Sophos Endpoint Security and Data Protection: レビュアーズガイド

Sophos Endpoint Security and Data
Protection: レビュアーズガイド
1
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
2
レビュアーズガイド
1 エンドポイントの徹底した保護
レビュアーズガイド
はじめに
Sophos Endpoint Security and Data Protection にご興味をお持ちいただきあ
りがとうございます。Sophos Endpoint Security and Data Protection は、拡張
性に優れた統合型のエンドポイントセキュリティ製品です。 このドキュメントで
は、Sophos Endpoint Security and Data Protection の主要なソフトウェアコン
ポーネントについてご紹介いたします。これらのコンポーネントには、管理コン
ソール、ウイルス対策、クライアント ファイアウォール、データコントロール、デ
バイスコントロール、アプリケーションコントロール、暗号化、ネットワークアクセ
ス コントロールなどが含まれます。
また、このガイドは、Sophos Endpoint Security and Data Protection のパワフル
な機能についても概説します。 このガイドによって、Sophos Endpoint Security
and Data Protection が、コンピュータセキュリティを脅かす既知や未知の脅威
に対して、費用対効果の高い信頼性に優れた保護を実現する方法や、データ
流出を防止する仕組みについてご理解いただけると存じます。 本製品が、貴社
ビジネスの継続やシステム効率の向上に寄与し、本来のビジネス業務に専念
できるお役に立てれば幸いです。
Sophos Endpoint Security and Data Protection の価格とご利用に関する詳
細は、ソフォス営業部までお問い合わせください。 ソフォス製品を取り扱って
いる販売代理店については、以下の Web サイトをご覧ください。
www.sophos.co.jp/products/howtobuy/
製品の評価をご希望の場合は、以下の Web サイトをご覧ください。
www.sophos.co.jp/products/enterprise/free-trials/
インストールに関するガイドは、以下の Web サイトからダウンロードしてい
ただけます。
www.sophos.co.jp/support/docs/
3
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
レビュアーズガイド
目次
1 エンドポイントの徹底した保護
Sophos Endpoint Security and Data Protection の概要
2 集中管理コンソール
24
Sophos Endpoint Security and Control の概要、
Sophos Client Firewall、Sophos NAC、SafeGuard Disk Encryption
4 WINDOWS 以外のコンピュータの保護
8
Sophos Enterprise Console の概要
3 WINDOWS コンピュータの保護
5
30
Sophos Anti-Virus on Mac OS X、Linux、UNIX の概要
付録
I ENDPOINT SECURITY AND DATA PROTECTION の評価
33
テスト用ネットワークの要件
II テスト用ウイルス「EICAR」
36
III ソフォスのその他の製品およびサービス
37
4
1 エンドポイントの徹底した保護
Sophos Endpoint Security
and
レビュアーズガイド
Data Protection
1 エンドポイントの徹底した保護
ENDPOINT SECURITY AND DATA PROTECTION の概要
ソフォスは、デスクトップ PC、ノート PC、モバイル機器、ファイルサーバーな
どを、既知や未知の脅威から保護する管理タスクを簡単にしました。また、企
業を偶発的なデータ流出からも保護します。
徹底したセキュリティ
ソフォスの統合マルウェア対策エージェントは、様々な脅威を単一ですべて
阻止し、ポイントごとに異なる複数の製品を必要としません。 簡単なスキャ
ンで、ウイルス、スパイウェア、アドウェア、ルートキット、業務上不要なアプ
リケーション (PUA) から企業を保護できます。 同時に、VoIP、インスタントメ
ッセージ (IM)、P2P ファイル共有のような未認証ソフトウェアのインストール
や使用を管理し、リムーバブルストレージデバイスやワイヤレスネットワーク
プロトコルの使用を制御して、機密情報の転送やコピーを監視できます。 ま
た、コンピュータのフルディスク暗号化、リムーバブルストレージデバイスのデ
ータ暗号化、社外との安全なデータ交換などの機能を備え、データを流出事
故から保護できます。
使いやすい集中管理コンソール
ソフォスの自動化コンソール、Enterprise Console は単一の管理コンソール
で、エンドポイント保護の導入、アップデート、レポート作成を企業全体に施行
できます。 ひとつのコンソールで、数千台規模の Windows、Mac、Linux、UNIX
コンピュータの管理が可能です。 セキュリティ管理作業が簡素化・自動化され
ることでコストが削減され、業務が簡単になり、ネットワーク全体のセキュリテ
ィステータスを把握しやすくなります。 さらに、ロールベースの管理によって、
企業全体のセキュリティポリシーを総合的に制御しながら、他のユーザーとタ
スクを共有することが可能になり、業務の負荷を削減できます。
さまざまなプラットフォームに対応
Endpoint Security and Data Protection は、Windows、Mac OS X、
Linux、UNIX、NetWare、NetApp Storage Systems、Windows Mobile をはじ
め、25種類以上のプラットフォームに対応しており、これらがすべてライセン
スに含まれます。
5
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
データを包括的に保護
複数の異なるテクノロジーを組み合わせて、データを偶発的な流出事故から防
ぎます。 単一のエンドポイントエージェントに統合された DLP コンテンツスキャ
ン機能は、機密データのリムーバブルストレージデバイスへのコピーや、電子メ
ール、Web ブラウザ、インスタントメッセージのようなインターネット使用のアプリ
ケーションへの転送を監視します。 USB などのリムーバブルストレージデバイ
スを詳細にコントロールすることで、特定のデバイスの使用や暗号化デバイス
の使用、また、読み取り専用のアクセスが可能です。 また、フルディスク暗号化
によってノート PC のデータを保護し、ノート PC を紛失した場合に、情報が他人
によって悪用されることを阻止します。
統合された専門性
SophosLabs™ (ソフォスラボ) では、マルウェアやスパムの専門家が、最善の
保護を迅速に提供しています。 Behavioral Genotype® Protection (振る舞い
検出型遺伝子脅威検知) などの独自テクノロジーに加え、ウイルス定義ファイ
ルを小さいサイズで迅速にアップデートし、新種や未知のマルウェアを阻止し
ます。独立機関が定期的に実施するテストでは、大手のウイルス対策ベンダ
ーを凌ぐ結果を常に出しています。
エンドポイントでのコンプライアンス
Sophos Endpoint Security and Data Protection には Sophos NAC が含まれ
ており、エンドポイント PC の評価・管理を通じてコンプライアンスを徹底でき
ます。 Sophos NAC では、ウイルス対策ソフトウェアやその他のセキュリティ
アプリケーションが、有効かつ最新の状態になっているかどうか、OS のパッ
チがアップデートされているかどうかがチェックされます。 ネットワークにア
クセスしようとするコンピュータのセキュリティ設定に問題が見つかった場合
は、隔離したうえでその脆弱性を修復し、マルウェア感染のリスクを回避しま
す。 Sophos NAC は定期的な評価チェックを使用し、ユーザーセッションを通
して保護し続けます。
理由
ソフォス製品のメリット
長年にわたる実績
既知・未知の脅威からビジネスを保護し続けてきた 20年以上の経験
で、どんな複雑な脅威の台頭にも、迅速に対応できます。
簡素化・合理化され
たセキュリティ対策
Sophos Enterprise Console は、費用対効果の高い直感的な集中管
理をマルチプラットフォーム環境で実現し、ネットワーク全体の制御と
セキュリティステータスの把握が容易になっています。
迅速な対応
ソフォスラボのエキスパートが、最新の脅威を常時監視・解析し、コ
ンパクトサイズ のアップデートを頻繁に提供いたします。
卓越したサポート
ソフォスのエキスパートチームが、緊急時には 24時間 365日のテ
クニカルサポートを提供いたします。ソフォスは、業界で最も高いレ
ベルの顧客満足度を達成しています。
簡単なライセンス
登録
一回のライセンス購入で、継続的な自動アップデートと、すべての
新規リリースに対するアップグレードが保証されます。これには、ソ
フォス社員によるスタンダードサポート (平日 9:00 - 17:30 / 緊急時
は 24時間 365日) が無償で含まれています。
企業向けのソリュー
ション
ソフォス製品は、企業ユーザーを対象としております。一般ユーザー
を対象とした製品とは異なり、企業に特化した開発、サポート、分析
を通じて、企業ニーズに的確にお応えいたします。
表1: ソフォス製品のメリット
6
レビュアーズガイド
1 エンドポイントの徹底した保護
レビュアーズガイド
主要機能の比較
セキュリティ製品を比較するにあたって、考慮すべきポイントは以下のとお
りです。
• 単一の管理コンソールから、すべての OS に対する保護を管理できま
すか?
• ウイルス対策、スパイウェア対策、ファイアウォール、HIPS、アプリケー
ションコントロール、デバイスコントロール、データコントロール、ネットワ
ークアクセス コントロールなどのエンドポイント保護の導入が、何回くら
い必要とされますか?
• 企業全対に及ぶ製品のインストールと導入は、どのくらい簡単ですか?
Active Directory (AD) を使用して、このプロセスを速めることができます
か?
