富士通から提供するさらなるご支援

2016年

富士通株式会社

富士通から提供するさらなるご支援

1．情報漏えい対策の全体像

2．Symantec DLPを用いた

富士通が提供するさらなるご支援

(1) Symantec DLPのおさらい

(2) お客様支援の強化

(3) アセスメントサービスご紹介

目次

防衛の概念

情報漏えい対策はお城の防衛と同じ。

外壁（ネットワーク）や城内（PC）、

本丸(サーバ)における多層としての防衛が必要。

サーバ

不正な

アクセス

Internet

攻撃者

不正な

通信

_外壁

城内

本丸

情報持ち出し

誤送信

情報搾取

情報持ち出し

データの

取り出し

PC

外部

媒体

Symantec DLPの位置づけ

サーバ

情報の

取り出し

3

情報の

持出し

2

端末・デバイスの保護

不正な

アクセス

4

Internet

情報の

外部送信

1

ネットワークの防御

サーバの保護

情報漏えいの

脅威

対策ポイント

①情報の外部送信

外部への情報送

_{信をチェック}

②情報の持ち出し

情報の持ち出し

_{を制御・チェック}

③情報の取り出し

データの不正なダ

_{ウンロードを防ぐ}

④不正なアクセス

必要のない情報

にはアクセスさせ

ない

Symatec DLP

の範囲

Symantec DLPは出口対策として、

最終的な水際での対策を行います。

PC

外部

媒体

PC

【ご参考】富士通が提供するソリューション

サーバ

情報の

取り出し

3

情報の

持出し

2

端末・デバイスの保護

不正な

アクセス

4

Internet

情報の

外部送信

1

ネットワークの防御

サーバの保護

特権ID管理

サーバ要塞化

DB保護

外部媒体の制御

印刷制御

盗難紛失対策

サイバー攻撃対策

メール誤送信対策

富士通では、統合的にソリューションを

ご用意しています。

生体認証

脆弱性対策

メール暗号化対策

外部

媒体

【ご参考】富士通が提供するソリューション

サーバの保護

特権ID管理

サーバ要塞化

DB保護

_{脆弱性対策}

SHieldWARE NE

SHieldWARE

Chakra/PISO

Deep Security

インターネット

ホワイトリスト防御

不正なサーバ操作防止

操作ログを取得し証跡管理

サーバ

保護

○

作業者

操作画面

操作画面を記録

DBサーバ

Chakra

PISO

情報取出し防止

不正アクセス防止

Deep Security

仮想パッチ適用

ベンダー正式

パッチ公開

脆弱性

発覚！

_時間

ベンダー正式

パッチ適用

重要データが入ったサーバの防御

特別なIDの利用を一元的に管理

早期パッチ適用の実現

DBへのアクセス制限とDB証跡管理

【ご参考】富士通が提供するソリューション

端末・デバイスの保護

外部媒体の制御

盗難/紛失

印刷

Systemwalker Desktop Keeper

PrintBarrier

生体認証

PalmSecure

パソコン

接続制限

操作記録

操作制限

内部不正への

心理的抑止にも

USBメモリ

スマートデバイス

プリンタ

CLEARSURE 3G/LTE

消去/ロック

管理者/利用者

消去/

ロック指示

簡単で確実な本人認証を

可能にする手のひら静脈認証

盗難・紛失したPCの

データを遠隔消去

USB等による持ち出し制御

背景

ヘッダー

フッター

印刷

印刷制御、印刷証跡、

重要情報への強制印字

ログ採取

強制

印字

【ご参考】富士通が提供するソリューション

ネットワークの防御

メール

_{サイバー攻撃対策}

グローバルマネージド

セキュリティサービス

SHieldMailChecker

FENCE-Mail For Gateway

警告表示により、メール送信のうっかりミスを防止

メール

送信者

既存メールサーバ

送信

宛先等確認

