セキュリティ対策の方法 種類

ファイル暗号化システムのご紹介

機密ファイル保護・管理システム

ご説明資料

2018.002

セキュリティ対策の

方法・種類

暗号化対策が求められるのは？

2

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd

・ファイアウォール

・プロキシサーバ

・フィルタリング

・通信先制御

出

口

対

策

・ファイアウォール

・ウイルス検出

・マルウェア検出

・侵入検知

・振る舞い検知

入

口

対

策

・持ち出し禁止

・外部デバイス

制御

持

出

対

策

新しい手法による侵入

ターゲットを絞ったマルウェア

新しい通信先

顧客のサーバを踏み台にした通信

新しいデバイス

新しい通信への対応漏れ

新しいターゲットを絞った攻撃、新しいデバイス、通常業務に隠れた通信の利用など

常に対策を重ねていっても防止できるかは？？？？？？

だったら

盗られても大丈夫な暗号化対策

セキュリティ対策のレベルとDRM

（Digital Rights Management）

盗難・紛失：

OK

ウイルス：

NG

操作・作業ミス：

NG

故意の漏洩：

NG

① 初期のセキュリティ対策 → 持出しPC対策

② 漏洩を検知する

→ 故意の漏洩の抑制効果と犯人の特定

盗難・紛失：

NG

ウイルス：

NG

操作・作業ミス：

NG

故意の漏洩：

抑止効果

③ 漏洩しないようにする → USBなどの外部媒体への対応

盗難・紛失：

OK

ウイルス：

NG

操作・作業ミス：

NG

故意の漏洩：

抑止効果

⑤ 標的攻撃、内部からの漏洩 → ファイルをどこまでも保護

ハードディスク暗号化

ログの監視

データの持出し制御

ファイル単位の

暗号化＆管理

盗難･紛失にのみ対応!

ログ監視では防止できない！

新たなデバイスだと持出し可能！

盗難・紛失：

OK

ウイルス：

OK

操作・作業ミス：

OK

強

弱

盗難・紛失：

OK

ウイルス：

NG

操作・作業ミス：

OK

故意の漏洩：

OK

シンクライアント化

_{ウェブやメールから漏洩する！}

④ 端末側にデータを残さない → クライアントからの漏洩を防ぐ

セ

キ

ュ

リ

テ

ィ

対

策

の

レ

ベ

ル

DRM

デジタル 著作権管理

データ流出防止ソリューションとDRM

4

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd 部外者 認証アクセス Aグループ E-Mail Bグループ のメンバー 閲覧の停止 権限の変更 操作ログの取得 閲覧の停止 権限の変更可 操作ログの取得 認証アクセス オフライン機能 暗号化状態_{のまま利用}

○

○

各種ソリューションを適材適所で共存利用することが可能、ただし二次漏洩を防ぐにはDRMの導入が最も有効

有効期間 権限制御 画面コピー不可 Cグループ ZIP自動暗号化 パスワード送信 送信履歴取得 E-Mail Bグループ Bグループ のメンバー パスワード付 USBメモリ活用 による保護 社外関係者 復号して利用

△

△

外 出 データ持ち出し

DRM

ファイルを どこまでも 暗号化＆保護 デバイス制御 データ持出を 制限 ﾒｰﾙｾｷｭﾘﾃｨ パスワード付 メールを徹底

漏洩

漏洩

解読

不可

解読

不可

社 内

社 外

復号するので 事故や故意での 二次漏洩が発生 事故や故意による 二次漏洩を防げる のはDRMのみ ファイルそのものを 暗号化 添付ファイル をZIP暗号化 デバイスへの アクセスを制限 操作ログの取得

