社内ネットワーク環境における 社内ネットワーク環境における 社内ネットワーク環境における 社内ネットワーク環境における セキュリティ強化の御提案 セキュリティ強化の御提案 セキュリティ強化の御提案 セキュリティ強化の御提案
クライアント PC 操作ログ・インターネットアクセスログ取得環境導入
および各拠点へのファイアウォール導入の御提案
1 1
1 1 . 御提案背景 御提案背景 御提案背景 御提案背景
現在、社内システム環境およびネットワーク環境におけるセキュリティ対策として、Active
Directory を基本とした下記各種対策を実装しておりますが、貴社 IT 環境全体から見たセキュリテ ィ対策として、クライアント PC およびネットワークに関する対策に不安が御座います。
以下に、現在貴社において実施されておりますセキュリティ対策項目と、これらを踏まえ、現状とし て不安が残る点について列記いたします。
•
クライアントPC側でのユーザ操作制御・抑制対 策が施されていない
•
インターネット閲覧に関するユーザ利用制御・
抑制対策が施されていない
•
インターネット側からの社内ネットワーク保護対 策が施されていない
•
ユーザIDの管理およびユーザ認証機能の一元 化
•USB
ストレージの利用制御
•
ウィルス対策環境(サーバ・クライアント)による ウィルス脅威からの保護
貴社におけるセキュリティ対策の不安点
貴社における現状のセキュリティ対策
3. 現行の貴社社内システム構成および問題点 現行の貴社社内システム構成および問題点 現行の貴社社内システム構成および問題点 現行の貴社社内システム構成および問題点
現行サーバの問題点 現行サーバの問題点 現行サーバの問題点 現行サーバの問題点
ファイアウォールが ファイアウォールがファイアウォールが ファイアウォールが 導入されていない!
導入されていない!導入されていない!
導入されていない!
クライアント クライアント クライアント
クライアントPC側での情報漏洩対策が側での情報漏洩対策が側での情報漏洩対策が側での情報漏洩対策が 施されていない!
施されていない!
施されていない!
施されていない!(操作ログ取得等操作ログ取得等操作ログ取得等操作ログ取得等) インターネットの閲覧制御が インターネットの閲覧制御がインターネットの閲覧制御が インターネットの閲覧制御が 施されていない!
施されていない!施されていない!
施されていない!(ログ取得等ログ取得等ログ取得等ログ取得等)
3 3
3 3 . 御提案目的と期待 御提案目的と期待出来る 御提案目的と期待 御提案目的と期待 出来る 出来る 出来る効果 効果 効果 効果
•
ユーザが閲覧可能なコンテンツを制御することで、フィッシングサイトや ウィルスの埋め込まれたサイトなどから社内ネットワークを保護するこ とが出来ると共に、業務に関係の無いページの閲覧を制限可能
•
ユーザのインターネット閲覧を全てログに出力することで、有事の際の 監査証跡として利用することが出来ると共に、ユーザに対してログの取 得を明言することで、ユーザによるインターネット閲覧への抑止効果も 期待可能
•
インターネット閲覧に関するユー ザ利用制御・抑制対策の実現
•
各拠点にファイアウォールを設置することで、インターネット側からの 様々な攻撃や脅威をインターネットの入り口部分で防御することが可能 であり、社内ネットワークを安全に運用することが可能
•
インターネット側からの脅威に対 する社内ネットワーク保護の実 現
•
ユーザが直接操作するクライアントPCに対して操作制御環境を構成す ることで、ユーザが可能な操作を制限し、社内全体のセキュリティ向上 を実現
•
ユーザの操作を全てログに出力することで、有事の際の監査証跡とし て利用することが出来ると共に、ユーザに対してログの取得を明言する ことで、ユーザ操作への抑止効果も期待可能
•
クライアントPCに関するユーザ操 作制御・抑制対策の実現
期待できる効果
御提案目的
4 4
4 4 . 御提案概要 御提案概要 御提案概要 御提案概要
前述の御提案背景の解決および御提案目的の実現のため、弊社では下記の内容について御提 案申し上げます。
御提案内容
•
クライアント クライアント クライアント クライアント PC への内部統制対策ソフトウェアの導入 への内部統制対策ソフトウェアの導入 への内部統制対策ソフトウェアの導入 への内部統制対策ソフトウェアの導入
「クライアント PC に関するユーザ操作制御・抑制対策の実現」を目的として、クライアン ト PC に内部統制対策ソフトウェアを導入いたします。
