クラウド時代のセキュリティ運用課題 従来 主流であったオンサイト作業は 少なくなり インターネット経由 VPN 経由によるリモート運用が中心となってきています オンプレミス プライベートクラウド パブリッククラウド A 社システム部門運用代行業者システム開発ベンダ 作業立会いができない 無断作業 D

2015年9月

株式会社富士通ソーシアルサイエンスラボラトリ

SaaS型IT運用基盤サービス

「Vistara」

クラウド時代のセキュリティ運用課題

A社 システム部門 運用代行業者 システム開発ベンダ 無断作業 作業立会いが できない アクセス可能 DBの情報に パブリッククラウド プライベートクラウド オンプレミス

システムへのリモートアクセスに対して、

システム管理者による

統制が効かない

従来、主流であったオンサイト作業は、少なくなり、

インターネット経由、VPN経由による

リモート運用が中心

となってきています

Vistaraによる課題解決

Copyright 2015 Fujitsu Social Science Laboratory Limited

A社 システム部門 運用代行業者 システム開発ベンダ パブリッククラウド プライベートクラウド オンプレミス 作業の証跡が取れるので、 作業内容を把握できる _{画面操作のみ許可し、} データの持ち出しを禁止 作業申請で払い出される 貸出IDで作業 不正の抑止効果もある GW _{ゲートウェイ}リモート管理用の _または エージェントを配置 GW A A A

Vistaraでハイブリッドクラウドのサーバを管理することにより、

セキュリティを担保

しながら、

リモート運用の利便性を確保

できます

※VistaraはVistaNet株式会社が運営するクラウドサービスです 監査証跡 アクセス制御 ID貸出 パッチ管理 2

Vistaraの特長

ハイブリッドクラウドのサーバを一元管理できる

運用基盤をSaaSで提供

契約すればすぐにリモート運用開始

管理サーバ数に応じた月額課金

証跡や作業申請機能を標準装備

作業申請ベースによる

時間制限でのID貸し出し

セキュアリモートアクセス

（アクセス制御 – 画面録画）

OSパッチ管理

（Windows, Linux）

レポーティング

（随時、週次、月次等）

今後、システム運用全体をカバーできる基盤として、

モニタやジョブなどの機能を提供予定です。

内部セグメント

機能説明（リモート接続）

Copyright 2015 Fujitsu Social Science Laboratory Limited

AP SO AP SO AP SO

サービス

ポータル

HTTPS SSH

ゲートウェイとエージェントは

Vistaraサービスポータルへ

コネクションを接続（常時接続）

インターネットにアクセスできれば、

どこからでも接続可能

インターネット

システムにゲートウェイまたはエージェントを導入するだけで

ブラウザから

リモート接続可能（RDP/VNC/SSH/TELNET）

A

GW

A

A

HTTPS AP SO

A

HTTPS 外部セグメント 内部セグメントのエージェントは ゲートウェイ経由で接続 （パッチ管理機能を使用しない場合は、 エージェントレスも可能）

それぞれのクラウドや拠点にVPNなどの回線は不要

4

After

Before

共用IDの利用者特定

Administrator Administrator Administrator Administrator サーバ yamada suzuki tanaka sasaki yamada suzuki tanaka sasaki サーバ

特権IDを複数人で共用している

特権IDを共用しているサーバでも個人を特定

全員がAdministratorで

ログインするので、

区別がつかない

Vistaraに個人IDでログインするため、

特権IDの利用者を特定可能

Administrator Administrator Administrator Administrator 作業者 作業者

機能説明（操作画面記録）



すべてのセッション (RDP/VNC/SSH/TELNET)の録画が可能



オペレーションの適正さや、エラーメッセージの確認に利用可能



障害発生時の追跡用の情報として活用可能



担当変更による引き継ぎに活用可能



作業エビデンスの自動取得によりコスト削減可能

Copyright 2015 Fujitsu Social Science Laboratory Limited

誰が

何に

いつ

何をした

操作画面を再現

VPN

アプリケーション操作の記録

Before

従来、PCで動かしていたアプリケーションを ターミナルサーバ上で動かしてその操作画面を録画 運用者PC サーバ サーバ 運用者PC _{ターミナルサーバ} Windows Vistara対応プロトコル （RDP/VNC/SSH/TELNET） 以外のアプリケーション通信

ブラウザや各種アプリケーションクライアントの操作など、Vistaraで対応していない

プロトコルを使って操作する場合は、Windowsターミナルサーバのアプリケーション

操作を録画することで証跡を取得可能です。

RDP アプリケーション通信 ターミナルサーバの画面

After

録画

アプリケーション クライアント アプリケーション クライアント

クラウドでのログ保存

Copyright 2015 Fujitsu Social Science Laboratory Limited

A社ログ B社ログ C社ログ

各社のログは、 1年間分保存され、 それ以前のログは、 自動的に削除されます クラウド上でのログの保存期間を拡張する サービスの提供を予定しております クラウド上のログの暗号化して保存する 機能を実装する予定です

