制御設製品｜ 2016年 nx netmonitor製品紹介（ｾｷｭﾘﾃｨ） · pdf...

© Hitachi, Ltd. 2003,2015. All rights reserved.

株式会社日立製作所サービス＆プラットフォームビジネスユニット

制御プラットフォーム開発本部

「NX NetMonitor」のご紹介

不正持ち込みPC監視&強制排除システム

Version 7

© Hitachi, Ltd. 2003, 2015. All rights reserved.

１. ご提案の背景

２. NX NetMonitorの特長

３. 基本機能のご紹介

Contents

1

４. システム構成例と基本運用

５. 連携システム

６. 導入事例と導入効果

補足Ａ. お客さまの運用にあわせた10のメリット

補足Ｂ. 関連製品のご紹介

※本文書においては，文書の体裁上の都合により製品名の

表記において商標登録表示，その他の商標表示を省略し

ている場合があります。予めご了解ください。

７. まとめ


１. ご提案の背景

2


１-１ご提案の背景～不正なPCの接続を防止する必要性～

3

経営への深刻なダメージを避けるため、情報漏洩対策は必須です！

「NX NetMonitor」で解決！

ビジネス環境におけるセキュリティの脅威

・パソコンの管理： PCの接続や設置状況が日々変化しているためPCの管理が難しい。

・不正接続PC管理：個人のパソコンやスマートデバイスを社内に持ち込み、機密情報の持ち

出しが発生。

・セキュリティ対策管理：パッチの適用やOSの更新を各ユーザーにまかせていると、実施しない

ユーザーがいる。

� 企業におけるセキュリティ問題

2005年4月から個人情報保護法が施行され、企業は会社規模に関係なく、個人情報の厳密な

管理を定められました。施行に至りましたが、情報漏洩の件数はいまだ横ばい傾向にあるようで

す。ひとたび情報漏洩が発生し、顧客情報が流出すれば、調査・事後対策・損害賠償と、多額の

費用がかさみます。

� 情報漏洩の問題


２. NX NetMonitorの特長

4


２-１ NX NetMonitorの特長

5

� 不正に接続したPCを自動排除し、ネットワークを利用させません

・不正接続PCやスマートデバイスの検出と対策（排除、通報）を自動で行います。

・不正接続PCやスマートデバイスのみを、ピンポイントで即座に排除します。

（IPv6通信の監視、排除にも対応しています)