DataClasys独自のAPI制御

ハードウェア

OS

デバイスドライバ

API

アプリケーション

ユーザインターフェース

Microsoft

Office

Adobe

Acrobat

CAD

アプリケー ション

記憶装置

ネットワーク

カード

ファイルシステムドライバ

ネットワーク

ドライバ

Windows API

モニタ

キーボード

マウス

DataClasys API制御

DataClasys フィルタドライバ

● データの復号を行う

● 読み込んだアプリケーションの制御

● ユーザ権限の制御

DataClasys

製品説明

DataClasys 特長

ファイル形式に依存せず、

あらゆるデータ

をファイル単位で

暗号化したまま

利用可能

DataClasys 最大の特長

OSに独自のドライバを組込む技術により、あらゆる機密情報ファイルに対する操作を制

御することが可能です。

・Microsoft Word、Excel、PowerPointや一太郎、PDFなどの

オフィス系ファイル

・AutoCAD、CATIAなどの

CAD系ファイル

・Visioなどの

技術系ファイル

・Photoshop、動画などの

マルチメディア系ファイル

を

はじめとするほとんどのファイルをコントロール可能。

しかも複数の異なるアプリケーションで暗号化ファイルを操作できます。

利用実績のある主なアプリケーション

8

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd

※1 上記以外にも検証結果により、随時対応が可能です。

※2 動作を保証するものではありません。お客様環境によって個別設定が必要になる場合があります。

連携実績のある主なアプリケーション

インフォコム _MySAFER Wips SecureFiles+ シャープマーケティングジャパン データセキュリティサービス Aras Corporation Aras Innovator

アララ P-Pointer、P-Pointer File security、P-Pointer EXA ジャストシステム ConceptBase Enterprise Search NSDビジネスイノベーション eTransporter

富士ゼロックス _{ArcSuite Engineering} 日本CA Arcserve Replication Ｃ

Ａ Ｄ

Jiro Shimizu

& Yoshihumi tanaka Jw_cad

富士通 iCAD SX,iCAD MX デザイン・クリエィション _{CADPAC-CREATOR} ECADソリューションズ ECAD dio

エーティ WINSTAR CAD タナックシステム CADCity キヤノンITソリューションズ TURBOCAD フォトロン 図脳 RAPID17 アンドール CADSUPER FX Ⅱ ベントレー・システムズ _MicroStation シスプロ _{Walkinside,DesignDraft} CHAM-japan ZWCAD

IdeaMK Inc. IGS Viewer ラティステクノロジー _{XVL Player} CGTech VERICUT 一 般 Microsoft Word/Excel/PowerPoint(32/64 bit),OneNote,Access,Publisher, Visio,メモ帳,ワードパッド,ペイ ント,Windows Media Player, Windows フォトギャラリー, OfficeViewer(Word,Excel, PowerPoint,Access Snapshot Viewer) アドビシステムズ Acrobat,Reader,Photoshop,_Illustrator ジャストシステムズ 一太郎,花子 富士ゼロックス DocuWorks,TIFF Viewer Apache ソフトウェア財団 OpenOffice

The Document Foundation LibreOffice ファイルメーカー FileMaker Pro Ｃ Ａ Ｄ オートデスク AutoCAD,AutoCAD Mechanical,AutoCAD LT(2009 以降),Inventor,Inventor View,DWG TrueView,Vault

