セキュリティとデータ保護 - JBCCホールディングス株式会社

はじまる。人・環境・ITの新しいかたち
JB Group IT Forum 2012
仮想化時代のセキュリティ/データ保護
JBCC株式会社
サービス事業部技術推進
永田桂史
Copyright (C) 2012 JBCC Holdings Inc.
企業を取り巻く環境
Agenda
「仮想化時代のセキュリティ/データ保護」
1. セキュリティとデータ保護
2. セキュリティ対策
3. データとは？
4. データ保護技術
5. 事例紹介
Copyright (C) 2012 JBCC Holdings Inc.
はじまる。人・環境・ITの新しいかたち
JB Group IT Forum 2012
セキュリティとデータ保護
Copyright (C) 2012 JBCC Holdings Inc.
4
セキュリティ脅威トップ10
4位
今もどこかで…更新忘れのクライアントソフトを狙った攻撃
5位
止まらない！ウェブサイトを狙った攻撃
6位
続々発覚、スマートフォンやタブレットを狙った攻撃
7位
大丈夫!?電子証明書に思わぬ落し穴
8位
身近に潜む魔の手・・・あなたの職場は大丈夫？
9位
危ない！アカウントの使いまわしが被害を拡大！
10位
利用者情報の不適切な取扱いによる信用失墜
出典：IPA独立行政法人情報処理推進機構セキュリティセンター
「2012年度版 10大脅威」より抜粋
Copyright (C) 2012 JBCC Holdings Inc.
5
脅威の影響
2011年上半期個人情報漏えいインシデント概要データ【速報】
漏えい人数
208万5,566人
インシデント件数
807件
想定損害賠償総額
573億1,642万円
一件当たりの平均漏えい人数
2,667人
一件当たり平均損害賠償額
7,329万円
一人当たり平均損害賠償額
4万1,192円
出典：特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）
「2011年情報セキュリティインシデントに関する調査報告書【上半期速報版】」
Copyright (C) 2012 JBCC Holdings Inc.
6
脅威への対策
出典：IPA独立行政法人情報処理推進機構セキュリティセンター
「2012年度版 10大脅威」より抜粋
Copyright (C) 2012 JBCC Holdings Inc.
7
セキュリティとデータ保護
BCP運用
データ復旧
データの
可用性
定常的な
セキュリティ運用
インターネット
入口/出口対策
Copyright (C) 2012 JBCC Holdings Inc.
証跡保管
8
はじまる。人・環境・ITの新しいかたち
JB Group IT Forum 2012
セキュリティ対策
Copyright (C) 2012 JBCC Holdings Inc.
9
セキュリティ対策ステップアップ
Ｓｔｅｐ３
出来ない防止策
やらせない抑止策
ログを分析し、
Ｓｔｅｐ２
Ｓｔｅｐ 1
基本的な対策
緊急度・重要度の高い
セキュリティ対策の実施
【技術的対策】
・PCのウイルス対策
・Serverのウイルス対策
・モバイルＰＣの盗難、紛失対策
・サーバーの物理的な統合
・IBM i のセキュリティ対策
・Windows Updateの徹底
・Firewallの導入
Copyright (C) 2012 JBCC Holdings Inc.
利用状況の見える化と
証拠ログの保存を行う
【技術的対策】
・ファイル操作ログの取得
・印刷ログの取得
・PC操作ログの取得
・DBへのアクセスログ
・Mail送受信ログの取得
・Webアクセスログの取得
・PCの動的管理（ツール活用）
適切な防止策を講じる
【技術的対策】
・ファイルサーバの暗号化（一部）
・Storage暗号化
・PC操作の制御（USB禁止）
・ファイル持ち出し制御
・印刷制御
・DBへのアクセス制御（業務毎）
・Mail送受信制御
・Webアクセス制御（2ch禁止）
・不正アクセスの自動遮断
・不正ＰＣのアクセス制御
・正規ＰＣの最適化（検疫）
10
JBCC セキュリティソリューションマップ
内部ネットワーク
公開ネットワーク
外部ネットワーク
Ｗｅｂアクセス制御
持ち出し制御
ファイル暗号化アクセスログ
ｉフィルター
メールアクセス制御
インターネット
入口/出口対策
メールセキュリティサービス
レンタル関所くん
スーパー関所くん
操作ログの取得
不正PC検知
入退室管理
迷惑メール遮断
不正ＰＣアクセス制御
JB-CaaS
Copyright (C) 2012 JBCC Holdings Inc.
