Check Point Endpoint Security Full Disk Encryption Mac OS X版の製品詳細 Check Point Endpoint Security Full Disk Encryption Contents 本書の内容 データの安全性はどの程度確保されているか? 3 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 起動画面でのパスワード保護はどれだけ効果的なのか? ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・4 蓄積されたデータを保護する最も効果的な方法は何か? ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・4 暗号化の手法 5 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ファイル/フォルダ・レベルの暗号化 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・5 フルディスク暗号化 6 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ Check Point FDEはデータをどのように保護するのか? 6 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ インストール時にはどのような処理が行われるのか? ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・6 Mac OS Xの起動手順に変更はあるか?・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・7 Check Point FDEはMac OS Xの通常のオペレーションに影響を与えるのか? ・・・・・・・・・・7 Check Point FDEは外部デバイスに転送されるデータを保護できるのか?・・・・・・・・・・・・・・8 Check Point FDEはどのように導入、管理するのか?・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・8 セキュリティ・ポリシーを決定する 8 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 暗号化アルゴリズム ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・8 認証方法の選択 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・8 管理者アクセス 9 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ソフトウェアを導入する・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・9 イメージ・チェック ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 10 ツールのセットアップ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・10 試験導入 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・10 実導入 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・10 セキュリティ・ポリシーを管理する ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 継続的にサポートおよび保守を行う ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 10 10 ヘルプデスクの提供 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・11 ロックされたユーザ・アカウントとパスワードのリセット ・・・・・・・・・・・・・・・・・・・・・・・・・11 PCの一時的な利用の許可 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・11 変更管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・11 イメージ化/フォレンジック・ツール ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 12 データのリカバリ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・12 ハードディスクのメンテナンスと問題修復 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・12 データのバックアップ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ Check Point FDEのシステム・ログ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 12 12 Check Point FDEは自社の用途に合うのか? ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・13 それは重要なデータか?機密性の高いデータか?その安全性は万全か? 