株式会社ネスコ
ITシステム事業部
データクレシス
機密ファイル保護・管理システム
盗用、流用から自社の技術・ノウハウを守り切れますか?
設計情報(CADファイル)や仕様書、様々なノウハウを記載したファイル
の二次漏洩により、アイデアの盗用、類似製品、偽物などによる競争力
の低下、信頼失墜に悩まされてはいませんか?
◆本物の発売と同時期に類似品が出回る。
◆設計、製造段階からの情報流出が疑われる。
◆供与した技術が盗用される。
情報の提供は必要だが盗まれるのは防ぎたい!
盗用、流用から守る、 自ら守る対策が重要!
盗難・紛失:OK ウイルス:NG 操作・作業ミス:NG 故意の漏洩:NG
① 初期のセキュリティ対策
→ 持出しPC・USBメモリ対策
② 漏洩を検知する → 故意の漏洩の抑制効果と犯人の特定
盗難・紛失:NG ウイルス:NG 操作・作業ミス:NG 故意の漏洩:抑止効果③ 漏洩しないようにする
→ 持出しをさせない
盗難・紛失:OK ウイルス: NG 操作・作業ミス:NG 故意の漏洩:抑止効果④ 標的攻撃、内部からの漏洩
→ ファイルをどこまでも保護
製品: Pointsec SafeBoot 等 製品: LanScope CAT6 CWAT 等 製品: DeviceLock Security Platform 秘文AE Information Fortress等ハードディスク
暗号化
ログの監視
データの持出し制御
ファイル単位の
暗号化&管理
製品: TrustView DataClasys 個人の運用ではダメ! ログ監視では防止できない! 社内外での利用が必要!DRM
Digital Rights Management 盗難・紛失:OK ウイルス:OK 操作・作業ミス:OK 故意の漏洩:OKセ
キ
ュ
リ
テ
ィ
対
策
の
レ
ベ
ル
強
弱
種類
技術
製品
特徴
ビューアタイプ 特定のフォーマットに 変換されたファイルを 専用のリーダで閲覧 Adobe Reader DocuWorks アプリケーションから特定フォーマットに変換し て利用。 閲覧・印刷の制御は行えるが編集ができない。 元のアプリケーションの機能が使えない。 アプリケーション プラグイン制御 タイプ 主にアプリケーション のインターフェースを 制御 IRM(マイクロソフト) DocumentSecurity アプリケーションの機能がそのまま利用可能。 適用可能なアプリがWORD、EXCEL、 PowerPoint、AdobeReaderなどに制限される。 適用アプリケーション毎の開発・サポートが 必要。 アプリケーション・ 拡張子登録制御 タイプ アプリケーションと関 連する拡張子を登録 し制御 File Shell Inter Safe IRM TotalFileGuard TrustView アプリケーションの機能がそのまま利用可能。 ほとんどのアプリに適用可能。 アプリケーションごとに関連する拡張子を調査 し登録しなければならない。 CADシステムなどの複雑なアプリケーションへ の適用に長い時間を要する。 セキュリティホールが生じやすい。 WindowsOS制御 タイプ WindowsAPI制御と フィルタドライバ制御 により、OSの入出力 全般を制御 DataClasys アプリケーションの機能がそのまま利用可能。 ほとんどのアプリに適用可能。 アプリケーションと関連するプロセスの登録す ることで利用可能。 CADシステムなどの複雑なアプリケーションへ の適用が比較的短期に行える。 ファイル毎に異なる権限管理が可能。DRM製品の種類と特徴
1.フォルダ保存での
自動暗号化
ファイル単位で右クリックし、メニューから例えば業務委託先閲覧用や編集用
等の機密区分や有効期限の設定が可能です。
フォルダに機密区分を設定することで、ファイルをこのフォルダに入れるだけで
暗号化ファイルを簡単に生成することができます
。
ダイレクト暗号化フォルダ機能を利用すると特定のフォルダには暗号化ファイルを 開いてそのまま別名保存や拡張子を変えて保存することができます。 保存対象となるフォルダに設定された条件で自動的に暗号化ファイルとして生成 され、このフォルダ以外への保存は禁止されます。2.暗号化管理されたファイルの利用は
ほとんど従来通りの操作
暗号化されたファイルは機密性を保ったまま、平文ファイル(暗号化されていな
いファイル)と同じ操作で利用できます。
マクロ、リンクも権限があればそのまま利用可能、もちろんファイル名、拡張子
もそのままです。
DataClasys の特長
