社内ネットワーク環境におけるセキュリティ強化の御提案 クライアント PC 操作ログ インターネットアクセスログ取得環境導入および各拠点へのファイアウォール導入の御提案 株式会社ソフトウェア パートナー
1. 御提案背景 現在 社内システム環境およびネットワーク環境におけるセキュリティ対策として Active Directory を基本とした下記各種対策を実装しておりますが 貴社 IT 環境全体から見たセキュリティ対策として クライアント PC およびネットワークに関する対策に不安が御座います 以下に 現在貴社において実施されておりますセキュリティ対策項目と これらを踏まえ 現状として不安が残る点について列記いたします 貴社における現状のセキュリティ対策 ユーザ ID の管理およびユーザ認証機能の一元化 USB ストレージの利用制御 ウィルス対策環境 ( サーバ クライアント ) によるウィルス脅威からの保護 貴社におけるセキュリティ対策の不安点 クライアント PC 側でのユーザ操作制御 抑制対策が施されていない インターネット閲覧に関するユーザ利用制御 抑制対策が施されていない インターネット側からの社内ネットワーク保護対策が施されていない
3. 現行の貴社社内システム構成および問題点 Software Partner Inc. ファイアウォールが導入されていない! インターネットの閲覧制御が施されていない!(! ログ取得等 ) クライアント PC 側での情報漏洩対策が施されていない!(! 操作ログ取得等 ) 現行サーバの問題点 クライアントPC 全てについて ユーザによるPC 操作を制御 抑制するための環境が構成されていない 全拠点のインターネット接続部分について インターネット閲覧を制御 抑制するための環境が構成されていない 各拠点のインターネット接続部分について ネットワークレベルでの保護を行うためのファイアウォールが設置されていない
3. 御提案目的と期待出来る出来る効果 御提案目的 クライアント PC に関するユーザ操作制御 抑制対策の実現 期待できる効果 ユーザが直接操作するクライアント PC に対して操作制御環境を構成することで ユーザが可能な操作を制限し 社内全体のセキュリティ向上を実現 ユーザの操作を全てログに出力することで 有事の際の監査証跡として利用することが出来ると共に ユーザに対してログの取得を明言することで ユーザ操作への抑止効果も期待可能 インターネット閲覧に関するユーザ利用制御 抑制対策の実現 ユーザが閲覧可能なコンテンツを制御することで フィッシングサイトやウィルスの埋め込まれたサイトなどから社内ネットワークを保護することが出来ると共に 業務に関係の無いページの閲覧を制限可能 ユーザのインターネット閲覧を全てログに出力することで 有事の際の監査証跡として利用することが出来ると共に ユーザに対してログの取得を明言することで ユーザによるインターネット閲覧への抑止効果も期待可能 インターネット側からの脅威に対する社内ネットワーク保護の実現 各拠点にファイアウォールを設置することで インターネット側からの様々な攻撃や脅威をインターネットの入り口部分で防御することが可能であり 社内ネットワークを安全に運用することが可能
4. 御提案概要 前述の御提案背景の解決および御提案目的の実現のため 弊社では下記の内容について御提案申し上げます 御提案内容 クライアント PC への内部統制対策ソフトウェアの導入 クライアント PC に関するユーザ操作制御 抑制対策の実現 を目的として クライアント PC に内部統制対策ソフトウェアを導入いたします 上記ソフトウェアの機能を利用して 各 PC における操作可能範囲を管理者側から制御すると共に 各 PC における操作ログを取得いたします UTM( ( 統合脅威管理機器 ) の導入 インターネット閲覧に関するユーザ利用制御 抑制対策の実現 および インターネット側からの脅威に対する社内ネットワーク保護の実現 を目的として 貴社社内ネットワーク内 ( インターネット接続部分 ) に統合脅威管理機器 (UTM:Unified Threat Management) を導入いたします 上記機器の機能を利用して ユーザによるインターネットアクセス可能範囲を管理者側から制御すると共に インターネット閲覧ログを取得いたします UTM はファイアウォール機能も保持しているため 上記導入により インターネットから貴社社内ネットワークを保護いたします
5. 御提案詳細 1( 内部統制対策ソフトウェア導入 ) 御提案製品 AssetView Suite ( 製造 開発元 : ハンモック ) Software Partner Inc. 本製品の特徴 操作ログ管理や IT 資産管理 アプリケーション自動配布など 内部統制に必要なソフトウェアをパッケージングしたオールインワンスイートパッケージ 本製品で実装出来る主な機能は下記の通り 機能名称 PC ログ管理 IT 資産管理 個人情報検索 アプリケーション自動インストール 不正 PC 検知 遮断 リモートコンソール 統合 WEB レポート 機能概要 クライアント PC の操作を全てログ出力する機能 ユーザの画面クリック ( 左右クリック識別 ) から読み書きしたファイル名まで取得可能なため 有事の際のファイル追跡も可能 また ユーザの動作を監査し 対象クライアント PC に対して警告を表示することも可能 クライアント PC の資産情報 ( ライセンス管理含む ) を一元管理する機能 状態変化を即時把握できると共に 過去 3 世代までの情報を蓄積することが可能 また クライアント PC のデスクトップ画面へポップアップ情報を表示することも出来るため インフォメーション周知等でも有用 業務で扱う個人情報が含まれるファイルを把握し 外部流出を抑止する機能 多彩な監査方法を実装していることにより 個人情報を含むファイルの操作を柔軟に制御することが可能 社内の PC 全てに対して ソフトウェアの一括インストールや環境設定の一括変更などを実現する機能 管理者による手動配布以外にも 予め設定したスケジュールに基づいた自動インストールなども可能 管理対象 PC 以外のネットワーク接続を検知 遮断する機能 個人所有 PC などの社内持込 LAN 接続を検知し ネットワークや社内資産が利用出来ないように制御することが可能 社内の PC をリモート操作する機能 Windows OS 標準のリモートデスクトップ接続とは異なり 管理者主体で強制的に操作することが可能 また 問題のあるクライアント PC を発見した場合には 管理者側から強制的にユーザ操作を禁止することも可能 WEB ブラウザを利用して 上記各種機能で検知した社内 PC 群の状態をグラフィカルに表示する機能 単なるレポート表示機能のみならず 部署別統計やワースト表示など マクロ的視点での統計取得も可能
