ファイルサーバアクセス 統合管理ソリューション Varonis DatAdvantage のご紹介 Varonis 社製 DatAdvantage による社内情報データのアクセス監査 アクセスコントロール統合管理について ノックス株式会社 varonis@nox.co.jp nox.co.jp ノックス株式会社 / 会社概要 本社 152-0023 東京都目黒区八雲 2-23-13 TEL 03-5731-5551/FAX 03-5731-5552 西日本支社 533-0033 大阪市淀川区東中島 1-17-5 TEL 06-4809-5544/FAX 06-4809-5547 関連会社 : ノックステクノロジージャパン株式会社 米国関連会社 : Nox Technology,Inc. 6155 Almaden Expressway, Suite 250 San Jose, CA 95120 USA 設立 :1992 年 9 月 28 日 事業内容 : ストレージ製品の販売 / 構築 / 保守 / マーケティングネットワーク製品の販売 / 構築 / 保守 / マーケティングファイルサーバアクセス / 統合管理ソリューションの販売 / 構築 / 保守 / マーケティング 2
Varonis 社の概要 創立 : 2005 年 本社 : 米国 (NY) 開発 - イスラエル 従業員数 : 80 人 ( ワールドワイド ) 導入実績 : 100 社以上 ( ワールドワイド ) (2007 年 9 月末 ) ゴールドマンサックス リーマンブラザーズ EMC Vmware Juniper etc 出資者 : Accel Partners Evergreen Venture Partners Pitango Venture Capital 製品カテゴリファイルサーバのアクセス監査 アクセスコントロール統合管理ツール 3 今日の IT の実情 70% 非構造化データ量の年間増加率は 70% 出典 : ガートナー 30% 平均的な組織の職員の年間離職率は 30% 出典 :Computerworld 30% IT ヘルプ デスク スタッフの 30% 以上の時間をユーザ グループ アクセス許可の管理に使用出典 : Varonis 60% 60% 以上の許可 ( アクセス権限 ) は過剰出典 : Varonis 4
ファイルサーバ管理ニーズ 2000 2003 2007 課題テーマ WINDOWS サーバ管理 ユーザ数の増大 WINDOWSサーバ管理 ユーザ数の増大 法令遵守 WINDOWSサーバ管理 ユーザ数の増大 法令遵守 内部情報漏洩対策 Active Directory 管理 ファイルサーバのログ管理 解決ソリューション ActiveDirectory 専用ファイルサーバ Active Directory 専用ファイルサーバ ログ監査ソリューション ファイルサーバアクセス統合管理ソリューション 5 ファイルサーバ管理における課題 ウッ ログ管理 監査ログを詳細に設定し取得するとイベントログが多量に発生し ファイルサーバパフォーマンスが劣化 Windows イベントログの場合 1 ファイルへのアクセスの為に複数ログが発生し ログ解析の作業効率の低下する ログ管理ツールを導入していたとしても 過負荷状態に必要となるログが出力されず 有事に対応が出来ない 6
7 ファイルサーバ管理における課題ファイルサーバ管理における課題 アクセス管理 ファイルサーバの増大に伴って 不要アカウント 不要権限を把握することが困難 特定のアカウントもしくはファイル フォルダに対するアクセス権限の確認が困難 アクセス権限の設定変更時に長時間を要する アクセス権限の設定変更時にファイルサーバのパフォーマンス劣化を招く 15 Oh Oh~No No~ 8 課題を解決するには課題を解決するには全てのファイルサーバ管理を統合的且つ効率的に全てのファイルサーバ管理を統合的且つ効率的に管理出来るソリューションが必要管理出来るソリューションが必要全てのアクセス管理を把全てのアクセス管理を把握ファイルサーバやファイルサーバやユーザ増加に対応ユーザ増加に対応ログ収集を効率的にログ収集を効率的に不要なアクセス不要なアクセス権限を排除権限を排除適切なアクセス適切なアクセス権限割り当て権限割り当て社員の転出入に社員の転出入にも即座に対応も即座に対応ファイルサーバ管理ファイルサーバ管理業務を簡素化業務を簡素化企業の統合にも企業の統合にも対応対応