上記ソフトウェアの機能を利用して、各PCにおける操作可能範囲を管理者側から制御 すると共に、各PCにおける操作ログを取得いたします。
•
UTM (統合脅威管理機器)の導入 (統合脅威管理機器)の導入 (統合脅威管理機器)の導入 (統合脅威管理機器)の導入
「インターネット閲覧に関するユーザ利用制御・抑制対策の実現」および「インターネッ ト側からの脅威に対する社内ネットワーク保護の実現」を目的として、貴社社内ネット ワーク内(インターネット接続部分)に統合脅威管理機器(UTM:Unified Threat Management)を導入いたします。
上記機器の機能を利用して、ユーザによるインターネットアクセス可能範囲を管理者
側から制御すると共に、インターネット閲覧ログを取得いたします。
5 5
5 5 . 御提案詳細①(内部統制対策ソフトウェア導入) 御提案詳細①(内部統制対策ソフトウェア導入) 御提案詳細①(内部統制対策ソフトウェア導入) 御提案詳細①(内部統制対策ソフトウェア導入)
御提案製品
•
AssetView Suite (製造・開発元 : ハンモック)
本製品の特徴
•
操作ログ管理や IT 資産管理、アプリケーション自動配布など、内部統制に必要なソフトウェ アをパッケージングしたオールインワンスイートパッケージ
•
本製品で実装出来る主な機能は下記の通り
WEBブラウザを利用して、上記各種機能で検知した社内PC群の状態をグラフィカルに表示する機能。単なるレポート 表示機能のみならず、部署別統計やワースト表示など、マクロ的視点での統計取得も可能。
統合WEBレポート
社内のPCをリモート操作する機能。Windows OS標準のリモートデスクトップ接続とは異なり、管理者主体で強制的に 操作することが可能。また、問題のあるクライアントPCを発見した場合には、管理者側から強制的にユーザ操作を禁 止することも可能。
リモートコンソール
管理対象PC以外のネットワーク接続を検知・遮断する機能。個人所有PCなどの社内持込・LAN接続を検知し、ネット ワークや社内資産が利用出来ないように制御することが可能。
不正PC検知・遮断
社内のPC全てに対して、ソフトウェアの一括インストールや環境設定の一括変更などを実現する機能。管理者による 手動配布以外にも、予め設定したスケジュールに基づいた自動インストールなども可能。
アプリケーション 自動インストール
業務で扱う個人情報が含まれるファイルを把握し、外部流出を抑止する機能。多彩な監査方法を実装していることに より、個人情報を含むファイルの操作を柔軟に制御することが可能。
個人情報検索
クライアントPCの資産情報(ライセンス管理含む)を一元管理する機能。状態変化を即時把握できると共に、過去3世 代までの情報を蓄積することが可能。また、クライアントPCのデスクトップ画面へポップアップ情報を表示することも出 来るため、インフォメーション周知等でも有用。
IT資産管理
クライアントPCの操作を全てログ出力する機能。ユーザの画面クリック(左右クリック識別)から読み書きしたファイル 名まで取得可能なため、有事の際のファイル追跡も可能。また、ユーザの動作を監査し、対象クライアントPCに対して 警告を表示することも可能。
PCログ管理
機能概要
機能名称
5 5
5 5 . 御提案詳細①(内部統制対策ソフトウェア導入) 御提案詳細①(内部統制対策ソフトウェア導入) 御提案詳細①(内部統制対策ソフトウェア導入) 御提案詳細①(内部統制対策ソフトウェア導入)
導入イメージ
構成のポイント
①既設ドメインコントローラ(
①既設ドメインコントローラ(
①既設ドメインコントローラ(
①既設ドメインコントローラ(SV111)内に、内部統制対策ソフトウェア( )内に、内部統制対策ソフトウェア( )内に、内部統制対策ソフトウェア( )内に、内部統制対策ソフトウェア(AssetView Suite)の管理サーバ機能を導入 )の管理サーバ機能を導入 )の管理サーバ機能を導入 )の管理サーバ機能を導入
既存資産の有効活用およびサーバOSライセンス節約を目的として、既設サーバ内に設置
※ ※
※ ※ 既設サーバを弊社で導入しておりますので、機能追加も安全に実施することが可能です! 既設サーバを弊社で導入しておりますので、機能追加も安全に実施することが可能です! 既設サーバを弊社で導入しておりますので、機能追加も安全に実施することが可能です! 既設サーバを弊社で導入しておりますので、機能追加も安全に実施することが可能です!