5. 御提案詳細 1( 内部統制対策ソフトウェア導入 ) 導入イメージ Software Partner Inc. 3 管理者 PC から社内におけるポリシーを設定また WEB ブラウザを利用して統計情報を確認 2 内部統制対策ソフトウェア (AssetView) のクライアント機能を各クライアント PC に直接インストール 1 内部統制対策ソフトウェア (AssetView) の管理サーバ機能を既存ドメインコントローラ内に併設 構成のポイント 1 既設ドメインコントローラ (SV111) ( 内に 内部統制対策ソフトウェア (AssetView ( Suite) ) の管理サーバ機能を導入 既存資産の有効活用およびサーバOSライセンス節約を目的として 既設サーバ内に設置 既設サーバを弊社で導入しておりますので 機能追加も安全に実施することが可能です! 2 各クライアント PC 内に内部統制対策ソフトウェアのクライアント機能を直接導入 1で導入する管理サーバと連携し クライアントPC 上での各種監査を実現 3 管理者 PC から社内ポリシーの設定すると共に WEB ブラウザを利用して統計情報の確認 取得が可能
5. 御提案詳細 2(UTM 導入 ) 御提案製品 SonicWALL Total Secure TZ シリーズ シリーズ ( 製造 開発元 : 米 SonicWALL, Inc.) 本製品の特徴 ネットワークセキュリティに関する機能を一台のハードウェアに凝縮した オールインワンセキュリティアプライアンス (UTM) 本製品で実装出来る主な機能は下記の通り ログ解析 機能名称 ファイアウォール インターネットアクセスログ取得 コンテンツフィルタ ウィルス対策スパイウェア対策侵入検知 防御 (IPS) 機能概要 小中規模向けファイアウォール 通常のパケットフィルタ型ファイアウォール機能に加え 通信状態や通信内容を動的に判断し ファイアウォールポリシーを自動制御する ステートフルパケットインスペクション 機能を搭載 ログ取得機能 ファイアウォールのロギング機能により WEB 閲覧のみならず 電子メール送信や FTP アクセスなど 社内端末からインターネットへのアクセスを全てログに出力することが可能 ログが膨大な量になるため ログを長期保存するためには別途 Syslog サーバの設置が必要 ( 御提案に含んでおります ) ログ解析 レポート生成機能 SonicWALL ViewPoint 機能を搭載しており 蓄積した各種ログ ( インターネットアクセスログやファイアウォールでのブロックログ等 ) を多角的に解析し グラフィカルなレポートを生成することが可能 外部 Syslog サーバとの連携も可能 インターネット上の WEB コンテンツ閲覧制御機能 最大 56 カテゴリの有害なコンテンツや業務に関係の無いコンテンツを動的に制御することが可能 ゲートウェイレベルでのアンチウィルス アンチスパイウェア機能 御提案機器上を通過する通信パケットを検査することで 不正な WEB コンテンツを閲覧した際に送り込まれるウィルスデータや電子メールに添付されてくるウィルスデータをゲートウェイレベルで検知 保護することが可能であり LAN 内部へのウィルスデータ侵入を防御することが可能 また 侵入検知 防御 (IPS) 機能も実装しており 通信パケットを解析し 攻撃と考えられる通信パターンを検知した場合には ファイアウォール機能と連動し 動的に防御することが可能
5. 御提案詳細 2(UTM 導入 ) 導入イメージ 1 インターネット接続用ルータの直下に UTM 機器を設置し ファイアウォール機能および各種セキュリティ機能を稼動 全拠点が対象 3UTM 上で取得した各種アクセスログ ( インターネット閲覧ログ等 ) は本社に設置する Syslog サーバ へ転送 2 本社内 VMware Server 内に インターネット閲覧ログ蓄積のために Syslog サーバ を仮想サーバとして設置 構成のポイント 1 各拠点のインターネット接続用ルータ直下に UTM 機器を設置し ファイアウォール機能および各種セキュリティ機能を稼動 インターネットアクセス経路に設置し インターネットアクセスに関する通信が全て当該機器を通過する形で構成 2 本社内の仮想サーバ (VMware ( Server) ) 内に 仮想サーバとして Syslog サーバを設置 既存資産の有効活用を目的として 仮想サーバとして設置 併せて サーバOSライセンス節約を目的として SyslogサーバのOSとしてLinux(CentOS) を採用 3 各拠点に設置した UTM で取得したインターネット閲覧ログ等は 2 で設置する Syslog サーバへ転送 ログは本社側で一元管理すると共に 本社設置のUTMのレポート機能を利用して多角的に解析
6. 全体概算スケジュール Software Partner Inc. 区分 項目 1 ヶ月目 2 ヶ月目 3 ヶ月目 4 ヶ月目 5 ヶ月目 イベント 事務処理 ( 発注 ) ( 検収 ) 設計 / 構築 要件定義 / 適合検証 設計 構築 本番リリース 本番導入 ( 本番導入 ) リリース ( リリース ) 予備期間 予備期間