• Active Directory と同期して、ネットワークに追加されたばかりのコンピュ
ータにも、自動的に保護機能を導入できますか?
• 管理対象/管理対象外のコンピュータがネットワークにアクセスしたとき
に、簡単に評価・制御できますか?
• 管理コンソールで、最新のセキュリティステータスや警告を確認できます
か?
• 製品管理は、どのくらい簡単ですか? 特に、ポリシーを変更してグルー
プに適用するような一般的管理タスクを行うのに、どのくらいのステップ
と時間がかかりますか?
• プロアクティブな検出テクノロジーや HIPS テクノロジーはどのくらい有効
ですか?また、効果的な保護を継続的に活用するために、特別な設定
が必要ですか?
• エンドポイントエージェントによって、機密データのリムーバブルストレー
ジデバイスへのコピーや、電子メール、Web ブラウザ、インスタントメッセ
ージのようなインターネット使用のアプリケーションへの転送を、監視す
ることができますか?
• リムーバブルストレージデバイスの使用を制御することは、どのくらい簡
単ですか?また、どんな施行オプションが可能ですか?
• IM、P2P、VoIP、ゲームなど、業務上不要なアプリケーションのダウンロ
ードやインストールを制限するのはどのくらい簡単ですか? 新バージョ
ンを使用してアプリケーションリストをアップデートし続けるのに、どのくら
いの作業が必要ですか?
• クライアントマシンのメモリをどのくらい使用しますか?アップデートファイ
ルの提供頻度とサイズは?
• 24時間 365日(緊急時) のテクニカルサポートを無償で使用できますか?
国内のサポートを利用できますか?
7
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
Sophos Enterprise Console
2 集中管理コンソール
SOPHOS ENTERPRISE CONSOLE の概要
Sophos Enterprise Console は、簡単で使いやすいポリシーベースのエンドポイ
ント保護管理を実現します。 また、数千台規模の Windows、Mac、Linux、UNIX
コンピュータを単一のコンソールから管理できます。
Sophos Enterprise Console を使うと、ネットワーク上のコンピュータをポリシ
ーベースで管理したり、ウイルスを一括駆除するなどのセキュリティ管理が
簡単に行えます。拡張性にも優れているため、日常的な管理作業の負担が
大幅に軽減されます。
セキュリティ製品の複雑化が進む中、管理作業の負担も増加しています。
Endpoint Security and Data Protection では、Enterprise Console を使用し
てセキュリティ対策を簡単に集中管理できるほか、新種の脅威や未知の問
題にも迅速に対応できます。 この章では、Enterprise Console の主な機能と
メリットについて説明します。
多様な機能を一括導入
エンドポイント保護と他社製ウイルス対策の削除
Endpoint Security and Data Protection では、単一の Enterprise Console を
使用して、ウイルス対策、クライアント ファイアウォール、コンプライアンス制
御 (NAC) などのコンポーネントを、ネットワーク上のエンドポイント PC に導
入して管理できます。
図 1: 簡単な導入
さらに、既存のセキュリティ製品から Endpoint Security and Data Protection
への移行がスムーズにできるよう、インストール中に他社製セキュリティソフ
トを削除するオプションも備えています。
8
レビュアーズガイド
2 集中管理コンソール
SOPHOS ENTERPRISE CONSOLE
Active Directory との連携・同期
迅速な導入、保護機能の自動適用
Sophos Endpoint Security and Data Protection は、Active Directory のグル
ープとクライアント構成の複製を Enterprise Console 内に作成し、それによ
ってネットワーク上のコンピュータを簡単に検出できます。
複製を作成後、Active Directory と Enterprise Console を同期するオプショ
ンを選択すると、Active Directory への変更が Enterprise Console にも反映
され、ネットワークに新しく追加されたクライアントマシンに保護機能を自動的
に適用することができます。 Enterprise Console は、Active Directory への
変更を、デフォルトで 1時間おきに自動的にチェックします。
図2: 新しく追加されたコンピュータをすばやく検索
Active Directory を使用していない場合は、以下のいずれかの方法でコンピ
ュータをすばやく検出できます。
• ネットワーク上のコンピュータを検索
• IP サブネット範囲に基づく検索
セキュリティ ダッシュボード
セキュリティステータスの表示と自動警告機能
ウイルス、スパイウェア、アドウェア、疑わしいアイテム、業務上不要なアプ
リケーションが検出されると、警告が自動的に生成され、ダッシュボードに
表示されます。
Enterprise Consol のセキュリティダッシュボードには、 Windows、 Mac、
Linux、UNIX コンピュータに関する警告がまとめて表示されます。リスクレベ
ルは、緑 (正常)、黄 (警告)、赤 (深刻) と色で示されます。
9
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
レビュアーズガイド
マウスをクリックするだけで、以下の操作を行うことができます。
• 保護が最新の状態にアップデートされていなかったり、マルウェア警告が
発生しているような、問題のあるコンピュータだけを選択して表示する。
• 赤、黄、緑の色分け表示のしきい値を変更する。
• あらかじめ設定したセキュリティしきい値に近付くと警告メールを自動送信
するように設定する。
警告メールを自動送信する機能を使うと、コンソールにログインしていなくて
も、セキュリティ上の問題が発生していることがわかります。
デフォルト設定では、マルウェアや PUA、未認証アプリケーションなどが検出
されると、該当するコンピュータの画面にも警告が表示されます。 また、ウイ
ルス、PUA、エラーなどがグループ内のコンピュータに検出された場合、シス
テム管理者や特定のユーザーにメールや SNMP で警告を送信するように設
定できます。 検出されたウイルスはハイパーリンクで表示されます。このリン
クをクリックすると、ソフォスの Web サイトにあるマルウェアライブラリの該当
エントリが表示されます。
深刻なイベントの解明
例えばアプリケーションがファイアウォールによってブロックされるというよう
な、アプリケーションコントロール、ファイアウォール、データコントロール、デ
バイスコントロールなどに関わるイベントが、エンドポイント PC で発生した
場合、イベントは Enterprise Console に送信され、各イベントビューアーに
表示されます。
図3: Sophos Enterprise Console のセキュリティ ダッシュボード
イベントビューアーを使用することで、ネットワーク上に発生したイベントを、
迅速かつ簡単に調査できます。 また、フィルタリング設定に基づいて発生し
たイベントのリストを作成することもできます。例えば、特定のユーザーによ
って過去 7日間に生成されたすべてのデータコントロールに関するイベント
のリストを作成できます。
過去 7日間に特定のしきい値を超えたイベントが発生したコンピュータの数
が、ダッシュボードに表示されます。 また、イベントが発生した際に、特定の
受信者に警告を送信するように設定することもできます。
10
見やすいダッシュボード
問題を一目で把握できるインター
フェースを備えています。また、セ
キュリティのしきい値に達すると、
警告メールが自動送信されます。
2 集中管理コンソール
SOPHOS ENTERPRISE CONSOLE
Smart View
問題のあるコンピュータを絞り込んで表示・修復
大規模ネットワークでウイルスを駆除するのは特に煩雑な作業ですが、
Enterprise Console では、問題のあるファイルやレジストリエントリ、実行中
のプロセスを、リモートからクリーンアップできます。 Enterprise Console に
搭載されている Smart View を使うと、保護機能が最新の状態にアップデ
ートされていないコンピュータや、ポリシーに準拠していないコンピュータな
ど、セキュリティステータスごとにコンピュータを絞り込んで表示・修復するこ
とができます。
図4: Smart View
Sophos Update Manager
シングルポイントから管理して迅速にアップデート
Sophos Update Manager は、Sophos のセキュリティソフトが自動的にアップデ
ートされて、ネットワークが常に保護されていることを確認します。 アップデー
トマネージャは、Enterprise Console によりインストールされて管理されます。
アップデートマネージャを設定すると、以下のことが実行されます。
• スケジュール設定された頻度で、ソフォスやネットワーク上にあるデータ
配信用 Warehouse に接続します。
• 管理者がライセンス登録したセキュリティソフトに該当するアップデート版
を、ダウンロードします。
• アップデートされたソフトウェアを、エンドポイント PC にインストールするた
めに、複数のネットワーク共有フォルダに配信します。
その後、エンドポイント PC は、設定されたアップデートポリシーに従い、ネッ
トワーク共有フォルダから自動的にアップデートされます。
11
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
ActivePolicies
簡単なポリシーの設定と適用
Sophos ActivePolicies™ を使用すると、グループ別ではなくネットワーク全体
に適用できるポリシーを作成でき、1つのポリシーを複数のグループに同時
に適用できます。 以下の画面に示されるように、ActivePolicies は 7つの項
目に分類されます。
図5: ActivePolicies
アップデートポリシー
Enterprise Console は、コンピュータが最新の保護でアップデートされ続ける
ことを確認します。 ネットワークの様々な場所でアップデートされる時間と、
コンピュータがアップデートのために接続する場所を設定することができま
