Software Partner Inc. 社内ネットワーク環境における セキュリティ強化の御提案 クライアントPC操作ログ・インターネットアクセスログ取得環境導入 および各拠点へのファイアウォール導入の御提案 株式会社ソフトウェア・パートナー Copyright 2009 © All rights reserved, Software Partner Inc. Software Partner Inc. 1. 御提案背景 現在、社内システム環境およびネットワーク環境におけるセキュリティ対策として、Active Directoryを基本とした下記各種対策を実装しておりますが、貴社IT環境全体から見たセキュリテ ィ対策として、クライアントPCおよびネットワークに関する対策に不安が御座います。 以下に、現在貴社において実施されておりますセキュリティ対策項目と、これらを踏まえ、現状とし て不安が残る点について列記いたします。 貴社における現状のセキュリティ対策 貴社におけるセキュリティ対策の不安点 • ユーザIDの管理およびユーザ認証機能の一元 • クライアントPC側でのユーザ操作制御・抑制対 化 • USBストレージの利用制御 • ウィルス対策環境(サーバ・クライアント)による ウィルス脅威からの保護 策が施されていない • インターネット閲覧に関するユーザ利用制御・ 抑制対策が施されていない • インターネット側からの社内ネットワーク保護対 策が施されていない Copyright 2009 © All rights reserved, Software Partner Inc. Software Partner Inc. 3. 現行の貴社社内システム構成および問題点 ファイアウォールが 導入されていない! インターネットの閲覧制御が 施されていない!(ログ取得等 施されていない! ログ取得等) ログ取得等 クライアントPC側での情報漏洩対策が クライアント 側での情報漏洩対策が 施されていない!(操作ログ取得等 操作ログ取得等) 施されていない! 操作ログ取得等 現行サーバの問題点 • クライアントPC全てについて、ユーザによるPC操作を制御・抑制するための環境が構成されていない • 全拠点のインターネット接続部分について、インターネット閲覧を制御・抑制するための環境が構成されていない • 各拠点のインターネット接続部分について、ネットワークレベルでの保護を行うためのファイアウォールが設置されていない Copyright 2009 © All rights reserved, Software Partner Inc. Software Partner Inc. 3. 御提案目的と期待出来る 御提案目的と期待出来る効果 出来る効果 御提案目的 期待できる効果 • クライアントPCに関するユーザ操 • ユーザが直接操作するクライアントPCに対して操作制御環境を構成す 作制御・抑制対策の実現 ることで、ユーザが可能な操作を制限し、社内全体のセキュリティ向上 を実現 • ユーザの操作を全てログに出力することで、有事の際の監査証跡とし て利用することが出来ると共に、ユーザに対してログの取得を明言する ことで、ユーザ操作への抑止効果も期待可能 • インターネット閲覧に関するユー • ユーザが閲覧可能なコンテンツを制御することで、フィッシングサイトや ザ利用制御・抑制対策の実現 ウィルスの埋め込まれたサイトなどから社内ネットワークを保護するこ とが出来ると共に、業務に関係の無いページの閲覧を制限可能 • ユーザのインターネット閲覧を全てログに出力することで、有事の際の 監査証跡として利用することが出来ると共に、ユーザに対してログの取 得を明言することで、ユーザによるインターネット閲覧への抑止効果も 期待可能 • インターネット側からの脅威に対 する社内ネットワーク保護の実 現 • 各拠点にファイアウォールを設置することで、インターネット側からの 様々な攻撃や脅威をインターネットの入り口部分で防御することが可能 であり、社内ネットワークを安全に運用することが可能 Copyright 2009 © All rights reserved, Software Partner Inc. Software Partner Inc. 4. 御提案概要 前述の御提案背景の解決および御提案目的の実現のため、弊社では下記の内容について御提 案申し上げます。 御提案内容 • クライアントPCへの内部統制対策ソフトウェアの導入 クライアント への内部統制対策ソフトウェアの導入 「クライアントPCに関するユーザ操作制御・抑制対策の実現」を目的として、クライアン トPCに内部統制対策ソフトウェアを導入いたします。 上記ソフトウェアの機能を利用して、各PCにおける操作可能範囲を管理者側から制御 すると共に、各PCにおける操作ログを取得いたします。 • UTM(統合脅威管理機器)の導入 (統合脅威管理機器)の導入 「インターネット閲覧に関するユーザ利用制御・抑制対策の実現」および「インターネッ ト側からの脅威に対する社内ネットワーク保護の実現」を目的として、貴社社内ネット ワーク内(インターネット接続部分)に統合脅威管理機器(UTM:Unified Threat Management)を導入いたします。 上記機器の機能を利用して、ユーザによるインターネットアクセス可能範囲を管理者 側から制御すると共に、インターネット閲覧ログを取得いたします。 UTMはファイアウォール機能も保持しているため、上記導入により、インターネットから 貴社社内ネットワークを保護いたします。 Copyright 2009 © All rights reserved, Software Partner Inc. Software Partner Inc. 5. 御提案詳細①(内部統制対策ソフトウェア導入) 御提案製品 • AssetView Suite (製造・開発元 : ハンモック) 本製品の特徴 • 操作ログ管理やIT資産管理、アプリケーション自動配布など、内部統制に必要なソフトウェ アをパッケージングしたオールインワンスイートパッケージ • 本製品で実装出来る主な機能は下記の通り 機能名称 機能概要 PCログ管理 クライアントPCの操作を全てログ出力する機能。ユーザの画面クリック(左右クリック識別)から読み書きしたファイル 名まで取得可能なため、有事の際のファイル追跡も可能。また、ユーザの動作を監査し、対象クライアントPCに対して 警告を表示することも可能。 IT資産管理 クライアントPCの資産情報(ライセンス管理含む)を一元管理する機能。状態変化を即時把握できると共に、過去3世 代までの情報を蓄積することが可能。また、クライアントPCのデスクトップ画面へポップアップ情報を表示することも出 来るため、インフォメーション周知等でも有用。 個人情報検索 業務で扱う個人情報が含まれるファイルを把握し、外部流出を抑止する機能。多彩な監査方法を実装していることに より、個人情報を含むファイルの操作を柔軟に制御することが可能。 アプリケーション 自動インストール 社内のPC全てに対して、ソフトウェアの一括インストールや環境設定の一括変更などを実現する機能。管理者による 手動配布以外にも、予め設定したスケジュールに基づいた自動インストールなども可能。 不正PC検知・遮断 管理対象PC以外のネットワーク接続を検知・遮断する機能。個人所有PCなどの社内持込・LAN接続を検知し、ネット ワークや社内資産が利用出来ないように制御することが可能。 リモートコンソール 社内のPCをリモート操作する機能。Windows OS標準のリモートデスクトップ接続とは異なり、管理者主体で強制的に 操作することが可能。また、問題のあるクライアントPCを発見した場合には、管理者側から強制的にユーザ操作を禁 止することも可能。 統合WEBレポート WEBブラウザを利用して、上記各種機能で検知した社内PC群の状態をグラフィカルに表示する機能。単なるレポート 表示機能のみならず、部署別統計やワースト表示など、マクロ的視点での統計取得も可能。 Copyright 2009 © All rights reserved, Software Partner Inc. Software Partner Inc. 5. 御提案詳細①(内部統制対策ソフトウェア導入) 導入イメージ ③管理者PCから社内におけるポリシーを設定 また、WEBブラウザを利用して統計情報を確認 ②内部統制対策ソフトウェア(AssetView)のクライアント機能を 各クライアントPCに直接インストール ①内部統制対策ソフトウェア(AssetView)の管理サーバ機能を 既存ドメインコントローラ内に併設 構成のポイント ①既設ドメインコントローラ(SV111)内に、内部統制対策ソフトウェア( )内に、内部統制対策ソフトウェア(AssetView Suite)の管理サーバ機能を導入 )の管理サーバ機能を導入 ①既設ドメインコントローラ( )内に、内部統制対策ソフトウェア( 既存資産の有効活用およびサーバOSライセンス節約を目的として、既設サーバ内に設置 ※ 既設サーバを弊社で導入しておりますので、機能追加も安全に実施することが可能です! ②各クライアントPC内に内部統制対策ソフトウェアのクライアント機能を直接導入 ②各クライアント 内に内部統制対策ソフトウェアのクライアント機能を直接導入 ①で導入する管理サーバと連携し、クライアントPC上での各種監査を実現 ③管理者PCから社内ポリシーの設定すると共に、 ブラウザを利用して統計情報の確認・取得が可能 ③管理者 から社内ポリシーの設定すると共に、WEBブラウザを利用して統計情報の確認・取得が可能 から社内ポリシーの設定すると共に、 Copyright 2009 © All rights reserved, Software Partner Inc. Software Partner Inc. 5. 