送信

ストップ

暗号化機能と承認機能の二重の対策

承認者

(上司など）

メール

送信者

①送信

③保留通知

④保留解除

メール受信者

②保留・中断

⑤送信

暗号化メール

⑥パスワード

インシデントの

発生リスク軽減

1

被害の

極小化

2

攻撃への

耐性強化

3

GMSS

セキュリティ

耐性強化

1

2

3

検知・

防御

_分析・

対処

※GMSS: グローバルマネージドセキュリティサービス

脆弱性監視

侵入検知

インシデント・

レスポンス

侵害調査

改善提案レポート



各運用プロセスにおける対応コンセプト

誤送信対策

暗号化対策

2．Symantec DLPを用いた

Symantec DLPの概要

データの中身を見て

機密情報の

流出を防止

3つの機能で、社員のモラルやマンパワーに頼らず機密情報を保護

機密情報のありかを

見える化

見える

1

機密情報の流出を

監視

見つける

2

機密情報の流出を

水際でブロック

止める

3

他のDLP製品に対するアドバンテージ



4方式の検出ルールを搭載し、すり抜けや誤検知少



大量のインシデントによる運用負荷を軽減

Symantec DLPの検出技術

競合製品の検出技術

社員番号 姓 名

E-Mail

10001 佐藤 一 [email protected]

20002 鈴木 二 [email protected]

30003 高橋 三 [email protected]

・・・

・・・ ・・・

・・・

キーワード・

パターン・データ

属性を検出



「社外秘」などの

キーワードや正規表現



クレジットカード番号、

マイナンバーなど、

規則性があるパターン



ファイル形式

DBの内容

を検出



顧客情報などのDBを

まるごとDLPに登録し、

登録内容に

一致する情報を検出

特定の文書

を検出

フォーム

(書式)

を検出



白紙のフォーム

(標準様式)を

DLPに登録



手書きの申請用紙の

スキャンデータや

撮影データを画像検出



口座開設申請書などを

保護



特定の文書そのものや、

ある文書から派生した

文書を検出

サービス契約V1.doc

サービス契約書V2.doc

サービス契約雛型.doc

DBの内容を検出する例



個人情報DBをまるごとDLPに登録し、共有サーバを

スキャンして機密情報を見える化

• DBの内容に一致する情報を

漏れなく検出

し、

誤検知が少ない

→ 大量のインシデントを確認する必要がないため、

運用負荷が低い

• 某機構の漏えいも、DLPで共有サーバをスキャンしていれば防げた事故

個人情報DB

管理サーバ

検出サーバ

共有サーバ

検疫

サーバ

個人情報.CSV

ポリシー

DB情報をDLPに登録

検出ルール配信

サーバをスキャン

安全な場所に隔離

スキャン

特に内部犯行対策に有効



利用者や経路の制限ではなく、情報の中身に応じて

持ち出し可否を判断



某通信教育事業社の情報漏えい事例

• 顧客DBを管理する

委託先のSE

が、

正規権限で顧客個人情報を取得

• PCへの接続が制限されていなかった

スマホ

を使って個人情報を持ち出し

Symantec DLPがもし導入されていれば…

流出経路がふさがれていなくても

、コピー時にファイルをスキャンして

個人情報を

見つけ

、コピーを

止める

パソコン

スマホ

MTPによるファイル転送

導入のステップ

• 守るべき情報の明確化

• 保護対象の決定（共有サーバ、エンドポイント、ネットワーク）

1

ご要件確認

• ご要件確認の一環として、ストレージ上の機密情報や

ネットワーク上を流れる機密情報を実地検証

2

アセスメント※

• 要件定義、設計、構築、テスト

• 操作方法ご説明、システム引き渡し

3

導入、

_引き渡し

• インシデントの監視

• ポリシー改善(過剰検知、除外プロセス設定)

4

運用

_(お客様)

