Microsoft PowerPoint - DC説明資料_ pptx[読み取り専用]

ファイル暗号化システムのご紹介機密ファイル保護管理システムデータクレシス株式会社ネスコ ITシステム事業部 20140129

盗用流用から自社の技術ノウハウを守り切れますか? 設計情報 (CADファイル)や仕様書様々なノウハウを記載したファイルの二次漏洩によりアイデアの盗用類似製品偽物などによる競争力の低下信頼失墜に悩まされてはいませんか? 本物の発売と同時期に類似品が出回る設計製造段階からの情報流出が疑われる供与した技術が盗用される情報の提供は必要だが盗まれるのは防ぎたい! 盗用流用から守る自ら守る対策が重要! 1 1

セキュリティ対策のレベルとDRM (Digital Rights Management) 弱セキュリティ対策のレベル強 1 初期のセキュリティ対策持出しPC USBメモリ対策ハードディスク暗号化個人の運用ではダメ! 2 漏洩を検知するログの監視ログ監視では防止できない! 盗難紛失 :OK ウイルス:NG 操作作業ミス:NG 故意の漏洩 :NG 故意の漏洩の抑制効果と犯人の特定盗難紛失 :NG ウイルス:NG 操作作業ミス:NG 故意の漏洩 : 抑止効果 3 漏洩しないようにする持出しをさせないデータの持出し制御社内外での利用が必要! 盗難紛失 :OK ウイルス: NG 操作作業ミス:NG 故意の漏洩 : 抑止効果製品 : Pointsec SafeBoot 等製品 : LanScope CAT6 CWAT 等 4 標的攻撃内部からの漏洩ファイルをどこまでも保護ファイル単位の暗号化 & 管理盗難紛失 :OK ウイルス:OK 操作作業ミス:OK 故意の漏洩 :OK 製品 : DeviceLock Security Platform 秘文 AE Information Fortress 等製品 : TrustView DataClasys Microsoft Office IRM 等 DRM Digital Rights Management 2

DRM 製品の種類と特徴種類技術製品特徴ビューアタイプアプリケーションプラグイン制御タイプアプリケーション拡張子登録制御タイプ WindowsOS 制御タイプ特定のフォーマットに変換されたファイルを専用のリーダで閲覧主にアプリケーションのインターフェースを制御アプリケーションと関連する拡張子を登録し制御 WindowsAPI 制御とフィルタドライバ制御により OSの入出力全般を制御 Adobe Reader DocuWorks IRM(マイクロソフト) DocumentSecurity File Shell Inter Safe IRM TotalFileGuard TrustView アプリケーションから特定フォーマットに変換して利用閲覧印刷の制御は行えるが編集ができない元のアプリケーションの機能が使えないアプリケーションの機能がそのまま利用可能適用可能なアプリがWORD EXCEL PowerPoint AdobeReaderなどに制限される適用アプリケーション毎の開発サポートが必要アプリケーションの機能がそのまま利用可能ほとんどのアプリに適用可能アプリケーションごとに関連する拡張子を調査し登録しなければならない CADシステムなどの複雑なアプリケーションへの適用に長い時間を要するセキュリティホールが生じやすい DataClasys アプリケーションの機能がそのまま利用可能ほとんどのアプリに適用可能アプリケーションと関連するプロセスの登録することで利用可能 CADシステムなどの複雑なアプリケーションへの適用が比較的短期に行えるファイル毎に異なる権限管理が可能 3

DataClasys の特長 1.フォルダ保存での自動暗号化ファイル単位で右クリックしメニューから例えば業務委託先閲覧用や編集用等の機密区分や有効期限の設定が可能ですフォルダに機密区分を設定することでファイルをこのフォルダに入れるだけで暗号化ファイルを簡単に生成することができますダイレクト暗号化フォルダ機能を利用すると特定のフォルダには暗号化ファイルを開いてそのまま別名保存や拡張子を変えて保存することができます保存対象となるフォルダに設定された条件で自動的に暗号化ファイルとして生成されこのフォルダ以外への保存は禁止されます 2. 暗号化管理されたファイルの利用はほとんど従来通りの操作暗号化されたファイルは機密性を保ったまま平文ファイル( 暗号化されていないファイル)と同じ操作で利用できますマクロリンクも権限があればそのまま利用可能もちろんファイル名拡張子もそのままです 4