す。 この機能は、勤務体制が複数のタイムゾーンにまたがる大企業や、勤
務時間が固定していない企業、従業員がノート PC を使ってリモートからネ
ットワークに接続するような環境などで特に便利です。 また、自動アップデ
ートの制御は、ネットワークパフォーマンスにかかる負荷を最小限に抑える
ためにも役立ちます。
ソフトウェアのライセンス登録を確認・設定することで、各プラットフォームに
対し、ソフォスからダウンロードされるエンドポイントソフトウェアのバージョン
を指定することができます。 デフォルトのライセンス登録には、Windows 2000
以降に対応する最新のソフトウェアが含まれます。
また、メールのダウンロードなどのようなネットワークを介するその他の処理
が影響を受けないように、アップデート時に使用する帯域幅を制限することも
できます。
12
レビュアーズガイド
2 集中管理コンソール
SOPHOS ENTERPRISE CONSOLE
Anti-Virus と HIPS に関するポリシー : ウイルス、スパイウェア、PUA など
の侵入防止
また、ソフォスのウイルス対策保護を実行することで、複雑なインストールや
環境設定の必要なく、徹底したホスト搬入防止システム (HIPS) を適用できま
す。 これにより、マルウェアや疑わしいファイル・動作などのランタイム解析、
バッファオーバーフロー保護、コード実行前検出、プロアクティブ検出などが
可能になります。
このポリシーでは、ネットワーク全体に、様々なタイプのスキャン機能を設定す
ることが可能です。 オンアクセススキャン、オンデマンドスキャン、スケジュール
設定スキャン、Web スキャンなどに関する要件を設定できます。 脅威をもたら
す危険がないと分かっている種類のファイルは、スキャンから除外することもで
きます。 デフォルトでは、以下の標準ポリシーが適用されます。
• マルウェアに感染する可能性のあるファイルをすべてスキャンする。
• ウイルスやスパイウェアなどを含むファイルへのアクセスを阻止する。
• ウイルスや PUA が見つかったコンピュータの画面上に警告を表示する。
図 6: Anti-Virus と HIPS ポリシーの設定
13
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
アプリケーションコントロール ポリシー
VoIP、IM、P2P などのアプリケーションが原因となって、セキュリティ上の問
題や法的な問題が発生したり、生産性に悪影響を及ぼすケースが増えてき
ています。このため、これらの未認証アプリケーションのインストール・使用
を制限するニーズが高まっています。 ソフォス製品は、マルウェアに加え、
これらのアプリケーションも検出できるため、アプリケーション対策用の製品
を別に購入・インストール・管理する必要がありません。
デフォルトで、管理対象のアプリケーションはすべて認証されています。しか
し Enterprise Console を使用して、エンドポイント PC のグループ別に異なる
ポリシーを設定し、特定の場所や部署ごとに異なるセキュリティポリシーを適
用することもできます。 たとえば、VoIP を社内 PC に対しては無効にし、リモ
ート PC に対しては有効にすることができます。 アプリケーションをブロックす
るには、ブロック対象のボックスに移動させます。
管理対象アプリケーションのリストはソフォスから提供され、定期的に更新さ
れます。 ユーザーがリストに新しいアプリケーションを追加することはできま
せん。しかし、ネットワーク上で新たに制御したい正規のアプリケーションを
追加するリクエストを、ソフォスに提出することができます。
管理可能な全アプリケーションのリストは、次のサイトをご覧ください:
http://www.sophos.co.jp/security/analyses/controlled-applications/
レビュアーズガイド
管理対象アプリケーション
には、以下が含まれます:
• VoIP
• インスタントメッセージ
• P2P ファイル共有ソフトウェ
ア
• 分散コンピューティング プロ
ジェクト
• 検索エンジンのツールバー
• メディアプレーヤー
• インターネットブラウザ
• ゲーム (Windows およびマ
ルチプレーヤー型)
• 仮想化ソフト
• リモート マネージメント ツー
ル
• 地図閲覧アプリケーション
• メールクライアント
• オンラインストレージ
• 暗号化ツール
図 7: アプリケーションコントロール – 未認証ソフトウェアの簡単な制御
14
2 集中管理コンソール
SOPHOS ENTERPRISE CONSOLE
デバイスコントロール ポリシー
デバイスコントロールは、偶発的なデータ流出の危険を防ぎ、ユーザーがネ
ットワークの外部からソフトウェアやマルウェアを持ち込むのを制御するの
に役立ちます。
ソフォスのエンドポイントエージェントに統合され、以下の 3 種類のデバイス
を制御できます。
• ストレージ: リムーバブルストレージ デバイス (USB メモリ、PC カードリ
ーダー、外付けハードディスクドライブ); 光学メディアドライブ (CD-ROM/
DVD/ブルーレイドライブ); フロッピーディスクドライブ; セキュリティ搭載リ
ムーバブルストレージ デバイス
• ネットワーク: モデム; ワイヤレス (Wi-Fi インターフェース、802.11 標準)
• 近距離無線: Bluetooth インターフェース; 赤外線 (IrDA 赤外線インター
フェース)
図8: デバイスコントロール - リムーバブルストレージをきめ細かく制御
デバイスコントロールは、デフォルトで無効に設定されており、すべてのデバイス
が許可されています。デバイスコントロールを初めて有効にする場合は、以下の
操作を行うことをお勧めします。
• 制御するデバイスの種類を選択する。
• ブロックせずにデバイスを検出する。
• デバイスコントロールのイベントを使用して、ブロックするデバイスの種類
と許可するデバイスの種類を決定する。
• 検出したデバイスをブロックするか、またはデバイスに読み取りのみのア
クセスを許可する。
各種のデバイスは、実際に使用するデバイスと特定の製品モデルの両方に
関して制御できます。 すなわち、IT 部門に属する USB キーは、リムーバブ
ルストレージに対するブロックポリシーの適用から除外することができます。
Sophos Enterprise Console 内にあるデバイスコントロールのイベントビュー
アを使用して、除外するデバイスの管理が簡単にできます。 デバイスコント
ロールで迅速にデバイスを検出した後、デバイスコントロールポリシーが作
成したイベントをレビューしてポリシーから除外し、許可することが可能です。
15
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
また、企業ネットワークと企業外ネットワークとの間のブリッジ接続の危険性を
大幅に減少できます。 ブリッジ接続のブロックモードは、ワイヤレスタイプとモデ
ムタイプの両方のデバイスに適用できます。 エンドポイント PC が物理的ネット
ワークに接続する際 (一般に Ethernet 接続を利用)、ワイヤレスやモデムのネ
ットワークアダプターを無効にすることで、ブロックモードが有効になります。 エ
ンドポイント PC が物理的ネットワークと接続しなくなると、ワイヤレスやモデム
のネットワークアダプターは、シームレスに再度有効となります。
図9: デバイスコントロール – ネットワークブリッジの禁止
データコントロールポリシー
スタンドアロン型の DLP ソリューションを導入して、機密データを偶発的流出か
ら保護するには、時間とコストが多くかかり、エンドポイント PC のシステムパフ
ォーマンスに大きな影響を与えることがあります。 ソフォスは、機密情報に対す
るスキャン機能を、エンドポイントエージェントに統合することでこの問題を解消
し、DLP の設定・導入・管理を行いやすいものにしました。
特定のストレージデバイス (例: リムーバブルストレージ デバイスや光学ドライ
ブ) へのファイルのコピー、または特定のインターネット経由のアプリケーション
(例: メールクライアント、Web ブラウザ、インスタントメッセージング) によるファ
イルの転送などを、別のエンドポイントエージェントに異なるソリューションを導
入する必要なく、監視や制御できます。
ソフォスは、事前に定義された様々な国民認識番号から機密情報指標までを
含む、多数のデータコントロールのルールを提供しています。 これらのルール
は、自社のニーズに合わせて直ちに使用できます。
16
レビュアーズガイド
2 集中管理コンソール
SOPHOS ENTERPRISE CONSOLE
データコントロールルールには以下の 2 種類があります。
• ファイルマッチングルール: 特定のファイル名や特定のファイルタイプ (ス
プレッドシートのような真正ファイルタイプグループ) のファイルを、ユーザ
ーが特定の場所へ転送・コピーしようとする場合に取るべき処置を指定し
ます。例えば、データベースのリムーバブルストレージデバイスへの転送・
コピーをブロックすることなどです。
• コンテンツルール: 複数のデータ定義を含み、ルールにあるすべての定
義に適合するデータを、ユーザーが特定の場所へ転送しようとする場合
に取るべき処置を指定します。
図10: データコントロール – デフォルトのルール
•
ポリシーの作成を簡単にするために、SophosLabs は、クレジットカード番号、
社会保障番号、郵便番号、メールアドレスのような個人識別情報 (PII) などの
一般的な機密データの定義 (Content Control List) を含む拡張ライブラリを
維持・管理しています。
これらの定義に適合するファイルを正確に検出するために、様々なテクニッ
クが使用されます。 定義は SophosLabs によって絶えずアップデートされ、
エンドポイントデータの月例アップデートの際に、新しい定義が追加されます。
顧客参照番号や特定の機密資料マーカーなどのような企業に特定の情報
で、自社固有のリストを作成することもできます。
図11: データコントロール – 機密データの定義
17
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
ファイルがデータコントロールのルールに適合した場合に選択すべき対策は、
以下のように複数あります。
• 転送・コピーを許可して、イベントをログ記録する。
• ユーザーに確認してから転送・コピーを許可し、イベントをログ記録する。
• 転送・コピーをブロックして、イベントをログ記録する。
ファイルがルールに適合して転送・コピーがブロックされた場合や、転送にユ