2 Check Point Software Technologies Ltd. ・・・・・・・・・・・・・・・・・ 13 Mac OS X版の製品詳細 データの安全性はどの程度確保されているか? あなたの会社にとって、データはどのくらい重要なものでしょうか?この問いに対し、 「全く重要でない」 と答えることができない場合は、 「自社のデータの安全性はどの程度確保されているのか」を考えて みてください。 以前であれば、企業の機密データを保護することは、それほど難しいことではありませんでした。 ドアに鍵をかけ、警備員を雇い、社員証で人の出入りを管理すれば、データの安全性はある程度 確保することができました。しかしネットワーク利用が多様化した今日の多くの環境では、機密 データは、ノートPCをはじめとするモバイル・デバイスに保存されるなどして日常的に社外へ持ち出 されるようになっています。このようにデータが社外へ持ち出される機会が増えれば、それらが紛失 や盗難に遭い、法的・財政的な被害が発生する可能性も高くなります。 オペレーティング・システム(OS)にログイン・パスワードを設定してノートPCを保護するという 方法もありますが、このような対策は簡単に破られてしまいます。PCのハードディスクに保存 されている蓄積データ(data at rest)を保護する方法として最も効果的なのは、暗号化を行う ことです。つまり、データにスクランブルをかけ、権限のあるユーザ以外はそれを解除して読み 取れないようにするのです。データ暗号化の種類は、大きくファイル/フォルダ・レベルの暗号化と ディスク・レベルの暗号化(フルディスク暗号化)に分類できます。このうち、人的エラーの可能性 を排除し、ディスク上のすべてのデータを確実に保護できるのがフルディスク暗号化です。 業 界 最 先 端 の Pointsec®の 技 術 を ベ ースとする Check Point Endpoint Security Full Disk EncryptionTM(FDE)は、蓄積データ、とりわけノートPC上のデータを包括的に保護できるように 設計されています。導入、設定、管理、サポートが容易に行えるように設計されているほか、あらゆる 規模の企業や政府機関のニーズを満たす拡張性を備えています。また、最近のプライバシー保護/ 情報セキュリティ関連法にも対応しているため、法的要件も満たすことが可能です。 この技術白書では、次の4つの問いに答えていくという形で、Check Point FDEについて詳しく 解説します。 ● 起動画面でのパスワード保護はどれだけ効果的なのか? ● 蓄積されたデータを保護する最も効果的な方法は何か? ● Check Point FDEはデータをどのように保護するのか? ● Check Point FDEはどのように導入、管理するのか? これらの問いに対する答えを理解することで、 「Check Point FDEは自社の用途に合うのか?」と いう重要な問いに対する答えが得られます。 Check Point Software Technologies Ltd. 3 Check Point Endpoint Security Full Disk Encryption 起動画面でのパスワード保護はどれだけ効果的なのか? Microsoft Windows、Mac OS X、LinuxといったPCオペレーティング・システムは、起動時にパスワード 入力を要求するように設定できますが、このような対策は簡単に破ることができます。その基本的な 問題点を示すため、Mac OS Xシステムの起動シーケンスを考えてみます(図1)。 図1: Mac OS Xの起動シーケンス(Intelプラットフォーム) この起動シーケンスは、次の5つのステップで構成されています。 1. MacがEFIコードを読み込み、プラットフォームを初期化します。 2. EFIブート・マネージャがNVRAMからブート順序リスト (boot.efi)を読み込みます。 ブートローダーが動作を開始し、Appleロゴが表示されます。 3. ブートローダーがMac OS Xを起動し、ログイン画面を表示します。 4. ログイン画面でのユーザ名の選択(マルチユーザ環境の場合) とパスワードの入力によって、 ユーザ認証が行われます。 5. Mac OS Xがユーザを検証し、起動プロセスを続行します。Finderが表示され、 アプリケーションが起動されます。 Mac OS Xの認証プロセスにより、権限のないユーザがこのコンピュータを使用することは防止でき ますが、このプロセスでデータへのアクセスを防ぐことはできません。この認証プロセスは、例えばMac OS XのインストールDVDからシステムを起動するという方法で容易に回避できてしまいます。また、この マシンをFireWire経由で別のMacに物理接続し、ターゲット・ディスク・モード(TDM)で外部ドライブ として起動することも可能です。つまり、Mac OS Xの認証プロセスは、権限のないユーザによる システムの使用を防止しようとはするものの、システムに保存されている情報を保護することまでは 行いません。 蓄積されたデータを保護する最も効果的な方法は何か? 起動時のパスワード保護は極めて簡単に破ることができるため、PCのハードディスク上に蓄積された データを保護するためには、より高いレベルのセキュリティが必要となります。そのための最も効果的 な方法は、データを暗号化することです。つまり、ディスク上のデータを暗号化し、権限のあるユーザ 以外はそれを解除して読み取れないようにするのです。暗号化を行うと、権限のないユーザは、たとえ そのディスクを別のコンピュータに接続したり、コンピュータのセキュリティ対策を破ったりした場合 でも、そのデータを読み取ることはできなくなります。