GlobalProtect™: モバイル デバイスの安全な使用

P A L O A L T O N E T W O R K S : GlobalProtect データシート
GlobalProtect ™ : モバイル デバイスの安全な使用
GlobalProtect は、様々なモバイルデ
バイスを管理、保護、制御をおこなう
統合ソリューションです。
本社の
ユーザー
出張先の
社員
GlobalProtect のコンポーネント :
Gl oba
lP
• GlobalProtect ゲートウェイ : モバイルを脅威から
保護し、アプリ、ユーザー、コンテンツ、デバイス、
を
rotect: あらゆる場所で一貫したセキュリティ
デバイスの状態に応じたポリシーの適用が可能
• GlobalProtect アプリ : デバイス管理を行い、デバ
イスの状態に関する情報を確認でき、安全な接続
重役
を提供
• GlobalProtect Mobile Security Manager: デ バ イ
スおよびアプリの管理、マルウェアの検出を行い、
デバイスの状態に関する情報を GlobalProtect ゲー
トウェイと共有
モバイル
プロフェッショナル
モバイル コンピューティングは、情報テクノロジにおける最も
革新的な手法の一つです。これによって、従業員の仕事のやり
方や仕事の場所は大きく変革し、仕事に使用するツールも変化
します。モバイル デバイスは、社内電子メールなどの既存のア
プリケーションにアクセスする手段であるだけでなく、まった
く新しいビジネスの方法を切り開くプラットフォームでもあり
ます。
組織は、モバイル デバイスが直面するリスクを管理するための対策を講じる必要があり
ます。モバイルデバイスの利点を活かし、モバイル デバイスを安全に使用できるように
するために、企業は次の事を行う必要があります。
デバイスの管理
• 適切なセキュリティ設定でデバイスを構成することにより、デバイスの安全な使用を
確保します。電子メールのアカウント設定および証明書などの認証情報のような一般
的な設定をプロビジョニングすることで、デプロイメントおよびセットアップを簡易
化します。
デバイスの保護
• モバイル機器をエクスプロイトおよびマルウェアから保護します。セキュリティが侵
害されたデバイス上ではデータも安全ではないため、デバイスの保護はデータ保護に
も重要な役割を果たします。
データの制御
• データへのアクセスやアプリケーション間のデータ移動を制御します。機密性の高い
アプリケーションにアクセスできるユーザーや、使用できる特定のデバイスを定義す
るポリシーを確立します。
Palo Alto Networks® の GlobalProtect の紹介
Palo Alto Networks の GlobalProtect は、デバイス管理、デバイス保護およびデータ制
御を行う、他に類のないソリューションを提供することで、ビジネスにおけるモバイル
デバイスの安全な使用と社内リソースの保護を可能にします。必要なテクノロジおよび
インテリジェンスを組み合わせ、モバイル セキュリティの包括的なソリューションを提
供します。これにより、組織はモバイルの脅威を防止し、セキュリティ ポリシーを適用
し、セキュリティ侵害のあった非準拠モバイル デバイスからリソースを保護することが
可能になります。
P A L O A L T O N E T W O R K S : GlobalProtect データシート
GlobalProtect には次の 3 つの主要なコンポーネントがあります。
• GlobalProtect ゲートウェイ : モバイルを脅威から保護し、アプリ、ユー
ザー、コンテンツ、デバイス、デバイスの状態に応じたポリシーの適
用を可能にします。GlobalProtect アプリを使用しているモバイル デ
バイスとの間に VPN トンネルを確立します。WildFire と統合して、
新しいマルウェアに対する防御を可能にします。
• GlobalProtect アプリ : デバイス管理を行い、デバイスの状態に関す
る情報を確認し、安全な接続を確立します。GlobalProtect ゲートウェ
イに接続し、ポリシーに従ってアプリケーションおよびデータにアク
セスします。デバイスの設定およびデバイスの状態を GlobalProtect
Mobile Security Manager と交換します。
• GlobalProtect Mobile Security Manager: デバイスの管理手段を提供
し、デバイスを設定できるようにします。WildFire マルウェア シグ