※ 省略可能

導入を成功させるポイント



「ポリシー設定」と「運用の考え方」が導入のポイント



ポリシー設定

•

何を保護対象とするか



運用の考え方

•

DLPの機能をどこまで使うか

情報資産の検出方法

守るべき情報資産は何か

＋

機密情報の見える化

＋

違反者への通知

＋

持ち出しの遮断

ポリシー設定



様々な情報を検出可能だが、検出しやすい情報から取り組む



ポリシーテンプレートを利用できる領域



DBを取り込むことで設定が行える、

個人情報の領域

マイナンバー

_{日本版SOX法}

個人情報保護ガイドライン

(医療、介護)

クレジットカードセキュリティ基準

(PCI-DSS)

日本人の名前

郵便番号

携帯電話番号およびPHS番号

機密文書 など

ポリシーテンプレートの例



運用に慣れてきたら、多様な文書を検出するためのポリシーを作成



経営会議議事録、契約書、新商品開発計画書 など

運用の考え方



機密情報の「見える化」から開始



「見える」「見つける」から始め、「止める」はインシデントが

減ってきたら実施（いきなりの遮断は混乱の元）

•

違反が多い従業員を重点的に指導（下図２）することでインシデント量を削減

•

違反通知メール等による従業員への通知フェーズ（下図3）を経て、最終的に遮断

インシ

デント発生件数

_見える化

1

_指導

2

3

通知

4

遮断

時間

ポリシーの継続的な改善（チューニング）

メールシステムにおけるセキュリティ強化実施例



お客様（信販会社様）の要件

・クレジットカード番号などの個人情報が、メールによって漏えいすることを防ぎたい

・既存システムへ影響を与えず、従業員の負担を増やさずに対策したい

・情報システム部門ではなく、コンプライアンス管理部門でインシデントを管理したい

）

 Symantec DLPと富士通FENCEシリーズの組み合わせにより、

メールの遮断と自動暗号化

を実現

 メール送信経路に追加配置により、

既存システムへの影響を最小限に

 ダッシュボードにより、インシデントの監視と検出ルールの登録を

コンプライアンス部門で実施

Symantec DLP

FENCE-Mail

For Gateway

お客様

メールシステム

Symantec

Messaging GW

ダッシュボード

（インシデント監視、

機密情報検出ルールの登録）

遮断

自動暗号化

コンプライアンス部門

インターネット

導入効果



月に数件発生していたクレジットカード番号などの個人情報を含む

メールの誤送信が０件

に



外部送信メールの

暗号化漏れ

がなくなった



コンプライアンス担当者が情報漏えいインシデントを把握することで、

社内セキュリティルールの見直しや従業員の啓蒙活動

に利用

アセスメントサービスとは



機密情報の現状把握を支援するサービス



機密情報の所在と流通に関する現状を調査し、

リスクを提示

機密情報の

所在を可視化

機密情報の

社外への流通を可視化

機密情報漏えいのリスクを提示

機密情報の保護に着目した対策すべき

ポイントを明確にします

アセスメントサービス実施概要



実施方法



お客様環境にDLPサーバを約1週間接続し、情報を採取

機密情報の外部への流出状況を把握

（ネットワークの監視）

機密情報の管理状況を把握

（ストレージのスキャン）

社内ネットワーク

社外ネットワーク

インターネット

DLPサーバ

FWから外部に出るパケットを

ポートミラーして分析

社内ネットワーク

DLPサーバ

ストレージ内のデータを

スキャンして分析

FW

FW

終わりに



多様なセキュリティ対策製品の導入ノウハウを活かし、

Symantec DLP単体だけでなく、

お客様セキュリティ全体を考慮した提案を実施いたします。



情報保護に関するお悩みをお寄せください

富士通が解決します

Symantec DLP紹介ページ、お問い合わせフォーム

• 富士通株式会社

http://www.fujitsu.com/jp/products/software/partners/partners/symantec/products/dlp/

• 株式会社富士通ソフトウェアテクノロジーズ

http://www.fujitsu.com/jp/group/fst/services/s-security/s-security11.html