・クライアントソフトは不要で、PCやスマートデバイスの利用状況を把握できます。

・アドレス環境（固定IP、DHCP）や有線LAN、無線LANを問わず導入できます。

・小拠点は小型の専用監視装置(BOX)を設置することで、導入や管理者の負担を軽減できます。

・ WindowsのOSで動作するNX NetMonitorは英語環境にも対応しています（輸出可能※)。

� 既存ネットワークをそのまま利用して集中運用できます

･PCやスマートデバイスのIP・MACアドレス（ホワイトリスト）を登録しなくても「見える化」できます。

① ネットワークにつないだ履歴が残るため不審なネットワーク利用をチェックできます。

② ホワイトリストを登録すると、未許可のPCやスマートデバイスを強制排除できるので

セキュリティを強化できます。

③ 他のセキュリティシステムと連携して運用・機能を拡張できるため、導入後も陳腐化しません。

� 柔軟な連携機能で、導入後もセキュリティと運用を拡張できます

WindowsのOSを搭載したPCにNX NetMonitorをインストールした機器をWindows版監視装置と呼びます。

Red Hat LinuxのOSを搭載したPCにNX NetMonitorをインストールした機器を Linux版監視装置と呼びます。

小型のBOX計算機にNX NetMonitorを搭載した機器をNX NetMonitor専用装置(アプライアンス機)と呼びます。

※本製品を輸出される場合には、外国為替及び外国貿易法の規制ならびに米国輸出管理規則など外国の輸出関連法規をご確認のうえ、必要な手続きをお取りください。

なお、ご不明な場合は、弊社担当営業にお問い合わせください。


３. 基本機能のご紹介

6

機能の詳細をご紹介いたします。


３-１ PCのネットワーク接続をリアルタイムに検出

7

ネットワークやCPUに負荷をかけないように資産管理情報を収集します。

②ネットワークにアドレス情報が流れる

※画面例は、集中管理用「NX NetMonitor/Manager」で表示したものです。

例えば

・OS起動後に物理接続

・物理接続状態でOS起動

などのタイミング

例えば

・OS起動後に物理接続

・物理接続状態でOS起動

などのタイミング

③必要な情報のみ収集・解析

①PCを接続

NX NetMonitor


３-２資産管理台帳の自動生成

8

PCとIPアドレスの使用状況を把握できます。

機器(PC)の識別

未登録PCの発見、

機器の棚卸に活用

機器(PC)の状態

�起動確認時刻

�停止確認時刻�利用時間や状況

（曜日、週、月ごと）

�機器名の変更

�使用されない機器

不審なPC利用を追跡

IPアドレスの管理

�IPアドレスの使用状況

・使用、未使用

・長期間利用なし

・IPv6通信

�IPアドレスの衝突

IPアドレス再利用に

外部出力（CSV、DB)

�ログ�接続機器一覧

�拒否機器一覧

�不正接続数統計

（曜日、週、月ごと）

報告書、資産情報に

・OS種別の表示、IPv6の検知・排除機能はLinux版監視装置、アプライアンス機のみのサポートです。

Windows版監視装置は別途サポート予定です。

NewNew

�MACアドレス

�IPアドレス(IPv4/v6)

�MACベンダ

�機器名

�OS種別

(Windows/Linux/iOS/Androiｄなど)


３-３不正接続PCを自動排除

9

不正接続PCのみネットワーク通信ができない状態になります。

許可機器一覧

不正接続PC

※管理者による手動操作も可

自動排除

システムエラーシステムエラー

機器の照合

ポップアップやメール、SNMPトラップなどにより

管理者に通知

ポップアップやメール、SNMPトラップなどにより

管理者に通知

許可されているPC

NX NetMonitor


３-４排除の処理について

10

・不正接続PCのパケットを受信すると、NX NetMonitorは、ほかのPCと通信ができないようにします。

・不正接続PCは通信相手からの応答がないため、ネットワーク通信ができない状況になります。

・PCのファイアウォール機能によりPing応答しない場合でも、検出・排除することができます。

確実、即時にPCを検出して排除します。


３-５自動排除時のポリシー設定のバリエーション

11

さまざまなPCの利用状況を想定して監視ポリシーを設定できます。

事例

�出張など頻繁に移動するPC： IPアドレスの変化は許容 “MACアドレス”

�あまり移動しない設備：厳格に管理 “MACアドレス + IPアドレス”

�一時的なPC利用者の管理負担を軽減：自動切断する “有効期限”

アドレス情報と時間情報を

組み合わせて監視できます

アドレス情報と時間情報を

組み合わせて監視できます

�MACアドレス：PCやモバイル機器、スマートデバイス（推奨）

�IPアドレス：IPアドレスだけで管理したい機器（ﾙｰﾀｰやｽｲｯﾁ）

�MAC + IPアドレス：PC利用場所を限定したい機器（IP範囲指定可）

�MACベンダ + ＩＰアドレス：ベンダを限定したい機器（予備品交換を想定）

設定例設定例

多彩な指定方法

（混在指定可）


３-６不正接続PCの特定と証拠の保全

12

一瞬でもネットワークの不正利用は記録。ログは監査に利用できます。

・管理者に不正利用の発生を即座に報告（ポップアップ、メール、SNMPトラップ）します。

ユーザ作成プログラムを起動することも可能です。

・不正にPCが接続されたネットワークを特定し証拠をログに残します。

・NX NetMonitorマネージャの操作記録(だれが、いつ、何を）もログに残します。

報告

・ポップアップ

・メール

・SNMPトラップ

・プログラム起動など

例）

・システム管理サーバーなど

・NX NetMonitorのマネージャ機能

不正接続PC

NX NetMonitor

/Manager

管理者

不正接続PCの特定

証拠保全

NX NetMonitor

排除

ログ


３-７多彩な集中監視構成のバリエーション

13

お客さまのセキュリティ対策計画に合わせて導入できます。

・拠点内のVLANを活用して監視ハード台数を削減できます。 ⇒ (3-8)

・拠点の監視はハード・ソフトレスも可能。拠点が多いほど有効です。⇒ (3-9)

既設スイッチ

検出

拠点は変更不要

拠点はハード・ソフトレスで監視

小拠点

（数名規模）

不正接続PC

監視、警報

管理者

NX NetMonitor

/ Manager

アドレス情報を監視し

異常時は通報

重要拠点

複数部門（VLAN）を監視、不正接続PCを排除

VLAN１ VLAN ｎVLAN2

専用監視装置(BOX)