Varonis DatAdvantage とは? 製品カテゴリファイルサーバのアクセス監査 アクセスコントロール統合管理ツール この製品でどんな事ができるのか? どのファイルサーバから 誰が いつ どの資料 情報にアクセスし 評価 承認を行ったか などの履歴やログを残しておくことでファイルサーバの監査業務を効率化することができる ファイルサーバの不要なアクセス権限を抽出し 適切なアクセス権限を割り当て ユーザ ファイル単位でのアクセスコントロールを最適化することができる 不正経理処理 不正アクセス 情報漏洩などを未然に防ぐことができる 仮に問題が発生した場合には 問題発生時に遡ってアクションを特定することができる ホッ 9 Varonis 構成イメージ ファイルサーバ EMC Celerra ファイルサーバ NetApp Filer API ネットワーク A F-Policy ネットワーク B サーバ群 Probe サーバ ( データ収集サーバ ) AD サーバ Varonis DatAdvantage IDU サーバ分析サーバ ファイルサーバ Windows Agent ネットワーク C 管理セグメント 管理 GUI 10
Varonis DatAdvantage で出来ること アクセスログ管理が容易になる アクセス権限の確認が容易になる Auditing 監査 いつ 誰が どの File に何をしたか? Varonis DatAdvantage Visibility 可視性 誰がどの File にアクセス可能か? Recommendations 最適化 アクセス権限の最適化アクセス権限変更のシミュレーション 不必要なアクセス権限をなくす 11 特徴 1 Auditing 1: 監査ログの収集 解析 2: 統計情報の出力 3: レポートの出力 12
特徴 1 Auditing 1: 監査ログの収集 解析 独自のログ収集方式によりパフォーマンス低下を回避ユーザ グループ ファイル ディレクトリ双方の観点からの詳細な検索機能により有事への備えが可能 ファイル視点のアクセスログ 複数条件を指定しての検索 ユーザ視点のアクセスログ 13 特徴 1 Auditing 2: 統計情報の出力 ユーザ グループ ファイル ディレクトリ双方の観点からのアクセス統計情報の出力により ユーザの利用実態の把握が可能 アクセスの多いユーザの特定 アクセスの多いディレクトリの特定 14
特徴 1 Auditing 3: レポートの出力 ユーザ ファイル アクション 時間などの指定により詳細なレポート作成が可能 指定した条件でのレポート作成 レポートの Export 15 特徴 2 Visibility 1: : シングルビューで一括管理 2: : データアクセス権限の確認 16
特徴 2 Visibility 1: : シングルビューで一括管理 ユーザ グループ ファイル ディレクトリ双方の視点からのデータアクセス権限の確認がシングルビューで可能なため 管理者がデータアクセス権限の確認にかける時間を短縮 ユーザ グループ情報 ファイル ディレクトリ情報 17 特徴 2 Visibility 2: : データアクセス権限の確認 各ユーザ グループのファイル ディレクトリに対するアクセス権限 各ファイル ディレクトリに対してアクセス権限を保持したユーザの確認が可能 ユーザ視点のアクセス権限の確認 ファイル視点のアクセス権限の確認 18
特徴 3 Recommendations 1: : データアクセス権限の不備の確認 2: : 不要アカウントの存在の確認 3: : アクセス権限変更前のシュミュレーション 19 特徴 3 Recommendations 1: : データアクセス権限の不備を確認 利用実績をもとに必要以上にアクセス権限が付与されている領域の抽出が可能 ユーザ視点のアクセス権限の不備の確認 ファイル視点のアクセス権限の不備の確認 アクセス権限が不要と思われるファイル アクセス権限が不要と思われるユーザ 20