権限のあるユーザでなければ、データを復号化 する鍵にはアクセスできないからです。 現在では、ベンダー各社からさまざまなデータ暗号化製品が提供されていますが、そのアプローチや 効果は製品によって異なります。 4 Check Point Software Technologies Ltd. Mac OS X版の製品詳細 暗号化の手法 通常、PC向けデータ暗号化製品は次のいずれかの手法を採用しています。 ● ファイル/フォルダ・レベルの暗号化:指定されたファイル、 フォルダ、ディスク・パーティションのデー タのみを暗号化します。 ● フルディスク暗号化:OS、システム・ファイル、データを含め、ハードディスク全体を暗号化 します。 ファイル/フォルダ・レベルの暗号化を採用する製品は、比較的安価で種類も豊富であり、特定の 環境下ではデータ保護の有用な手段となり得ます。しかし、安全性の高さと管理の容易さという 点ではフルディスク暗号化の方がはるかに優れています。またフルディスク暗号化は、最近の プライバシー保護/情報セキュリティ関連法の要件にも対応しています。 ファイル/フォルダ・レベルの暗号化 ファイル/フォルダ・レベルの暗号化は、指定されたファイル、フォルダ、またはディスク・パーティ ションのデータを選択的に暗号化します。そのため、保護されるのはディスクの特定部分だけ となり(図2) 、暗号化されていない部分は、権限のないユーザによってアクセスされる可能性が 残ります。 図2:ファイル/フォルダ・レベルの暗号化 ファイル/フォルダ・レベルの暗号化製品では通常、インストールやセットアップの際に、暗号化する ファイル形式、フォルダ、ディスク・パーティションを指定します。そして、暗号化プログラムの実行中、 指定のファイル形式で作成/保存されるデータや、指定のフォルダやパーティションに保存される データが自動的に暗号化されます。しかし、データが選択的に暗号化されるこのタイプのプログ ラムには、2つの大きな欠点が存在します。1つは、データが暗号化されるかどうかがユーザに依存 すること、もう1つは、OSやパスワード・ファイルといった重要なファイルの保護が保証されない ことです。 ユーザへの依存性 残念ながら、ファイル/フォルダ・レベルの暗号化では、機密データが確実に暗号化されるかどうかは ユーザ次第となります。したがって、このタイプのソリューションはユーザへの依存性が高く、本質的に 人的エラーの問題を抱えていると言えます。人的エラーの例としては、データを安全なファイル形式で 保存し忘れる、機密データを暗号化フォルダに移動するのを怠る、データを非暗号化フォルダに誤って コピーする、PCを通常どおり使用しているうちに、ユーザの意図しないところでデータの非暗号化 コピーが作成されてしまう(一時ファイルが作成される場合など)、といったものが考えられます。 ファイル/フォルダ・レベルの暗号化製品の中には、保存されるデータの形式を自動的に識別し、セキュ リティ・ポリシーを強制的に実施しようとするものもありますが、こうした対策も、ユーザのセキュリティに 対する意識が低かったり、スキルの高いハッカーが相手であったりする場合には、容易に回避されて しまいます。 Check Point Software Technologies Ltd. 5 Check Point Endpoint Security Full Disk Encryption 加えて、データの保護をエンドユーザに依存するということは、事実上強制力がないということにも なります。つまり、ファイル/フォルダ・レベルの暗号化を使用することは、機密情報の紛失・盗難に関連 して訴訟を起こされた場合の免責要素としては不十分なのです。ファイル/フォルダ・レベルの暗号化 は、最近のプライバシー保護/情報セキュリティ関連法の要件を十分に満たしておらず、これらを利用 している企業は、データの紛失や盗難が発生した場合、莫大な費用のかかる法廷闘争に巻き込まれ、 その対応に追われるリスクが高くなります。ファイル/フォルダ・レベルの暗号化では、機密データが 暗号化されているかどうかを保証することができないのです。 重要なファイルが保護されているかどうかを保証できない データ・セキュリティを確実なものとするには、OSやシステム・ファイル、アプリケーションのパスワード・ ファイルなどのように、目的のデータへのアクセスを可能にするおそれのあるファイルも保護する必要が あります。ファイル/フォルダ・レベルの暗号化製品において、暗号化するファイルのリストにこれらの ファイルが正しく指定されていない場合、権限のないユーザがこれらのファイルにアクセスし、甚大な 被害が発生する可能性があります。例えば、権限のないユーザがVPNクライアントのローカル・パス ワードを入手した場合には、そのVPNネットワークにアクセスされ、業務全体に大きな支障が生じる かもしれません。 フルディスク暗号化 フルディスク暗号化は、ファイル/フォルダ・レベルの暗号化とは異なり、OSやシステム・ファイルを 含むPCのハードディスク全体を保護します。ディスク全体を暗号化すると、データの暗号化と復号化 は専用のドライバによってオンザフライで、ユーザからは完全に透過的に行われます。暗号化と復号化の 処理が自動的かつ継続的に行われるフルディスク暗号化は、本質的にユーザに依存することなく行われ、 完全な強制力を持つため、最近のプライバシー保護/情報セキュリティ関連法の要件も満たすことが できます。またフルディスク暗号化では、一時ファイルを含むすべてのデータが暗号化されるため、 一部のデータが暗号化されないまま残ってしまうという問題も解決されます。このため管理者は、 暗号化すべきファイルやフォルダを判断するという作業から解放され、またハードディスクが別の マシンに接続された場合でも、権限のないユーザによって中身を読み取られることがなくなります。 