①右クリックで暗号化
右クリックでフォルダやファイルを個別に暗号化 フォルダ配下のファイルはまとめて暗号化できます。②共有フォルダへコピー
ポリシーに応じたフォルダーにコピーをして暗号化後、 メールなどで海外の担当者へ送信します。機密ファイル利用者
ポリシーに応じた
権限で利用可能
実際の暗号化イメージ
3.ファイル形式に依存せず、
あらゆるデータを
ファイル単位で
暗号化したまま
利用可能
DataClasysの最大の特長
OSに独自のドライバーを組込む技術により、あらゆる機密情報ファイルに対する操作を制御
することが可能です。
・Microsoft Word、Excel、PowerPointや一太郎、PDFなどの
オフィス系ファイル
・AutoCAD、CATIAなどの
CAD系ファイル
・Visioなどの
技術系ファイル
・Photoshop、動画などの
マルチメディア系ファイル
をはじめとするほとんどのファイルをコントロール可能。
しかも複数の異なるアプリケーションで暗号化ファイルを操作できます。
DataClasys の特長
4.多言語に対応
・最新版(ver5:2009/5リリース)以後は Unicode(UTF-8) 対応
・”韓国語版”をリリース(2009/9)
・”中国語版”をリリース(2010/8)
・“英語版”をリリース(2012/11)
中国
韓国
DataClasys の特長
DataClasysは、リレーショナルデータベース(PostgreSQL)を採用、 対障害性の向上をサーバの二重化により実現、DataClasysユーザ クライアントはプライマリーサーバと通信できない場合は、セカンダリーサーバに自 動的に接続します。
■
DataClasys サーバ
利用者の利用権限についての判断を行い、権限に応じ た復号用の鍵情報などを配信するプログラムです。■
DataClasys マネージャクライアント
ユーザ登録、利用権限の付与、管理者権限の付与、 ユーザ操作履歴の管理などを行なうプログラムです。■
DataClasys ユーザクライアント
利用者のPCで動作するプログラムです。■
DataClasys IDファイル
利用者が持つ鍵情報ファイルです。機密ファイルを利用 する際に必須、本人承認などを行う重要なファイル、 USBメモリなどに収納し、安全に管理することも可能です。 有効期限の設定もできます。■
フォルダ自動暗号化
ファイルサーバなどの共有ファルダ内にファイルが保存 されるとこれを監視し、自動的に暗号化します。既存の サーバだけでなくクライアントPC内のフォルダでも利用可能 です。DataClasys のシステム基本構成
DataClasys IDファイル DataClasys IDファイル DataClasys IDファイル機密区分で暗号化されたファイルは、所属組織(グループ)職位(ポスト)によって権限管理されます。
社外秘で暗号化されたファイルは部長職以上は全ての権限、課長職は印刷、更新、閲覧、一般社員は
閲覧のみの権限が付与されその権限範囲で暗号ファイルを利用できます。
暗号ファイルの権限管理(カテゴリ単位の管理)
暗号文 ヘッダ情報 カテゴリーA DataClasys B IDファイル DataClasysサーバ ID グループ ポスト A 営業部1課 一般社員 B 営業部1課 管理職 カテゴリーA 暗 号 復 号 消 去 閲 覧 更 新 削 除 C & P 印 刷 添 付 W e b 営業1課管理職 ○ × ○ ○ ○ ○ ○ ○ ○ × 営業1課一般職 ○ × × ○ ○ ○ ○ × × ×権限名称
内
容
「暗号化」 暗号化できる権限です。 「復 号」 暗号ファイルを元の平文に戻す権限です。 「完全消去」 ファイルの書き込みされたディスク領域も「乱数」で3回上書きし、復元ソフトでも復元はでき ないように完全消去します。 「閲 覧」 暗号ファイルを閲覧する権限です。 「更 新」 暗号ファイルを編集、上書き更新できる権限です。 「削 除」 暗号ファイルを削除できる権限です。 「ファイル出力」 暗号ファイルから平文ファイルの出力を許可します。 「クリップボード出力」 クリップボードへの出力を制御します。 「プリント出力」 印刷を制御します。 「スクリーンショット」 Windows標準のスクリーンショットを禁止します。 「メール添付」 暗号ファイルのメールへの添付を禁止します。 「メール送信」 Word、EXCEL などのアプリケーションから開いた暗号文を、そのままメールとして送信するこ とを制御する権限です。 「Web送信」 暗号ファイルを”平文で読み込んだプロセス(アプリケーション)”が、IP による通信を行うこと を制御する権限です。DataClasys利用権限一覧