不正接続PC

強制排除

社内LAN

管理情報

監視情報

NX NetMonitor


３-８ VLAN環境下で複数LANを監視

14

・VLANで構成された複数のサブネットワークを集約して監視できます。

・監視用PCを拠点（L3スイッチ）単位に設置し、クライアントを監視できます。

VLAN 1

L2

L3スイッチ

VLAN 2

タグVLAN(IEEE802.1Q)対応

L2L2

L2

VLAN ｎ

監視用PCの接続ポートに

監視対象のVLANを延長し、

トランク構成で集約

（監視用PC (2.5GHz)で、約2500台のクライアントをリアルタイムに監視できます）

監視用PCのOSとLANカードは、

タグVLAN(IEEE802.1Q)に対応した

ものを使用してください

VLAN環境を活用して、監視用ハードウェアの台数を削減できます。

NX NetMonitor


３-９ハード・ソフトレス構成での拠点監視

15

ハード・ソフトを追加しない方式で拠点を監視することもできます。

不正接続PC検知、通報不正接続PC検知、通報

集中監視PC

※アドレス情報が得られない場合は、他の方法でアドレス情報を収集します。

③ PC情報収集、監視

既設スイッチ

（MIB情報）

拠点A

不正接続PC

不正接続PC

①PCを接続

・中央から周期的にアドレス情報などを収集し、拠点のPC利用状況を監視します。

（集中監視PC1台(2GHz・ﾒﾓﾘ2GB)で、100セグメント（ｸﾗｽC相当）の約 3千台の機器を中央から周期的（標準 5分）に監視できます）

・不正接続PCを検出し通知することができます。 ⇒ (3-7)

・現状分析から開始、必要な拠点から簡単に拡張運用（切断、検疫）できます。

・拠点に装置追加後も、装置故障時のバックアップとして利用できます。

NX NetMonitor

/Manager

NX NetMonitor

強制排除 OK

追加すると切断運用

拠点B

②ネットワークにアドレス情報が流れる


３-１０集中運用マネージャ機能～NX NetMonitor/Manager～

16

・管理者が簡単に複数拠点のNX NetMonitor（監視装置）を運用できます。

・専用監視装置ならば拠点に設置するだけ、あとはリモートから運用できます。

・専用の統合管理画面や、運用容易化のための情報活用や製品・監視ポリシー

のリモートメンテナンス機能を備えています。

管理者

拠点A

拠点B

拠点C

Windows版監視装置PC

NX NetMonitor

/Manager

各拠点の監視状況を把握し集中運用できます。運用情報の活用も可能です。

・専用の統合管理画面

・運用情報の活用

・製品・監視ポリシーの

リモートメンテナンス

NX NetMonitor

すべての拠点を集中運用

専用監視装置(アプライアンス機)

NX NetMonitor

Ｌｉｎｕｘ版監視装置PC

NX NetMonitor


３-１１ NX NetMonitor/Manager ～運用・管理の容易化機能例～

17

� 拠点、ネットワーク、PCの統合管理画面

・ PC情報の表示(IPアドレス、機器名、OS種別)