Check Point FDEは、PCのハードディスク上の蓄積データを包括的に保護します。ハードディスク上の 保存場所に関係なく機密データを確実に保護し、またセキュリティ・システムとして完全な強制力を 持つため、最近のプライバシー保護/情報セキュリティ関連法の要件も満たすことができます。 Check Point FDEはデータをどのように保護するのか? Check Point FDEは、データを保護するために、そのアクセス方法と処理方法を変更します。 インストール時にはどのような処理が行われるのか? Check Point FDEは、新品のマシンであるか使用中のマシンであるかを問わず、ノートPC/デスク トップPCに簡単にインストールすることができます。すでに使用中のPCにCheck Point FDEをイン ストールするには、ソフトウェア配布システムや各種スクリプトを使用するか、またはエンドユーザに サイレント・インストール(ユーザの操作を必要としないインストール)を開始してもらいます。Check Point FDEは、企業で使用する標準のPC環境に組み込むこともできます。その場合は、ハードディスク をイメージ化する各種製品を使用すると、導入作業を効率化できます。Check Point FDEの最初の インストール時には、暗号化/復号化のためのカーネル拡張(KEXT)がインストールされます。KEXTは、 オペレーティング・システムとハードディスクの間のフィルタとして機能し、ディスクに書き込まれる/ ディスクから読み込まれるすべてのデータをオンザフライで暗号化/復号化します。インストールの 最後には、ハードディスクの暗号化プロセスが開始されます。 6 Check Point Software Technologies Ltd. Mac OS X版の製品詳細 このプロセスは、1時間当たり30∼40GBのペースでデータを暗号化します。このプロセスは完全 な耐障害性を備えており、電源供給が失われたりコンピュータがシャットダウンしたりしてもデータに 影響はありません。最初の暗号化処理中にこのようなトラブルが発生した場合、Check Point FDEは、 次回のコンピュータ起動時に暗号化を再開します。この暗号化プロセスは完全にバックグラウンドで 実施されるため、この間もアプリケーションを起動してコンピュータを使用し続けることができます。 Mac OS Xの起動手順に変更はあるか? Check Point FDEは、別個のEFIブートローダーとして実装される専用のアクセス制御モジュールをイン ストールし、起動プロセスに認証レイヤを追加します。このモジュールは、Mac OS Xのブートローダーで はなく、EFIブート・マネージャによりロードされます(図3) 。 ロードされたCheck Point FDEの起動前環境は、Check Point FDEのアクセス制御画面を表示して 図3: Check Point FDEによってインストールされる起動前環境 ユーザ認証を要求します。通常の起動シーケンス(Mac OS XのEFIブートローダーをロードし、OSを 起動して、Mac OS Xのログイン・ウィンドウを表示する処理)は、Check Point FDEのすべてのユーザ 認証要件が満たされた場合にのみ開始されます(Mac OS XのEFIブートローダーもFDEの手順の一環と して暗号化されます) 。 Check Point FDEはMac OS Xの通常のオペレーションに影響を与えるのか? Check Point FDEは、ユーザがコンピュータを起動し、アクセス制御画面での認証に成功するたびに、 OSとディスク・ドライバの間に暗号化/復号化KEXTをインストールします(図4) 。 図4: Check Point FDEの暗号化/復号化プロセス その後、暗号化/復号化KEXTがバックグラウンドで動作を開始し、ディスクに対するデータの書き込み/ 読み込みが行われるたびに自動的に暗号化/復号化を行います。Check Point FDEは、他のすべての アプリケーションからは透過的に動作します。 Check Point Software Technologies Ltd. 7 Check Point Endpoint Security Full Disk Encryption Check Point FDEは外部デバイスに転送されるデータを保護できるのか? 保護されたPCから外部へのデータ転送(外付けハードディスクにデータをバックアップする場合など) は、システム・レベルで動作するアプリケーションによって実行されます。すでに述べたように、Check Point FDEのKEXTは、OSとPCのディスク・ドライバの間でやりとりされるデータを暗号化します。 したがって、外付けハードディスクや各種リムーバブル・メディア(USBメモリなど)に転送される データは、転送時には暗号化されません。そのため、権限のあるユーザは、データの非暗号化コピーを 外部デバイスに作成・保存することができます。 Check Point FDEはどのように導入、管理するのか? Check Point FDEは、規模の大小を問わずどのような組織でも簡単に導入することができます。導入 プロセスは、次の4つの基本ステップで構成されます。 ● セキュリティ・ポリシーを決定する。 ● ソフトウェアを導入する。 ● セキュリティ・ポリシーを管理する。 ● 継続的にサポートおよび保守を行う。 セキュリティ・ポリシーを決定する Check Point FDEを導入する前に、使用する暗号化アルゴリズムの種類や認証方法などを選択し、 セキュリティ・ポリシーを決定します。このセキュリティ・ポリシーはいつでも簡単に変更できますが、 一般的には年に何度も変更するものではありません。 