2014年10月
日本電気株式会社
InfoCage 不正接続防止
ご紹介資料(詳細版)
不正接続防止領域 2012年実績 シェアNo.1
※出典:㈱富士キメラ総研 2013 ネットワークセキュリティビジネス調査総覧
はじめに
▐
セキュリティ対策は、企業の規模を問わず、今やあらゆる企業に欠かせません。
▐
多くの企業がメディアの持ち出しを禁じたり、ウイルス対策ソフトを導入したりといった対
策を実施しています。
▐
しかしながら、勝手に社内に持ち込まれた私有PCを、ネットワークに接続させない対策を
実施し、管理しきれていますか?
ネットワーク管理における問題点と課題
持ち込みPCからウイルス感染
無許可で接続された持ち込みPCがウイルス
に感染していると、そこから社内ネットワーク
経由でウイルス感染が拡大
ウイルス感染したPCから情報漏えい
ウイルス感染したPCからWinny経由で社内
情報が漏えいし、漏えい情報の悪用による犯
罪の誘発や、漏えい事故に対する損害賠償
が発生。社会的な信用も失墜
持ち込みPCをネットワークに接続させた
くないが、高価なシステムの導入やネット
ワークの設定変更といった作業はできれ
ば行いたくない。
不正PCによる情報漏えいを防止したい
が、社内システムに接続されたPCの情報
をリアルタイムで監視するには多大な工
数が必要。
上記の不安を解消し、ネットワーク管理者の負担を軽減する
InfoCage 不正接続防止をご紹介いたします
ネットワーク管理者の声
▐
セキュリティ対策を施していないPCや持ち込みPCに対する対策が不十分だと…
問題点
InfoCage 不正接続防止とは
私有スマートフォン
持ち込みPC
OK!
NG!
NG!
正規の端末のみ
接続を許可
セキュリティ対策が不十分な
PCによるウイルス感染を防止
管理外のPCによる
不正アクセスを防止
ネットワークのセキュリティを守り、
情報漏えいなどのリスクから
企業を守ります。
正規PC
ネットワークに接続された端末をセンサーが自動的に検知し、
不正に接続された端末の通信を遮断します。
センサー
InterSec/NQ30 (アプライアンス) 管理サーバ SiteManager
▐
ネットワーク接続機器の固有情報の収集機能と、その情報の管理機能で構成されます。
▐
また、管理機能はシステムの規模によって、集中管理と分散管理機能の選択ができます。
通報
管理者 SwitchManager ※オプション 端末情報収集 端末情報収集InfoCage 不正接続防止とは <構成>
集中管理サーバ DomainManager 許可済機器 (無許可)機器 持ち込み 許可済機器 インテリジェントスイッチ 持ち込み (無許可)機器接続を防止
接続を防止
持ち込み (無許可)機器接続を防止
許可済機器 持ち込み (無許可)機器 許可済機器各モジュールの説明
モジュール名
機能概要
SiteManager
本製品の管理ソフトウェアです。InterSec/NQ30およびSwitchManagerが収集したホスト情報
を集計し、台帳の作成、接続可否の設定、管理者への通知を行います。
DomainManager
SiteManager の上位の管理ソフトウェアです。SiteManagerを複数台まとめて管理します。承認
申請機能、接続ポート検知機能などWebコンソールを使った集中管理機能を提供します。
InterSec/NQ30
(アプライアンス)
各ネットワーク(IPサブネット)に設置します。ネットワーク上のパケットを 収集し管理サーバ
(SiteManager)に転送します。また、管理サーバのホスト接続可否設定に従って、不正接続の
監視、未承認マシンの不正接続防止を行ないます。
SwitchManager
インテリジェントスイッチから接続端末の情報を収集し、管理サーバ
(SiteManager)に転送します。また、管理サーバのホスト接続可否設定に従って、スイッチと連
携し不正接続の監視、未承認マシンの不正接続防止を行ないます。
InfoCage 不正接続防止の特徴
1. 簡単導入
ネットワーク構成の変更が不要
各クライアント端末へのソフトウェアイン
ストールは不要
3. スマートデバイス対応
スマートフォンやタブレットなどのスマート
デバイスもPC同様に管理が可能
スマートデバイスの種別を判別して端末
一覧に表示
4. IPv6対応
IPv4と同様にIPv6が有効になっている
端末も管理が可能
気付かずに有効になっているIPv6通信
を防止
2. サーバレスでの運用も可能
管理サーバの設置が不要、センサーを設
置するだけで簡単に導入
管理サーバのイニシャルコスト、ランニン
グコストを削減
簡単導入
導入イメージ
持ち込みPC
検知センサー(InterSec/NQ30)を
ネットワークセグメントに1台追加します。
通信 禁止 ネットワークセグメントA管理コンソール
▐
ネットワーク構成の変更が不要で、既存ネットワークに検知センサー
(InterSec/NQ30)を追加することで、簡単に導入可能です。
▐
各クライアント端末にインストールするソフトや設定変更はありません。
▐
1つのセグメントからスタートする段階導入が可能です。
InterSec/NQ30私有スマートフォン
通信 禁止 ネットワークセグメントB InterSec/NQ30管理サーバ
私物PCの不正な持ち込みをリアルタイム監視
1台の管理サーバで最大10万件の
MACアドレスの管理ができます。
▐
管理サーバの設置が必要なく、センサーを設置するだけで簡単に導入することができます。
▐
まずは1セグメントだけ部分導入し、後から管理サーバを設置して全社導入にステップアップす
ることが可能です。
サーバレスでの運用も可能 1/2
V5.0強化
♪
管理コンソールをOA機に
インストール
+
センサーをアップデート
センサーをネットワーク接続
STEP1
STEP2
STEP3
利用開始!!