項
目
内
容
設定単位
ファイル利用権限 暗号化、復号、完全消去、閲覧、更新、削除、ファイル出力、クリップ ボード出力、プリント出力、画面キャプチャー、メール添付、メール送信、 Web送信、社外利用型オフライン (詳細は利用権限説明をご参照ください。) カテゴリ単位、 ユーザ毎 ファイル利用期日 無期限、開始・終了期日指定 ファイル・フォルダ単位 IDファイル有効期日 無効、有効、開始・終了期日指定 IDファイル単位 オフライン利用時 IDファイル有効時間 オフライン状態のまま利用出来る期間(秒で指定) DataClasysサーバ 単位 IDファイルパスワード 桁数、大文字小文字区分、同一文字数、複雑なパスワード設定 DataClasysサーバ 単位 IDファイル利用PC制限 IDファイル初回利用時にPC情報をDataClasysサーバ、IDファイル内に 登録、登録されたPC以外でのIDファイルの利用を禁止 (DataClasysサーバと全く通信できない環境では、端末識別情報取得 ツールを利用し事前にPC情報をIDファイルに記述可能) IDファイル単位 アプリケーション 暗号ファイルを利用するアプリケーションの登録、暗号ファイルへのア クセスを禁止するアプリケーション、システム上必要なアプリケーション の登録 DataClasysサーバ 単位DataClasysユーザ権限設定項目一覧
補足項目
内
容
暗号ファイルの複製、移動の 制御 更新権限が無い場合は、暗号ファイルの複製、移動は禁止されます。 アプリケーション制限と登録 暗号ファイルを利用するアプリケーションを登録することにより登録外のアプリケー ションでは暗号ファイルを開くことができなくなります。重要な機密ファイルを扱える アプリケーションをコントロールできます。また、DXFファイルを複数の異なるCADア プリケーションを登録することにより同一ファイルを平文と同様に複数のCADアプリ で利用することも可能となります。 別名保存 DataClasysでは暗号ファイルを開くと同一プロセスの平文保存を禁止します。別名 保存は操作上は可能ですが、アプリケーションが終了時に仮作成されたファイルは 消去されます。別名保存する場合は同一権限の暗号ファイルに上書きする必要が あります。 オフライン利用期間 サーバ単位で設定します。デフォルトでは24時間として設定されます。オフライン状 態で24時間経過するとIDファイルの使用は禁止されます。再度、DataClasysサーバ に接続して認証されれば、それ以降24時間はオフライン状態で利用できます。ただ し、対象暗号ファイルはオフラインでの利用を許可されたファイルだけとなります。 複数の権限設定 ファイルを暗号化する時に複数のカテゴリ(区分)を指定することができます。更新・ 印刷可能な社外秘と閲覧しかできないオフライン利用可能な社外秘(社外利用可) の2つカテゴリで暗号化すると社内でDataClasysサーバに接続している場合は、更 新印刷できるが、社外のオフライン時には閲覧のみで印刷もできないなどの利用 が可能です。DataClasysユーザ権限設定項目一覧:補足
社外利用型オフライン機能
特定の区分で暗号化された暗号ファイルのみ社内のPCをそのまま社外に持ち出してもそのまま利用
できます。
ファイルが流出しても権利のない第三者は開くことができません。
他の区分で暗号化されたファイルは社外では誰も利用できません。
ほとんどのアプリケーション、フォーマットに対応しています。
IDファイル利用PC制限の利用で、暗号化ファイルを操作できるPCを特定することも可能です。
社外や通信環境のない環境での利用
ファイル流出! 第三者は利用不可×
DataClasysでは暗号ファイルの利用を特定の端末に限定できる機能を提供、IDファイルの利用時に登録
された端末情報であるかどうかをチェックし、異なる場合はIDファイルの利用ができません。
(IDファイルが利用できない場合は、DataClasysのユーザクライアントソフトの起動ができず暗号ファイル
を開くことができません。)
端末のCPU、OS、ボードなどの複数の情報から端末を特定し、その情報をDataClasysサーバとIDファイ
ルに記述します。
海外などでDataClasysサーバに接続できない環境下でも利用端末を固定したいとのニーズに応えるた