・ PCの利用時間・状況表示（曜日、週、月）

・不正接続PC警告（POPUP、メール、SNMPﾄﾗｯﾌﾟ、JP1ｲﾍﾞﾝﾄ）

・不正接続PC（拒否機器）の詳細、接続位置表示

・監視装置の稼働監視、画面表示

・画面表示ｶｽﾀﾏｲｽﾞ（表示・非表示項目の設定）

� 運用情報の活用、外部システム連携

・情報検索

・情報の外部出力（CSV、DB）

・外部システム連携（排除・検疫）、公開API

� リモートメンテナンス

・製品の一括バージョンアップ

・監視ポリシーのバックアップ、再設定など

運用・管理の集中化、容易化のための多彩な機能を備えています。


３-１２ PCの利用時間、状況の表示～NX NetMonitor/Manager～

18

【表示例（本社・総務曜日ごと）】

・許可PCの利用時間

・休日利用、不正切断PC

・急に使われなくなったPC

・使われだしたPC

を把握できます。

・各部門（ﾈｯﾄﾜｰｸ）のPCや機器の利用時間（曜日、週、月ごと）を集計し表示

します。利用状況を把握できます。

【表示例（本社・総務週ごと）】

・ PCを利用してない期間

・切断PCの過去の利用状況

を把握できます。

表示項目を選択可能。

画面をカスタマイズできます。

急に使われなくなったPCの紛失管理や、休日などの不審な利用、

長期間利用していないPCのセキュリティパッチ対策ができます。


３-１３不正接続PC検知回数の統計表示～NX NetMonitor/Manager～

19

各拠点や部門の統計をもとに運用強化策（検知⇒切断）を検討・判断できます。

・各部門（ﾈｯﾄﾜｰｸ）の不正検知回数を日（曜日）、週、月ごとに集計し表示します。

・不正利用の推移を把握したり、報告書などへの活用が可能です。

【表示例（各部門）】

・「不正接続（日）」

・「不正接続（週）」

・「不正接続（月）」

短期～中・長期（最長1年）の

状況を把握できます。

右例では、開発部の不正接続

PC推移を定量的に把握可能。

さらに検索機能（3-14)で該当

PCを特定することも可能です


３-１４ PCの検索機能～NX NetMonitor/Manager～

20

（１）接続機器の検索メニューを実行（２）条件設定

（３）実行結果

（４）検索結果

【検索例（接続機器情報からの検索例）】

本社の全部門で

「2008年7月以降動作していない機器」を検索。

（機器の棚卸に活用できます）

・使用されていないPCを検索する例

状態やアドレスで不審なPCを特定したり、過去に遡って追跡できます。


３-１５監視情報の外部出力～NX NetMonitor/Manager～

21

拠点や部門

接続（拒否）PC の監視情報

利用許可PC ポリシー違反のPC

自動、手動で情報出力

既存の管理システム

・資産管理情報

接続（拒否）機器の下記情報。

PCのアドレス情報、状態、時間情報、

設置場所、PCグループ名、コメントなど

・ログ

監視や操作ログ

・統計情報

不正接続PC検知回数の統計情報

管理者

情報の一元管理や統合活用により運用を容易化できます。

・監視情報を外部のファイルやデータベースに出力できます。

※ファイルはCSV形式のファイル、データベースはOracle、 SQL Server が対象です。

・出力スケジュール（定時刻や分周期）を指定して自動で運用したり、手動で運用できます。

・既存の資産管理やSYSLOGシステム、監視報告（日報や週報、月報）に活用できます。

NX NetMonitor

監視情報

CSV形式のファイル

データベース

DataBaseCSV


３-１６アクセス先を限定して通信を許可～利便性を確保～

22

新規PC

事例）ネットワーク環境を利用して、PCの更新、新規登録の管理負荷を低減したい。

アクセス先限定機能により、「未登録PCの限定的利用」を実現します。

ネットワークを利用した資産管理サーバーから

・必須ソフトをネットワークインストールできない。

・管理者は初期PCを代理で登録する必要がある。

ネットワークを利用した資産管理サーバーから

・必須ソフトをネットワークインストールできない。

・管理者は初期PCを代理で登録する必要がある。

PCのセットアップ時の課題

アクセス先を限定して、

LAN接続を許可できたら便利

LAN環境は利用不可。

資産情報が反映されない。