▐
管理サーバのイニシャルコスト、ランニングコストを削減できます。ハードウェア費用やOSのライ
センス費、管理ソフトウェアのライセンス費に加えて、SI費やサポート費の削減も可能です。
サーバレスでの運用も可能 2/2
V5.0強化
InterSec/NQ30c
管理用OAマシン
管理用OAマシン
サーバ機
従来
InfoCage 不正接続防止 Lite
InterSec/NQ30c
別途サーバ機を調達
サーバ機に管理マネージャをインストール
サーバ機上の管理マネージャ経由でセンサーを管理
サーバ機の調達は不要
OAマシン上に管理コンソールをインストール
管理コンソールによりセンサーを直接管理
スマートデバイス対応
▐
スマートデバイスもPCと同様に不正接続の監視・防止を行うことができます。
▐
スマートデバイスの種別を判別して端末一覧に表示することができます。
InterSec/NQ30
無許可タブレット端末
ウイルス感染
スマートフォン
管理サーバ
端末情報収集
MACアドレス IPアドレス ・・・ コンピュータ名 機器種別 0A:00:01:0A:00:01 1.1.1.1 ・・・ HOST001 0B:00:02:0B:00:02 1.1.1.2 ・・・ IPad01iPad
0C:00:03:0C:00:03 1.1.1.3 ・・・ HOST002 0D:00:04:0D:00:04 1.1.1.4 ・・・ iPhone01iPhone
0E:00:05:0E:00:05 1.1.1.5 ・・・ Android01
Android
スマートデバイスの接続
状況を見える化!
IPv4
IPv6
IPv4
IPv6
IPv6対応
▐
気付かずに有効になっているIPv6通信を防止することができます。
▐
IPv4と同様にIPv6が有効になっている端末も管理が可能です。
IPv6に対応していないと
IPv6に対応することで
IPv4で通信できなくても、
IPv6で通信ができる!
IPv6を使用して不正な通信
が行われているかも・・・
IPv6の通信も把握可能!
?
!
MACアドレス
IPアドレス
IPv6 アドレス
0A:00:01:0A:00:01 1.1.1.1 2001:1234::1
Windows Vista以降は規定でIPv6が有効になっており、
IPv4を防止しても、IPv6通信で
ウイルスを拡散されたり
、
PC台帳情報の自動収集機能
不正接続監視機能
不正接続防止機能
機種別許可設定機能
接続履歴の可視化機能
← New!!
接続ポート検知機能
資産管理製品との連携
承認申請機能
スイッチ連携機能
タグVLAN対応
InterSec/NQ30の冗長化機能
主な機能のご紹介
PC台帳情報の自動収集機能
InterSec/NQ30・ネットワーク上のパケットを監視して情報収集します。
(ホストへのソフトウェアの導入は必要ありません)
・新規ホストを見つけると、そのホストにパケットを
数個送信して情報収集します。
SiteManagerCSVファイルのインポート、エクスポートが
可能です。
▐
ネットワークに接続されている機器の情報(アドレス情報、OS情報など)を自動収集し、PC台
帳を作成します。
管理用にSiteManagerを1台、各セグメントに
InterSec/NQ30 を設置するだけでネットワーク
上のPC台帳情報を自動収集&作成します。
サイトコンソール取得できたホストの情報を
一覧表形式に表示します。
端末情報収集 エージェントの一覧から ホスト一覧を参照 ホスト一覧SiteManager
不正接続監視機能
①新規(不正)
ホストの接続
【通知手段】
・ ポップアップ
・ 電子メール
・ SNMP Trap
・ 任意のコマンド起動
不正に接続された ホストのアドレス情 報、コンピュータ名 などの情報を自動 的に収集します。②未知のホストを発見すると、
SiteManagerに通知。
▐
MACアドレス、IPアドレス、コンピュータ名の任意の組み合わせ(MACアドレスは必須)をキーと
して、不正に接続された機器を監視し、発見時に管理者へ通知を行います。
新規ホストが発見された場合、
管理者にメール、ポップアップな
どで通知を行います。
InterSec/NQ30③メールで通知
③ポップアップで通知
不正接続防止機能 1/2
▐
ホストの状態(色)に基づきネットワークへの接続が許可されていないホストの接続を防止します。
【通知手段】
・ ポップアップ
・ 電子メール
・ SNMP Trap
・ 任意のコマンド起動
ホスト毎に状態(色)を設定します。また、新規にホストを
発見したときの初期の状態(色)を設定します。
SiteManager通信を防止した場合、管理者に
メール、ポップアップなどで通知
可能です。
③接続防止すると
SiteManagerに通知
接続を防止②不正ホストの通信を検知し接続を防止
InterSec/NQ30①ホストの状態を
チェックし、不
正PCと判定
④メールで通知
④ポップアップで通知
青( ): ホストの接続が許可されます。
黄( ): Windowsマシンの連携PC管理製品導入有無に
従ってネットワークへの接続可否を決定します。