ーザーの確認が必要とされた場合、デフォルトで、エンドポイント PC の画面
にメッセージが表示されます。 ファイル転送に関するユーザー確認のメッセー
ジやファイル転送のブロックに関して、通常のメッセージにカスタマイズされた
メッセージを簡単に追加することができます。
「ユーザーに確認してから転送・コピーを許可する」対策は、転送しようとして
いるデータが企業ポリシーに違反している可能性のあることを、業務を妨げる
ことなく従業員に気付かせるために使用できます。 エンドユーザーの決定は
監査され、数日後にレビューすることができます。
図12: データコントロール: エンドユーザー向けの確認画面
機密データを含むファイルが USB メモリにコピーされるというようなデータコン
トロールのイベントが発生した場合、イベントは Enterprise Console に送信さ
れ、データコントロール イベントビューアに表示することができます。 また、過
去 7日間に、データコントロールに関して、指定されたしきい値を超えるイベン
トが発生したコンピュータの数も、ダッシュボードに表示されます。
ファイアウォールポリシー
デフォルトでは、すべてのグループおよびコンピュータで Sophos Client
Firewall が有効になっており、不要なトラフィックはブロックされます。 デフォ
ルトのポリシーが適用されますが、ビジネス要件に合わせて、このポリシー
は簡単に変更できます。 また、ファイアウォールの設定はすべて集中管理
で行うことができます (詳しくは、第 3章をご覧ください)。
「警告のみ」モードを使用すると、企業全体にファイアウォールを導入し、ネッ
トワークで使用されるすべてのアプリケーションに関する情報を収集すること
ができます。 この情報は、コンソールに送り返されるため、ポリシーを実際に
適用する前に、従業員の生産性に影響を与えないようなポリシーを構築する
のに利用することができます。
18
レビュアーズガイド
2 集中管理コンソール
SOPHOS ENTERPRISE CONSOLE
異なるネットワークごとにセキュリティポリシーを設定することができ、ノート
PC などが、社内や社外のいずれでも保護されることを確認できます。 ノー
ト PC の場所は、DNS やゲートウェイ MAC アドレスのいずれかを使用して
検出されます。
図 13: ネットワーク別のファイアウォール
NAC (ネットワークアクセス コントロール) ポリシー
NAC ポリシーは、NAC Manager を使って管理します。NAC Manager を起動
するには、コンソールの NAC ボタンを使用するか、NAC ポリシーをダブルク
リックします。
Endpoint Security and Data Protection では、管理対象/管理対象外のコン
ピュータのポリシーがデフォルトで設定されています。 NAC Manager を使っ
て、このポリシーを変更したり、レポートの設定、アクセス制御、システム設
定を行えます。NAC Manager のインターフェースは、主として、管理、施行、
レポート、設定の 4つの部分から構成されます。
図 14: NAC の管理画面: ネットワーク上にあるコンピュータのポリシー遵守状況を一目
で把握
19
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
• 管理: ポリシーの編集・管理や、コンピュータの管理を行います。
• 施行: テンプレートや例外条件を使って、ネットワーク アクセスを制御し
ます。
• レポート: コンプライアンスの遵守状況や、ネットワーク アクセスに関する
各種レポートを利用できます。
• 設定: システム管理や設定、サーバー設定を行います。
NAC Manager にログインすると、企業全体のポリシー遵守状況が一目でわ
かります。 セキュリティポリシーに完全遵守/一部遵守/非遵守のコンピュー
タ数がそれぞれグラフ表示されるほか、 最近の傾向もグラフで示されます。
管理対象/管理対象外のコンピュータ用にデフォルトポリシーを提供
ポリシーを定義することによって、個々のコンピュータのセキュリティ設定を評
価したり、ネットワーク上のファイル/ディレクトリへのアクセスをグループごと
に制御することができます。 また、コンピュータのセキュリティレベル、画面上
に表示するメッセージ、修復アクション、施行アクションなども指定できます。
図 15: デフォルトのポリシーに基づき、コンピュータのセキュリティ設定を評価
20
レビュアーズガイド
2 集中管理コンソール
SOPHOS ENTERPRISE CONSOLE
NAC に関して、3種類のポリシーがあらかじめ定義されています。
重要
• デフォルトのポリシー: 管理対象コンピュータの評価・制御をただちに開始
できるよう、デフォルトのポリシーが用意されています。 また、Enterprise
Console にグループやコンピュータを新しく追加し、特定のポリシーを適
用しなかった場合や、適用されたポリシーが見つからない場合、デフォ
ルトのポリシーが使用されます。 デフォルトのポリシーは、Sophos AntiVirus、Sophos SafeGuard Encryption、Sophos Client Firewall、Microsoft/
Windows Update、MS Windows Firewall XP SP2/Vista に関して定義され
ています。
Sophos NAC の全機能を評価す
るには、
https://secure.sophos.co.jp/
support/updates/ から NAC
Manager をダウンロードしてくだ
さい (評価用のユーザー名とパ
スワードを入力していただくと、 ダウンロードページにアクセスで
きます)。
• 管理対象コンピュータ用ポリシー: このポリシーは、デフォルトのポリシー
と同じです。 このポリシーに変更を加え、テストしてから、管理対象のコ
ンピュータに適用できます。
• 管理対象外コンピュータ用ポリシー: ネットワークに一時的に接続する
コンピュータに適用されるポリシーです。これらのコンピュータの評価
には、Java ベースの非常駐型エージェントが使用されます。 このポリ
シーでは、一般的なスパイウェア/ウイルス対策製品や、ファイアウォ
ールアプリケーション、Microsoft Windows Update などが定義されてい
ます。 対応しているセキュリティ製品には、ソフォス、Microsoft、Trend
Micro、McAfee、Symantec/Norton、F-Secure、Panda、Spybot、Ad-Aware
などが含まれます。
メッセージリレー
優れた拡張性
Sophos Endpoint Security and Data Protection は非常に拡張性に優れてお
り、数万台規模のコンピュータを単一コンソールから管理することができま
す。 また、メッセージリレーを採用しており、ネットワーク上のコンピュータが
Enterprise Console への中継点として機能するため、 ネットワークトラフィッ
クや管理サーバーへの負担が軽減されます。
レポート
カスタマイズやスケジュール設定が可能
セキュリティを維持するには、ネットワーク上のコンピュータの状態を示す高
度なレポート機能が欠かせません。Enterprise Console は、テキスト/グラフ
形式のレポートなど、ネットワークの様々なセキュリティ ステータスを示す機
能が充実しています。 これらの機能は、特別に設定する必要がなく、すぐに
使用できるほか、要件に合わせてカスタマイズするのも簡単です。 標準的な
レポートの内容は以下のとおりです。
• 脅威の名前
• 脅威の発生場所
• 脅威の発生時間
• 脅威の履歴
• 脅威の概要
• ポリシーに遵守していないエンドポイント PC
• 管理対象エンドポイント PC の保護状況
• アップデート履歴
• 個々のユーザーのイベント
21
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
レポートは、表形式のほか、円グラフなどのグラフ形式で表示できます。ま
た、PDF (Acrobat) や HTML、MS Excel、MS Word、RTF、CSV、XML など、
様々なファイル形式にエクスポートすることもできます。
Report Manager を使って、テンプレートを利用して新しいレポートを迅速に
作成したり、レポートの設定を変更したり、レポートを作成する日時や頻度 (
一回のみ、毎日、毎週、毎月など) を指定できます。また、作成したレポート
を特定の宛先にメールで送信することもできます。
コンピュータ名をダブルクリックすると、IP アドレス、ユーザー名、最後にスキ
ャンを実施した日など、該当コンピュータの詳細情報が表示されます。
図 16: レポートのスケジュール設定
ロールベースの管理
管理作業の分担
Endpoint Security and Data Protection には、管理作業のロールや権限を設
定したり、組織構成に基づいて管理を行うことのできる機能があります。この
機能は、大規模な企業でセキュリティ管理を行う際に便利です。
このようなロールベースの管理を行うには、Enterprise Console へのアクセス
権を設定し、特定のグループやサブ管理者に一部の管理権限を与えます。
これらの設定は、あらかじめ定義されているほか、独自に作成することも可
能です。 たとえば、ヘルプデスク担当者に、セキュリティアップデートや脅威
を駆除する権限を与える一方で、ポリシー設定などの重要な操作は実行で
きないように制限できます。
管理権限を設定するには、ロールや権限を定義してから、Windows ユーザ
ー/グループをそれらのロールに割り当てます。
22
レビュアーズガイド
2 集中管理コンソール
SOPHOS ENTERPRISE CONSOLE
あらかじめ定義されているロールとその権限は以下の 4種類です。
System Administrator (システム管理者): ソフォスのセキュリティソフトウェア
を管理する全権限、および Enterprise Console を使ってロールを管理する権
限を保有。 このロールは変更・削除できません。
Administrator (管理者): ソフォスのセキュリティソフトウェアを管理する全権限
を保有。Enterprise Console を使ってロールを管理することはできません。 こ
のロールは、編集・削除やロール名の変更をすることが可能です。
Helpdesk (ヘルプデスク): 脅威の駆除やセキュリティアップデートなど、修復
権限のみ保有。 このロールは、編集・削除やロール名の変更をすることが
可能です。