暗号化アルゴリズム Check Point FDE for Macは、暗号化アルゴリズムとしてAES 256ビットを使用します。 認証方式の選択 ユーザ認証はローカルで行われます。そのためユーザは、PCがネットワークに接続されていない場合 でも認証を行うことができます。Check Point FDEでは、認証方法としてパスワードまたはダイナ ミック・トークン(あるいはその両方)を使用できます。ただし、複数のユーザに対して同時に設定 できるのはいずれか一方となります。また管理者は、使用されている認証方法に関係なく、保護された データにいつでもアクセスすることが可能となっています。 パスワード認証 パスワード認証は、最も一般的な認証手法です。コンピュータおよびその中のデータにアクセスする には、ユーザ名とパスワードを入力します。入力されたユーザ名とパスワードは、Check Point FDEに よって、安全なシステム領域に格納されているログイン情報と照合されます。使用可能なパスワードの 規則をシステム管理者が設定することもできます。 ダイナミック・トークン ダイナミック・トークン(ワンタイム・パスワード・トークン)は、 「ユーザが知っていること」と「ユーザが 所有するもの」に基づいて認証を行うという点で、証明書トークンと似ています。ダイナミック・トークンに よる認証では、同期方式と非同期方式のどちらのワンタイム・パスワードを使用するかを選択できます。 同期方式のワンタイム・パスワードが最も多く使用されるのは、リモート・アクセスにおいてです。例えば、 リモート・アクセス・サーバ(VPNゲートウェイ)がワンタイム・パスワード・サーバに認証要求を送信する と、ワンタイム・パスワード・サ―バはユーザを認証してからリモート・アクセス・サーバに応答を返します。 同期方式のワンタイム・パスワードを使用する場合は、リモートのパスワード・サーバに接続する ことが必要になるため、オフライン型のアプリケーションで同期方式のワンタイム・パスワードを 使用することはできません。 8 Check Point Software Technologies Ltd. Mac OS X版の製品詳細 非同期方式(チャレンジ/レスポンス方式)のワンタイム・パスワードは、ユーザを認証するのにワンタイム・ パスワード・サーバを必要としません。このため、オフライン型のデータ・セキュリティ・アプリケーション を利用するPCでの使用に適しています(フルディスク暗号化製品で保護されたノートPCへのアクセス を認証する場合など)。Check Point FDEは、非同期方式のワンタイム・パスワードの標準規格で あるX9.9をサポートしています。 管理者アクセス 管理者とその他の特権ユーザは、使用されている認証方法に関係なく、専用のログイン情報を用いて いつでも保護されたPCにアクセスすることができます。そのため管理者は、システムの全ユーザのパス ワード・リストを管理する必要がなく、またユーザ・パスワードを把握しておく必要もありません。これに より、システム管理者の負担が軽減されるほか、万が一盗まれた場合には多大な被害をもたらすことに なるパスワード・ファイルを保持せずに済むため、セキュリティも強化されます。また、管理者は保護され たすべてのPCにアクセスできるため、PCのユーザが退職した場合などでも、そのPC内のデータを容易 にリカバリすることができます。 ソフトウェアを導入する Check Point FDEは、組織の規模や保護するPCの台数(シート数)にかかわらず、容易に導入すること ができます。通常、Check Point FDEの導入は次の4つのフェーズで行われます(図5) 。 ● イメージ・チェック ● ツールのセットアップ ● 試験導入 ● 実導入 大きなポイントとなるのは、第3フェーズと第4フェーズの間です。ここで試験導入の結果を評価して、実導 入に踏み切っても問題ないかどうかを判断することになります。 最初の3つのフェーズは、2∼4週間ほどで終えることができます。第4フェーズの長さは保護するPCの 台数によって異なりますが、週当たり最大1万シートというのがおおよその目安になります。 図5: Check Point FDEの導入フェーズ Check Point Software Technologies Ltd. 9 Check Point Endpoint Security Full Disk Encryption イメージ・チェック イメージ・チェック・フェーズでは、チェック・ポイントのトレーニングを受けた担当者がクライアント・システムを 評価し、Check Point FDEの導入時に互換性問題が発生しないかどうかを確認します。使用されるイメージ はコンパクトで適切に定義されているため、通常このフェーズは短期間で終了します。 ツールのセットアップ ツールのセットアップ・フェーズでは、Check Point FDEの管理に必要なツール(セキュリティ・ポリシーを エンドユーザに配信するツールなど)の導入を行います。さらに、チェック・ポイントの担当者が導入環境に 合わせたヘルプ・システムをセットアップし、ヘルプデスク担当者にパスワードのリセットといった基本的 な作業の方法トレーニングします。 試験導入 試験導入フェーズでは、実際の導入先となるノートPCのサンプルにCheck Point FDEをインストールし、 試験運用を行います。一般に、サンプルPCは100∼500台程度となります。通常、試験導入フェーズには 管理職層のユーザも参加していただきます。管理職層のPCには機密情報が保存されていることが多く、 また管理職層が製品に満足すれば、その後の全社的な実導入も進めやすくなるからです。 試験運用フェーズの最後には、チェック・ポイントの担当者が試験運用の結果を評価して、実導入に 進んでも問題ないかどうかを判断します。 