赤( ): ホストの接続を防止します。
不正ホスト不正接続防止機能 2/2
③不正ホストからの
ARPパケットを検知
サーバー (正規端末) サイト管理者①不正接続防止機能の
有効化/無効化
防止には偽装ARPパケットを使用します。
不正ホストかどうかは、集中管理機能利用時はMACアドレスやIPアドレスで、分散管理機能利用時は
MACアドレスのみで識別します。
InterSec/NQ30~ 防止の仕組み ~
②不正ホストからの
ARPパケットを監視
④不正接続を防止するパケットを不正ホスト
とセグメント内の端末へ送信
不正ホスト
接続履歴の可視化機能
▐
グラフ表示により、休日や勤務時間外に稼働しているPCの台数や接続時間をひと目で確認すること
ができます。
▐
PCの利用状況を見える化することで、社内資産を有効活用することができます。
接続履歴表示グラフ
V5.0強化
日付、時間ごとに
総接続時間を表示
端末ごとに接続状況を表示
・接続時間
・起動/終了時間
機種別許可設定機能
▐
判別した機器種別ごとに自動で接続許可/不許可の設定を行うことができます。
▐
自動でサポート切れOSのネットワークへの接続防止や、ルータやスイッチなどネットワーク機器の接続
許可を行うことができます。
状態
MACアドレス
IPアドレス
機器種別
NG
00:00:00:00:00:01
192.168.0.1
Windows XP
OK
00:00:00:00:00:02
192.168.0.2
Windows 7 SP1
OK
00:00:00:00:00:04
192.168.0.4
iOS
OK
00:00:00:00:00:05
192.168.0.5
ネットワーク機器
OK
00:00:00:00:00:06
192.168.0.6
Linux
端末一覧画面
サポート切れOSを
ネットワークから遮断
ネットワーク機器の接続を
自動的に許可
人手による調査が必要で
不正なPCが接続された場所の特定に時間が掛かる
接続ポート検知機能
▐
検知した不正PCが接続されているスイッチのIPアドレスとポート番号を収集し、接続してい
る場所の特定を容易にします。
MACアドレス IPアドレス … 接続ポート情報 スイッチアドレス … AA:AA:AA:AA:AA:AA 1.1.1.1 … Fa0/1 1.1.1.254 …?
人手による調査 現物確認 スイッチへ ログインして調査通常製品の場合
<管理画面-ホスト一覧> SNMP通信で 調査 管理画面からPCの 接続場所を確認不正PCの利用形跡を発見!
でもどのフロアで利用されたの
か調査が大変...
PCが接続されているスイッチのIPアドレスとポート番号を
自動で収集することで迅速な場所の特定が可能
インテリジェント
スイッチ
InfoCage 不正接続防止の場合
接続ポート検知機能(補足)
▐
接続ポート検知機能が利用可能なスイッチの要件
機種
ソフトウェアバージョン
Cisco Catalyst 2960-24TT-L
C2960-LANBASEK9-M 12.2(46)SE
Cisco Catalyst 3560-24PS-E
C3560-IPSERVICES-M 12.2(25)SEE2
Cisco Catalyst 6503-E
s72033_rp-IPSERVICESK9-WAN-M 12.2(33)SXI4
Cisco Catalyst 6506-E
s72033_rp-IPSERVICESK9-WAN-M 12.2(33)SXI4
QX-S5124P
3.3.1
QX-S3628TP-BS
3.3.24
QX-S3528C-BS
2.3.17
種別
要件
SNMP
SNMPv1、SNMPv2c
MIB
標準MIB (※1)
▐
評価済みスイッチ
※1:利用するMIBは以下の通りです。 ■ポート情報を取得するために、以下3つのMIBが必要 ・以下のどちらかひとつ dot1dTpFdbPort(BRIDGE-MIB RFC1493) dot1qTpFdbPort(Q-BRIDGE RFC2674) ・ifName(IF-MIB RFC2233) ・dot1dBasePortIfIndex(BRIDGE-MIB RFC1493) ■スイッチ構成情報、スイッチMACアドレス情報を収集する ために(導入時)、以下3つのMIBが必要 ・sysObjectID(SNMPv2-MIB RFC3418) ・ifPhysAddress(IF-MIB RFC2233) ・以下のどちらかひとつ Cisco製(sysObjectIDが"1.3.6.1.4.1.9.~")の場合は entLogicalDescr(ENTITY-MIB RFC2737) 非Cisco製の場合は ipAdEntIfIndex(IP-MIB RFC4293)資産管理製品との連携
▐
資産管理製品エージェントの導入済みPCのみネットワークへの接続を許可し、未導
入PCは接続させません。
▐
遮断されたPCに対してインストーラを配布することで、エージェントの導入徹底と展開
コストの削減が可能になります。
資産管理製品エージェント
未導入PC
遮断!