特徴 3 Recommendations 2: : 不要アカウントの存在を確認 利用実績をもとに退職や部署異動などで利用されていないアカウントの抽出が可能 利用されているユーザと利用されていないユーザの比率 21 特徴 3 Recommendations 3: : アクセス権限変更前のシミュレーション アクセス権限を変更したと仮定した際にアクセス不可となるファイルアクセスがどの程度発生するかを確認することが可能 アクセス権限を削除した場合にアクセス不可となるファイルアクセスのログ 22
DatAdvantage 構成要素 NetApp Filer EMC Celerra MSファイルサーバアクティブディレクトリ F-Policy API Agent DatAdvantage Probe サーバ ( データ収集サ - バ ) DatAdvantage IDUサーバ ( 分析エンジン ) システムに影響を与えず ファイルシステムとディレクトリのイベント情報を収集ユーザ数 データ量に制限されないデータ収集 データとユーザの関係の実態を把握し 様々な角度からデータ使用状況を理解する STEP 1 STEP 2 DatAdvantage 管理 GUI 管理 GUI にてデータ使用管理状況を管理 確認 STEP 3 23 DatAdvantage システム構成 / サーバ要件 ドメイン #1 Agent AD サーバ WindowsFileServer ドメイン #2 ドメイン #3 Agent WindowsFileServer API STEP1 Probe サーバ ( データ収集サーバ ) STEP2 IDU サーバ ( 分析サーバ ) STEP3 管理 GUI ドメイン #4 EMC Celerra F-Policy *Probe サーバと IDU サーバは兼用でも構いません * ユーザ数によってサーバ要件は異なりますので 詳細構成は別途ご相談ください NetApp Filer 24
導入事例 某証券会社 社員数 :600 人 課題 アクセスログをWindowsサーバのログで確認しており 確認が面倒ファイルサーバ増大により 各ユーザに割り当てられたアクセス権限を把握するのが困難不必要なアクセス権限割り当てにより 適当なアクセス権限割り当てができていないアクセス権限の設定変更時にファイルサーバのパフォーマンス劣化を招いてしまう Varonis による導入効果 Auditing 機能により 複数のファイルサーバに対するアクセスログの確認 検索が容易になった Visibility 機能により 複数のファイルサーバのアクセス権限の把握が容易になった Recommendations 機能により 不必要なアクセス権限割り当てをなくすことができたアクセス権限の設定変更をスケジュール機能により深夜帯にできるようになった 25 導入事例 某製造業会社社員数 :3000 人派遣 / 契約社員 :700 人 グループ全体 :6000 人 課題 派遣社員や契約社員が多く 各ユーザに適切なアクセス権限があるか不安社員数が多く部署異動のたびに ユーザのアクセス権限を変更するのが面倒アクセス権限の設定変更時にファイルサーバのパフォーマンス劣化を招いてしまうため 毎日のように業務時間外に設定変更を行う管理者にかかる負担が大きい Varonis による導入効果 将来 Visibility 機能およびRecommendations 機能により ユーザ グループ ファイル ディレクトリ双方の観点から適切なアクセス権を与えることが容易になり 不必要なアクセス権限割り当てを把握 最適化できたアクセス権限の設定変更をスケジュール機能により 管理者に負担をかけることなく深夜帯にできるようになった 既存でファイルサーバアクセスログ管理ツールを使用しているが ファイルサーバの運用を統合的かつ効果的に行いたいため Varonis DatAdvantage の Auditing 機能を利用し ファイルサーバの統合管理を目指している 26
まとめ DatAdvantage 監査ログの収集 解析 統計情報 レポートの出力 データアクセス権限割り当ての確認 変更 シングルビューでの画面操作 不要なアクセス権限割り当ての最適化 シンプルなライセンス形態 27 ご清聴誠に有難うございました ノックス株式会社 varonis@nox.co.jp nox.co.jp 28