iPod、USB スティックなどのエンドポイント デバイスの使用をネッ トワーク

iPod、USB スティックなどのエンドポイント デバイスの使用をネッ
トワーク規模で制限
企業では、外部の脅威に対する保護対策として、ネットワーク レベルのウイルス対策ソフトウェア、ファイアウォール、
電子メールおよび Web コンテンツのセキュリティなどに投資を行ってきました。しかし、事務所内に立ち入ることの
できるユーザーであれば誰でも、キーチェーン程度の大きさの USB スティックを使って、32 GB 以上ものデータの持
ち込み/持ち出しが可能です。これは、とてつもない脅威です。ユーザーが機密データを持ち出す可能性もあれば、ウイ
ルス、トロイの木馬、不正なソフトウェアなどを無意識のうちに持ち込む可能性もあります。このようなことが発生す
ると、企業および企業のネットワークに大きな損害を与えかねません。しかし、管理者にはこのような事態をコントロー
ルする手段がありません。
「2005 FBI Computer Crime Survey (2005 年 FBI コンピュータ犯罪調
査)」によると、組織の 44% が自社内からのネットワーク侵入を報告し
ています。テクノロジ リサーチ企業の Gartner 社は、USB または
FireWire 接続機能を備えたポータブル デバイスが企業にとって新しい
重大な脅威となっていると警告しています。Gartner 社は同社のレポー
トで、リムーバブル メディア デバイスが組織にとって深刻なセキュリ
ティ リスクであることを指摘し、これらのデバイスが機密データのダウ
ンロードや企業ネットワークへのウイルスの持ち込みに使用される可能
性があると忠告しています。
■ GFI EndPointSecurity の仕組み
アクセスを制御するため、GFI EndPointSecurity ではマシン上に小さな
フットプリント エージェントがインストールされます。このエージェン
トのサイズは 1.2 MB しかなく、ユーザーがこのエージェントの存在に
気付くことはありません。GFI EndPointSecurity には GFI LANguard 技
術に基づいたリモート展開ツールが付属しており、システム管理者はわ
ずかなクリック操作でこのエージェントを何百台ものマシンに展開でき
ます。一旦インストールされるとその後はユーザーがログインする度に
このエージェントが Active Directory を参照するようになり、その結果、
ノードごとに適宜アクセス権が設定されるようになります。アクセスが
許可されたグループにそのユーザーが含まれない場合、そのデバイスへ
のアクセスはブロックされます。
■ GFI EndPointSecurity を使ってアクセス制御の立て直しを
図りましょう
GFI EndPointSecurity を導入することで、管理者は積極的にユーザー ア
クセスを管理し、以下に示すデバイスのアクティビティ ログを記録する
ことができます。
• iPod、Creative Zen などのメディア プレイヤー
• USB スティック、CompactFlash、メモリ カード、CD、フロッピー
などのストレージ デバイス
• PDA、BlackBerry、携帯電話などの通信デバイス
• ネットワーク カード、ラップトップなどのネットワーク接続
■ ユーザー アクセスを制御し、USB
メモリ スティックや、
アクセスを制御し、
SD カード (デジタル
デジタル カメラで使用)
カメラで使用 などのポータブル ス
トレージ メディアのアクティビティをログに記録
USB スティックは、小さくて簡単に隠すことができ、32 GB ものデー
タを格納できることから、重大な脅威の 1 つです。GFI EndPointSecurity
は USB ストレージスティックに加え、ハードディスクとしてマウント
可能なあらゆるデバイスを認識します。それらが USB に接続されてい
ようが FireWire に接続されていようが見逃しません。たとえば、デジ
タル カメラを USB ポートに接続すると、ユーザーは SD カード (SD
カードのサイズは数種類あり、2 GB を超えるものもあります) 上のスト
レージにアクセスできますが、この接続も GFI EndPointSecurity では見
逃しません。
■ CD とフロッピーへのアクセスを制御
とフロッピーへのアクセスを制御
ベネフィット
メモリ カード、CD などのポータブル ストレージ デバイスへの
アクセスを全面的に制御することにより、内部データの窃盗をブ
ロック
接続可能なあらゆるエンドポイント デバイスを制御することに
より、ウイルスや未承認のソフトウェアの侵入を防止
承認されたユーザーに影響を与えることなく、多様なポータブル
デバイスに対するグループベースの制御を促進
デバイスに対するグループベースの制御を促進
ポータブル ストレージ デバイスからゲームや個人ファイルが未
承認のままアップロードされることをブロックすることにより、
生産性の低下を防止
ラップトップ用、ワークステーション用、およびサーバー用の 3
つの保護ポリシーが付属
ユーザーの CD/フロッピーからの読み取りまたは CD/フロッピーへの
書き込みを、一元的に無効にすることができます。これにより、自社の
ネットワークに害を与えかねないデータ (ウイルス、トロイの木馬、そ
の他のマルウェアなど) を一般のユーザーが持ち込むことをブロックで
きます。CD またはフロッピーへのアクセスは BIOS から止めることも
できますが、この方法は実用的でありません。この方法では、マシンを
直接操作して一時的に保護を無効にしてからソフトウェアをインストー
ルする必要があります。また、技術に長けたユーザーであれば BIOS に
不正侵入することも可能です。
■ リムーバブル メディア以外のデバイスがもたらす脅威から
ネットワークを保護
GFI EndPointSecurity は、クライアントマシンをある特定のハードウェ
アレベルにロックダウンすることによって、リムーバブルメディア以外
のデバイスからネットワークを保護します。この機能によって Bluetooth
デバイスやネットワークカードなどを介した脅威からも確実に保護され
ます。
■ Active Directory を利用したグループベースの保護制御だから設定も簡単
コンピュータを複数の保護グループとして設定し、分類できます。分類した各グループには、個々
の保護レベルと、アクセスを許可または禁止するデバイスを指定できます。また、強力なディレク
トリ機能を利用して部署全体をひとつのグループとして設定でき、グループ全体に対する設定も簡