接続許可
資産管理製品エージェント
導入済PC
Webブラウザ
資産管理製品エージェント
導入済PC
接続許可
InfoCage
サーバ
InterSec/NQ30
遮断されたPCから、Webブラウザを起動するとインストーラダウンロード画面を
自動表示します。インストールが完了後、自動で接続許可となります。
対応製品:
LanScope Cat(MOTEX社)
SKYSEA Client View(Sky社)
InfoCage PC検疫(NEC)
資産管理製品
サーバ
接続したい時に利用者自身で申請を行うことで
ネットワークへの接続が許可される
管理者へ事前申請をすることで
ネットワークへの接続が許可される
承認申請機能
▐
接続が防止されたPC上からネットワークへの接続許可申請を実施することができます。
▐
ネットワークへの一時接続が管理者を介さず可能になり、承認手順が簡易化されます。
①接続防止 ②承認申請 ③接続許可 ネットワーク 管理者 ②承認依頼 ①接続不可 ③接続許可 InterSec/NQ30 管理画面から 状況を確認 自PCのWebブラウザを使って スムーズに申請が可能! 承認処理不要! ネットワーク 管理者 出張などの 一時利用者 承認作業で管理 工数圧迫... MACアドレスを確認 するのも面倒... 接続不可のため紙や 電話などで接続申請。 接続できるようになるまで 時間もかかる... 出張などの 一時利用者機能を有効
承認申請機能(補足)
▐
ネットワークへの接続許可申請の実施イメージ
ユーザID/パスワードにより承認
ユーザID/パスワード OK ユーザID/パスワード NG接続許可
接続拒否
必要情報(氏名等)および、 ユーザID/パスワードを入力WEBの承認申請画面から下記の情報の入力を
受け付けると接続が許可されます。
•ユーザID/パスワード
(事前に承認申請用のユーザID/パスワードを作成)
※運用を簡易化したい場合は、利用者情報(氏名等。カスタ
マイズ可)のみの入力で接続を許可することも可能です。
接続許可
必要情報(氏名等)を入力スイッチ連携機能
InterSec/NQ30
▐
インテリジェントスイッチを利用することで、不正接続防止・検知を行うことできます。これにより
InterSec/NQ30が不要になります。
▐
管理コンソールからスイッチとInterSec/NQ30を一元管理できます。
SiteManager
SwitchManager
InterSec/NQ30
スイッチ
端末情報収集
未許可端末の接
続を防止
NETCONF対応スイッチ、MAC認証
対応スイッチ、SNMP対応スイッチ
タグVLAN対応
▐
タグVLAN(IEEE802.1Q)を用いて、複数のVLAN(IPブロードキャストドメイン)を構成する環境で
も、1台のInterSec/NQ30 で管理可能です。
•1台の
InterSec/NQ30c
で
最大16個
のVLANを管理可能です。
•複数のVLANを管理する場合、
“VLANの数-1”の
「InterSec/NQ30 1VLAN追加ライセンス」が必要
となります。
タグ付きの複数VLANのパ
ケットを監視
VLAN-1
VLAN-2
1台のInterSec/NQ30で複数のセグメントを管理す
る場合(タグVLAN対応環境)
L2SW
L2SW
L3SW
セグメント
1台のInterSec/NQ30で1つのセグメント
を管理する場合(非タグVLAN環境)
基本は1セグメントに1台の
InterSec/NQ30を設置する必要があります。
InterSec/NQ30b InterSec/NQ30InterSec/NQ30の障害を検知すると自動で
予備機へ切り替え
InterSec/NQ30が故障すると、不正接続を防止でき
ない。リプレースまでの期間セキュリティが低下。
InterSec/NQ30の冗長化機能
▐
InterSec/NQ30に障害が発生した場合に、自動でフェイルオーバーを行い不正接続PCの監視・防
止を継続します。InterSec/NQ30が故障してもセキュリティを維持でき、管理者は緊急対応が不要
になります。
DomainManager SiteManager①現用系ダウン
を検知
②設定を配布し
自動で切り替え
②ハードウェア
保守対応依頼
待機系
防止不可
接続防止
現用系
③現地で
リプレース
①障害を発見
フェイル オーバー1台の待機系で複数台の現用系をカバー可能
障害発生
障害発生
冗長化に対応していないと
冗長化に対応することで
監視VLAN
VLAN 3
VLAN 4
監視VLAN
VLAN 1
VLAN 2
VLAN 3
VLAN 4
監視VLAN
VLAN 1
VLAN 2
InterSec/NQ30の冗長化機能(補足)
現用系①
フェイルオーバー
現用系①で
障害発生
▐
1台の待機系で複数台の現用系をカバー可能です。
タグVLAN環境では、異なるVLANを監視している複数のInterSec/NQ30に対し、
待機系のInterSec/NQ30を1台を追加するのみで冗長化構成にすることができます
。
現用系②
待機系
VLAN 1
VLAN 2
VLAN 3
VLAN 4
待機系のInterSec/NQ30にフェイル
オーバー後に監視する可能性のある
VLANを設定しておく必要があります。
また、設定したVLANで通信ができるト
ランクポートにInterSec/NQ30を接続
してください。
運用系①を引き継いで
VLAN 1、 VLAN 2を監視
•登録できるVLAN数
1台のInterSec/NQ30cで最大
32
個
•現用系のときに監視できるVLAN数
1台のInterSec/NQ30cで最大
16
個
管理者権限の設定
ホスト情報管理
ホスト情報の自動運用
管理情報出力機能
インポート/エクスポート機能
エージェントの自動バージョンアップ機能
管理機能のご紹介
管理者権限の設定
▐