NX NetMonitor

管理者が個別に登録。

監視

ネットワーク環境で、

運用フローが回れば便利

資産管理サーバー

・アクセス先限定機能として未登録PCの「アクセス先を限定してLAN接続を許可」

する機能をサポート。従来の「排除」に加え、下記の課題を解決します。


３-１７未登録PCでも必要最小限のネットワーク利用

23

� 未登録PCは特定のサーバーやネットワークにのみアクセス可能

その他へのアクセスは遮断し、利用させません

・ネットワーク単位に、未登録PCの対策（「排除」か「アクセス先限定」）を選択できます。

・未登録PCの検出時、対策を自動、リアルタイムで行います。

・登録PCは、これまで通り、運用可能です。

・ PCの更新、新規登録の管理負荷を低減できます。

・アクセス先を限定できるので、情報漏洩のリスクを低減できます。

・専用のネットワークとサーバーを物理的に分けて設置する必要がなくなります。

� セキュリティと利便性を確保できます

・既存ネットワークをそのまま利用して運用できます。小型の専用監視装置などを追加するだけです。

・利用例

①資産管理サーバーへのアクセスを許可し、資産管理ソフトのインベントリー通信を許可します。

②認証システムやWSUSサーバーも同様。既存システムを有効活用できます。

ユーザーが自身で新規ＰＣを構築して、資産登録できるため、管理者の手間が省けます。

�既存のサーバーやネットワークをそのまま利用できます

未登録PCの「排除」と「アクセス先限定」により、柔軟な運用を支援します。

WSUS: Microsoft(R) Windows Server(R) Update Services


３-１８「PCの更新、新規登録」における運用例

24

・従来は難しかった、PCの入れ替えについての運用を支援します。

（例）ネットワークを利用したPC運用フローの簡単化

①管理者が配布したPC、

もしくはユーザーが更新・

新規導入したPCを設置し、

ネットワーク接続

①管理者が配布したPC、

もしくはユーザーが更新・

新規導入したPCを設置し、

ネットワーク接続

②ユーザーがネットワークを

利用して資産管理ソフトや

ウィルス対策ソフトを

インストール

②ユーザーがネットワークを

利用して資産管理ソフトや

ウィルス対策ソフトを

インストール

インストール用サーバー

新規PC

（未登録PC）

資産管理サーバー

④管理者は定期的に

資産管理情報を

インポートするだけ

④管理者は定期的に

資産管理情報を

インポートするだけ

監視

インポート

インベントリー情報通信

（限定的利用）

ネットワークセットアップ

（限定的利用）

③PCから資産管理サーバーに

インベントリー情報を反映

③PCから資産管理サーバーに

インベントリー情報を反映

NX NetMonitor

管理者

ネットワークを利用して、PCの更新や新規登録の運用フローを簡単化。


３-１９リモート環境から機器登録など管理操作が可能

～Webコンソールの機能～

25

� NX NetMonitor/ManagerのWebコンソール機能

Webコンソール機能を使用するとWebブラウザからPCの管理操作ができます。

・各種情報の表示（接続機器、拒否機器、ログなど）・許可機器、固定機器の登録

・監視装置からの受信イベントの表示・統計情報の表示

・許可機器の申請、承認（Webコンソールのみ）・監査ログ出力（Webコンソールのみ）


３-２０許可機器の申請で管理者の負担軽減

26

・ Webコンソール機能では、ユーザーが社内LANに接続するPCの情報を入力し、

管理者が情報を確認して、承認・却下を行うことができます。

ユーザーに情報を入力させることで、管理者の負担を軽減することができます。

一般ユーザー管理者

①ユーザーがPCの情報を入力し、

登録する。

②管理者は申請情報を確認し、

承認・却下を行う。

許可機器申請画面

許可機器承認画面


３-２１機器登録申請画面の自動表示機能

27

管理者の手間を省いて、簡単に新規PCを登録できます。

・ユーザーは、機器申請システムのWebアドレスを知らなくても自動で誘導されます。

申請に必要なMACアドレスも自動入力されます。承認不要モードもあり、管理者の

負担も軽減されます。

許可機器

新規PC

(不正接続機器)