ダッソー・システムズ SolidWorks,CATIA,eDrawings_{Viewer,ENOVIA SmarTeam}

シーメンスPLMソフトウェア NX,JT2Go

PTC Creo Parametric,Windchill 三菱電機エンジニアリング 図王

フォルダ保存での自動暗号化

・自動暗号化フォルダに

ファイルを移動/コピーするだけで暗号化

されます。また、パスワード等は必要ありません。

自動暗号化

フォルダ

移動/コピー

・フォルダに追加されたファイルは

リアルタイムで

暗号化されます。

フォルダから出しても

暗号化状態を維持

・一度暗号化されたファイルは、フォルダから移動/コピーしても

暗号化されたまま

です。

暗号化されて

いないファイル

自動で暗号化される

その他の暗号化方法

10

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd

１．手動暗号

２．ダイレクト暗号化

右クリックで

ファイルを

個別に暗号化

で

きます。また、フォルダを選択すること

で

フォルダ内のファイルをまとめて暗号

化

することもできます。

「ダイレクト暗号化」が設定されたフォルダに

Excelなどのアプリケーションからファイルを保存

すると

暗号化された状態でファイルが生成

されます。

暗号化後も従来通りの操作性

book1.xlsx

・アイコンは従来通り。

・ファイル名や拡張子が変わらない。

・

マクロやリンクも暗号化前と同様に利用可能

。

暗号化後も従来通りの操作性

<DataClasys>

<他社製品(例)>

abook1.abcd

・アイコンが独自のものに変化。

⇒

一見して分かりづらく、慣れるまでに時間が掛かる。

・ファイル名や拡張子が変わってしまう。

⇒

既存のファイルサーバをそのまま暗号化すると、

ユーザの設定したショートカットが全てリンク切れに。

導入の際にユーザの負担が大きい

DataClasys システム基本構成

12

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd

DataClasysはRDB（PostgreSQL）を採用、対障害性の向上をサーバの二重化により実現、

DataClasysユーザクライアントはプライマリサーバと通信できない場合、セカンダリサーバへ

自動的に接続します。

■

DataClasys サーバ

利用者の利用権限についての判断を行い、権限に

応じた復号用の鍵情報などを配信するプログラム

です。

■

DataClasys マネージャクライアント

ユーザ登録、利用権限の付与、管理者権限の

付与、ユーザ操作履歴の管理などを行なう

プログラムです。

■

DataClasys ユーザクライアント

利用者のPCで動作するプログラムです。

■

DataClasys IDファイル

利用者が持つ鍵情報ファイルです。機密ファイル

を利用する際に必須、本人承認などを行う重要な

ファイルです。利用端末を制限することによって、

安全に管理することも可能です。有効期限の設定

もできます。

■

フォルダ自動暗号化

ファイルサーバなどの共有ファルダ内にファイル

が保存されるとこれを監視し、自動的に暗号化し

ます。WindowsサーバだけでなくNASなどの専

用OSで動作するファイルサーバのフォルダでも

利用可能です。

DataClasys フォルダ自動暗号化 プライマリサーバ セカンダリサーバ

基本構成

DataClasys サーバ マネージャクライアントDataClasys ファイルサーバ DataClasys ユーザクライアント DataClasys IDファイル IDファイル選択画面

DataClasys 動作環境

※1 仮想デスクトップはVDI／SBC方式に対応。(方式によって個別設定が必要になる場合があります。)

※2 NASなどの専用OSで動作するファイルサーバを対象にフォルダ自動暗号化を設定する場合に必要となります。

※3 仮想環境での動作は、仮想プラットフォームを提供するベンダにより動作保障範囲が異なるため、

お客様による障害切分けを前提としてお使いいただくことがあります。

DataClasys ユーザクライアント

Windows XP (32bit)

Windows Vista（32/64bit)

Windows 7（32/64bit) Windows 8（32/64bit)

Windows 8.1(32/64bit) Windows 10（32/64bit)

注)ドライバ無し版でインストールする場合は上記に

加えWindows Server 2008/2008 R2

Windows Server 2012/2012 R2/2016で動作可能。

DataClasys マネージャクライアント

Windows XP (32bit)

Windows Vista（32/64bit)

Windows 7（32/64bit) Windows 8（32/64bit)

Windows 8.1(32/64bit) Windows 10（32/64bit)

Windows Server 2008(32/64bit)/2008 R2(64bit)

Windows Server 2012(64bit)/2012 R2(64bit)

Windows Server 2016(64bit)

DataClasys サーバ

Windows Server 2008(32/64bit)/2008 R2(64bit)

Windows Server 2012(64bit)/2012 R2(64bit)

Windows Server 2016(64bit)

DataClasys 自動暗号化サーバ

※2

Windows Server 2008(32/64bit)/2008 R2(64bit)

Windows Server 2012(64bit)/2012 R2(64bit)

Windows Server 2016(64bit)

注)仮想プラットフォームの上記ゲストOSでも動作可能。

データベース

PostgreSQL

暗号方式

公開鍵暗号方式と共通鍵暗号方式のハイブリット

公開鍵：RSA(鍵長2048ビット)

共通鍵：AES(鍵長256ビット)

シンクライアント環境での動作実績

Microsoft：Remote Desktop Services(RDS)