管理単位(LANグループ or コンポーネント)ごとにホストの管理や管理権限の設定が可能です。
▐
部門の管理者に権限を委譲するなど、効率の良い運用をすることが可能です。
LAN
LAN
LAN
LAN
LAN
:管理範囲
LANグループ
LANグループ
LANグループ単位
DomainManager SiteManagerLANグループ管理者/
参照者
LANグループ管理者/
参照者
サイト管理者/
参照者
コンポーネント単位
ドメイン管理者/
参照者
DomainManager SiteManager SiteManager InterSec/NQ30 InterSec/NQ30エージェント管理者/
参照者
管理者:ホスト情報の参照、編集が可能
参照者:参照のみ可能
ホスト情報管理
▐
管理コンソールからエージェントが収集、または手動登録した接続ホスト情報の一覧の閲覧・編集
が可能です。
▐
接続可否の判定条件やその適用範囲を柔軟に設定することが可能です。
<集中管理WEBコンソール-ホスト管理画面>
※LANグループで管理単位を設定した場合は、LANグループ名となります。
分散管理では設定できません。分散管理では、ホストの接続可否判断はMACアドレスのみをキーとします。
•
状態: ホストの接続可否(ホストの状態(色))を設定します。
•
MACアドレス、IPアドレス: 収集または登録したホストのMACアドレス、IPアドレス情報です。
•
識別方式(※):
接続可否を判断する際のキーを設定します。MAC(MACアドレスをキーとする)、IP(IPアドレスをキーとする)、
DHCP(設定したDHCPスコープ内のIPアドレスであるかをキーとする)、および左記の組み合わせから選択できます。
•
サイトID、エージェント名(※):
収集または登録した、該当ホストの接続可否が適用されるサイトやエージェントです。
「*(ワイルドカード)」を指定してサイトやエージェントを横断した一括設定も可能です。
ホスト情報の自動運用
▐
ホスト情報を削除する日付を指定することで、ホストの接続許可の停止日をあらかじめ設定すること
が可能です。
▐
最後にホストが検出された日付をもとに、接続許可を制御(ホスト情報を削除、または初期の状態
へ設定)することができます。
状態 識別方式 MACアドレス IPアドレス サイトID エージェント名 最終検出日 削除対象 削除予定日
MAC 00:00:01 1.1.1.1 001 NA1 2010/04/05 YES 2010/04/08 MAC 00:00:02 1.1.2.1 002 NA2 2010/04/01 YES
MAC 00:00:03 * * * 2010/04/01 No
MAC 00:00:03 1.1.3.1 002 NA3 2010/04/07 YES
許可登録
状態 識別方式 MACアドレス IPアドレス サイトID エージェント名 最終検出日 削除対象 削除予定日
MAC 00:00:03 * * * 2010/04/07 No
MAC 00:00:03 1.1.3.1 002 NA3 2010/04/07 YES
時間
削除予定日経過
一定期間ネットワークに
未接続
日次で自動処理
削除予定日を指定した ホスト 一定期間検出されてい ないホスト 一定期間検出されない場合に削除対 象とするかを選択可能です。 「*(ワイルドカード)」指定のホスト情報に も最終検出日が反映可能です。接続を防止
管理情報出力機能
▐
DomainManagerで検知した、新規ホスト発見件数や不正ホストの接続防止件数などの情報を
CSVファイルとして定期的に出力することが可能です。
▐
不正接続ホスト数等の増加・減少傾向の把握や管理に役立てることができます。
DomainManager
レポート管理画面
Excelなどの表計算ソフト
を用いて、データ分析
例)各ネットワークの
不正接続台数推移
CSVファイル
インポートコマンド・置換コマンドでインポート
するCSVファイルの読み取り方法を指定する
ことができます。
他製品から出力したCSVファイルのフィールド
(項目)の数や順序等に関わらずインポートす
ることが可能です。
インポート/エクスポート機能
▐
ホスト情報をCSVファイルを利用してインポート、エクスポートすることが可能です。
▐
資産管理製品から既存資産のPC固有情報を取り込み、InfoCage 不正接続防止が使用す
る認証用のデータベースを作成することができます。
許可済みPC
(資産管理されているPC)
未許可PC
(資産管理されていないPC)
SiteManager
資産管理製品
既存資産の
PC固有情報出力
許可済みPC
リストの配布
インポート
MACアドレス, IPアドレス, 備考 ・・・, ・・・, ・・・ ○○○, △△△, □□□ ●●●, ▲▲▲, ■■■ ・・・, ・・・, ・・・InterSec/NQ30
抽出箇所指定 ファイル CSVファイル OSのスケジューリング機能などを利用して コマンドの定期実行も可能エージェントの自動バージョンアップ機能
▐
InterSec/NQ30のバージョンアップを、運用形態に合わせて柔軟に実施できます。(自動展開
による一斉適用、手動による段階的な部分適用)
InterSec/NQ30 SiteManager①SiteManagerをバージョンアップ。
③一斉(1時間以内)
またはスケジュールし
た日時にバージョン
アップモジュールが
配布され、自動バー
ジョンアップ
InterSec/NQ30 4/10 0:30 4/12 21:30保留
バージョンアップ日時 Agent1: 2010/04/10 00:30 Agent2: 2010/04/12 21:30②バージョンアップ日時を指定したい
場合は、エージェント毎に指定
Ver. UP! Agent1 Agent3 Ver. UP! Ver. UP!