実導入 実導入フェーズでは、Check Point FDEを全社的に導入します。すでに述べたように、Check Point FDEはシート数にかかわらず容易に導入可能で、週当たり最大1万シートのペースでインストールするこ とができます。 セキュリティ・ポリシーを管理する Check Point FDEには、セキュリティ・ポリシーを決定・管理するエンタープライズ・ワークプレース (EW)モードという機能が用意されています。このモードでは、セキュリティ・ポリシーを素早く簡単に 変更することができます。 EWモードでは、セキュリティ・ポリシー情報は企業ネットワーク上に置かれたファイル・ベースのセキュ リティ・プロファイルに保存され、これらのセキュリティ・プロファイル・ファイルを編集するだけで、 セキュリティ・ポリシーを変更することができます。PCにインストールされたCheck Point FDEエージェント は、PCがネットワークに接続されている間、定期的にネットワーク・セキュリティ・ポリシー・ファイルを チェックして変更があるかどうかを確認し、自身に関係のある変更を取り込みます。このため管理者は、 一箇所にまとめられたファイル群に対して変更を行うだけでセキュリティ・ポリシーの変更を一斉配信 でき、個々のPCに対して変更を行う必要がなくなります。この方法に問題がある場合は、変更内容を リモートの各PCにプッシュ配信することも可能です。 継続的にサポートおよび保守を行う 暗号化プログラムで効果的にデータを保護するためには、プログラムの管理が容易であることが重要 です。Check Point FDEの場合、管理者1人で数千台のPCを容易に管理することができます。暗号化 プログラムの管理業務で特に問題になることが多いのは、ヘルプデスクの提供(リモートからパスワード・ リセットを行うなど) 、イメージ化/フォレンジック・ツールの使用制限、データのリカバリ、そして、ハード ディスク上のデータに外部の技術者が一時的にアクセスできるようにすることです。 10 Check Point Software Technologies Ltd. Mac OS X版の製品詳細 ヘルプデスクの提供 Check Point FDEには、導入されたプログラムの利用をヘルプデスクが支援するためのシンプルで強力な ツールが用意されています。ヘルプデスク機能はWebベースのツールを通じて提供されるため、数千人規 模のユーザにも対応することができます。またCheck Point FDEには、セルフヘルプ・ツールとして機能 するアプリケーション・プログラミング・インタフェース(API)が用意されています。このAPIを使用すると、 音声認識をユーザ認証の手段として利用することも可能となります。 ヘルプデスク担当者が最も多く行う作業は、パスワードを忘れてしまったユーザがコンピュータにアクセス できるようにすることです。このシチュエーションに対処するため、Check Point FDEには、ユーザと ヘルプデスク担当者が電話口で口頭のチャレンジ&レスポンスを行い、コンピュータにアクセスできる ようにする機能が用意されています。この機能を使用することで、ユーザは、PCが企業ネットワークや インターネットに接続されていない場合でも、システムにアクセスしてパスワードをリセットすることが できます。 ロックされたユーザ・アカウントとパスワードのリセット Check Point FDEには、管理者パスワードをユーザに教えたりユーザ・パスワードを管理者に教えたり することなく、ロックされたユーザ・アカウントを解除し、パスワードをリセットできるシンプルで安全な 手段が用意されています。アカウントのロックが行われるのは、ユーザがパスワードを忘れたり、認証を 一定回数失敗したりした場合です。アカウントのロックは、 (1)一時的にロックする、 (2)指定時間経過後 にロックを自動解除する、 (3)管理者やヘルプデスク担当者が対応するまでロックする、のいずれかに 設定することができます。チェック・ポイントは、アカウントのロック解除やパスワードのリセットには関 与しません。エンドユーザは、ロックの解除申請を簡単かつ安全に行うことができ、またヘルプデスク 担当者は、ネットワークに接続されていなくてもロックを解除できます。ロックの解除は、全体で5分も かからずに行うことができます。 PCの一時的な利用の許可 エンドユーザのPCは、一時的に別のユーザが使用することがあります。例えば、サービス・エンジニアが 新しいアプリケーションやOSのパッチをインストールする場合や、コンサルタントなどの外部関係者が 一時的にPCを利用する場合などです。こうした一時的な利用を可能にするため、Check Point FDEに は次の機能が用意されています。 ワンタイム・ログオン ワンタイム・ログオンは、エンドユーザやサービス・エンジニアなどが一度だけPCを起動できるようにする 機能です。この機能を使用するには、Check Point FDEの起動前環境でワンタイム・ログオンを選択し、 パスワードを変更する場合と同じチャレンジ&レスポンスの手順を実行します。 PCをシャットダウンした後で再度アクセスする場合は、同じ手順をもう一度実行する必要があります。ワン タイム・ログオンは、起動前認証でスマートカードやチャレンジ/レスポンス・トークンを使用している場合 でも行うことができます。 変更管理 Check Point FDEソフトウェアのアップデートは、エンドユーザの操作なしで実行できます。またすべて の設定変更は、エンドユーザからは透過的に行われます。 インストール後の設定変更 設定の変更は、エンドユーザのPCにインストールされる管理プログラムを使用してローカルで行うか、 集中管理ツールを利用してネットワーク経由で行うことができます。