ネチャを使用して、感染したアプリが含まれているデバイスを特定し
ます。セキュリティ ポリシーを適用するために、デバイスの情報や
デバイスの状態に関する情報を GlobalProtect ゲートウェイと共有し
ます。ビジネス アプリを管理するためのエンタープライズ アプリ ス
トアをホストします。ビジネス アプリと個人用アプリの間のデータ
の移動を制御することでビジネス データを分離します。
GlobalProtect ゲートウェイ
GlobalProtect ゲートウェイは、VPN 接続を確立してトラフィックを保
護し、ポリシーを適用してアプリケーションおよびデータへのアクセス
を管理し、モバイルの脅威に対する保護を提供します。GlobalProtect ゲー
トウェイは、Palo Alto Networks の次世代ファイアウォール上で実行さ
れます。このファイアウォールは、ハードウェア (PA-3000 シリーズや
PA-200 など )、仮想化 (VM-Series など ) フォームファクタの形で提供さ
れます。
ネットワーク プライバシーおよびあらゆる場所における
一貫したセキュリティのための IPSec/SSL VPN 接続
GlobalProtect ゲートウェイは、ネットワーク トラフィック保護のために、
GlobalProtect アプリを使用しているモバイル デバイスに IPsec および
SSL VPN 接続を提供します。VPN 接続によって、モバイル デバイスを
ホテル、会議場、コーヒー ショップなどの公共の場所で使用している場
合であっても、ネットワーク プライバシーが確保されます。さまざまな
地域にいるユーザーにサービスを提供するために、複数の GlobalProtect
ゲートウェイをデプロイでき、GlobalProtect アプリによって、その場
所に応じた最高のパフォーマンスを得られる最適なゲートウェイが自動
的に選択されます。
VPN 接 続 の 接 続 先 は、 次 世 代 フ ァ イ ア ウ ォ ー ル 上 で 動 作 し て い る
GlobalProtect ゲートウェイであるため、ユーザーのいる場所に関係
なくネットワーク セキュリティ ポリシーが一貫して適用されます。
GlobalProtect は、接続が使用可能であればいつでも自動的に VPN 接続
を確立でき、ユーザーがどこに行っても同じポリシーでローカルおよび
リモートのユーザーを一貫して保護する「論理的」境界領域を拡張でき
ます。
モバイルの脅威防御
GlobalProtect ゲートウェイは、次世代ファイアウォールのテクノロジ
を使用してモバイルの脅威防御を提供します。このゲートウェイは、最
新のモバイル アプリや脅威に関するインテリジェンスを収集、配布する
システムによって動作します。脅威防御テクノロジは、エクスプロイト、
マルウェア、悪意のある URL、コマンド アンド コントロール トラフィッ
クを特定し、遮断することで、モダン マルウェアのライフサイクルを破
壊します。
ま た、 新 た に 出 現 す る 脅 威 を 特 定 す る た め、Palo Alto Networks の
WildFire は、世界中のアプリ ストアおよび GlobalProtect ゲートウェ
イから収集したサンプルの動作を動的に分析します。WildFire で新し
いマルウェアが発見されると、GlobalProtect ゲートウェイ ( 脅威防御
用 ) および GlobalProtect Mobile Security Manager ( マルウェアに感染
したデバイスの検出用 ) に新しいシグネチャが自動的に提供されます。
GlobalProtect は、ユーザーに通知し、ネットワークの機密性の高い部
2 ページ
分へのアクセスを制限することで、感染したデバイスに自動的に対処で
きます。
アプリケーションとデータへのアクセスを制御
セキュリティ チームは、特定のアプリケーションにアクセスするユーザー
およびデバイスに対する詳細な制御を維持するために、アプリケーション、
ユーザー、コンテンツ、デバイス、およびデバイスの状態に応じてポリシー
を確立できます。
GlobalProtect は、ホスト情報プロファイル (HIP) を使用して、デバイス
の情報やデバイスの状態に関する情報を共有します。ホスト情報プロファ
イルには、デバイスの特性、設定および状態に関する情報が含まれてお
り、そのデバイスがアクセスできるリソースに関するポリシーの決定に
使用できます。たとえば、組織は、承認された従業員に対して、会社の
デバイスから顧客データにアクセスすることを許可する一方で、個人的
に所有しているデバイスからのアクセスを禁止できます。