管理しているInterSec/NQ30の一斉
自動バージョンアップが可能
InterSec/NQ30をそれぞれ指定した
日時に自動バージョンアップさせるこ
とが可能
・エージェント毎にバージョンアップさせる日
時を指定して、段階的な部分適用が可能
になります。
Agent2 InterSec/NQ30・バージョンアップ手順はSiteManagerを
バージョアップするのみです。
スイッチ連携機能とは
▐
各セグメントに InterSec/NQ30を設置せずに、インテリジェントスイッチとの連携によって端末情報
の収集、不正接続端末の監視・防止を行うことができます。
▐
スイッチ管理用エージェント SwitchManagerをSiteManagerに登録し、管理対象スイッチの機能を
利用することで、スイッチ配下のホストを検知し、不正接続防止します。
SiteManager
スイッチで収集したMACアドレスを一元管理
SwitchManager
【NETCONF方式】
スイッチの学習MACテーブルから
MACアドレスを自動収集
【MAC認証方式】
スイッチのARPテーブルからMACアドレスを
自動収集
不正接続端末はRADIUSの認証ログで検出
L2スイッチ
L3スイッチ
NETCONF
(※1)
方式
•
NETCONFを利用した制御機能で端末が所属するVLANを動的に切り替え、不正接続PCをネットワー
クから隔離します。MACアドレスによる認証を行います。
•
端末接続先スイッチが特定できます。(スイッチIPアドレス、接続ポート情報を取得可能)
•
対応スイッチ:IP8800/Sシリーズ
MAC認証方式
•
スイッチなどが端末を認証する方式の一つで、MACアドレスをユーザアカウントとして使用することで
、接続された端末のMACアドレスごとに認証を行います。 認証されたMACアドレスを持つ端末のみ
ネットワークを使用することができます。
•
対応スイッチ:MACアドレス認証に対応したスイッチ
(IP8800/Sシリーズ、QXシリーズ、IXシリーズ
(※2)、Catalystシリーズなど)
検知のみ
•
ネットワーク制御は行いません。ネットワーク接続機器の情報収集のみを行います
•
対応スイッチ:SNMP通信に対応したスイッチ
(IP8800/Sシリーズ、QXシリーズ、IXシリーズ
(※2)、Catalystシリーズなど)
▐
ご利用のネットワークスイッチと、連携方式の関係は以下の通りです。
※1 NETCONF(NETwork CONFiguration) :ネットワーク機器を制御するための通信プロトコル ※2 IX1000シリーズは対象外スイッチ連携機能
連携方式について
スイッチ連携機能(NETCONF方式の隔離)
~ 隔離の仕組み ~
①不正接続防止機能の
有効化/無効化
SwitchManager
②スイッチが接続され
た端末のMACアドレ
スを学習
SiteManager
管理者
③スイッチから学習したMAC
アドレス情報を取得
④登録されていないMACアドレス
を見つけた場合、スイッチにMAC
アドレスを登録しVLAN隔離
⑤ホスト情報を管理コ
ンソールに表示
IP8800/S
ホストがスイッチのどのポートに
接続したかまで特定!
不正ホスト
スイッチ連携機能(MAC認証方式の遮断)
~ 遮断の仕組み ~
SiteManager
管理者
④ホスト情報を管理コ
ンソールに表示
RADIUSサーバ(※)
※Windowsサーバ標準のRADIUSサーバ機能を利用します。SwitchManager
①MAC認証機能の
有効化/無効化
③承認されていないホストは
認証失敗とし、ポート遮断
MAC認証に失敗したホストの情
報も取得し、確認可能!
②MACアドレスを認証
MAC認証対応スイッチ
不正ホスト
まずは収集だけ行い、一定期間後未承認端末
を通信制御する運用に変更することが可能
不正PC
接続防止有効
IP8800/Sであればスイッチ毎にMACアドレ
ス管理が可能
運用管理操作は管理コンソールのみ
メリット1:運用コスト小
メリット3:スイッチ毎の権限付与可能
メリット2:段階導入可能
▐
スイッチを利用した従来運用(※1)に比べ、端末管理の運用性が向上します。
•
【従来】 MACアドレス情報の手動入力・手動管理
•
【導入後】 MACアドレス情報を自動収集し、1つの管理コンソールで一元管理
▐
NQの段階導入と同様、情報収集から始めて段階的な拡張をすることも可能です。
※1:インテリジェントスイッチとRADIUSを利用したMACアドレス認証スイッチのアイコン
スイッチ連携機能での柔軟な運用
スイッチ連携機能要件
※1 旧IOSでは1ポートで認証でき
る端末数に上限がある場合が
あります。IOSのバージョンが
12.2(52)SE以前である場合
は事前にお問合せ下さい。
※2 IX1000シリーズは対象外
【必須要件】
【スイッチ別 動作可能方式】
スイッチ機種
動作可能方式
IP8800/Sシリーズ
NETCONF、MAC認証、検知のみ
Catalyst
MAC認証
(※1)、検知のみ
QXシリーズ
MAC認証、検知のみ
IXシリーズ
(※2)MAC認証、検知のみ
ソフトウェア
必須(方式共通)
MAC認証
集中管理
・SiteManager
・SwitchManager
・NPS(NetworkPolicyServer)
・Active Directory
(※3、※4)・DomainManager
SNMP
SNMPv1およびRFC1213_MIB
【最大収容数】
管理スイッチ数/1SwitchManager
100台
管理ホスト数/ 1SwitchManager
10000クライアント
※3 MAC認証にはRADIUS機能の利用が必要です。
Windows Server標準のNPS(Network Policy Server)
+ADを使用して下さい。
※4 1サーバでスイッチを50台以上管理する場合、
Windows Server 2008,2008 R2を利用するには
Enterprise Editionを選択する必要があります。
スイッチ連携機能
InterSec/NQ30との要件比較
▐
不正PCの接続防止の手段は異なりますが、不正PC接続防止機能はどちらも持っています。
▐
「セグメント毎のエージェント配置」 or 「インテリジェントスイッチ導入」 の選択が必要になります。
比較項目
スイッチ連携
NQ
NETCONF方式
MAC認証方式
構成
セグメント毎のエージェント配置
不要
要
ネットワーク環境
インテリジェントスイッチが必要
スイッチに認証設定が必要
要件無し
機能
主な収集情報
接続スイッチ、接続ポート
MACアドレス、IPアドレス
MACアドレス、IPアドレス
MACアドレス、IPアドレス
ホスト名
不正接続防止の識別キー
MACアドレス
MACアドレス、IPアドレス
不正PCの制御手段
特定VLANへ隔離