御提案詳細②(UTM導入) 導入) 御提案詳細②( 御提案製品 • SonicWALL Total Secure TZシリーズ シリーズ (製造・開発元 : 米SonicWALL, Inc.) 本製品の特徴 • ネットワークセキュリティに関する機能を一台のハードウェアに凝縮した、オールインワンセ キュリティアプライアンス(UTM) • 本製品で実装出来る主な機能は下記の通り 機能名称 機能概要 ファイアウォール 小中規模向けファイアウォール。通常のパケットフィルタ型ファイアウォール機能に加え、通信状態や通信内容を 動的に判断し、ファイアウォールポリシーを自動制御する「ステートフルパケットインスペクション」機能を搭載。 インターネットアクセス ログ取得 ログ取得機能。ファイアウォールのロギング機能により、WEB閲覧のみならず、電子メール送信やFTPアクセスな ど、社内端末からインターネットへのアクセスを全てログに出力することが可能。 ※ログが膨大な量になるため、ログを長期保存するためには別途Syslogサーバの設置が必要。 (御提案に含んでおります) ログ解析 ログ解析・レポート生成機能。「SonicWALL ViewPoint」機能を搭載しており、蓄積した各種ログ(インターネットアク セスログやファイアウォールでのブロックログ等)を多角的に解析し、グラフィカルなレポートを生成することが可能。 ※外部Syslogサーバとの連携も可能。 コンテンツフィルタ インターネット上のWEBコンテンツ閲覧制御機能。最大56カテゴリの有害なコンテンツや業務に関係の無いコンテ ンツを動的に制御することが可能。 ウィルス対策 スパイウェア対策 侵入検知・防御(IPS) ゲートウェイレベルでのアンチウィルス、アンチスパイウェア機能。御提案機器上を通過する通信パケットを検査す ることで、不正なWEBコンテンツを閲覧した際に送り込まれるウィルスデータや電子メールに添付されてくるウィル スデータをゲートウェイレベルで検知・保護することが可能であり、LAN内部へのウィルスデータ侵入を防御するこ とが可能。 また、侵入検知・防御(IPS)機能も実装しており、通信パケットを解析し、攻撃と考えられる通信パターンを検知し た場合には、ファイアウォール機能と連動し、動的に防御することが可能。 Copyright 2009 © All rights reserved, Software Partner Inc. Software Partner Inc. 5. 御提案詳細②(UTM導入) 導入) 御提案詳細②( 導入イメージ ①インターネット接続用ルータの直下にUTM機器を設置し、 ファイアウォール機能および各種セキュリティ機能を稼動 ※全拠点が対象 ③UTM上で取得した各種アクセスログ(インターネット閲覧 ログ等)は本社に設置する「Syslogサーバ」へ転送 ②本社内VMware Server内に、インターネット閲覧ログ 蓄積のために「Syslogサーバ」を仮想サーバとして設置 構成のポイント ①各拠点のインターネット接続用ルータ直下にUTM機器を設置し、ファイアウォール機能および各種セキュリティ機能を稼動 機器を設置し、ファイアウォール機能および各種セキュリティ機能を稼動 ①各拠点のインターネット接続用ルータ直下に インターネットアクセス経路に設置し、インターネットアクセスに関する通信が全て当該機器を通過する形で構成 ②本社内の仮想サーバ(VMware Server)内に、仮想サーバとして )内に、仮想サーバとしてSyslogサーバを設置 サーバを設置 ②本社内の仮想サーバ( )内に、仮想サーバとして 既存資産の有効活用を目的として、仮想サーバとして設置 併せて、サーバOSライセンス節約を目的として、SyslogサーバのOSとしてLinux(CentOS)を採用 ③各拠点に設置したUTMで取得したインターネット閲覧ログ等は、②で設置する で取得したインターネット閲覧ログ等は、②で設置するSyslogサーバへ転送 サーバへ転送 ③各拠点に設置した で取得したインターネット閲覧ログ等は、②で設置する ログは本社側で一元管理すると共に、本社設置のUTMのレポート機能を利用して多角的に解析 Copyright 2009 © All rights reserved, Software Partner Inc. Software Partner Inc. 6. 全体概算スケジュール 区分 項目 1ヶ月目 イベント 事務処理 設計 / 構築 要件定義 /適合検証 ★ (発注) 2ヶ月目 3ヶ月目 4ヶ月目 ★ (検収) 設計 構築 本番リリース 予備期間 本番導入 ★ (本番導入) リリース ★ (リリース) 予備期間 Copyright 2009 © All rights reserved, Software Partner Inc. 5ヶ月目
© Copyright 2026 Paperzz