組織では、必要に応じて、デバイスの他の特性に応じてアクセスを制限
するポリシーを適用することが必要になります。たとえば、現行のオペ
レーティング システムを使用しているデバイスにはフル アクセスを許
可する一方で、古いサポートされていないプラットフォームのデバイス
に対してはアクセスを制限する必要が生じる場合があります。
ファイル ブロッキングおよびデータ フィルタリングによる
データの移動の制御
GlobalProtect ゲートウェイには、データの移動を制御するための、ファ
イルおよびデータのフィルタリング テクノロジが組み込まれています。
データ フィルタリング機能により、管理者は、許可されていないファイ
ルやデータの転送に伴うリスクを軽減するポリシーを実装できます。
ファイル ブロッキングおよびデータ フィルタリングの方法には次のも
のがあります。
• ファイルブロッキングタイプ : ポリシーに基づいて特定の種類のファ
イルの転送を制御します。
• データ フィルタリング : クレジット カードや社会保障番号など機密
性の高いデータ パターンの転送を制御します。
• ファイル転送機能の制御 : ユーザーにアプリケーションへのアクセス
を許可するが、ファイル転送機能の使用は制限または禁止します。
内部ゲートウェイ
GlobalProtect ゲートウェイは、内部ネットワークのセキュリティの強
化にも使用できます。多くの組織では、ローカル ネットワークに接続
するすべてのユーザーを暗黙的に信頼するのではなく、ユーザーが特定
されるまでは誰も信頼しないというポリシーを採用しています。内部の
GlobalProtect ゲートウェイによって、機密性の高いアプリケーション
へのアクセスを提供する前に、ユーザーの ID およびデバイスの状態を
確認することで、より強力な内部制御を確立できます。
GlobalProtect アプリ
モバイル デバイス上の GlobalProtect アプリは、トラフィックを保護
し、セキュリティ ポリシーを適用するために、GlobalProtect ゲート
ウェイへのデバイスレベルの VPN 接続を確立します。このアプリは
GlobalProtect Mobile Security Manager にも接続し、デバイス管理を可
能にし、デバイスの状態に関する情報を共有します。GlobalProtect ア
プリは、場所に応じた最適なゲートウェイを自動的に選択し、セキュリ
ティに関するユーザー エクスペリエンスを透過的にすることができます。
iOS デバイスでは、GlobalProtect アプリをアプリレベルの VPN として
設定できます。
GlobalProtect Mobile Security Manager
GlobalProtect Mobile Security Manager によって、ビジネス環境での使
用に適するようにデバイスが設定され、ビジネス アプリの配布が管理
され、モバイル デバイス上に存在するデータの保護が提供されます。
GlobalProtect Mobile Security Manager は、GP-100 アプライアンス上
で動作し、GlobalProtect ゲートウェイおよび GlobalProtect アプリと連
携します。
P A L O A L T O N E T W O R K S : GlobalProtect データシート
デバイス管理
GlobalProtect Mobile Security Manager は、パスコードおよびパスワー
ドの複雑性に対する要件などのデバイス設定を管理します。セキュリティ
チームによっては、特定のデバイス機能 ( カメラなど ) を無効化するポ
リシーを作成する必要が生じる場合があります。さらに、GlobalProtect
Mobile Security Manager では、電子メールのアカウント設定、VPN お
よび Wi-Fi ネットワークを設定できます。
GlobalProtect Mobile Security Manager は、リモートからのデバイスの
ロックまたはロック解除、紛失したデバイスのワイプなどの重要な操作
を実行することで、モバイル デバイスに関する問題を抱えているユーザー
を支援できます。
• アプリの管理と配布 GlobalProtect Mobile Security Manager は、エン
タープライズ アプリ ストアとしてセットアップできます。Apple App
Store、Apple Volume Purchase Program (VPP)、および Google Play