Guest (ゲスト): Enterprise Console の読み取り権限のみ保有。 このロール
は、編集・削除やロール名の変更をすることが可能です。
部署ごとの管理
各部署ごとに、操作できるコンピュータやアクセスできるグループを限定す
ることができます。
図17: 管理ロールの設定
特定の Wndows ユーザーを、特定の部署にアクセス権を持つグループに割
り当てることができます。アクセス権はそのグループに属するユーザーに限
定され、それ以外のグループに属するユーザーは、その部署のコンピュー
タを参照することはできなくなります。
レポートやポリシーも部署ごとに作成できます。特定の部署の管理権限を割
り当てられたサブ管理者は、担当部署に該当するポリシー以外のポリシーを
変更することはできません。
同様に、サブ管理者は、担当部署のレポートのみを設定・実行・作成できま
す。 一方、全権限を持つシステム管理者は、企業全体の IT レポート作成
に関する機能を実行できます。
大量データを格納可能
Microsoft SQL Server との統合
Enterprise Console は、標準で MSDE (Microsoft SQL Server Desktop Engine)
に統合されています。 より高度な機能を備えた Microsoft SQL Server と連携
することができるため、大規模ネットワークでの使用に適しています。
23
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
Sophos Endpoint Security
and
Data Protection
3 WINDOWS コンピュータの保護
Sophos Endpoint Security and Data Protection には Sophos Endpoint Security
and Control for Windows、Sophos NAC、SafeGuard Disk Encryption、Sophos
Client Firewall が含まれており、これらによって Windows ネットワークが保護
されます。
SOPHOS ENDPOINT SECURITY AND CONTROL FOR WINDOWS
ソフォスは、企業向けの総合的なセキュリティ製品を提供しています。ホスト
侵入防止システム (HIPS) によってマルウェアを阻止するほか、リムーバブ
ルストレージ、未認証アプリケーション、機密データの転送などを制御する
機能も備えています。
以下の様々な機能が単一のエンドポイントエージェントに統合されているた
め、機能別に異なる製品を導入する必要がありません。
• ウイルス対策および HIPS (ウイルス、スパイウェア、アドウェア、PUA、疑
わしいファイル/振る舞いをブロック)
• アプリケーションコントロール (未認証アプリケーションのインストール・使
用を制御)
• デバイスコントロール (リムーバブルストレージやワイヤレスネットワーク
プロトコルの使用を制御)
• データコントロール (転送データをスキャンし、エンドポイントからの機密
データ流出を防止)
• クライアントファイアウォール (ハッカーや未承認の通信アプリケーション
を阻止)
図 18: 単一エージェントが様々な脅威に対応して、システムパフォーマン
スへの負荷を大幅に軽減
24
レビュアーズガイド
3 WINDOWS コンピュータの保護
SOPHOS ANTI-VIRUS と SOPHOS CLIENT FIREWALL
侵入防止
Sophos Endpoint Security and Control for Windows は徹底したホスト侵入
防止システム (HIPS) を搭載しており、複雑なインストール・設定を行うこと
なく多様な保護機能を導入できます。 以下に示す複数のテクノロジーを駆
使して、複合的な脅威や、攻撃対象を定めたゼロデイ攻撃をプロアクティブ
に阻止します。
• Genotype® (遺伝子型) テクノロジー: ウイルス定義ファイルがまだ提供さ
れていない亜種ウイルスを検出してブロックします。
• Behavioral Genotype® Protection (振る舞い検出型遺伝子脅威検知): コー
ド実行前に振る舞いを解析して、新種の脅威も自動的にブロックします。
• HIPS テクノロジー: コード実行前やランタイム中に、疑わしいファイルや振
る舞いを解析するほか、バッファオーバーフローをチェックします。
Decision Caching による高速スキャン
Sophos Endpoint Security and Control for Windows には、新しく追加され
たファイルや変更されたファイルのみをオンアクセス スキャンする Decision
Caching™ が搭載されており、高速スキャンを実行できます。 また、マルウェ
アが含まれている可能性のあるファイルのみを識別してスキャンできます。
リモートユーザーは、メインネットワークに再接続するときに、必要に応じて
個々のファイルやシステム全体をスキャンすることができます。‑
隔離マネージャ
隔離マネージャでは、ウイルスに感染したファイルを移動・削除したり、特定
のアプリケーションをブロックするなどの操作を行うことができます。
図 19: 隔離マネージャ
25
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
アプリケーションコントロール
業務の効率化を促す便利なアプリケーションがある一方で、生産性に悪影響
を及ぼしたり、ネットワークやコンピュータの処理能力を低下させるアプリケー
ションも存在します。 また、P2P ファイル共有ソフトウェアや IM (インスタント
メッセンジャー) を狙ったマルウェアの増加に伴い、データの保守・保護を促
す法的規制も厳しさを増しており、情報漏えいを防止することが重要な課題
となっています。このような背景において、未認証アプリケーションのインス
トールを管理するニーズが急速に高まっています。
ソフォス製品はアプリケーションを管理する機能を備えており、デスクトップ PC
レベルで、または全コンピュータを対象に、特定のアプリケーションを許可・ブロ
ックすることができます。 また、Sophos Enterprise Console の ActivePolicies
を使用すると、社内のデスクトップ PC で VoIP をブロックしながら、リモートコ
ンピュータでは許可するなど、グループごとに異なる条件を指定できます (第
2章を参照)。
デバイスコントロール
ソフォス製品は、リムーバブルストレージやワイヤレスネットワークプロトコル
を制御する機能を備えており、データ流出やマルウェア感染を防止します。
エンドポイントエージェントに搭載されているこのデバイスコントロール機
能は、任意のポートに対応し、これらのポートに接続する USB、FireWire、
SATA、PCMIA などのデバイスをチェックすることができます。
デバイスコントロールポリシーを導入するにあたり、「通知のみ」モードで使用
を開始すると、デバイスをブロックすることなく、使用されているデバイスを把
握することができます。その後、各グループに適したデバイスコントロールポリ
シーを設定・導入してください。
各デバイスは、デフォルト設定では許可になっており、いずれもブロックする
ことが可能です。 また、ストレージデバイスを「読み取りのみ」モードに設定
し、書き込みを禁止することもできます。 USB メモリや CD/DVD ドライブで
は、このモードが特に便利です。
さらに、ネットワークのブリッジ接続を禁止することもできます。このモードを使
用すると、コンピュータがイーサーネットケーブルなどで物理的に接続されてい
る場合は、ワイヤレス接続が無効になります。 ケーブルを取り外すと、コンピ
ュータのワイヤレス接続が再び有効になります。
データコントロール
ソフォスはセキュリティベンダーのなかでもいち早く、DLP コンテンツスキャン
機能をエンドポイントエージェントに統合しました。単一エージェントで、マルウ
ェアのほかに機密データもスキャンできるため、システムパフォーマンスへの
負荷が軽減されるだけでなく、設定・導入・管理が簡単です。
この機能を使うと、個人を識別できる情報 (PII: Personally Identifiable
Information) や機密ドキュメントなどがリムーバブルストレージやインターネ
ット対応アプリケーションに転送・コピーされる際に、発生する恐れのある偶
発的流出を阻止することができます。
多数のデータコントロール向けルールがあらかじめ設定されており、そのま
まポリシー設定に使用できるほか、自社のニーズに応じて変更することも簡
単です。
26
レビュアーズガイド
3 WINDOWS コンピュータの保護
SOPHOS ANTI-VIRUS と SOPHOS CLIENT FIREWALL
機密データ保護のポリシー作成を容易にするために、SophosLabs では拡張
ライブラリに各種機密データの定義 (Content Control List) をまとめて維持・
管理しています。この拡張ライブラリには、クレジットカード番号、社会保障
番号、郵便番号、メールアドレスなどの個人識別情報 (PII) が含まれます。
顧客参照番号や特定の機密資料マーカーなどのような企業に特定の情報
で、自社固有のリストを作成することもできます。
SOPHOS NAC
Windows コンピュータを評価・管理
コンピュータをネットワークに接続すると、Sophos NAC によって、規定され
たセキュリティポリシーに準拠しているかどうかが評価されます。 このエン
ドポイント PC でのコンプライアンス確認機能の詳細は以下のとおりです。
• ウイルス対策やその他のセキュリティアプリケーションの設定とバージョ
ンをチェックします。
• Microsoft Windows OS のサービスパックが最新版にアップデートされて
いるかどうかをチェックします。
• Microsoft Windows Update がアクティブになっているかどうかをチェック
します。
• 社内コンピュータや契約業者/ゲスト用コンピュータなど、エンドポイントの
種類ごとに個別のポリシーを提供します。
NAC の施行方式
Sophos NAC は、エージェントを使用してコンピュータの評価を行います。管
理対象外/未認証コンピュータの評価は、Microsoft DHCP と直接に連携して
行われます。 エンドポイント PC の評価方式には、以下の 2種類があります。
• Sophos NAC Compliance Quarantine Agent (常駐型エージェント)
• Sophos NAC Compliance Dissolvable Agent (非常駐型エージェント。Java