端末ごと(送信元MACアド
レスで識別)に認証
偽装ARPで通信妨害
管理権限割当て単位(※3)
スイッチ単位
SwitchManager単位
InterSec/NQ30単位
状態変更
時の動作
設定の反映(青→赤)
(赤→青)
次回ポーリング(※1)後
再認証時(※2)
即時
遮断解除時、端末側の復旧操
作
PC再起動
(もしくはIPアドレス再取得)
ネットワーク再接続
即時
(※1)ポーリング:スイッチに対して行う定期的な状態問い合わせ
(※2)スイッチによってタイミングは異なります。
(※3)SiteManagerが管理するエージェントの単位となります。
小規模向け提案
中規模・大規模向け提案
小規模向け提案
製品名
個数
単価
価格(税別)
InfoCage 不正接続防止 V5.0 Lite リモートコンソール
1
¥145,000
¥145,000
InterSec/NQ30c
1
¥178,000
¥178,000
合計
¥323,000
オフィス全体で数セグメント
端末数は数台から数百台程度
見積もり概算(1セグメントの例)
intersec NQ30中規模・大規模オフィス向け提案
端末数は数百台から数千台程度
ルータやL3スイッチを使用して部署ごと
にセグメントを設置
タグVLAN対応機能を利用し、1台の
InterSec/NQ30で複数VLANを監視
見積もり概算(10セグメント+タグVLAN×40の例)
製品名
個数
単価
価格(税別)
InfoCage 不正接続防止 V5.0 メディアキット
1
¥20,000
¥20,000
InfoCage 不正接続防止 V5.0 SiteManager 1ライセンス
1
¥290,000
¥290,000
InterSec/NQ30c
10
¥178,000
¥1,780,000
InfoCage 不正接続防止 V5.0 10VLAN追加ライセンス
1
¥900,000
¥900,000
InfoCage 不正接続防止 V5.0 30VLAN追加ライセンス
1
¥2,700,000
¥2,700,000
合計
¥5,690,000
SiteManager導入実績
業種
企業名
製造・プロセス業
P社、K社、O社、S社、M社、D社 ・・・
流通サービス業
K社、B社、I社、F社 ・・・
情報サービス産業
O社、C社、S社・・・
電力・通信・放送業
T社、N社、M社、Oテレビ、B新聞社、P印刷、I電力、電話会社、
建設業
O社、A社・・・
金融・証券業
U証券、S証券、N証券、A信金、M信金・・・
学校
O大学、Z高校、A研究所、独立行政法人・・
省庁・公共
○省、T市役所、Y市水道局、○農政局、I町役場、○県警・・・
その他
鉄道会社、製薬会社、病院、旅行会社、運送会社、消防所・・
大規模環境の実績
A社(サービス業) ・・・ 435セグメント、49,000端末
B社(サービス業) ・・・ 270セグメント、40,000端末
C社(通信) ・・・ 600セグメント、45,000端末
▐
2002年12月の発売以降、官公庁、製造、流通業など業種を問わず約1100社の導入
実績があります。
▐
NECグループの全セグメント(約7,000)に10万台規模で現在運用中です。
導入事例 ~製造業 A社様~
私物PCへの
機密情報持ち出し
端末検知センサーを追加!
導入前
導入後
課題
製品選定の決め手
ウイルス感染PC(私物)
からのウイルスばらまき
ウイルス感染PC
私物PC
どんなPCが接続されて
いるか分からない
私物PCを
社内から排除できた
システム管理者
個 人 情 報 社 外 秘業務委託をしている開発部門のフロアでは私物PCを持ち込み、
無断で社内LANを利用している恐れがあった
豊富な導入実績 かつ 開発部門からスタートし全社展開していく
段階的な導入が可能だったことで安心して導入できた
システム管理者
どんなPCでも社内に接続できるため、
機密情報の持ち出しなど、セキュリティ上不安あり
許可されていないPCを遮断することで、
セキュリティレベルを向上させることができた
InterSec/NQ30InterSec/NQ30c
InterSec/NQ30b
型番 N8100-1400Q N8100-1200Q N8100-1300Q 希望小売価格(税別) ¥178,000 ¥187,000 1台のInterSec/NQ30で管理可能なホスト数(※1) 4,000件(V3.8以上) 2,000件(V3.6~V3.7) 1,000件(~V3.4)(※2) 2,000件(V3.6~) 1,000件(~V3.4) 1台のInterSec/NQ30に登録可能な承認ポリシーの数 100,000件 60,000件 「タグVLAN対応機能」で監視可能なVLAN数 16個 8個 「NQ冗長化機能」で待機系NQに設定できるVLANイン ターフェースの数 32個 16個 電源スイッチ 有り(電源スイッチ押下でシャットダウンが可能) 電源ケーブルを挿したときは自動起動(ボタン押下 は不要) 無し(電源OFFはシャットダウンコマンドまたは電源ケー ブルの抜去) 使用可能なUSBバージョン 2.0 1.1、2.0(※3) 工場出荷時のバージョン 2.2~3.8(※4) N8100-1200Q:2.2h N8100-1300Q:3.1g NQ30の日時指定バージョンアップ機能 V3.8より利用可能(※5) V3.7より利用可能InterSec/NQ30b、NQ30c比較表
(※1)一日に検出したMACアドレス数(目安としてホスト一覧の最終検出日がその日になっているものの件数)が該当します。 (※2)サーバレスのLite版を利用する場合は1台のInterSec/NQ30で管理可能なホスト数が1,000件となります。 (※3)USB2.0のUSBメモリを接続した場合、USB1.1として動作します。 (※4)バージョン2.2から3.8に対応するモジュールがプリインストールされています。ダウングレードする初期化を実施するとバージョンはV2.2となります。 (※5)工場出荷時のNQ30cをV2.2~V3.8のSiteManagerに接続するときは、NQ30cはバージョンアップ機能は使われずに適切なバージョンが自動認識されます。 基本的な運用方法、NQのパラメータの設定方法につきましては差分はありません。動作環境 (DomainManager/SiteManager)
DomainManager SiteManager
OS
・Windows Server 2003 Standard Edition(SP2) ・Windows Server 2003 R2 Standard Edition(SP2) ・Windows Server 2003 Enterprise Edition(SP2) ・Windows Server 2003 R2 Enterprise Edition(SP2) ・Windows Server 2003 R2 Standard x64 Edition (SP2) ・Windows Server 2003 R2 Enterprise x64 Edition (SP2) ・Windows Server 2008 Standard(SP1、SP2)