D社ログ

A社ユーザ

ログへのアクセスは 認証したユーザにより 制御されているため、 他社のログには アクセスできません 8

機能説明（アクセス制御）

サーバへのリモート接続やログ参照、ユーザ管理、デバイス管理など、

各操作へ対して、参照のみ、編集可能など、きめ細かく設定が可能です。

各操作に対して 利用シーンに合わせた きめ細かい定義が可能です。

定義したパーミッションセットを利用して、どのユーザが、どのデバイスに

アクセスできるのかという紐付けをロールによって管理できます。

管理者用パーミッション システムA管理者ロール 運用者用パーミッション システムA運用者ロール 管理者用パーミッション システムB管理者ロール 運用者用パーミッション システムB運用者ロール システムAサーバ システムA管理者 システムAサーバ システムA運用者 システムBサーバ システムB管理者 システムBサーバ システムB運用者

機能説明（作業申請によるID貸出）

Copyright 2015 Fujitsu Social Science Laboratory Limited

運用代行業者 作業者 A社 システム管理者 申請内容に基づいて Vistaraへ期限付き 作業リクエストを作成 作業申請書 作業内容： … 作業時間：… 作業者： … 作業対象： …

2

作業はシステム管理者へ 作業申請を送付 作業リクエストを使用して 許可されたサーバへ接続

3

作業対象サーバ

1

システム部門の責任者などが承認するための ワークフローの実装は2015年10月以降の予定です 作業 リクエスト 申請した作業時間を過ぎると 作業リクエストは無効化され、 サーバへ接続できなくなる

4

サーバへのリモート接続を作業申請をベースに管理することで、

リモートからの

サーバアクセスを統制

することが可能です。

ID PW 管理者が設定したサーバの IDとパスワードを使い 自動ログインが可能 （作業者へのPW通知は不要） 10

機能説明（パッチ管理）

パッチ管理機能を利用するためには、

エージェントの導入が必須です

サーバ（Windows, Linux）へのOSパッチの適用をVistaraから

管理することが可能です。

システム管理者 外部公開システム 基幹システム

外部公開システムは

パッチ公開後に

すぐに自動適用

基幹システムは

パッチの影響を検証後に

承認してから適用

システムのリスクに合わせた

パッチ管理ができる

パッチ適用ポリシーの設定 パッチ適用の承認

機能説明（ハイブリッドクラウド管理）

Copyright 2015 Fujitsu Social Science Laboratory Limited

▼本社内設備 ├ ４階 │ ├ サーバルーム │ └ クライアントＰＣ │ ├ ５階 └ ６階 ▼プライベートクラウド ├ Aシステム ├ Bシステム │ └ ESXi 01 │ ├ Win_VM01 │ └ Win_VM02 └ Cシステム ▼パブリッククラウド ├ キャンペーンWeb ├ BシステムWeb └ Cシステム開発環境 A社 システム部門 運用代行業者 システム開発ベンダ パブリッククラウド プライベートクラウド オンプレミス

ハイブリッドクラウド環境のシステムを

共通の画面で管理

し、

同じレベルのセキュリティ管理

を適用できます。

監査証跡

アクセス制御

作業申請

パッチ管理

12

Vistara利用時のアクセス制御

ハイブリッドクラウド環境をVisataで管理して、セキュリティの

統制を取るためには、

Vistaraを利用しないサーバへのアクセス

を制限

する必要があります。

パブリッククラウド クラウドの 管理ポータル クラウドの管理ポータルから 仮想マシンの操作やコンソールへの アクセスを禁止するため、 管理ポータルへのログインを許可しない 同じ拠点のサーバへ直接アクセスできないように ネットワーク機器で通信を遮断する 必ずVistaraを経由するように制御

システム要件

Copyright 2015 Fujitsu Social Science Laboratory Limited

リモートアクセス用ゲートウェイ システム要件

OSパッチ管理用エージェント システム要件

管理対象数 25台以下 100台以下 500台以下 CPU 2.3GHz×2コア 2.3GHz×4コア 2.3GHz×8コア メモリ 2GB 4GB 8GB HDD 40GB 40GB 100GB

HyperVisor VMware ESXi, Citrix XenServer,

Microsoft Hyper-V and KVM

OS バージョン

Windows Windows Server 2003/2003 R2 Windows Server 2008/2008 R2 Windows Server 2012/2012 R2

Linux

Red Hat Enterprise Linux 5.x/6.x/7.x Oracle Enterprise Linux 5.x/6.x/7.x CentOS 5.x/6.x/7.x

Debian GNU/Linux Ubuntu 10.x以上 Fedora 17.x以上

SuSE Linux Enterprise Server 11.x Amazon Linux AMI 2012.03～2014.09

記載の内容は、2015年9月現在のものです。

株 式 会 社

富士通ソーシアルサイエンスラボラトリ

(富士通ＳＳＬ)

http://www.ssl.fujitsu.com

E-mail：ssl-info@cs.jp.fujitsu.com

お問い合わせ