Windows Server 2003 セキュリティ対策と企業情報保護デル株式会社デル・プロフェッショナル・サービス事業部 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 企業を脅かすセキュリティ・リスク情報システムにおけるセキュリティ関連の被害と課題外部からのウイルス感染 7% 1% 内部からのウイルス感染 23% 7% 内部からの情報漏洩 8% 外部からの不正アクセス盗聴、なりすまし 16% 21% DoSによるシステムダウン無線LAN利用時のデータ流出 17% その他 @IT (2004.6) より • ウイルス感染 (44%) – ウイルス対策ソフトの未導入、パターンファイルの未更新、セキュリティパッチの未適用 • 情報漏洩 (17%) – モバイルPC の盗難や紛失、外部メディアを利用したデータの持ち出し、メールの誤送信・不正モバイルPCの盗難や紛失、外部メディアを利用したデータの持ち出し、メールの誤送信・不正使用、印刷物の放置・紛失 • 不正アクセス・サービス防止攻撃 (16%) – パスワード管理の未徹底、不要なポート・サービスの起動 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems 情報システムにおけるセキュリティ対策手段 • ウイルス感染、不正アクセス・サービス防止攻撃対策 – ウイルスソフトの導入 – 適切なパッチの適用 – パーソナルファイヤーウォールの導入 • 情報漏洩対策 – 外部メディアへの持ち出し – 印刷による持ち出し – 適切なアクセス権の設定 • セキュリティ基盤の確立 – ユーザ情報、パスワード情報の一元管理 – 認証システム – アクセス制御 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems パッチマネージメント Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems パッチ管理のライフサイクル管理対象のPCの現状把握と分析 • TechNetセキュリティセンター • プロダクトセキュリティ警告サービス • Microsoft Baseline Security Analyzer (MBSA) • Systems Management Server 2003 (SMS 2003) パッチ管理のパッチ管理のライフサイクル展開前テストと本番環境への展開 • Microsoft Baseline Security Analyzer • Systems Management Server 2003 展開後の確認とフォローアップ Enterprise Dell Days – Sep. 3rd/ 9th, 2004 • Microsoft Software Update Services 1.0 SP1(SUS) • Systems Management Server 2003 Enterprise Systems Software Update Services 1.0 SP1 (SUS) • Windows Updateと同期した更新プログラムの展開が可能 – 「重要な更新」モジュールの社内展開が可能 – 適用漏れの防止 – インターネット回線が混雑しない • クライアントPC管理システムとの連携 (SMS) – インベントリ情報を基にした配布対象の絞込みが可能毎に設定可能 – 強制配布やスケジューリング配布など、クライアントPC 強制配布やスケジューリング配布など、クライアントPC毎に設定可能 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems クライアントPC管理システム Systems Management Server 2003 (SMS 2003) • セキュリティ情報の入手と分析 – クライアントPCのパッチ適用状況の把握 – インベントリ情報を基にした配布対象の絞込みが可能 – SUS との連携 • パッチ、ウイルスパターン、ソフトウェア等の柔軟な配布 – 強制配布やスケジューリング配布など、クライアントPC毎に設定可能 – SUS との連携 • 台帳管理 – ハードウェア、ソフトウェア、サービス、ロケーション、一般的なプロパティ – カスタマイズフィールドも利用可能 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems SMS + SUS によるパッチマネジメントのメリット × • Windows Update → Local Administrators権限を与えない • 更新プログラムはバックグラウンドで適用 (ログオフ中も適用） • 最小限の再起動回数によりユーザインパクトを最小化 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems 企業情報保護 ~ 情報漏洩防止、データ保護ソリューション ~ Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems 情報漏洩防止のために多層防御の考え方に基づくセキュリティ対策 • 運用方法全般に関するポリシーの策定運用レイヤーアプリケーションレイヤー – – 運用ポリシーの策定、ユーザ教育定期的な監査 (ログ監査) ログ監査) により、事故の機会を低減 • パッケージ製品やアドオンにて対応 – – – アプリケーションの機能強化によりセキュリティを増強情報の改ざん、漏洩防止アクセスログの取得によるデータに対する操作の特定 • セキュリティ基盤の確立 (Active Directory) インフラレイヤー Enterprise Dell Days – Sep. 3rd/ 9th, 2004 – – – ユーザ情報やパスワードの一元管理ユーザ情報やパスワードの一元管理認証やアクセス制御の仕組みをきめ細かいアクセス権設定により、必要な人にのみ、のみ、きめ細かいアクセス権設定により、必要な人に必要な情報を公開 Enterprise Systems Active Directory • セキュリティ基盤の確立 – ユーザ情報、パスワードの一元管理 – 認証 – アクセス制御 • グループポリシーにより、セキュリティを増強 – パスワードの有効期限、複雑さ、履歴 – 監査ログ ∼ ファイルサーバ上のファイルに対する操作履歴 – ローカルデバイスの利用制限 • – – FD、 FD、USBデバイス、ローカルドライブ USBデバイス、ローカルドライブプリンタの追加制限各種ソフトウェアの利用制限 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems 秘文 Advanced Edition 秘文AE 秘文AE InformationCypher (秘文AE 秘文AE IC) 秘文AE 秘文AE 管理サーバ暗号化 z z ローカルディスクの暗号化ローカルディスクの暗号化 z z 持ち出しメディアの暗号化持ち出しメディアの暗号化クライアント管理秘文AE 秘文AE InformationFortress *1 (秘文AE 秘文AE IF) 各サーバの管理持ち出し制御 z メディアへの持ち出し・印刷制御 zメディアへの持ち出し・印刷制御 z ログ取得 zログ取得ログ秘文AE 秘文AE ログサーバアクセス制御 (共有ファイル暗号化)*1 z z 共有ファイル暗号化とアクセス制御共有ファイル暗号化とアクセス制御 z z ログ取得ログ取得本機能は、秘文AE AE--IC、本機能は、秘文 IC、秘文AE 秘文AE--IFに同梱されている機能です IFに同梱されている機能です本機能は、秘文AE-IC、秘文AE-IFに同梱されている機能です共有機密フォルダ秘文AE 秘文AE ファイルサーバ *1：秘文 AE‐ ‐IF、 *1：秘文AE IF、アクセス制御、アクセス制御、ログ取得のご利用は秘文ＡＥサーバの導入が前提です。ログ取得のご利用は秘文ＡＥサーバの導入が前提です。 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems Windows Rights Management Services (RMS) • 情報そのものを保護する仕組み – – システム概念図 Windows Server 2003の追加コンポー 2003の追加コンポーネント Office 2003に実装される、データ保護 2003に実装される、データ保護の機能 (IRM) • 電子メールのデータ保護 – – Outlook 2003との組み合わせ 2003との組み合わせ – 有効期限を指定した閲覧の制限 SQL AD RMS ファイルに対するポリシーの保存 ※コンテンツにアクセスする度に認証転送や添付ファイルの複製、印刷を制限 • Officeドキュメントのデータ保護 Officeドキュメントのデータ保護 – ユーザの閲覧や編集、複製、印刷を制限 – 有効期限を指定した閲覧の制限 • Webページのデータ保護 Webページのデータ保護 – – IEにアドオンを追加 IEにアドオンを追加 Webページの閲覧や複製、 Webページの閲覧や複製、複製 × 編集 × 閲覧 ○ 印刷 ○ 作成者使用者複製 × 編集 × 閲覧 ○ 印刷 ○ 作成者がファイルにポリシーを設定すると、使用者がそのコンテンツを利用する際に認証がかかり、厳格なセキュリティ管理が可能印刷を制限 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems 秘文とRMSのすみ分け秘文からRMSへの導入ステップ • First Step ~ 秘文 Advanced Edition – 従業員の情報漏洩防止対策を根付かせる • • • システム管理者が一元的に情報漏洩対策のポリシーを管理組織で管理された共有データ、多様なドキュメントのセキュリティ PCの盗難紛失対策、メディア媒体持ち出し対策 PCの盗難紛失対策、メディア媒体持ち出し対策など • Second Step ~ RMS – セキュリティ意識の高いユーザにより、更なる情報漏洩防止強化 • • 個人レベルでのセキュリティ制御ユーザが個人で管理するコンテンツなど、共有フォルダ以外での管理ドキュメント – 役員取扱Office 文書の漏洩対策、グループウェア・ドキュメント管理・Office Office文書の文書の役員取扱Office文書の漏洩対策、グループウェア・ドキュメント管理・漏洩対策など Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Enterprise Systems Dell のセキュリティーソリューション Client Platform Mail DB 情報漏洩防止、データ保護 - Windows Rights Management Services (RMS) - 秘文 Advanced Edition Security Steps 資産管理 SMS / Altiris ポータル SharePoint Portal Server スパム対策 SPAM Flow Control Filter 構成管理 SMS / Altiris 情報共有 / アクセス権 SharePoint Services メール監査 AntiLeak (for Exchange) パッチ配布 SUS ユーザ管理 AD / Exchange メールアンチウイルス AntiVirus Option DB暗号化 DB暗号化暗号化システム for SQL Server レガシークライアントマイグレーション NTマイグレーション NTマイグレーションサーバ統合ストレージ統合メールグループウェア Exchange Server DB統合 DB統合デスクトップDB 統合デスクトップDB統合セキュリティ基盤 (ユーザ情報の一元管理、アクセス制御、証明書サービス) ユーザ情報の一元管理、アクセス制御、証明書サービス) Active Directoryによる認証・許可・監査基盤の構築 Directoryによる認証・許可・監査基盤の構築 Client 関連セキュリティ強化 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 Server 関連セキュリティ強化 Enterprise Systems ご提供ソリューション • お客様のニーズに合わせ、システムの設計からサポートまでワンストップで提供いたしますコンサルティング導入後の運用サポート管理者教育 Enterprise Dell Days – Sep. 3rd/ 9th, 2004 要件定義システム設計ハードウェアサイジング導入 / 設定 / 開発 Enterprise Systems