単に変更できます。このように GFI EndPointSecurity は、Active Directory を利用してグループ
単位の設定を簡単に行うことができるので、管理者はどのポリシーをどのコンピュータに適用した
かを記憶したり継続的に追跡したりする必要はありません。他のストレージ制御ソフトウェアでは
面倒なマシン単位の管理が必要であり、マシンごとに設定の変更や更新を行わないと、設定が有効
になりません。
GFI EndPointSecurity の設定
■ きめ細かなアクセス制御
ファイル システムを使用しているデバイス (CD、DVD、フロッピーやその他のリムーバブル メ
ディア) に対し、各ユーザーに読み取り/書き込みアクセス権を与えるべきかどうかを設定できま
す。
■ デバイス関連のユーザー アクティビティのログ記録
GFI EndPointSecurity では、イベント ログと中央の SQL Server の両方に、デバイス関連のユー
ザー アクティビティを記録できます。ユーザーがデバイスを接続するたびに、その接続が成功す
るかどうかにかかわらず、デバイスにアクセスしたファイルまたはデバイスからアクセスされた
ファイルの一覧が記録されます。
アクセスを許可または禁止する Active
Directory グループの設定
■ リモート展開ツールが付属
GFI EndPointSecurity のリモート展開ツールを使用すると、ネットワーク全体にエージェントを
数分で展開できます。ドメイン全体に展開するように設定することも、あるいはコンピュータ単位
または複数台のコンピュータに展開するように設定することもできます。
■ 一元化された制御による容易な一時的アクセス
Active Directory 内のグループにユーザーを追加したりグループから削除したりするのは簡単なた
め、リムーバブル メディア、フロッピー、CD などに対して一時的にアクセスを許可するのも簡
単です。Active Directory を利用することによって、必要に応じて、一時的にアクセスを許可した
り、また、アクセスが必要無くなれば簡単に設定を戻しておくことができます。
ネットワーク全体への容易なエージェン
ト展開
■ ReportPack アドオンによるデバイス利用に関する詳細レポート(デバイス間で
アドオンによるデバイス利用に関する詳細レポート デバイス間で
転送された実際のファイル名を含む)の作成
転送された実際のファイル名を含む の作成
GFI EndPointSecurity ReportPack は、GFI EndPointSecurity の本格的なレポート アドオンで
す。このレポート パッケージでは、GFI EndPointSecurity で収集されたデータに基づき、グ
ラフィカルな IT レベルのレポートと管理レポートを自動生成するようにスケジュールでき
ます。ReportPack を使用することで、ネットワークに接続されたデバイス、デバイス利用の
傾向、デバイス間でコピーされたファイル (コピーされたファイルの実際の名前も含む) など、
さまざまな情報をレポートできます。
新しいユーザー/グループの追加
システム要件
• 監視対象のサーバー/クライアントで
Windows 2000/2003/XP のいずれかが
実行されていること。
• エージェントまたは保護ポリシーのイ
ンストール、アンインストール、更新を
行うには、保護するすべてのコンピュー
タの管理権限を GFI EndPointSecurity
に持たせる必要があります。
利用できるレポートは多数あり、以下はその一例です。
Executive (エグゼクティブ
エグゼクティブ):
エグゼクティブ ブロックされているデバイスとポータブル ストレージ デバイ
スの利用傾向の概要
Statistical (統計
統計):
統計 ポータブル デバイスのアクセスと利用についての統計
Technical (テクニカル
テクニカル):
テクニカル ネットワークからデバイスへ、あるいは、デバイスからネットワー
クへコピーされたファイル名をユーザごとに分類して表示
Top 20 reports (トップ
トップ 20 のレポート):
のレポート 接続アクティビティが最も多かった上位 20 のユー
ザー、マシン名、デバイス、およびアプリケーション
GFI EndPointSecurity の評価版は http://www.gfi.com/endpointsecurity/ からダウンロードできます
からダウンロードできます
GFI Software
Magna House, 18 32
London Road,
Staines, Middlesex
TW18 4BP
UK
Tel + 44 (0)870 770 5370
Fax + 44 (0)870 770 5377
sales@gfi.co.uk
GFI Software
15300 Weston Parkway
Suite 104
Cary, NC 27513
USA
Tel +1 (888) 243-4329
Fax +1 (919) 379-3402
sales@gfiusa.com
GFI Software
Bargkoppelweg 72
22145 Hamburg
Germany
Tel +49 (0)40 3068 1000
Fax +49 (0)700 3068 1010
sales@gfisoftware.de
GFI Software
83 King William Road
Unley 5061
South Australia
Tel +61 8 8273 3000
Fax +61 8 8273 3099
sales@gfiap.com
GFI Software
GFI House
San Andrea Street
San Gwann SGN 05 Malta
Tel +356 2138 2418
Fax +356 2138 2419
sales@gfi.com
©2007 GFI Software - Windows NT/2000/XP/2003 は、Microsoft
Corporation の商標です。
は、
の商標です。
GFI EndPointSecurit は、ドイツ、米国、英国、およびその他の国における GFI Software の登録商標です。GFI
と GFI ロゴは、ドイツ、米国、英国、およびその他の国における GFI Software の商標です。
の登録商標です。
の商標です。
この文書に記載されている製品名と会社名は、それぞれの権利所有者の商標である可能性があります。
この文書に記載されている製品名と会社名は、それぞれの権利所有者の商標である可能性があります。