設定の変更では、ユーザ、管理者、 ヘルプデスク・アカウントの追加と削除も行うことができます。 Check Point Software Technologies Ltd. 11 Check Point Endpoint Security Full Disk Encryption ソフトウェアのアップデート ソフトウェアのアップデートは管理者がリモートから実行でき、実行後はローカルPCの再起動が必要に なります。 イメージ化/フォレンジック・ツール イメージ化/フォレンジック・ツールは、権限のあるユーザのみが使用できます。権限のないユーザが、Check Point FDEで暗号化されたディスク全体のイメージを作成しても、暗号化されたイメージが作成されます。 そのため、この種のツールを使用してデータを不正に読み取ることはできません。 データのリカバリ OSがクラッシュしたりハードディスクに障害が発生したりした場合、ハードディスクからデータをリカバリ することが必要になる場合があります。データ・リカバリの一般的なシナリオを次に示します。 ハードディスクは読み取り可能だが、Mac OS Xが起動しない FireWireターゲット・ディスク・モード(TDM)を使用して、暗号化されたハードディスクを別のシステムに 接続することで、そのハードディスクからデータをリカバリできます。数時間かかるフルディスク暗号化の 実行とは違い、この場合、データ・リカバリは数分で完了します。 ハードディスクが完全に読み取り不能 ハードディスクが完全に読み取り不能である場合、論理的、物理的に深刻な障害が発生している可能性が あります。この場合は、最初にセクタ単位のバックアップ・ツールを使用してディスク全体のクローンの 作成を試みます。物理的な障害が発生している場合は、まずフォレンジック調査の専門家に修理を依頼 してください。物理的な問題が発生することなく、ハードディスク上の暗号化されたデータにアクセス できるようになったら、Check Point FDEリカバリUSBドライブを使用してCheck Point FDEを削除 できます。Check Point FDEリカバリUSBドライブは、Check Point FDEがインストールされている Macで作成できます。また、ヘルプデスクなどからイメージとして提供してもらうこともできます。Check Point FDEソフトウェアを削除する場合、インストール時に作成されたCheck Point FDEリカバリ・ ファイルのロックを解除するのに、Check Point FDEを削除する権限のある管理者が2人必要となり ます。管理者が2人必要なのは、職務分掌を徹底し、1つのユーザ・アカウントでCheck Point FDEが 削除されないようにするためです。 ハードディスクのメンテナンスと問題修復 Check Point FDEはOSよりも下の層で動作するため、OSやアプリケーション、アンチウイルス・ソフト ウェア、メンテナンス・アプリケーションと干渉することがありません。ハードディスクの軽微な問題を 回避または修復するために、Disk Utilityやfsckを実行しても問題ありません。 データのバックアップ 前述したように、Check Point FDEは、OS上で実行されているアプリケーションとは干渉しません。 データを別のPCに移動する必要がある場合は、一般的なCDやDVD、USBドライブ、あるいはネットワーク 接続を利用できます。 Check Point FDEのシステム・ログ あらゆるセキュリティ・システムは、監査証跡を記録する必要があります。Check Point FDEのシステム・ ログには、失敗した認証の試みやリモート・ヘルプ・セッションを行ったユーザおよび管理者に関する情報 など、あらゆる種類のイベントが記録されます。システム管理者は、表示するイベントの種類や、どのPCの ログ・ファイルを読み込むかを指定できます。Check Point FDEのログは、デフォルトではSysLogに クリアテキスト(暗号化されていないテキスト)で書き込まれます。 12 Check Point Software Technologies Ltd. Mac OS X版の製品詳細 Check Point FDEは自社の用途に合うのか? Check Point FDEは、フルディスク暗号化の機能を提供することにより、蓄積データ、とりわけノートPC上 のデータを包括的に保護します。ここまで述べてきたように、Check Point FDEは、導入、設定、管理、 サポートが容易に行えるように設計されています。また、あらゆる規模の組織に導入できる拡張性を備え ているほか、最近のプライバシー保護/情報セキュリティ関連法の要件にも対応しています。 それは重要なデータか?機密性の高いデータか?その安全性は万全か? 最後の問いに対し、自信を持って「イエス」と答えることができない場合は、ぜひチェック・ポイントまでお問い 合わせください。 Check Point Software Technologies Ltd. 13 Check Point Software Technologies Ltd.について チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド(http://www.checkpoint.com/)は、 インターネット・セキュリティにおけるトップ企業として、変化し続けるお客様のビジネス・ニーズに 応じてカスタマイズ可能なトータル・セキュリティ・ソリューション群を提供しています。