IntraPOLICE
Ｍａｉｌアーカイブ
VPNﾏﾈｼﾞﾒﾝﾄﾊﾟｯｸ
VPNﾏﾈｼﾞﾒﾝﾄﾊﾟｯｸモバイル
ＳＳＬ－ＶＰＮ
ＳＳＬ－ＶＰＮレンタルパック
11
データセキュリティ
高
セ
キ
ュ
リ
テ
ィ
対
策
レ
ベ
ル
Storageでのセキュリティ対策
ファイアウォール
DMZ
アプリケーション
サーバ
データベース
サーバ
ストレージ
低
セキュリティ・ソリューション
・データプライバシーの要件
・法規制への準拠
・安全なストレージ統合
・安全なバックアップ
・災害復旧
・知的財産保護
・安全な情報共有
何ができる？
・アクセス・コントロール
・認証
・監査ログ
・暗号化
代表的な機能
・Encryption（データの暗号化と圧縮）
・SnapLock（不正改ざん防止、履歴保存）
・LockVault（SnapLockと連携
コンプライアンス対応）
Copyright (C) 2012 JBCC Holdings Inc.
12
仮想化時代のセキュリティ
仮想化でデータを保護するセキュリティ
仮想化サーバ環境は物理環境とくらべて大幅にスケーラビリティが向上
一方でセキュリティという観点からは新たな課題が発生
物理サーバとの違い
・仮想サーバやアプリケーションが容易に移動
・仮想ネットワークは監視が困難
外部からはゲートウェイで阻止
新たなセキュリティ課題
・仮想環境内でのウイルス拡散
Hypervisor
・仮想環境内のトラフィック
・独自の可用性への対応（vMotion等）
・無秩序に増え続けるバーチャルマシン
新たなVM
Copyright (C) 2012 JBCC Holdings Inc.
13
仮想化セキュリティ
VMware
VMsafeのセキュリティテクノロジー
・物理マシンでは不可能であった方法で、仮想インフラストラクチャを保護
・VMsafe は、API 共有プログラムを通じて、仮想環境用の独自の機能を提供
アンチウイルス仮想アプライアンス
開発
セキュリティ製品の開発
Symantec Critical System Protection
主な機能
Trend Micro Deep Security
・ウイルス対策
・ファイアウォール
・IDF/IPS（不正侵入検知）
・Webアプリケーション保護
IBM Virtual Server Security for VMware
導入メリット
・エージェントを各仮想マシンに個別にインストール不要（効率性向上）
・アンチウイルスツールを仮想マシンから分離（マルウェア等の改ざん防止）
Copyright (C) 2012 JBCC Holdings Inc.
14
はじまる。人・環境・ITの新しいかたち
JB Group IT Forum 2012
データとは？
Copyright (C) 2012 JBCC Holdings Inc.
15
データとは
PC内部ハードディスクのデータ内訳
14%
48%
27%
データとは
11%
OS
アプリケーション
バックアップ
データ
電子データとは、コンピュータ内にあるか、コンピュータ
に取り込める形になったデータ。
ここでは、電子データを含め、OS、アプリケーション等、
コンピュータまたは外部記憶装置に記録されているすべて
をデータと呼びます。
OSの推奨空き容量
25
20
15
10
5
0
Windows
2000
2000
850 MB
Copyright (C) 2012 JBCC Holdings Inc.
Windows XP
XP
1.5 GB
Windows
Vista
Vista
15 GB
Windows7
7
20 GB
16
データの種類
画像、写真、ビデオデータ等
容量が大きい
ファイル利用の増加
Copyright (C) 2012 JBCC Holdings Inc.