実際の暗号化イメージ 1 右クリックで暗号化機密ファイル利用者右クリックでフォルダやファイルを個別に暗号化フォルダ配下のファイルはまとめて暗号化できます 2 共有フォルダへコピーポリシーに応じた権限で利用可能ポリシーに応じたフォルダーにコピーをして暗号化後メールなどで海外の担当者へ送信します 5

DataClasys の特長 3.ファイル形式に依存せずあらゆるデータをファイル単位で暗号化したまま利用可能 DataClasysの最大の特長 OSに独自のドライバーを組込む技術によりあらゆる機密情報ファイルに対する操作を制御することが可能です Microsoft Word Excel PowerPointや一太郎 PDFなどのオフィス系ファイル AutoCAD CATIAなどのCAD 系ファイル Visioなどの技術系ファイル Photoshop 動画などのマルチメディア系ファイルをはじめとするほとんどのファイルをコントロール可能しかも複数の異なるアプリケーションで暗号化ファイルを操作できます 6

DataClasys の特長 4. 多言語に対応最新版 (ver5:2009/5リリース) 以後は Unicode(UTF-8) 対応韓国語版をリリース(2009/9) 中国語版をリリース(2010/8) 英語版をリリース(2012/11) 中国韓国 7

DataClasys のシステム基本構成 DataClasysはリレーショナルデータベース(PostgreSQL)を採用対障害性の向上をサーバの二重化により実現 DataClasysユーザクライアントはプライマリーサーバと通信できない場合はセカンダリーサーバに自動的に接続します DataClasys サーバ利用者の利用権限についての判断を行い権限に応じた復号用の鍵情報などを配信するプログラムです DataClasys マネーシャクライアントユーザ登録利用権限の付与管理者権限の付与ユーザ操作履歴の管理などを行なうプログラムです DataClasys ユーサクライアント利用者のPCで動作するプログラムです DataClasys IDファイル DataClasys IDファイル DataClasys IDファイル DataClasys IDファイル利用者が持つ鍵情報ファイルです機密ファイルを利用する際に必須本人承認などを行う重要なファイル USBメモリなどに収納し安全に管理することも可能です有効期限の設定もできますフォルダ自動暗号化ファイルサーバなどの共有ファルダ内にファイルが保存されるとこれを監視し自動的に暗号化します既存のサーバだけでなくクライアントPC 内のフォルダでも利用可能です 8

DataClasys の機密区分による管理例機密区分で暗号化されたファイルは所属組織 (グループ) 職位 (ポスト)によって権限管理されます社外秘で暗号化されたファイルは部長職以上は全ての権限課長職は印刷更新閲覧一般社員は閲覧のみの権限が付与されその権限範囲で暗号ファイルを利用できます 9

暗号ファイルの権限管理 (カテゴリ単位の管理 ) DataClasysサーバ DataClasys B IDファイルヘッダ情報カテゴリーA カテゴリーA 暗号 ID グループポスト A 営業部 1 課一般社員 B 営業部 1 課管理職復号消去営業 1 課管理職閲覧更新削除 C & P 印刷添付 W e b 営業 1 課一般職暗号文 10

DataClasys 利用権限一覧権限名称内容暗号化暗号化できる権限です復号暗号ファイルを元の平文に戻す権限です完全消去ファイルの書き込みされたディスク領域も乱数で3 回上書きし復元ソフトでも復元はできないように完全消去します閲覧暗号ファイルを閲覧する権限です更新暗号ファイルを編集上書き更新できる権限です削除暗号ファイルを削除できる権限ですファイル出力クリップボード出力プリント出力スクリーンショットメール添付メール送信 Web 送信暗号ファイルから平文ファイルの出力を許可しますクリップボードへの出力を制御します印刷を制御します Windows 標準のスクリーンショットを禁止します暗号ファイルのメールへの添付を禁止します Word EXCEL などのアプリケーションから開いた暗号文をそのままメールとして送信することを制御する権限です暗号ファイルを平文で読み込んだプロセス(アプリケーション) が IP による通信を行うことを制御する権限です 11