申請

排除

排除されている機器から、直接申請が可能。

Ｗｅｂ画面を起動すると、自動的に申請画面へ

誘導します。

管理者

管理者の承認不要モードもあり、

運用負荷を軽減

MACアドレスは自動入力。

ユーザー名とパスワード

を入力して登録するだけ。

Webアクセスすると、リダイレクトされ、

申請画面が表示されます。

申請方法は、

1)管理者承認なしの申請方式。（管理者負担無し）

2)管理者の承認が必要な申請方式。

の２つのモードをサポートします。

申請画面以外にも、切断をユーザーに知らせる「警告画面」の

表示や、特別な画面にするようなカスタマイズも可能です。

・簡単利用申請機能はLinux版監視装置、アプライアンス機のみのサポートです。

Windows版監視装置は別途サポート予定です。

NewNew

NX NetMonitor


３-２２ IPv6通信の検知と排除

28

・ NX NetMonitorは、IPv6設定不備による不正なネットワーク利用を防止します。

IPv6はWindows Vista以降、標準サポート(デフォルトで有効)されています。

IPv4のパケットを遮断しても、IPv6側で通信を行うことができます。

・不正機器のIPv6通信だけを遮断するモードのほかに、許可機器を含めて、IPv6通信全てを遮断するモードも設定できます。

・IPv6の検知、排除機能はLinux版監視装置、アプライアンス機のみのサポートです。Windows版監視装置は別途サポート予定です。

IPv6の設定が有効のまま

だとIPv6での通信が可能

IPv6通信

IPv6の設定が有効のまま

でもNX NetMonitorが

IPv6の通信を遮断

許可機器不正接続機器

IPv6通信

許可機器

不正接続機器

IPv4通信

IPv4通信

NetMonitorの監視画面（ＩＰｖ６を検知し、排除した時のWeb監視画面）

IPv4のみを排除

IPv4とIPv6を排除

IPv4通信とIPv6通信を排除IPv4通信を排除

NewNew

NX NetMonitor NX NetMonitor


３-２３スマートデバイスの検知と排除

29

・無線LAN経由で接続されるスマートデバイスを検知、排除します。

スマートデバイスの普及により、iPhone/iPadやAndroid端末なども社内ネットワークに接続されること

が増えています。社内LANに接続する機器としてスマートデバイスの管理も必要です。

NX NetMonitorでは、スマートデバイス(iOS/Android)の検知、排除も可能です。

ＯＳ種別も表示するので、デバイスの種類を判断することができます。

・OS種別の表示機能はLinux版監視装置、アプライアンス機のみのサポートです。スマートデバイスは、iOS/Androidの検知、

排除をサポートします。Windows版監視装置のサポートは別途予定です。

許可機器

NetMonitorの監視画面（スマートデバイスを検知し、排除した時のWeb監視画面）

許可機器不正接続機器

不正接続機器

iPad(iOS)

スマートフォン

(Android)

NewNew

NX NetMonitor


４. システム構成例と基本運用

30

構成例と構築手順をご説明いたします。


４-１大規模拠点のシステム構成例～VLAN環境～

31

L2スイッチ HUB(カスケード接続)

L2スイッチL2スイッチ

1F 営業部

2F 総務部

3F 情報システム部

・タグVLANに対応した監視が可能です。

・複数VLAN、数千台を１台のＰＣで監視できます。

L3 スイッチ

タグVLAN

（IEEE802.1Q）

NX NetMonitor


４-２小中規模拠点のシステム構成例～非VLAN環境～

32

・小規模拠点には専用監視装置を設置

・１千台までのPCを監視

・ SNMP非対応な環境でも監視できます。機器に依存しません。

・ソフトウェアや環境が設定済みの専用監視装置(BOX)もあります。

・操作やメンテナンスは中央からリモートで行いますので、拠点側では不要です。

小規模拠点

ルーター

ルーター

中規模拠点

・中規模拠点には小型PCを設置

・2サブネットを１台で監視

※専用監視装置による構築例

ルーター

管理者

NX NetMonitor

/Manager

統合管理でかんたん運用

・監視表示、装置の稼働監視

・ PCの利用時間、利用状況

・不正接続PC警告、詳細、接続位置

NX NetMonitor複数サブネットを監視

NX NetMonitor


４-３多拠点のシステム構成例～ハード・ソフトレス構成との混在～

33

・高いセキュリティが必要な重要拠点

・外部者や不特定者が出入りする場所

・数名規模の拠点はハード・ソフトレスで監視を行うことにより、特にハードウェア

導入コストや運用コストを低減できます。

・全体のセキュリティレベルを保ちながら低コスト化し、費用対効果を最適にでき

ます。必要な拠点に専用監視装置を設置するだけで切断運用に拡張できます。

管理者

切断運用（重要拠点）

既設スイッチ

既設スイッチ

NX NetMonitor

集中監視（ハード・ソフトレス）拠点

・特定の少数者だけが出入りする場所

・管理者不在、検知だけでよい場所

既設スイッチ

NX NetMonitor

/Manager

不正接続PC、紛失対策が可能

・ PCの利用時間、利用状況

・不正接続PC警告表示、メール

・不正接続PC検知回数の統計

システム変更不要

管理者


４-４システム環境～必要なリソースと環境～

34

集中監視用PC(NX NetMonitor/Manager)

【ハード】推奨スペック CPU: 2.4GHz以上、メモリ:1GB以上、ディスク空き 1GB以上

【OS】 Windows Server(R) 2008 R2/2012 R2、 Windows7/8.1

許可されているPCの一覧(接続許可リスト)

・現在のネットワークから作成可能です。

・既存の資産管理情報をAPIやファイルで反映できます。

・許可PCの追加や削除を、統合管理画面から一括操作することができます。

�ハードウェア

�接続許可リスト（自動切断する運用の場合）

�拠点をハード・ソフトレスで集中監視する場合

監視用PC(NX NetMonitorをインストールするPC)