出典：IIRT White Paper 2009
「コラボレーション環境の理想と現実～企業が今行うべきことは何か～」
17
データ保管義務
日本版SOX法
個人情報保護法
証跡データの保管義務
「電子帳簿保存法」、「e-文書法」等
電子データの保管義務
一部の業界に対して法規制で義務付けられている
「電子データの長期間または一定期間の保管」
法規制緩和
従来紙での保存が必要だったものが、規制緩和によってデータでの
保存でも良いことになりつつある
Copyright (C) 2012 JBCC Holdings Inc.
18
データの統合化
ブレードサーバーを利用し、複数台のサーバーを
ブレード内に集約。
仮想化システムを利用し、1台のサーバー上で複数台のOS
／アプリケーションを実行
ディスク使用率 10%
ディスク使用率 40%
ディスク使用率 10%
物理統合
ディスク使用率 20%
仮想統合
更なる課題
データが集中し、容量が肥大！
Copyright (C) 2012 JBCC Holdings Inc.
19
データ保護の課題
データの集中化（肥大化）
業務に影響を与えないデータ保護
データの可用性
別ロケーションでデータ冗長化
Copyright (C) 2012 JBCC Holdings Inc.
20
データ保護の課題
2011年に作成または複製される
デジタル情報のデータ総量
世界のデジタル情報量の推移
デジタル情報容量(EXA BYTES)
7,910
単位
130
値
ギガバイト(GB)
230
テラバイト(TB)
240
ペタバイト(PB)
250
エクサバイト(EB)
260
2005年
1,227
2010年
2015年
出典：IDC 「2011 DIGITAL UNIVERSE」
Copyright (C) 2012 JBCC Holdings Inc.
21
データ保護の課題
バックアップ時間をシミュレートすると
前提条件：データ転送速度=120Mbps
(LTO4テープ装置LTO4の場合)
2010年
300 GB
2015年
5.6 時間
約６倍
1.8 TB
データ増大＝バックアップ時間増大
1日でバックアップが終わらない
Copyright (C) 2012 JBCC Holdings Inc.
22
データ保護の課題
システムと同一ロケーションに
データが保護されている場合
本番環境
火災や天災が発生
システムとバックアップを
同時に消失する可能性があります。
本番環境
バックアップ
オフィス
オフィス
Copyright (C) 2012 JBCC Holdings Inc.
23
データ保護の課題
バックアップを別ロケーションに保管する場合
バックアップ環境
本番環境
バックアップ
ネットワーク
バックアップ
バックアップ
オフィス
100Mbpsの帯域では理論上
100Mbps x 60秒 x 60分 x 24時間
＝ 1,055 GB/日
約 1 TBのデータ転送が可能
一般的な回線では理論上 1TBを超える
大規模データの同期は困難
Copyright (C) 2012 JBCC Holdings Inc.
24
はじまる。人・環境・ITの新しいかたち
JB Group IT Forum 2012
データ保護技術
Copyright (C) 2012 JBCC Holdings Inc.
25
Storageデータの削減
重複排除
膨大かつ重要なデータを効率的に保護が可能
２回目以降のバックアップ
１回目のバックアップ
文書2.doc
文書１.doc
D
A
E
B
D
C
A
文書3.doc
E
B
F
A
C
文書１.docを別名保管
文書１.doc
D
A
文書2.doc
E
B
D
C
A
G
B
D
C
文書3.doc
F
C
A
文書2.doc
D
E
B
C
A
E
B
F
C
文書4.doc
文書3.doc
A
G
B
C
A
文書１.doc
G
B
D
C
A
文書2.doc
A
E
B
F
C
バックアップ対象
Copyright (C) 2012 JBCC Holdings Inc.
G
L
M
A
B
J
D
E
B
C
A
F
E
B
C
文書4.doc
文書3.doc
A
G
B
C
4つのブロックがバックアップ対象
D
K
文書3.docを編集
文書１.docを編集
E
B
文書１.doc
K
L
M
J
バックアップ対象
K
L
M
A
B
J
26
Snapshotテクノロジ
Snapshot
簡単な操作で、過去の状態を瞬時に保存。
標準実装のオンラインバックアップ機能
– ユーザレベルでの簡単なリストア
• 管理者の負荷を大幅に軽減
– ブロック単位でのバックアップ（差分ブロックのみ保存）
• 少ないディスク消費量
– データブロックのポインターのみを取得する高速なSnapshot
– 1ボリュームあたり最大255世代保持可能
③コピー＆ペーストで復旧
復旧
①誤って技術文書を削除
②Snapshotフォルダへ移動
*Snapshotはスケジュールされた時間に取得したものになります。
例えばhourly.0が昼の12:00に取得し、現在14:00であれば戻せるファイ
ルは12:00の時点の内容のファイルになります。
Copyright (C) 2012 JBCC Holdings Inc.
