可能なテキストログ情報を基に、通信制御をはじめに、 MTP ・ PTP の制御、印刷や画面キャプチャ・スクリーンショットの禁止、 USB などの外部デバイスによる書き出し禁止等、これまでは複数制御ソリューションが必要なところ、 ISAC2のみでアクセス制限が可能と成り機密情報の持ち出し経路を制限することができます。
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 5
運用イメージ
セキュリティ対策制御機能をご利用いただくことで、 MTP ・ PTP の制御、通信制御、印刷や画面キャプチャ・スクリーンショットの禁止、 USB などの外部デバイスによる書き出し禁止、機密情報の持ち出し経路を制限することができます。例えば、 IP アドレス・ Port 番号を制限指定をすることによって、対象 Server へのアクセス制限を可能にします。接続制限の通信が行われた場合、その操作をトリガとして接続を拒否させることや、録画の開始設定をすることも可能です。また、アラート機能により、予め登録したポリシーに抵触したログを検知すると、リアルタイムに管理者はメールで通知を受け取ることができます。危険な操作を行ったユーザを早期に発見し、さらに操作内容をログと動画の連携により素早く詳細な証跡確認が行えます。
サーバ A
ISAC2サーバ
ユーザ A
サーバ B
サーバ C
管理者
ユーザ B
制御 / ポリシー設定
ログ / 動画閲覧
ISAC2 エージェント
○ ユーザ A× ユーザ B
× ユーザ A○ ユーザ B
× ユーザ A× ユーザ B
接続許可:サーバ A
接続許可:サーバ B
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 6
運用イメージ(録画データ)
1 . 録画データ活用アラートによる警告や定期的なユーザの操作ログの分析からあやしい操作の割り出しを行い、不正操作やセキュリティに抵触する可能性がある対象ログから即座に動画で詳細確認が行える。
テキストログに連携して動画が再生
アラートが発生した操作ログから
時間外ログイン情報
動画再生ボタン
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 7
運用イメージ(録画データ)
2 . その他の運用 チェックしたい操作を対象に録画する。
ユーザ AサーバISAC2
サーバ
0
トリガー項目• USB 接続• 通信• Web アクセス• ファイル操作• アプリケーション利用• 印刷• クリップボード• ウィンドウタイトル
アプリケーション起動開始トリガ設定
アプリケーション終了停止トリガ設定
録画開始 録画終了
アラート検知を開始トリガ設定
録画開始
ログオフ停止トリガ設定
録画終了
録画開始 録画終了
Web メール接続開始トリガ設定
ブラウザ終了停止トリガ設定
アプリ利用動画
Web メール操作動画
アラート検知操作動画
人事給与アプリ(マイナンバー対応)
Web メール
トリガーとして設定した操作を実行すると録画が開始される
ISAC2 では他社製品のように、トリガー設定しても録画開始までタイムラグが発生し、開始直後の録画漏れとなることもございません。
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 8
運用イメージ(通信制御 / アラート)
3 . 通信制御 / アラートの設定
①チェックを入れると、アラートポリシーに該当する操作が行われたら、 リアルタイムで管理者にメールが通知されます。②制御機能・アラート機能について利用する機能をチェック。
③制御またはアラートを掛けたい IP/ ポートを指定。
④設定完了。
サーバ AIP:249
ISAC2サーバ許可 IP:249
ユーザ Aサーバ BIP:218
サーバ CIP: 221
アクセス許可
アクセス拒否
アクセス拒否
IP をトリガーとしたアクセスコントロール
アクセス拒否が発生するとリアルタイムにアラートが
あがる
①
③
②
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 9
運用イメージ(アラート機能)
4 . アラート機能イメージ
リアルタイムに管理者へ通知
ユーザ A が制限設定された IP へ接続
警告表記のログを確認
アラート対象ログから動画再生ボタンをクリック
0
アラート検知項目• デバイス接続• 通信• Web アクセス• ファイル操作• アプリケーション利用• 印刷• クリップボード• ウィンドウタイトル
リアルタイムで通知されたアラートメールから警告表記の操作ログを確認し、参照したい操作内容をピンポイントに動画でチェック
IP:218 へ接続
ユーザ A
サーバ BIP:218
制限 IP:218
アクセスコントロール
ISAC2サーバ
接続拒否
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 10
0
運用イメージ(録画データ)
5 . アウトソーシングの業務確認
メンテンス業者管理者
ワークフローで予定されていた作業内容通りの適正な操作かログで確認し、正しい内容で設定されているかを動画で確認。
=
作業報告書
適切な操作、誤設定がされていないかログと動画でチェック
ワークフロー
作業指示作業実行
操作状況を録画
~過去の運用例~メンテナンス業者がワークフローの申請どおりに作業をしているかを、作業中立会い人をつけることで作業確認をすることも・・・
メンテンス業者依頼会社による作業中の立会い
目視による確認作業
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 11
他社録画セキュリティ製品を新規検討及びリプレース検討する際のお客様の声
新規購入やリプレースを検討されてる企業様が抱えている不満
1. 録画製品は高い印象だったが、お手ごろの価格で導入がし易かった。
2. 導入前の評価版お試し時から、わかりやすく丁寧なサポート受けられた。
3. 録画、制御、テキストログがすべてそろっており、管理メニューも充実かつ簡単な 操作で利用できるので、導入後もすぐに利用が開始できた。
◆ISAC2 をご採用いただいた理由
【新規導入】過去にも新規で導入を検討したが、録画製品は高く導入をあきらめていた。( 500 万円~)
【リプレース】導入したのはいいが、その後のサポートの対応が悪く、社内運用が止まってしまうので非常に困っている。
【リプレース】保守費用が高い(製品価格の 20% )ので、保守更新の際は上層部から製品の見直しをするよう毎年指示がでる。
4. 録画もユーザ毎に設定可能なので、常時録画していた前の製品と違いデータ容量を それほど気にせず利用できる。
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 12
情報漏えい対策および抑止の課題
シンクライアント端末
SBC ( RDS)
A 社様ではリモートデスクトップサービスで ISAC2 サーバーを経由しWebServer 上でのサポートをおこなっており、そこに接続する際のユーザが、きちんと運用管理ができているかの証跡管理や、情報漏洩した際の迅速に対応するための体制を作ることが課題となっておりました。
WebServer
導入事例:Web コンンテンツサービス配信 A 社様
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 13
制御 / 録画による情報漏えい抑止および対策と運用改善
導入事例:Web コンンテンツサービス配信 A 社様構成図
ISAC2 を導入することで、録画とテキストログを活用した、有事の際の迅速な対応をめざした体制作りを構築。さらに録画されているという、情報漏えい抑止の効果も得られました。
シンクライアント端末
SBC ( RDS)
WebServer
動画保管サーバログ保管サーバ
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 14
参考価格(標準構成 / 追加 / 連携オプション)
参考価格(標準構成: 10 ユーザ利用)
■追加 / 連携オプション参考価格
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 15
利用背景:アウトソーシング業務
COPYRIGHT 2015Ⓒ IVEX Inc. all rights reserved. 16
利用背景:金融機関