Citrix：XenApp,XenDesktop

VMware： Horizon View

DataClasys 利用権限一覧

14

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd

権限名称

内

容

「暗号化」

暗号化できる権限です。

「復 号」

暗号ファイルを元の平文に戻す権限です。

「完全消去」

ファイルの書き込みされたディスク領域も「乱数」で３回上書きし、復元ソフトでも

_{復元はできないように完全消去します。}

「閲 覧」

暗号化ファイルにアクセスし、閲覧する（開く、読み取る）権限です。

「更 新」

暗号化ファイルを編集、上書き更新（保存）できる権限です。

「削 除」

暗号ファイルを削除できる権限です。

「ファイル出力」

暗号ファイルから平文ファイルの出力を許可できる権限です。

「クリップボード出力」 クリップボードへの出力を制御する権限です。

「プリント出力」

印刷を制御する権限です。

「スクリーンショット」 Windows標準のスクリーンショットを制御する権限です。

「メール添付」

暗号化ファイルのメールへの添付を制御する権限です。

「メール送信」

Word、EXCEL などのアプリケーションから開いた暗号文を、そのままメールとして

_{送信することを制御する権限です。}

「Web送信」

暗号ファイルを”平文で読み込んだプロセス（アプリケーション）”が、IP による通信

_{を行うことを制御する権限です。}

DataClasys 機密区分（カテゴリ）による管理

・ファイルの重要度に応じて「社外秘」や「営業部外秘」といった「機密区分」

（カテゴリ）を設定し、ファイル単位、フォルダ単位での管理が可能なため本来

守るべき情報資産をISMSに準拠した的確な管理ができます。

・「機密区分」（カテゴリ）に対し利用者の所属や職位に応じて権限を付与しま

すのでユーザの利用実態に応じた柔軟な権限設定管理が可能です。

営

業

部

開

発

部

営業部外秘カテゴリで

暗号化したファイル

部長

社員

派遣

社外秘カテゴリで

暗号化したファイル

部長

社員

派遣

部長

社員

派遣

全権限

編集可能

閲覧のみ

全権限

編集可能

編集可能

全権限

編集可能

閲覧のみ

部長

社員

派遣

権限なし

権限なし

権限なし

カテゴリによる管理例

暗号ファイルの権限管理（カテゴリ単位の管理）

16

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd

暗号文

ヘッダ情報

カテゴリ「社外秘」

DataClasys

B IDファイル

DataClasys

サーバ

ID

グループ

(所属)

ポスト

(職位)

A

営業部1課

一般社員

B

営業部1課

管理職

カテゴリ

「社外秘」

暗

号

化

復

号

消

去

閲

覧

更

新

削

除

C

_&

P

印

刷

添

付

W

_e

b

営業1課管理職

○

×

○ ○ ○

○ ○

○

○ ×

営業1課一般職

○

×

×

○ ○

○ ○

×

×

×

暗号文本体には

カテゴリ情報のみ保持

グループおよびポリシーはサーバに て管理しており、暗号化ファイルに は保持されていない。

サーバ側で組織変更や各カテゴリのポリシーの修正を行っても暗号化

したファイルには影響がなく、暗号文を利用する際に常に最新の状態

をサーバに問い合せる仕組みになっています。

①B IDファイルでユーザクライアントを起動したPCより暗号文にアクセス

②暗号文のヘッダ情報よりサーバへ社外秘の権限を確認

③B IDファイルのグループ、ポストをサーバに確認

④設定された権限にて暗号文を利用

①

②

③

④

オフライン機能

社内

_利用者

DataClasysサーバ

・DataClasysサーバに通信できない環境でも暗号化ファイルの利用が

可能となります。

盗難や紛失があっても

第三者は利用不可

期限が過ぎた場合は

社内でIDファイル情報を更新

社外でも機密ファイルを安全利用！

・暗号化ファイルをオフラインで利用できる期限の設定が可能です。

(オフライン利用時IDファイル有効時間)