コンポーネントをダウンロード)
Sophos NAC Compliance Quarantine Agent は管理対象コンピュータ向け
で、Sophos Enterprise Console を使って導入します。管理対象コンピュータの
ネットワーク接続時および接続中に、コンピュータを評価して管理します (評価
間隔は変更できます)。 このエージェントは、自己隔離機能を備えています。
Sophos NAC Compliance Dissolvable Agent は、LAN 接続しようとする管理
対象外コンピュータを同じ様に評価します。 たとえば、契約会社や来客者
のコンピュータなどのように、エージェントを導入できないコンピュータが接
続するときに使用できます。 この場合、既存の Microsoft DHCP と連携し
て、セキュリティポリシーに準拠していないコンピュータや不正なコンピュー
タを隔離します。
27
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
SOPHOS CLIENT FIREWALL
Sophos Client Firewall は、コンピュータのセキュリティ設定を固定して、インタ
ーネットワーム、ハッカー、未認証アプリケーションによる通信など、既知/未
知の脅威からコンピュータを保護します。エンドポイントエージェントに搭載さ
れており、Enterprise Console を使って簡単に導入・設定・更新・管理すること
ができます。 アプリケーションのハイジャックやなりすましを防ぐ機能も備え
ており、単純なポートブロック機能のみを提供する多くの他社製セキュリティ
製品に比べ、高度な保護機能を提供できます。
図 20: ゼロデイ攻撃を阻止
既知/未知のゼロデイ攻撃をブロック
Sophos Client Firewall は、まだ対応策が公開されていない脆弱性を狙ったゼ
ロデイ攻撃もブロックします。 企業内の全コンピュータを、急速に広がる複雑
な脅威から保護でき、脅威によるビジネス業務の中断を防ぎます。
設定を固定
Sophos Client Firewall は、コンピュータの設定を事前に固定して、ネットワー
クワームやインターネットワーム、ハッカーを阻止するほか、セキュリティ設定
の不適切なコンピュータがネットワークに接続することを阻止します。社内コン
ピュータだけでなく、無線ホットスポットを通じてリモートからブロードバンド接
続するノート PC も保護できます。
ポートのトラッキング
Sophos Client Firewall は、アクティブなポートをトラッキングし、インアクティブな
ポートを閉鎖します。これにより、インターネットワームやハッカーの侵入を確実
にブロックできます。
ステルス技術により、ハッカーの侵入を阻止
ハッキングなどのサイバー犯罪は、インターネットを通じてコンピュータに接
続要求を送信し、ポートスキャンを実行して、ポートが開いたままの脆弱なコ
ンピュータを狙います。 ソフォスのステルス技術は、コンピュータがアクティブ
でないように見せかけ、コンピュータが要求に応答するのを防ぎます。 これに
より、ハッカーに狙われるリスクを回避することができます。
28
レビュアーズガイド
3 WINDOWS コンピュータの保護
SOPHOS ANTI-VIRUS と SOPHOS CLIENT FIREWALL
ネットワークごとに異なる保護ルールを適用
Sophos Client Firewall では、コンピュータが使用するネットワーク (社内ネッ
トワークや社外で利用する公共ネットワークなど) に応じて異なるポリシーを
設定できます。 異なるポリシーを設定した後、Enterprise Console により、コ
ンピュータが使用しているネットワークにしたがって、異なるファイアウォール
設定を適用します。 使用するネットワークに応じたこのデュアル設定は、ノー
ト PC などのモバイルコンピュータにとって特に重要です。
アプリケーションのハイジャックやなりすましを阻止
Sophos Client Firewall は、アプリケーションの振る舞いを監視し、特定の条
件を満たしているアプリケーションだけにインターネットやネットワークへのア
クセスを許可します。 また、不審なアプリケーションやシステムコール、隠しプ
ロセスの実行などを監視することで、アプリケーションのハイジャックを阻止
します。 さらに、チェックサム技術の採用で、正規アプリケーションのふりを
して機密情報を盗み出そうとするスパイウェアやマルウェアを阻止できます。
受信/送信データパケットのステートフルインスペクション スキャン
Sophos Client Firewall はステートフルインスペクション技術を採用しており、
送信されたパケットを追跡して、正規のパケットの受信のみを許可します。 パ
ケットの追跡は、ファイアウォールを通過する通信を監視・制御するために行
われます。 たとえば、パケットが外部に送信された場合、(適切なポートを使
用して) 通信しているコンピュータから返信されたパケットのみが、ファイアウ
ォールを通過して受信されます。
一括レポート/ログ
ファイアウォールの一括レポートを管理コンソールで表示することができま
す。 このレポートには、不明なアプリケーションやトラフィック、隠しプロセス、
メモリイベントの変更情報などが記載されています。 これによって、潜在的な
セキュリティ問題を事前に把握することが可能です。 また、ファイアウォール
が許可したりブロックした接続の詳細を、ファイアウォールのログビューアで
表示、フィルタリング、保存することができます。
警告のみモード
ファイアウォールの「警告のみ」モードを使用すると、ネットワーク上で使用さ
れている全アプリケーションをブロックせずに検出できます (既存の LAN 設
定に依存します)。この結果は、Enterprise Console にレポートされて表示され
ます。 このモードを使用すると、収集された不明なトラフィック情報を使用して
ファイアウォールポリシーを詳細設定できるため、業務に必要なアプリケーシ
ョンをブロックせずに済みます。
インタラクティブモード
ファイアウォールは、インタラクティブモードで実行することもできます。この
モードを有効にすると、不明なアプリケーションや不明なサービスがネットワ
ークへのアクセスを要求するたびに、エンドポイント PC にポップアップ画面
が表示されます。 ユーザーはこのダイアログ画面で、問題のトラフィックを
許可またはブロックするかどうか、そしてこのトラフィックタイプに関するルー
ルを作成するかどうかを指定できます。
29
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
Sophos Anti-Virus
for
Mac OS X、Linux
and
UNIX
4 WINDOWS 以外のコンピュータの保護
WINDOWS 以外のコンピュータを保護する必要性
Mac、Linux、UNIX など、Windows 以外のコンピュータを保護する重要性が高
まっています。 その理由として、Windows 系ウイルスをばらまくために Widows
以外のコンピュータが利用されたり、Mac/Linux/UNIX コンピュータを攻撃対
象とするウイルスが出現したり、あらゆるコンピュータの保護を義務付ける法
的規制が厳しくなることなどが挙げられます。
Sophos Anti‑Virus for Mac OS X、Sophos Anti‑Virus for Linux、Sophos AntiVirus for UNIX などを使用すると、企業内のサーバーやデスクトップ PC、ノー
ト PC などを簡単に保護することができます。
SOPHOS ANTI-VIRUS FOR MAC OS X
Sophos Anti-Virus for Mac OS X は、ウイルス、スパイウェア、トロイの木馬、
ワームをリアルタイムまたはオンデマンドで検出し、Windows 系と Mac 系の
マルウェアをどちらも自動駆除できます。 また、圧縮された添付ファイルや、
アーカイブに含まれるファイルからもウイルスを検出することができます。
Mac/Windows のいずれからでも管理可能
Sophos Anti-Virus for Mac の管理は、Sophos Update Manager for Mac ま
たは Windows 上の Sophos Enterprise Console から行えます。 このいずれ
かを使用して、Sophos Anti-Virus for Mac OS X を最新の状態に保つことが
できます。
集中管理
Enterprise Console を使えば、ネットワーク上の Windows、Mac、Linux、UNIX
コンピュータのマルウェア対策を集中的に設定・管理できます。 Enterprise
Console は充実した管理機能を備えていますが、このコンソールの使用には
Windows コンピュータが必要です。
Mac コンピュータのみで構成されるネットワークの場合、 1台の Mac コンピュ
ータから、 Sophos Update Manager for Mac を使用して更新・管理を行うこと
ができます。 自動アップデートやメールの通知方法を設定できるほか、Mac
コンピュータ上で行うスキャンの実行方法や、エンドポイントのセキュリティ
設定も集中管理できます。
ソフォスラボからの自動アップデート
ソフトウェアや保護機能のアップデートや管理も、Sophos Enterprise Console
または Sophos Update Manager for Mac OS X から行うことができます。
ソフォスラボが提供する最新のウイルス定義ファイル (IDE) でコンピュータをアッ
プデートするには、メールアドレス、ユーザー名、パスワードの指定が必要です。
また、CID (セントラル インストール ディレクトリ: 最初のインストール時にセット
アップしておくディレクトリ) からアップデートするように設定することもできます。
30
レビュアーズガイド
4 WINDOWS 以外のコンピュータの保護
SOPHOS ANTI-VIRUS FOR MAC OS X、LINUX、UNIX
リモートユーザーやモバイルユーザーは、ネットワークやインターネットを経
由して、メインサーバーやバックアップ場所からアップデートするか、または
ソフォスから直接アップデートできます。
ウイルスの自動レポート
Enterprise Console のセキュリティダッシュボードには、ウイルス発生のリス
ク情報が表示されます。ウイルス発生の際には警告メールが自動送信され
るため、迅速に対処することができます。
Sophos Update Manager for Mac では、オンデマンドスキャンやオンアクセス