DataClasysユーザ権限設定項目一覧項目内容設定単位ファイル利用権限暗号化復号完全消去閲覧更新削除ファイル出力クリップボード出力プリント出力画面キャプチャーメール添付メール送信カテゴリ単位 Web 送信社外利用型オフラインユーザ毎 ( 詳細は利用権限説明をご参照ください ) ファイル利用期日無期限開始終了期日指定ファイルフォルダ単位 IDファイル有効期日無効有効開始終了期日指定 IDファイル単位オフライン利用時 IDファイル有効時間オフライン状態のまま利用出来る期間 ( 秒で指定 ) DataClasysサーバ単位 IDファイルパスワード IDファイル利用 PC 制限アプリケーション桁数大文字小文字区分同一文字数複雑なパスワード設定 IDファイル初回利用時にPC 情報をDataClasysサーバ IDファイル内に登録登録されたPC 以外でのIDファイルの利用を禁止 (DataClasysサーバと全く通信できない環境では端末識別情報取得ツールを利用し事前にPC 情報をIDファイルに記述可能 ) 暗号ファイルを利用するアプリケーションの登録暗号ファイルへのアクセスを禁止するアプリケーションシステム上必要なアプリケーションの登録 DataClasysサーバ単位 IDファイル単位 DataClasysサーバ単位 12

DataClasysユーザ権限設定項目一覧 : 補足補足項目内容暗号ファイルの複製移動の制御アプリケーション制限と登録別名保存オフライン利用期間複数の権限設定更新権限が無い場合は暗号ファイルの複製移動は禁止されます暗号ファイルを利用するアプリケーションを登録することにより登録外のアプリケーションでは暗号ファイルを開くことができなくなります重要な機密ファイルを扱えるアプリケーションをコントロールできますまた DXFファイルを複数の異なるCADアプリケーションを登録することにより同一ファイルを平文と同様に複数のCADアプリで利用することも可能となります DataClasysでは暗号ファイルを開くと同一プロセスの平文保存を禁止します別名保存は操作上は可能ですがアプリケーションが終了時に仮作成されたファイルは消去されます別名保存する場合は同一権限の暗号ファイルに上書きする必要がありますサーバ単位で設定しますデフォルトでは24 時間として設定されますオフライン状態で24 時間経過するとIDファイルの使用は禁止されます再度 DataClasysサーバに接続して認証されればそれ以降 24 時間はオフライン状態で利用できますただし対象暗号ファイルはオフラインでの利用を許可されたファイルだけとなりますファイルを暗号化する時に複数のカテゴリ( 区分 )を指定することができます更新印刷可能な社外秘と閲覧しかできないオフライン利用可能な社外秘 ( 社外利用可 ) の2つカテゴリで暗号化すると社内でDataClasysサーバに接続している場合は更新印刷できるが社外のオフライン時には閲覧のみで印刷もできないなどの利用が可能です 13

社外や通信環境のない環境での利用社外利用型オフライン機能ファイル流出! 第三者は利用不可特定の区分で暗号化された暗号ファイルのみ社内のPCをそのまま社外に持ち出してもそのまま利用できますファイルが流出しても権利のない第三者は開くことができません他の区分で暗号化されたファイルは社外では誰も利用できませんほとんどのアプリケーションフォーマットに対応しています IDファイル利用 PC 制限の利用で暗号化ファイルを操作できるPCを特定することも可能です 14

固定端末情報の事前収集登録機能 DataClasysでは暗号ファイルの利用を特定の端末に限定できる機能を提供 IDファイルの利用時に登録された端末情報であるかどうかをチェックし異なる場合はIDファイルの利用ができません (IDファイルが利用できない場合は DataClasysのユーザクライアントソフトの起動ができず暗号ファイルを開くことができません ) 端末のCPU OS ボードなどの複数の情報から端末を特定しその情報をDataClasysサーバとIDファイルに記述します海外などでDataClasysサーバに接続できない環境下でも利用端末を固定したいとのニーズに応えるため暗号ファイルを扱わせたい端末の情報を事前に収集するツールとその情報を埋め込んでIDファイルを発行する機能を装備しています異なる端末暗号ファイル利用者 1 収集ツール ( CLSTerminal) DataClasys 管理者 4ユーザ登録 ( 端末情報埋め込み) 登録された端末情報と異なるため利用できない 2 収集ツールクリック( 実行 ) 流出 3 端末情報 5IDファイル配布 IDファイル 15