【OS】 Red Hat(R) Enterprise Linux(R) 5/6 または

Windows Server(R) 2008 R2/2012 R2（Windows版は輸出にも対応)

【ハード】 VLAN環境では、タグVLAN(IEEE802.1Q)に対応したLANカードを使用してください。

推奨スペック CPU: 2GHz以上、メモリ:１GB以上、ディスク空き1GB以上

※PCの代わりに専用監視装置(アプライアンス機)を利用することができます。

WindowsのOSを搭載したPCにNX NetMonitorをインストールした機器をWindows版監視装置と呼びます。

Red Hat LinuxのOSを搭載したPCにNX NetMonitorをインストールした機器を Linux版監視装置と呼びます。


４-５導入から本番までの流れ

35

Managerから④を登録可

１環境構築 NX NetMonitor/Managerの構築

集中管理構成での運用（現状分析～不正検知）

２情報収集各拠点からPCの情報を収集

現状分析正規PCの確認と、利用状況の分析

（管理外PCの有無、利用アドレス、名称、利用時間を確認）

３

４接続許可リスト作成 ②、③より接続許可PCを登録

本番（不正検知）必要に応じ切断運用に拡張 →

本番運用まで１ヶ月程度でＯＫ

本番（切断）

Managerから、排除モードに切り替え

数日間で拡張可

不正接続PCを切断する運用

NX NetMonitorの構築

（PCまたは専用BOXの設置）

５

接続許可リストを登録

（排除しないモードで試運転）

６


４-６製品保守とリモートメンテナンス～NX NetMonitor/Manager～

36

�保守ご加入のお客様には、無償でバージョンアップ版を提供いたします。

・将来を見据えた計画的導入が可能です。

・NX NetMonitor/Managerから全体を一括アップデートすることができます。

・保守期間は、最長７年です。

バージョンアップ版

ソフトウェア媒体

� 日立が提供いたします

・媒体を自動認識

（Windows、Ｌｉｎｕｘ版）

・一括操作で

リモートアップデート

管理者

CDセット

NX NetMonitor

/Manager

機能の中から運用で必要なものを、段階的に導入できます。

拠点A

拠点B

拠点C

Windows版監視装置PC

NX NetMonitor

NX NetMonitor

専用監視装置(アプライアンス機)