27
仮想環境でのデータ保護
SMVI
VMawreのSnapshotとStorageのSnapshotを自動連携
SMVI
vCenter
OS
管理者はGUIツールを使用
して簡単に管理可能
管理者
Virtualization Layer
ESXサーバ
ESXサーバ
vCenterサーバ
①Backupコマンド発行
IPスイッチ
②Vmware Snapshot
NFS領域
VMFS領域
Storage
Snapshot
領域
Vmware
Snapshot
Storage
Snapshot
④VMware Snapshot
データ消去
③Storage Snapshot
SMVI（SnapManager for Virtual Infrastructure）とはVMwareのSnapshotとStorageのSnapshotを自動連携するツール
Copyright (C) 2012 JBCC Holdings Inc.
28
仮想環境でのデータ保護
NDMP
SnapshotとNDMPを連携し、テープバックアップをオンラインで実現
SMVI
vCenter
OS
管理者はGUIツールを使用
して簡単に管理可能
管理者
Virtualization Layer
ESXサーバ
ESXサーバ
vCenterサーバ
IPスイッチ
NFS領域
VMFS領域
Storage
Snapshot
領域
Vmware
Snapshot
Storage
Snapshot
NDMP（network data management protocol）TCP/IPのアプリケーション・プロトコル
Copyright (C) 2012 JBCC Holdings Inc.
Tape Library
29
仮想環境でのデータ保護
SnapMirror
VMawreのSnapshotとSnapMirrorを自動連携
SMVI
vCenter
OS
管理者はGUIツールを使用
して簡単に管理可能
管理者
Virtualization Layer
ESXサーバ
ESXサーバ
vCenterサーバ
IPスイッチ
Replication
NFS領域
VMFS領域
Storage
Snapshot
領域
Copyright (C) 2012 JBCC Holdings Inc.
Vmware
Snapshot
差分転送
重複排除機構と連携
Storage
Snapshot
Backup Volume
30
データ保護の今後
技術
コスト
重複排除機構
アプリケーション連携
DRへの進化
Encryption
経済状況の悪化
コスト削減
インフラ統合
Server仮想化
Storage集中化
統合化
Copyright (C) 2012 JBCC Holdings Inc.
31
はじまる。人・環境・ITの新しいかたち
JB Group IT Forum 2012
事例紹介
Copyright (C) 2012 JBCC Holdings Inc.
32
セキュリティ・データ保護の課題解決
セキュリティ対応
JBCC ネットワークソリューション
VMsafe（バーチャル
アプライアンス
ソリューション）
Encryption
SnapLock
LockVault
データの肥大化、可用性対応
重複排除機構
NDMP （network data management protocol）
Snapshot
SnapMirror
SRM（Site Recovery Manager）
シンプロビジョニング
Copyright (C) 2012 JBCC Holdings Inc.
33
まとめ
セキュリティ/データ保護ソリューション
計画
導入
設計
運用
監視
JBグループサービス体系
コンサルティング
計画・設計支援
インテグレーションサービス
マネジメントサービス
高可用性システムの構築支援
保守・運用(アウトソース) 支援
•セキュリティコンサルティング
•システム/ネットワーク構築
•システム運用/監視支援
•ストレージソリューションのご提案
•セキュリティ構築
•クラウド運用/監視支援
•情報収集・分析・文書化のご支援
•クラウド構築
•データセンター
Copyright (C) 2012 JBCC Holdings Inc.
34
はじまる。人・環境・ITの新しいかたち
JB Group IT Forum 2012
ご清聴ありがとうございました
Copyright (C) 2012 JBCC Holdings Inc.
Copyright (C) 2012 JBCC Holdings Inc.

Download Report