め、暗号ファイルを扱わせたい端末の情報を事前に収集するツールとその情報を埋め込んでIDファイル
を発行する機能を装備しています。
①収集ツール (CLSTerminal) ②収集ツール クリック(実行) ③端末情報 ④ユーザ登録 (端末情報埋め込み) IDファイル ⑤IDファイル配布 異なる端末流出
×
登録された端末 情報と異なるため 利用できない DataClasys管理者 暗号ファイル利用者固定端末情報の事前収集・登録機能
・ログの種類
管理者(DataClasysサーバ)ログ、接続ログ、マネージャログ、ユーザログ、警告ログ、エラーログ・ログ取得方法
DataClasysマネージャクライアントでDataClasysサーバより取得 月日を指定して取得(CSVファイル形式)・ユーザログ内容
年月日、時分秒、PC名、ログイン名、IDファイル場所、IDファイル名、IDユーザ名、ユーザ要求 可否、ファイル名(フルパス)、ネットワークファイル復号許可、暗号化者IDファイルNo、暗号化者名 機密区分No、機密区分名、プロセス名、その他操作ログの収集
DataClasysコマンドラインによる連携
/Encrypt 平文ファイルの暗号化を行う。 /Idfile、/Categoryオプションが必須。 /Decrypt 暗号文ファイルの復号を行う。 /Idfileオプションが必須。 /Vanish ファイルの完全消去を行う。 /Idfileオプションが必須。 /Header ファイルの暗号化確認、暗号化カテゴリと有効期間のチェック。ステータス確認に利用できます。 戻り値例 #define CLSUERROR_SUCCEEDED 0 //成功しました。 #define CLSSERROR_INVALID_SERVER 1 #define CLSSERROR_SERVER_REDIRECTED 2 //サーバはリダイレクトされました。 #define CLSSERROR_LICENSE_COUNT_EXCEEDED 3 //ライセンス数を超過しています。 #define CLSSERROR_LICENSE_PERIOD_EXPIRED 4 //ライセンス期限が切れています。 #define CLSSERROR_USER_EXPIRED 5 //ユーザの有効期間が切れています。 #define CLSSERROR_INVALID_CATEGORY_ARRAY 14 //有効なカテゴリが指定されていません。 #define CLSSERROR_NO_ENCRYPT_RIGHT 15 //暗号化権限がありません。 #define CLSSERROR_NO_DECRYPT_RIGHT 16 //復号権限がありません。 #define CLSSERROR_NO_VANISH_RIGHT 17 //完全消去権限がありません。 #define CLSSERROR_DECRYPTING_FILE_ON_NETWORK 28 //ネットワーク上のファイルを復号しようとしています。 #define CLSSERROR_VANISHING_FILE_ON_NETWORK 29 //ネットワーク上のファイルを完全消去しようとしています。#define CLSSERROR_TERMINAL_FIXED 108 //このIDファイルを使用できる端末は限定されます。IDファイルの更新を行ってください。 #define CLSSERROR_TERMINAL_DENIED 109 //このIDファイルは現在の端末では使用できません
#define CLSSERROR_NO_TERMINAL_INFORMATION 110 //このIDファイルは端末を限定しなければなりません。ユーザクライアントのバージョンが古いかもしれません。 #define CLSUERROR_INVALID_ACTION 258 //有効なアクションが指定されていません。コマンドラインパラメータを確認してください。
#define CLSUERROR_NO_IDFILE_PATH 259 //IDファイルのパスが指定されていません。コマンドラインパラメータを確認してください。 #define CLSUERROR_NO_FILE_PATH 260 //対象ファイルのパスが指定されていません。コマンドラインパラメータを確認してください。
#define CLSUERROR_TOO_MANY_FILE_PATH 261 //対象ファイルのパスは一つしか指定できません。コマンドラインパラメータを確認してください。