柔軟な利用アプリケーションの設定

18

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd

・新たなアプリケーションで暗号化ファイルを操作する場合、

ユーザ自身で

新規登録を行うことが可能

です。

・暗号化ファイルを利用するアプリケーションのモジュール名の指定や

種類を選択するだけで簡単に登録することができますので様々な

アプリケーションに柔軟に対応することが可能です。

暗号化ファイルを利用する

アプリケーションリスト

さらなるセキュリティ強化

IDファイル初回利用時にPC情報を

DataClasysサーバ、IDファイル内に登録

し、

登録されたPC以外でのIDファイルの

利用を禁止

します。

特定のUSBドングル

が接続されて

いない場合、IDファイルの利用を

禁止します。

社内PC

自宅のPC

×

別社員のPC

×

１．端末固定機能

２．USBドングルによる二要素認証

+

操作ログの収集

20

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd

DataClasysサーバでは、様々なログを収集し保存しています。

保存したログはマネージャクライアントより、月日を指定して取得することができます。

（CSVファイル形式）

〇ログ内容

・起動ログ：DataClasysサーバの起動、終了のログ

・接続ログ：DataClasysユーザクライアント、マネージャクライアントのDataClasysサーバへの

接続のログ

・コマンドログ：DataClasysユーザクライアント、マネージャクライアントの操作ログ

・警告ログ：DataClasysの運用中に生じたセキュリティ上の問題につながる事象のログ

(IDファイルの複製使用、端末固定情報の変更など)

・エラーログ：DataClasys サーバのエラーログ

オプション

製品説明

ActiveDirectory連携ツール（AccountSync)

22

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd

1. 社内ディレクトリの活用

・社内ActiveDirectoryユーザをDataClasysユーザとして利用可能です。

・ADユーザの新規追加・更新編集・削除・認証失効をDataClasys側に自動で反映。

導入後はDataClasys側でユーザ管理をする必要はありません。

・ADユーザ属性を使ってグループ・ポストを自動で振分けることが可能です。

ActiveDirectory社内ユーザ

DataClasysユーザとして同期

2. ADアカウント固定を使ったDataClasysの自動起動が可能

・ActiveDirectoryログオン時に自動でDataClasysを起動することが可能です。

・起動時にIDファイルで紐付けられたADアカウントユーザでログインしているか確認します。

異なる場合はDataClasysユーザクライアントの起動を許可しません。

追加・更新

削除・失効

他システムとの連携（DataClasys開発キット）

ユーザ操作

既存システム

文書ファイルの

ダウンロード時に

自動で暗号化

文書管理システム

基幹システム

DataClasysサーバ

暗号化ファイルの

_{アップロード時に}

自動で復号

DataClasysではDataClasysマネージャクライアント、DataClasysユーザクライアントの

機能を利用するAPIが用意されています。

APIを使用して、システムにDataClasysの機能を組み込むことにより様々な機能を自動化

し、セキュアなシステムを構築することができます。

暗号化コマンドを

実行

復号コマンドを

実行

メール送信時に暗号化ファイルを自動復号（MailProxy）

24

All Rights Reserved Copyright(c) 2018, DataClasys Co., Ltd

＜社外＞

MailProxy

＜社内＞

パスワード付きZip等へ変換

暗号化ファイルを

自動復号

MailProxyの範囲

他メールセキュリティ製品

DataClasysで暗号化したファイルを社外にメール送信する際には、一度暗号化を解かな

ければ受取側がファイルを開くことができません。

MailProxyを導入するとメール送信時に暗号化ファイルを自動復号することが可能です。

また、他のメールセキュリティ製品と組み合わせることにより、暗号化ファイルを自動

復号した上で自己復号型ファイル（パスワード付きZipファイルなど）として社外に送信

されます。

お問い合わせは下記まで

事業所一覧

本

社 〒101-0032 東京都千代田区岩本町1-10-5 TMMビル7F

03-3861-2348(代)

大阪支店 〒532-0003 大阪市淀川区宮原5-1-28 新大阪八千代ビル別館2F

06-7174-8632(代)

福岡支店 〒812-0013 福岡市博多区博多駅東2-15-19 KS･T駅東ビル7F

092-472-1792(代)

https://www.dataclasys.com