スキャンの警告オプションを設定できるほか、警告メールの送信先も設定でき
ます。 ネットワークに接続していないエンドポイント上でウイルスが見つかっ
た場合は、ネットワークに再接続した時点で警告が送信されます。
低負荷スキャン
Sophos Anti-Virus では、オンアクセスやオンデマンドでスキャンすることが
できます。また、ウイルスに感染しない種類のファイルを識別してスキャンか
ら除外するため、システムに負荷がかかりません。
さらに、スキャンから除外するファイルを設定するなど、Sophos Update
Manager を使用して、様々なスキャンオプションを指定できます。脅威が見
つかった場合の、クリーンアップや削除などの対処方法も設定できます。
SOPHOS ANTI-VIRUS FOR LINUX
Sophos Anti-Virus for Linux は、Linux のデスクトップ PC/ノート PC/サーバ
ーをオンアクセスでスキャンでき、優れたパフォーマンス、安定性、信頼性を
実現します。また、多種多様な Linux ディストリビューションにもあらかじめ
対応しています。
集中管理
Linux コンピュータを Enterprise Console から集中管理できます。 コンソー
ルのセキュリティダッシュボードには、大規模感染のリスクに関するデータ
が表示され、設定したセキュリティのしきい値を超えると、自動的にメール警
告が送信されます。 ウイルスの発生時には自動的にレポートが送信される
ため、日々の管理作業の負担が軽減されます。
Linux のみのネットワークに保護機能を迅速に導入
Linux コンピュータのみで構成される環境には、RPM (Red Hat Package
Manager) を使って導入できます。また、Web インターフェースやコマンドラ
インインターフェースを使用し、リモートから設定してアップデートすることが
できます。
優れたパフォーマンス、高い安定性と信頼性
Sophos Anti-Virus for Linux は、ローカルディスク、メディアドライブ、共有ファ
イルシステム (NFS や Samba など)、分散ファイルシステムなどの多様なファ
イルシステムを対象に、オンアクセス/オンデマンド/スケジュール設定のスキ
ャンを実行します。独自のファイルインターセプションモジュール Talpa の搭載
で、優れたパフォーマンスが達成されます。 また、最新の 64ビット版を含む様
々な Linux カーネルにあらかじめ対応しています。バージョンの変更やアップ
グレード、コンパイルなどが必要に応じて行え、確実な保護を実現できます。
31
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
自動アップデート
Enterprise Console を使ってアップデートの最新版を自動ダウンロード・配信
できます (カスケード接続した Web サーバーを使用するか、ソフォスに直接
アクセスします)。これにより、リモート接続するノート PC を含め、ネットワー
ク上のすべてのコンピュータを確実に保護できます。
SOPHOS ANTI-VIRUS FOR UNIX
Sophos Anti-Virus for UNIX は、 UNIX がインストールされているサーバー/
デスクトップ PC/ノート PC 上で、様々なウイルスやスパイウェアを検出する
ことができます。 強力なウイルス検索エンジンがあらゆるエントリポイントで
スキャンを行い、ネットワーク全体を確実に保護します。
簡単な管理
Sophos Anti-Virus for UNIX は、コマンドラインから管理できます。Solaris 9/10
(SPARC 版および Intel (i386) 版) および HP-UX (Itanium 2 版) は Enterprise
Console を使って管理することもできます。
高度な検索パフォーマンス
スキャンや駆除は、オンデマンドまたは指定した日時に実行できます。これに
より、システムパフォーマンスへの負荷を最小限に抑えることができます。 ま
た、変更されたファイルだけを再スキャンする Decision CachingTM テクノロジー
を搭載しており、高速スキャンを実現するとともに、システムパフォーマンスへ
の負荷を最小限に抑えます。
ゼロデイ脅威をコードの実行前に検出
Behavioral Genotype® Protection (振る舞い検出型遺伝子脅威検知) 機能を
搭載しており、悪質なコードの実行前に動作を解析して未知の脅威をブロック
します。これにより、優れたホスト侵入防止システム (HIPS) を実現できます。
レポートの自動生成とカスタマイズ
ウイルスが発生した場合は、レポートが管理者に自動通知されるため、常時
チェックする手間が省かれます。
32
レビュアーズガイド
付録 I
ENDPOINT SECURITY AND DATA PROTECTION の評価
付録 I
ENDPOINT SECURITY AND DATA PROTECTION の
評価
ソフォスでは、皆様に Sophos Endpoint Security and Data Protection と他
社製品を比較検討していただき、ソフォス製品が優れた保護機能・サポート
を提供すると納得していただいた上で、製品を購入していただきたいと考え
ております。 この付録では、ソフォスのソフトウェアおよびサポートをあらゆ
る観点から検討していただけるように、評価に必要な文書や、テスト用ネッ
トワークの要件をご紹介します。
スタートアップガイドとユーザーマニュアル
Sophos Endpoint Security and Data Protection の評価を開始する前に、スタ
ートアップガイドを 以下の Web サイトからダウンロードしてください。
重要
テスト用ネットワークにウイルス対
策ソフトがすでにインストールされ
ている場合は、まずそれをアンイ
ンストールする必要があります。
アンインストール時に問題が発生
した場合は、ソフォスのテクニカル
サポートまでご連絡ください (連絡
先は www.sophos.co.jp/support/
queries/ でご確認ください)。
http://www.sophos.co.jp/support/docs/Endpoint_Security_Control-all.html
テスト用ネットワーク
ソフォス製品は、Mac OS X、Linux、UNIX を含む多数のプラットフォームをサポ
ートしています。 これらのプラットフォームを集中管理する Enterprise Console
の機能を評価するには、Windows コンピュータが 1台必要になります。 テス
ト用ネットワークには、以下のコンピュータを含めてください。
• 管理コンソール: 2000/XP/2003 コンピュータ
• 最低 1台のクライアント: Windows 2000/XP/2003/Vista/7 のデスクトップ
PC を含めることをお勧めします。
また、インターネットにアクセスできる環境が必要です。 必要に応じて Mac
OS X、Linux、UNIX コンピュータや、リモートアクセスするスタンドアロンコ
ンピュータを含めてください (リモートコンピュータのアップデート機能を評
価するために必要です)。
33
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
システム要件
詳しくは、www.sophos.co.jp/products/all-sysreqs.html をご覧ください。
Enterprise Console のシステム要件
対応プラットフォーム
ハードウェア
管理サーバー
仮想化プラットフォーム
Sophos NAC 管理サ
ーバー
リモートコンソール
ディスク容量
メモリ
Windows 95/98/NT4/2000/XP/2003/2003 R2/
Vista/2008/2008 R2/
Mac OS X
Linux (対応 OS については、お問い合わせくだ
さい)
UNIX (対応 OS については、お問い合わせくださ
い)
Pentium 2.0GHz 以上のプロセッサ
Windows Server 2003/2003 R2
Windows Server 2008/2008 R2
Windows 2000 Server
Microsoft Hyper-V 2008
VMWare ESX 3.0/3.5
VSphere 4.0
VMWare Workstation 6.5
VMWare Server 1.0/2.0
Citrix XenServer
Windows Server 2003/2003 R2
Windows Server 2008/2008 R2
Windows Server 2003/2003 R2
Windows Server 2008/2008 R2
Windows Vista
Windows XP Professional
Windows 2000 Professional/Server
最低 150MB
MSDE: 2GB
SQL 2005: 制限なし
SQL 2008: 制限なし
SQL 2005 Express Edition: 4GB
SQL 2008 Express Edition: 4GB
SQL Server 2000: 2GB
最低 512MB
最低 1GB (Sophos NAC Manager を実行する場
合)
Sophos NAC Compliance Agent のシステム要件
対応プラットフォーム
ディスク容量
メモリ
Windows 2000/XP/2003/2003 R2/
Vista/2008/2008 R2
最低 20MB
推奨 512MB RAM
Sophos SafeGuard Disk Encryption のシステム要件
対応プラットフォーム
Windows VP/Vista/7
ディスク容量
最低 300MB
メモリ
Windows 7/Vista: 推奨 1GB
Windows XP: 推奨 512MB
34
レビュアーズガイド
付録 I
ENDPOINT SECURITY AND DATA PROTECTION の評価
Sophos Endpoint Security and Control for Windows のシステム要件
対応プラットフォーム
Windows 95/98/NT4/2000/2000 Professional/XP Home/XP
Professional/2003/Vista/2008/7
Windows Netbooks
Windows XPe
Windows Embedded Standard
WePOS
VMWare ESX
VMWare Workstation