からモバイル デバイスにビジネス アプリケーションをプッシュする
ことができ、仕事で必要なアプリをユーザーが取得できるようにします。
ビジネス データのセグメンテーション
iOS7 以降の場合 :
• ビジネス データの分離とデータ移動の管理 :
GlobalProtect Mobile Security Manager は、管理対象のビジネス アプ
リから個人用アプリへのビジネス データの横方向の移動を制御する
手段を提供することで、ビジネス データと個人データを分離できます。
デバイスの状態
GlobalProtect Mobile Security Manager は、継続的なチェックを実行
し、管理対象のモバイル デバイスの設定と状態をモニタリングします。
デバイスの状態に関する情報は、セキュリティ ポリシーの継続的な順守
のために重要な役割を果たし、これにより、セキュリティ チームが組織
内のデバイスおよびアプリの使用を完全に掌握できるようになります。
デバイスの状態は、デバイスが root 化 /jailbreak されたかどうかなどい
くつかのリスクの高い状況を管理者が特定するのに役立ちます。
GlobalProtect Mobile Security Manager は、デバイスの状態に関する
情報を GlobalProtect ゲートウェイと共有し、GlobalProtect ゲートウェ
イはこの情報を使用してセキュリティ ポリシーを決定します。たとえば、
アクセス レベルを決定したり、非準拠デバイスやセキュリティ侵害のあっ
たデバイスからのアクセスを排除したりするための条件としてデバイス
の状態を使用するポリシーを設定できます。
GlobalProtect Mobile Security Manager は、デバイス上のアプリケー
ションのインベントリを取得し、WildFire からのシグネチャを使用して
マルウェアを検出します。GlobalProtect Mobile Security Manager によっ
てマルウェアが検出されると、GlobalProtect ゲートウェイでは、問題
が修正されるまでそのデバイスがアクセスできるリソースを制限する処
置を講じることができます。
• 選択的ワイプ : 選択的ワイプを利用すると、管理対象のアプリ、アカ
ウントおよびデータを、ユーザーの他の個人用コンテンツに影響を与
えることなくワイプできます。
GlobalProtect ゲートウェイの仕様
VPN 接続
•
•
•
•
•
IPsec
SSL
最適なゲートウェイの自動検出
手動ゲートウェイ選択
自動または手動による接続
インテリジェントなポリシー エンジン
• 詳細な可視化およびトラフィック分類
• アプリケーション、ユーザー、コンテンツ、デバイスおよびデバイスの
状態に応じたポリシー
デバイスの状態
ホスト情報プロファイル (HIP) は、エンドポイント / モバイル デバイスの状
況に関するデバイスの詳細な状態を提供します。
Windows および Mac プラットフォームの場合、ホスト情報プロファイル (HIP)
には次の追加情報が含まれます。
•
•
•
•
パッチ管理
アンチウイルスのホスト
ディスクの暗号化
データ損失防止
•
•
•
•
アンチスパイウェアのホスト
ファイアウォールのホスト
ディスク バックアップ
カスタマイズされたホストの条件 ( 例 : レ
ジストリ エントリ、実行ソフトウェア )
iOS および Android プラットフォームの場合、ホスト情報プロファイルに
は次のデバイスの状態情報が含まれます。
• 管理対象 / 管理対象外デバイスの • jailbreak/root 化
• マルウェア感染
状態
3 ページ
• デバイスの所有者
( 会社 /BYOD)
• デバイスのセキュリティ設定
( デバイス パスコードの状態、
暗号化 )
モバイルの脅威防御
• IMEI
• シリアル番号
• ホワイトリストに登録されてい
るアプリ
• ブラックリストに登録されてい
るアプリ
• 脆弱性 (IPS) とマルウェア (AV) からの保護
• 悪意のある Web サイトから保護するための URL フィルタリング
• WildFire の静的解析や動的解析
認証
次のものを含むすべての PAN-OS ™ 認証方法がサポートされています。
• Kerberos
• RADIUS
• LDAP
• クライアント証明書
• ローカル ユーザー データベース
2 要素認証 : 証明書とパスワード、ワンタイム パスワード、スマート カード
Windows の場合 : Windows ログイン プラットフォームを通じてシングル
サインオンをサポートします。このプラットフォームには、ハードウェア