統合された ゲートウェイ、単一エージェントによるエンドポイント、および単一の管理アーキテクチャで構成されるこの トータル・セキュリティ・ソリューション群の組み合わせは、企業向けファイアウォール、パーソナル・ ファイアウォール/エンドポイント・セキュリティ、データ・セキュリティ、およびVPN市場におけるリーダー シップと技術革新に基づく独自性を備えています。チェック・ポイントは、情報セキュリティの分野のみに 注力するセキュリティの専業企業です。チェック・ポイントは、NGX プラットフォームを通じて、企業ネット ワークおよびアプリケーション、リモート・ユーザ、支店・支社環境、およびパートナー各社のエクストラ ネットのビジネス通信およびリソースを保護する、統一されたセキュリティ・アーキテクチャを提供して います。また、業界をリードするエンドポイント/データ・セキュリティ・ソリューションであるCheck Point Endpoint Security 製品ラインナップを通じ、PC やモバイル端末に保存されている各種企業データや 重要なデータの暗号化と保護を提供します。数々の受賞歴のあるチェック・ポイントのZoneAlarm ソリュー ションは、世界中で何百万にも及ぶお客様のPC をハッカー、スパイウェア、および情報窃盗から未然に 保護しています。現在、チェック・ポイント・ソリューションは、世界中のパートナー・ネットワークを 通じて販売、導入、サービス提供されています。チェック・ポイントの顧客には、Fortune 100 社の全社と何万 ものあらゆる規模の企業や組織が含まれています。 ©2003-2008 Check Point Software Technologies Ltd. All rights reserved. Check Point, AlertAdvisor, Application Intelligence, Check Point Endpoint Security, Check Point Endpoint Security On Demand ,Check Point Express, Check Point Express CI, Check Pointの ロ ゴ , ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, CoSa, DefenseNet, Dynamic Shielding Architecture, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IPS-1, IQ Engine, MailSafe, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management, Provider-1, PureAdvantage, PURE Security, puresecurityの logo, Safe@Home, Safe@Office, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, Sentivist, SiteManager-1, SmartCenter, SmartCenter Express, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SMP, SMP On-Demand, SofaWare, SSL Network Extender, Stateful Clustering, TrueVector, Turbocard, UAM, UserAuthority, User-to-Address Mapping, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, VPN-1, VPN-1 Accelerator Card, VPN-1 Edge, VPN-1 Express, VPN-1 Express CI, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 VSX, Web Intelligence, ZoneAlarm, ZoneAlarm Anti-Spyware, ZoneAlarm Antivirus, ZoneAlarm Internet Security Suite, ZoneAlarm Pro, ZoneAlarm Secure Wireless Router, Zone Labs, Zone Labsのロゴは、Check Point Software Technologies Ltd. あるいはその関連会社の商標また は登録商標です。ZoneAlarm is a Check Point Software Technologies, Inc. Company. その他の企業、製品名は各企業が所有する商標または登録商標です。本書で 記載された製品は米国の特許No.5,606,668、5,835,726、5,987,611、6,496,935、6,873,988、6,850,943、および7,165,076により保護されています。その他の米国 における特許や他の国における特許で保護されているか、出願中の可能性があります。 Check Point Endpoint Security Full Disk Encryption ※記載された製品仕様は予告無く変更される場合があります。 チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 〒160-0022 東京都新宿区新宿5-5-3 建成新宿ビル6F Tel : 03( 5367 )2500 E-mail : info_ [email protected] http://www.checkpoint.co.jp/ P/N:503065-J 2008.08
© Copyright 2024 Paperzz