操作ログの収集ログの種類管理者 (DataClasysサーバ)ログ接続ログマネージャログユーザログ警告ログエラーログログ取得方法 DataClasysマネージャクライアントでDataClasysサーバより取得月日を指定して取得 (CSVファイル形式 ) ユーザログ内容年月日時分秒 PC 名ログイン名 IDファイル場所 IDファイル名 IDユーザ名ユーザ要求可否ファイル名 (フルパス) ネットワークファイル復号許可暗号化者 IDファイルNo 暗号化者名機密区分 No 機密区分名プロセス名その他 16

DataClasysコマンドラインによる連携ユーザクライアントコマンドラインは戻り値を返すことができ他のシステムとの連携の実績もあります /Encrypt 平文ファイルの暗号化を行う /Idfile /Categoryオプションが必須 /Decrypt 暗号文ファイルの復号を行う /Idfileオプションが必須 /Vanish ファイルの完全消去を行う /Idfileオプションが必須 /Header ファイルの暗号化確認暗号化カテゴリと有効期間のチェックステータス確認に利用できます戻り値例 #define CLSUERROR_SUCCEEDED 0 // 成功しました #define CLSSERROR_INVALID_SERVER 1 #define CLSSERROR_SERVER_REDIRECTED 2 //サーバはリダイレクトされました #define CLSSERROR_LICENSE_COUNT_EXCEEDED 3 //ライセンス数を超過しています #define CLSSERROR_LICENSE_PERIOD_EXPIRED 4 //ライセンス期限が切れています #define CLSSERROR_USER_EXPIRED 5 //ユーザの有効期間が切れています #define CLSSERROR_INVALID_CATEGORY_ARRAY 14 // 有効なカテゴリが指定されていません #define CLSSERROR_NO_ENCRYPT_RIGHT 15 // 暗号化権限がありません #define CLSSERROR_NO_DECRYPT_RIGHT 16 // 復号権限がありません #define CLSSERROR_NO_VANISH_RIGHT 17 // 完全消去権限がありません #define CLSSERROR_DECRYPTING_FILE_ON_NETWORK 28 //ネットワーク上のファイルを復号しようとしています #define CLSSERROR_VANISHING_FILE_ON_NETWORK 29 //ネットワーク上のファイルを完全消去しようとしています #define CLSSERROR_TERMINAL_FIXED 108 //このIDファイルを使用できる端末は限定されます IDファイルの更新を行ってください #define CLSSERROR_TERMINAL_DENIED 109 //このIDファイルは現在の端末では使用できません #define CLSSERROR_NO_TERMINAL_INFORMATION 110 //このIDファイルは端末を限定しなければなりませんユーザクライアントのバージョンが古いかもしれません #define CLSUERROR_INVALID_ACTION 258 // 有効なアクションが指定されていませんコマンドラインパラメータを確認してください #define CLSUERROR_NO_IDFILE_PATH 259 //IDファイルのパスが指定されていませんコマンドラインパラメータを確認してください #define CLSUERROR_NO_FILE_PATH 260 // 対象ファイルのパスが指定されていませんコマンドラインパラメータを確認してください #define CLSUERROR_TOO_MANY_FILE_PATH 261 // 対象ファイルのパスは一つしか指定できませんコマンドラインパラメータを確認してください本機能は DataClasys 開発キット(オプション) にてご提供しております 17

DataClasysの導入実績 DataClasysは700 社以上で利用されています様々な業種で地方自治体投資運用会社設備メンテナンス企業独立行政法人某研究所システム開発会社情報通信会社広告代理店人材派遣会社電気部品卸会社設計会社製薬会社などなど様々な業種で幅広くご利用いただいています様々な部門で事務管理部門だけでなく製造設計建設設備保全などの部門も含めて利用いただいています様々な種類の情報を個人情報だけでなく企業の生命線である図面お客様のお預かりデータ得意先データなど機密情報を含めて管理されています動作実績のあるアプリケーション例 Microsoft Office(2003~2013) OpenOffice 一太郎 Adobe Acrobat Reader Illustrator Photoshop AutoCAD CATIA CADCity ECAD dio MicroStation Walkinside 図王図脳 RAPID17 NX CADSUPER FX Ⅱ Jw_cad ZWCAD 18