②各クライアント
②各クライアント
②各クライアント
②各クライアントPC内に内部統制対策ソフトウェアのクライアント機能を直接導入 内に内部統制対策ソフトウェアのクライアント機能を直接導入 内に内部統制対策ソフトウェアのクライアント機能を直接導入 内に内部統制対策ソフトウェアのクライアント機能を直接導入
①内部統制対策ソフトウェア(AssetView)の管理サーバ機能を 既存ドメインコントローラ内に併設
②内部統制対策ソフトウェア(AssetView)のクライアント機能を 各クライアントPCに直接インストール
③管理者PCから社内におけるポリシーを設定 また、WEBブラウザを利用して統計情報を確認
5 5
5 5 . 御提案詳細②( 御提案詳細②( 御提案詳細②( 御提案詳細②( UTM 導入) 導入) 導入) 導入)
御提案製品
•
SonicWALL Total Secure TZ シリーズ シリーズ シリーズ シリーズ (製造・開発元 : 米 SonicWALL, Inc. )
本製品の特徴
•
ネットワークセキュリティに関する機能を一台のハードウェアに凝縮した、オールインワンセ キュリティアプライアンス(UTM)
•
本製品で実装出来る主な機能は下記の通り
ゲートウェイレベルでのアンチウィルス、アンチスパイウェア機能。御提案機器上を通過する通信パケットを検査す ることで、不正なWEBコンテンツを閲覧した際に送り込まれるウィルスデータや電子メールに添付されてくるウィル スデータをゲートウェイレベルで検知・保護することが可能であり、LAN内部へのウィルスデータ侵入を防御するこ とが可能。
また、侵入検知・防御(IPS)機能も実装しており、通信パケットを解析し、攻撃と考えられる通信パターンを検知し た場合には、ファイアウォール機能と連動し、動的に防御することが可能。
ウィルス対策 スパイウェア対策 侵入検知・防御(IPS)
インターネット上のWEBコンテンツ閲覧制御機能。最大56カテゴリの有害なコンテンツや業務に関係の無いコンテ ンツを動的に制御することが可能。
コンテンツフィルタ
ログ解析・レポート生成機能。「SonicWALL ViewPoint」機能を搭載しており、蓄積した各種ログ(インターネットアク セスログやファイアウォールでのブロックログ等)を多角的に解析し、グラフィカルなレポートを生成することが可能。
※外部Syslogサーバとの連携も可能。
ログ解析
ログ取得機能。ファイアウォールのロギング機能により、WEB閲覧のみならず、電子メール送信やFTPアクセスな ど、社内端末からインターネットへのアクセスを全てログに出力することが可能。
※ログが膨大な量になるため、ログを長期保存するためには別途Syslogサーバの設置が必要。
(御提案に含んでおります)
インターネットアクセス ログ取得
小中規模向けファイアウォール。通常のパケットフィルタ型ファイアウォール機能に加え、通信状態や通信内容を 動的に判断し、ファイアウォールポリシーを自動制御する「ステートフルパケットインスペクション」機能を搭載。
ファイアウォール
機能概要
機能名称
5 5
5 5 . 御提案詳細②( 御提案詳細②( 御提案詳細②( 御提案詳細②( UTM 導入) 導入) 導入) 導入)
導入イメージ
構成のポイント
①各拠点のインターネット接続用ルータ直下に
①各拠点のインターネット接続用ルータ直下に
①各拠点のインターネット接続用ルータ直下に
①各拠点のインターネット接続用ルータ直下にUTM機器を設置し、ファイアウォール機能および各種セキュリティ機能を稼動 機器を設置し、ファイアウォール機能および各種セキュリティ機能を稼動 機器を設置し、ファイアウォール機能および各種セキュリティ機能を稼動 機器を設置し、ファイアウォール機能および各種セキュリティ機能を稼動
インターネットアクセス経路に設置し、インターネットアクセスに関する通信が全て当該機器を通過する形で構成
②本社内の仮想サーバ(
②本社内の仮想サーバ(
②本社内の仮想サーバ(
②本社内の仮想サーバ(VMware Server)内に、仮想サーバとして )内に、仮想サーバとして )内に、仮想サーバとしてSyslogサーバを設置 )内に、仮想サーバとして サーバを設置 サーバを設置 サーバを設置
既存資産の有効活用を目的として、仮想サーバとして設置
③UTM上で取得した各種アクセスログ(インターネット閲覧 ログ等)は本社に設置する「Syslogサーバ」へ転送
①インターネット接続用ルータの直下にUTM機器を設置し、
ファイアウォール機能および各種セキュリティ機能を稼動
※全拠点が対象
②本社内VMware Server内に、インターネット閲覧ログ 蓄積のために「Syslogサーバ」を仮想サーバとして設置
6 6
6 6 . 全体概算スケジュール 全体概算スケジュール 全体概算スケジュール 全体概算スケジュール
★ (本番導入) 本番導入
本番リリース
★ (リリース) リリース
予備期間 予備期間
構築 設計 要件定義
/適合検証 設計/ 構築
★ (検収)
★ (発注) 事務処理
イベント
5ヶ月目 4ヶ月目
3ヶ月目 2ヶ月目
1ヶ月目 項目
区分