ユーザクライアントコマンドラインは戻り値を返すことができ、他のシステムとの連携の実績もあります。
DataClasysは700社以上で利用されています
★
様々な業種で
地方自治体、投資運用会社、設備メンテナンス企業、独立行政法人某研究所、システム開発会社、 情報・通信会社、広告代理店、人材派遣会社、電気部品卸会社、設計会社、製薬会社、 などなど様々な業種で幅広くご利用いただいています。★
様々な部門で
事務・管理部門だけでなく 製造・設計・建設・設備保全などの部門も含めて利用いただいています。★
様々な種類の情報を
個人情報だけでなく 企業の生命線である図面、お客様のお預かりデータ、得意先データなど機密情報を含めて管理されて います。☆
動作実績のあるアプリケーション例
Microsoft Office(2003~2013)
、 OpenOffice、一太郎、Adobe Acrobat、Reader、Illustrator、Photoshop、 AutoCAD、CATIA、CADCity、ECAD dio、MicroStation、Walkinside、図王、図脳 RAPID17、NX、CADSUPER FX Ⅱ、Jw_cad、ZWCAD・・・・
配信用FTPフォルダ (自動暗号化) 返信用FTPフォルダ 国内向けフォルダ (自動復号)
海外導入例(重電メーカー)
顧客業態
利用環境
運用形態
某大手重電メーカー様 規模:国内2人、海外20人 (生産関連部門に導入) 配付ファイル: CADファイル 配付先:中国1工場 配付方法:FTPダウンロード 中国工場はDataClasysサーバ接続なしで利用、国内は DataClasys接続で利用 ・DataClasysサーバは国内のみ、海外からはアクセス はさせない。 ・IDファイル管理:有効期間不明 ・オフライン期間:不明、カテゴリ:不明 ・国内よりCADファイルを支給、中国国内向け製品の カスタマイズは中国で編集・修正する。中国で修正 したものは日本で審査し、承認された段階で正式版と して中国に再配付される。設計部門(外注含む)に全面導入例(プラント設備メーカ)
顧客業態
利用環境
運用形態
プラント設備メーカ様 規模:国内50人、海外出張者 (全部門に導入) 設計ファイル: 本社サーバで統合 管理 暗号化対象:全設計ファイル 設計外注先:暗号化ファイルを配布 配付方法:有償配信ソフト 社内(東京本社、名古屋)VPNで接続 社外、海外出張者はリモートVPN接続で利用 外注先はオフラインで利用、 ・IDファイル管理:有効期間6ヵ月 ・オフライン期間:6ヵ月、暗号化カテゴリ:1レベルのみ ・外注先にも暗号化されたファイルを支給、 別名保存用の暗号化テンプレートファイルも支給 利用CAD社内:AutoCAD ,AutoCAD LT, I-CAD SX, ME-10(非圧縮 モードのみ)
外注先:AutoCAD LT, I-CAD SX, AutoCAD Denki、 CADPACK Creater, BVCAD, RootProCAD, WinstarCAD
東京本社 支社
A社
B社
C社
外注先(オフライン利用) IDファイルを6ヵ月毎に再発行 支給(配信ソフト)顧客業態
利用環境
運用形態
自治体様 規模:400人、ホスト端末にDataClasys を導入 内部統制管理と情報漏えい対策のために、利用者のファイ ルをファイルサーバで集中管理/全ファイル暗号化管理を行 う。利用者はPCローカルに実質的にファイルを保存できない ため、ファイルサーバに保存する。利用者がアクセスできる フォルダはDataClasysで自動暗号化される。暗号化された ファイルは不正アクセスや担当者の操作ミスなどにより庁外 に何らかの手段で持ち出しても庁外ではDataClasysサーバ にアクセスできないため、ファイルを解読できず、情報漏洩を 防止する。 システムイメージ ActiveDirectry 移動プロファイルサーバ 共有ファイルサーバ DataClasysサーバ Cドライブ非表示 ① ② ③ ④ ①ドメインユーザでログイン 認証、外部メモリの禁止、 ②移動プロファイルの同期 ③共有ファイルの利用 ④重要フォルダの自動暗号 化、ユーザ認証、利用履歴 管理 Cドライブを非表示にするこ とによりファイルを共有ファ イルサーバに保存させる。 原本サーバ ⑤ ④原本保証(タイムスタンプ サーバ)暗号化したまま自 動復号、タイムスタンプ、 PDFファイル生成、再暗号 化を自動化ファイルサーバで集中管理(全ファイル暗号化管理)
FW 協力会社 子会社 FW ネットワーク接続不可