海外導入例 ( 重電メーカー) 顧客業態利用環境運用形態某大手重電メーカー様規模 : 国内 2 人海外 20 人 ( 生産関連部門に導入 ) 配付ファイル: CADファイル配付先 : 中国 1 工場配付方法 :FTPダウンロード中国工場はDataClasysサーバ接続なしで利用国内は DataClasys 接続で利用 DataClasysサーバは国内のみ海外からはアクセスはさせない IDファイル管理 : 有効期間不明オフライン期間 : 不明カテゴリ: 不明国内よりCADファイルを支給中国国内向け製品のカスタマイズは中国で編集修正する中国で修正したものは日本で審査し承認された段階で正式版として中国に再配付される配信用 FTPフォルダ ( 自動暗号化 ) 返信用 FTPフォルダ国内向けフォルダ ( 自動復号 ) 19

設計部門 ( 外注含む)に全面導入例 (プラント設備メーカ) 顧客業態利用環境運用形態プラント設備メーカ様規模 : 国内 50 人海外出張者 ( 全部門に導入 ) 設計ファイル: 本社サーバで統合管理暗号化対象 : 全設計ファイル設計外注先 : 暗号化ファイルを配布配付方法 : 有償配信ソフト社内 ( 東京本社名古屋 )VPNで接続社外海外出張者はリモートVPN 接続で利用外注先はオフラインで利用 IDファイル管理 : 有効期間 6ヵ月オフライン期間 :6ヵ月暗号化カテゴリ:1レベルのみ外注先にも暗号化されたファイルを支給別名保存用の暗号化テンプレートファイルも支給利用 CAD 社内 :AutoCAD,AutoCAD LT, I-CAD SX, ME-10( 非圧縮モードのみ) 外注先 :AutoCAD LT, I-CAD SX, AutoCAD Denki CADPACK Creater, BVCAD, RootProCAD, WinstarCAD 東京本社支給 ( 配信ソフト) 支社外注先 (オフライン利用 ) IDファイルを6ヵ月毎に再発行 A 社 B 社 C 社 20

ファイルサーバで集中管理 ( 全ファイル暗号化管理 ) 自治体様顧客業態利用環境運用形態規模 :400 人ホスト端末にDataClasys を導入内部統制管理と情報漏えい対策のために利用者のファイルをファイルサーバで集中管理 / 全ファイル暗号化管理を行う利用者はPCローカルに実質的にファイルを保存できないためファイルサーバに保存する利用者がアクセスできるフォルダはDataClasysで自動暗号化される暗号化されたファイルは不正アクセスや担当者の操作ミスなどにより庁外に何らかの手段で持ち出しても庁外ではDataClasysサーバにアクセスできないためファイルを解読できず情報漏洩を防止するシステムイメージ ActiveDirectry 移動プロファイルサーバ共有ファイルサーバ DataClasysサーバ原本サーバ 1ドメインユーザでログイン認証外部メモリの禁止 2 移動プロファイルの同期 3 共有ファイルの利用 2 3 4 5 Cドライブを非表示にすることによりファイルを共有ファイルサーバに保存させる 4 重要フォルダの自動暗号化ユーザ認証利用履歴管理 4 原本保証 (タイムスタンプサーバ) 暗号化したまま自動復号タイムスタンプ PDFファイル生成再暗号化を自動化 1 Cドライブ非表示 21

海外利用ご提案例 (プラントメーカー) 常時オフラインで利用サーバへの接続不要協力会社ネットワーク接続不可インターネットサーヒスフロハイタ DC2 FD1 クライアントソフトダウンロード用常時オンラインで利用国内拠点 FW FW 子会社 DC1 インターネット FW FW オフライン機能を併用しレスポンスと耐通信障害性の向上を実現定期的にIDファイルを更新日本国内にはプライマリサーバを設置しオンラインで利用海外子会社では通常はオフラインで利用し定期的にIDファイルを更新 ( 日 1 週 1 程度 )させますその時にサーバから最新情報が取得されます海外用のサーバは日本のセカンダリサーバとしても機能させることが出来ます 22

お問い合わせは下記まで 108-0075 東京都港区港南 1-8-27 日新ビル4F 株式会社ネスコ ITシステム事業部 Tel 03-5462-8511 Fax 03-5462-8519 URL http://www.nesco.co.jp E-Mail dataclasys@notes.nesco.co.jp 本資料に記載された社名および商品名は各社の商標または登録商標です

Microsoft PowerPoint - DC説明資料_20140129.pptx[読み取り専用]