VMWare Server
Citrix XenServer
ディスク容量
最低 120MB
最低 90MB
Windows 2000/XP/2003/Vista/2008/7
Windows Me/98/95/NT4
メモリ
推奨 256MB
推奨 64MB
推奨 256MB
Windows 2000/XP/2003/Vista/2008/7
Windows Me/98/95
Windows NT4
Sophos Client Firewall のシステム要件
対応プラットフォーム
ディスク容量
メモリ
プロセッサ
Windows 2000 Professional/XP
Home/XP Professional/Vista/7
最低 100MB
推奨 320MB RAM
Pentium 300MHz または同等
Sophos Anti-Virus for Mac OS X のテスト用ネットワーク
Mac OS X コンピュータから構成されるテスト用ネットワークが必要です。 ま
た、Mac コンピュータのうち 1台を、Sophos Anti‑Virus のアップデートファイ
ルのダウンロード先 (CID) に設定します。 この CID と同じ場所に、Sophos
Update Manager もインストールされます。ネットワーク上の他の Mac OS X
コンピュータは、最新のウイルス定義ファイル (IDE) や各種設定を、CID か
ら取得します。
Sophos Anti-Virus for Mac OS X のシステム要件
対応プラットフォーム
Mac OS X 10.2 以降
ディスク容量
最低 90MB
メモリ
推奨 128MB RAM
プロセッサ
Intel ベースおよび PowerPC ベースの Mac
35
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
レビュアーズガイド
付録 II
テストウイルス「EICAR」
テストファイル「EICAR」について
EICAR Standard Anti-virus Test File は、ウイルス対策ソフトウェアをテスト
するために使用できる安全なファイルです。ウイルスとは異なり、ウイルスの
ようなコードは一切含まれていません。 表示可能な ASCII 文字のみから構
成されている正規の DOS プログラムです。 このファイルを使えば、Sophos
Anti-Virus で悪質なコードが検知されたときにどのような処理が実行される
かを、安全にシミュレートすることができます。 このファイルを実行すると、ま
るで本物のウイルスであるかのように「検知」され、警告メッセージ (カスタマ
イズ可能) が生成されます。
また、異なる種類のレポートをいくつか生成してみることもできます。
このテストファイルは、www.eicar.org (リンク先英語) からダウンロードできま
す。
36
注:
EICAR ファイルは本物のウイルスで
はないため、Sophos Anti-Virus では
駆除されません。手動でファイルを削
除する必要があります。
付録 III
ソフォスのその他の製品およびサービス
付録 III
ソフォスのその他の製品およびサービス
Sophos Security and Data Protection
Sophos Email Security and Data Protection
Sophos Email Security and Data Protection は、Email Appliance に搭載さ
れ、ウイルス/スパイウェア/トロイの木馬に感染したメールや、スパム、不適
切な内容のメール、データ流出などを効果的に阻止できる優れた保護機能を
備えたソリューションです。
Sophos NAC Advanced
Sophos NAC Advanced は、ネットワークに接続するユーザーやコンピュー
タを制御するソフトウェアです。 Endpoint Security and Data Protection にも
NAC 機能が備わっていますが、高度なポリシー制御を行う必要がある場合
は Sophos NAC Advanced が適しています。
Sophos SafeGuard Enterprise
SafeGuard Enterprise はモジュール構造のデータ保護制御ソリューションで
す。 多様な製品が混在する環境で、PC とモバイル端末に対してポリシーを
適用し、セキュリティを確保できます。 この製品は、エンドユーザーが暗号化
を意識せずに動作し、1つのコンソール画面で集中管理できます。 SafeGuard
Enterprise で、暗号化とデータ流出防止 (DLP) の機能を共に活用すると、多
層構造のエンドポイントデータセキュリティを実現できます。
SAV Interface
SAV Interface™ を使用すると、ソフトウェアベンダー、OEM、ISP、ASP の皆
様は、業界標準のファイアウォール、ゲートウェイ、同等ソリューションに、ソ
フォスのマルウェア検出機能を統合させることができます。
ソフォス スモールビジネスソリューション
IT スタッフが不足しがちな中小企業向けのウイルス/スパイウェア/スパム対
策ソリューションです。多くの受賞歴を誇り、高い評価を得ています。
37
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
ソフォスの警告サービス (英語)
ソフォスでは、コンピュータがハイジャックされた場合、すぐに警告を送信す
る Sophos ZombieAlert™ サービスを英語で提供しております。これにより、コ
ンピュータがスパム送信やサービス拒否攻撃に利用されることを防ぎます。
www.sophos.co.jp/products/enterprise/alert-services/zombiealert.html
Sophos Website Alert サービスは、企業ドメインの Web ページがハッキング
されていたり、マルウェアをホストしている場合に警告を通知します。
www.sophos.co.jp/products/enterprise/alert-services/webalert.html
ソフォスのサポートサービス
ソフォスでは、アップデートの提供やインストールの支援ばかりでなく、セキ
ュリティ対策に関する豊富な専門知識に基づいて、幅広いサポートを提供し
ています。
ソフォスのサポート担当者はすべてソフォス社員であり、ソフォス製品はもち
ろんのこと、他社製のテクノロジーにも精通しています。
サポートをアウトソースしている他社とは異なり、ソフォスのサポート専門スタ
ッフが、お客様からのお問い合わせに対応いたします。
テクニカルサポート
サポートスタッフはグローバルに配置されており、緊急時には、24時間 365日
いつでもテクニカルサポートをご利用になれます。製品の設定やアップグレー
ド、技術的問題に対するお問い合わせに対応いたします。
また、日本語によるスタンダードサポート (平日 9:00 - 17:30 / 緊急時は 24
時間 365日) がライセンスに付属しており、無償で提供されます。 Perpetual
Licence の場合は、スタンダードサポートを別途ご購入ください。 プレミアムサ
ポートやプラチナサポートの詳細につきましては、お客様とご相談の上、決定
させていただきます。ソフォス株式会社までお問い合わせください。
プロフェッショナル サービス
ソフォスでは、ソフォス製品の導入・維持管理をサポートするプロフェッショナ
ル サービスを提供しております。ご相談に応じてサービス内容を規定し、有
償でご提供いたします。詳細はソフォス株式会社までお問い合わせください。
38
レビュアーズガイド
付録 III
ソフォスのその他の製品およびサービス
無償ツール
ソフォスでは、脆弱性や脅威を未然に防ぐ無償ツールを多数提供していま
す。 ソフォスの最新テクノロジーを駆使したこれらのツールを、ぜひご活用く
ださい (無償ダウンロード)。
Sophos Computer Security Scan
http://www.sophos.co.jp/products/free-tools/sophos-computer-security-scan.
html
Sophos Computer Security Scan (無償) は、既存の他社製ウイルス対策ソ
フトが検出できなかった脅威を検出します。マルウェアはもちろん、リムーバ
ブルメディア、P2P ソフトウェア、ゲームなど、データ流出の原因となる不要
なデバイスやアプリケーションも検出します。
エンドポイント評価テスト
www.sophos.co.jp/products/free-tools/sophos-endpoint-assessment-test.
html
ソフォスでは、お使いのコンピュータのセキュリティを無償で評価できるテス
トツールを提供しています。 このテストでは、OS にパッチが適用されている
かどうか、最新版のセキュリティアプリケーションが実行されているかどうか
などがチェックされます。
アプリケーション検出ツール
http://www.sophos.co.jp/security/sophoslabs/application-control.html
アプリケーション検出ツール (無償) は、ご使用のネットワーク上で、ソフォス
製品が使用を制御できる未認証アプリケーションを検出できます。 ツールの
使用にあたり、既にご使用の他社製ウイルス対策ソフトをアンインストールす
る必要はありません。
ソフォス脅威検出テスト
http://www.sophos.co.jp/products/free-tools/sophos-threat-detection-test.
html
ソフォス脅威検出テスト (無償) を使用すると、お使いの他社製ウイルス対策
ソフトの性能をチェックすることができます。 ウイルス、スパイウェア、アドウェ
ア、ゼロデイ脅威など、これまで検出されなかった脅威を検出できます。 ツー
ルの使用にあたり、既にご使用の他社製ウイルス対策ソフトを、アンインスト
ールしたり無効にする必要はありません。
Sophos Anti-Rootkit
http://www.sophos.co.jp/products/free-tools/sophos-anti-rootkit.html
Sophos Anti-Rootkit を使用すると、高度なテクノロジーを駆使して、コンピュ
ータに潜んでいるルートキットをすべて検出・削除できます。
無償ツールの詳細については、
http://www.sophos.co.jp/products/free-tools/ をご覧ください。
39
SOPHOS ENDPOINT SECURITY AND DATA PROTECTION
40
レビュアーズガイド