・Windows Server 2008 Enterprise(SP1、SP2) ・Windows Server 2008 Standard x64(SP1、SP2) ・Windows Server 2008 Enterprise x64(SP1、SP2) ・Windows Server 2008 R2 Standard(SPなし、SP1) ・Windows Server 2008 R2 Enterprise(SPなし、SP1) ・Windows Server 2012 Standard(SPなし)
・Windows Server 2012 Datacenter(SPなし) ・Windows Server 2012 R2 Standard(SP なし) ・Windows Server 2012 R2 Datacenter(SP なし)
・Windows Server 2003 Standard Edition(SP2) ・Windows Server 2003 R2 Standard Edition(SP2) ・Windows Server 2003 Enterprise Edition(SP2) ・Windows Server 2003 R2 Enterprise Edition(SP2) ・Windows Server 2003 R2 Standard x64 Edition (SP2) ・Windows Server 2003 R2 Enterprise x64 Edition (SP2) ・Windows Server 2008 Standard(SP1、SP2)
・Windows Server 2008 Enterprise(SP1、SP2) ・Windows Server 2008 Standard x64(SP1、SP2) ・Windows Server 2008 Enterprise x64(SP1、SP2) ・Windows Server 2008 R2 Standard(SPなし、SP1) ・Windows Server 2008 R2 Enterprise(SPなし、SP1) ・Windows 7 Professional(SPなし、SP1) ・Windows 7 Professional x64(SPなし、SP1) ・Windows 7 Ultimate(SPなし、SP1) ・Windows 7 Ultimate x64(SPなし、SP1) ・Windows 7 Enterprise (SPなし、SP1) ・Windows 7 Enterprise x64(SPなし、SP1) ・Windows Server 2012 Standard(SPなし) ・Windows Server 2012 Datacenter(SPなし) ・Windows Server 2012 R2 Standard(SP なし) ・Windows Server 2012 R2 Datacenter(SP なし) CPU Intel(R) Xeon(R) CPU E5502 @ 1.87GHz相当以上 Intel(R) Xeon(R) CPU E5502 @ 1.87GHz相当以上 メモリ 2GB以上 2GB以上
ディスク 40GB以上の空き容量 分散管理の場合:150MB以上の空き容量
小規模管理の場合:40GB以上の空き容量
備考
・.NET Framework 3.5 SP1 必須
・Windows Installer 4.5 以降必須(Windows Server 2008 以降は標準 でインストール済)
・Web コンソールの対応ブラウザはInternet Explorer 7/8/9/10/11
・小規模管理モードを利用する場合は、DomainManagerの動作環境を満 たすこと
動作環境 (RemoteConsole)
RemoteConsole
OS
32bit Windows 7 Professional(SPなし、SP1) Windows 7 Ultimate(SPなし、SP1) Windows 7 Enterprise(SPなし、SP1) Windows 8 Pro(SPなし) Windows 8 Enterprise(SPなし) Windows 8.1 Pro(SPなし) Windows 8.1 Enterprise(SPなし) 64bit Windows 7 Professional(SPなし、SP1)
Windows 7 Ultimate(SPなし、SP1) Windows 7 Enterprise(SPなし、SP1) Windows 8 Pro(SPなし) Windows 8 Enterprise(SPなし) Windows 8.1 Pro(SPなし) Windows 8.1 Enterprise(SPなし) CPU 1.87GHz以上 メモリ 1GB以上 ディスク 150MB以上の空き容量
動作環境 (スイッチ連携オプション)
SwitchManager
OS
Windows Server 2003 Standard Edition SP2 Windows Server 2003 Enterprise Edition SP2 Windows Server 2003 R2 Standard Edition SP2 Windows Server 2003 R2 Enterprise Edition SP2 Windows Server 2008 Standard SP2
Windows Server 2008 Enterprise SP2 Windows Server 2008 Standard x64 SP2 Windows Server 2008 Enterprise x64 SP2 Windows Server 2008 R2 Standard SP1 Windows Server 2008 R2 Enterprise SP1 Windows Server 2012 Standard(SP なし) Windows Server 2012 Datacenter(SP なし) Windows Server 2012 R2 Standard(SP なし) Windows Server 2012 R2 Datacenter(SP なし) ※日本語版OSのみ対応
CPU Intel(R) Xeon(R) CPU E5502 @ 1.87GHz相当以上
メモリ 2GB 以上
ディスク 1.1GB以上の空き容量
備考
・下記のいずれかがインストールされていること Java Runtime Environment Version 6 Java Runtime Environment Version 7