(PA-5000 シリーズ、PA-3000 シリーズ、PA-200 など )、仮想 (VM-Series)
フォーム ファクタが含まれます。
プラットフォーム
• Palo Alto Networks の次世代セキュリティ プラットフォーム。このプラッ
トフォームには、ハードウェア (PA-5000 シリーズ、PA-3000 シリーズ、
PA-200 など )、仮想 (VM-Series) フォーム ファクタが含まれます。
P A L O A L T O N E T W O R K S : GlobalProtect データシート
GlobalProtect Mobile Security Manager の仕様
GP-100 の仕様
デバイス設定の管理
I/O
モバイル デバイスの設定管理には次のものが含まれます :
• パスコード
• 証明書
• デバイスの制限
• 電子メール アカウントの設定
• Wi-Fi ネットワーク
• VPN の設定
• (4) 10/100/1000 (1)、DB9 コンソール シリアル ポート
デバイスの状態の検出
可視化、コンプライアンス、およびポリシーの自動適用のためのデバイス
の状態の取得。検出されるデバイスの状態には次のものがあります :
• デバイスのオペレーティング システム
• デバイスの識別子 : シリアル番号、IMEI
• jailbreak/root 化
• ホワイトリストに登録されているアプリ
• マルウェア感染
• ブラックリストに登録されているアプリ
ストレージ
• GP-100 1TB RAID: 2 x 1TB RAID 認証 HDD による 1TB の RAID ストレージ
電源 ( 平均 / 最大消費電力 )
• 500W/500W
• 最大 BTU/HR
• 1,705
入力電圧 ( 入力周波数 )
• 100-240VAC (50-60Hz)
最大消費電流
• 10A@100VAC
MTBF ( 平均故障間隔 )
操作
• 14.5 年
•
•
•
•
•
•
•
ラック マウント ( 寸法 )
デバイスのワイプ
選択的ワイプ
デバイスのロック
デバイスのロック解除
デバイスの探索
デバイスへのポリシーのプッシュ
デバイスへのメッセージの送信
• 1U、19 インチ標準ラック ( 高さ 4.45cm × 奥行 58.4cm × 幅 43.7cm)
重量 ( スタンドアロン デバイス / 出荷時 )
• 約 12.1 kg (26.7 ポンド ) / 15.9 kg (35 ポンド )
安全性
マルウェアの検出
• WildFire からのシグネチャを使用した Android デバイス上のマルウェア
の検出
• UL、CUL、CB
• EMI
• FCC Class A、CE Class A、VCCI Class A
レポート
環境
• デバイスの使用状況、デバイスの状態、ポリシー コンプライアンスに関
するダッシュボードとレポート作成機能
• 動作温度 : 5∼40℃、40∼104F
• 動作時以外の温度 : -40∼65℃、-40∼149F
プラットフォーム
• Palo Alto Networks GP-100
• サポートされるデバイスの最大数 : 100,000
GlobalProtect アプリの仕様
サポートされているプラットフォーム
サポート言語
•
•
•
•
•
•
•
•
•
•
•
Windows 8.1、8、7、Vista、XP
Mac OS X 10.6 以降
Android 4.0.3 以降
Apple iOS 6.0 以降
Linux ( サードパーティの vpnc クライアントを使用してサポート )
〒102-0094
千代田区紀尾井町4番3号
泉館紀尾井町3F
電話番号 : 03-3511-4050
[email protected]
www.paloaltonetworks.jp
英語
スペイン語
ドイツ語
フランス語
日本語
中国語
Copyright ©2014, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks、
Palo Alto Networks ロ ゴ、PAN-OS、App-ID、お よ び Panorama は、Palo Alto
Networks, Inc. の商標です。製品の仕様は予告なく変更となる場合があります。
パロアルトネットワークスは、本書のいかなる不正確な記述についても一切責
任を負わず、また本書の情報を更新する義務も一切負いません。パロアルトネッ
トワークスは予告なく本書の変更、修正、移譲、改訂を行う権利を保有します。
PAN_DS_GP_100214