NX NetMonitor

Ｌｉｎｕｘ版監視装置PC

※「S.COATBOX」のバージョンアップは株式会社日立産業制御ソリューションズに確認ください。


５. 連携システム

37

NX NetMonitorと既存の資産管理システムなどとの連携システムをご説明いたします。


５-1 他社・既存システムとの連携例～排除機能をプラス～

38

マルウェアなど感染PC、資産管理ソフトで管理されていないPCを排除できます。

・マルウェア・ウィルス対策製品と連携して、感染PCを排除することができます。

・既存システムや他社製品の資産管理データを基に監視することができます。

感染検出

切断指示

PC導入申請

データのインポート

利用許可PC

※事例やシステム構成などの詳細についてはご相談ください。

連携はファイル(CSV)、コマンド、関数のインターフェースを用意しています。

資産管理

他社製品または既存システム

例１

例２

排除

マルウェア・

ウィルス対策製品 NX NetMonitor

・感染PC

・未申請のPC


６. 導入事例と導入効果

39

ご利用いただいているお客さまの業種や要件、効果をご説明いたします。


６-１導入事例と導入効果

40

１

業種業種業種業種要件要件要件要件規模規模規模規模

社会インフラ・全社レベル（全国の事業所のPCを一括管理）のセキュリティ対策

・複数拠点を集中管理

大

（PC 8万台）

製造業、金融業

官公庁、自治体

・事業所内大規模ネットワーク管理

・既存の資産管理システムと連携して運用

大

（PC 数千～1万台）

流通販売、

サービス業

・重要拠点内複数ネットワーク管理

・VLAN環境での集中管理

中

（PC 1,000台）

研究所、

情報管理

・サーバールーム内ネットワークのアクセス管理

・簡易的な機器資産管理システムとして活用

小

（サーバー 50台）

� 期待できる効果 ⇒ 厳密な情報漏洩防止にも、柔軟な運用にも対応できます。

� 具体導入例

ほか自動車、電機、学校、商社を中心に実績多数。

許可されていないPCは、社内および社外からの利用もできません。２

許可されていないPCでも、特定の機器に限定しアクセスを許可する運用も可能です。３

既存システムをそのまま利用できます。４

クライアントソフト不要で、ネットワークを利用しているPCを管理できます。


７. まとめ

41


７-１まとめ

42

� お問い合わせは、以下にて賜ります。



Webサイトのお問い合わせへ >> http://www.hitachi.co.jp/nxnm/

・ネットワークの適正利用を監視

・厳密な運用から柔軟な運用まで幅広くサポート

・連携機能により、陳腐化せず、計画的にステップアップ導入が可能

NX NetMonitorで解決

【理想】厳密なセキュリティ

・セキュリティポリシーを遵守させたい

・PCの不正接続はどこでも起こりうる課題

・しくみと運用の確立が必要

【現実】柔軟なセキュリティ

・始めから厳密運用は困難

・現場に合ったセキュリティの確保が困難

・徐々に高度な対策へ移行するしかない


補足Ａ. お客さまの運用にあわせた10のメリット

43


補足Ａ．お客さまの運用にあわせた10のメリット

44

１素早い検出と排除で、お客さまのシステムを守ります。

２現場の柔軟な運用を支援します。

３お客さまの業務に悪影響を与えません。

４既存システムに追加導入することができます。

５計画的にステップアップ導入することができます。

６運用開始までのスピードアップにお応えします。

７ PCの更新、新規登録の運用フローを簡単化できます。

８ハードウェアのコストを抑えられます。

９集中管理により、効率的な運用を支援します。

10 保守サービスもご安心を。（無償バーションアップあり）


補足Ａ． ①素早い検出と排除でシステムを守ります

45

Pingに応答しないPC（①）や、

認証スイッチを通らない不正接続（②）の

監視（不正検出）ができません。

左記のような不正接続PCでも

その存在を監視し、即座に排除します。従来型本製品

不正接続PC不正接続PC

Ping検索

ネットワークの通信開始前に排除不正接続、情報漏洩の問題

①即検出

②強制排除

ファイル

サーバー

①Ping未応答設定

認証スイッチ

接続ポート監視

② 直接アクセス

不正接続、情報取得

Ping未応答PC、

ローカル接続PCも

確実に監視

不正接続を検出不可

Ping未応答設定をしても、認証スイッチを通らない

不正接続でも監視できます

ファイル

サーバー不正接続不可

従来型

監視サーバー

NX NetMonitor

監視用PC

� リアルタイム性

②

①


補足Ａ． ②現場の柔軟な運用を支援します

46

応接室で来客者が持ち込むPCなど、

事前に監視サーバーに登録できない

PCは利用できません。

未登録のPCを、特定の機器に限定して

アクセスを許可する運用が可能となり

ます。

従来型本製品

柔軟な運用が可能「排除」だけでは不便

� セキュリティと利便性

来客者のPC

（未登録PC）

LANから排除され、プリンターも

利用不可

「排除」と「アクセス先限定」を選択できます

ファイルサーバー

プリンター

未登録PCは、「検出」か「排除」のいずれか

来客者のPC

（未登録PC）

ファイルサーバー

プリンター

監視

接続不可

プリンターのみ

許可

従来型

監視サーバー

NX NetMonitor

監視用PC


補足Ａ． ③お客さまの業務に悪影響を与えません

47

ポート閉塞による遮断方式では、ポート

の先に接続されている機器を全て遮断

してしまう危険性があります。

未登録のPCのみをピンポイントに排除

するので、ほかの機器の通信には影響

ありません。

従来型本製品

安全に業務を継続できます正当なシステム機器も影響を受けます

� 安全性

サーバー正当なユーザー

業務が継続できません

共有ネットワーク(ポート) が停止

不正接続PC

サーバー

通信環境を維持

排除

正常

不正接続PC

不正接続PCのみピンポイント排除

※監視や排除によるトラフィック上昇は、ほとんどありません。

認証スイッチ

ポート閉塞

正当なユーザー

従来型

監視サーバー

NX NetMonitor

監視用PC


補足Ａ． ④既存システムに追加導入することができます

48

ハードウェアベースで実現すると、機

器の交換とそれに伴う工事やネット

ワークの一時停止、もしくはIPアドレス

管理体系の変更が必要です。

既設ネットワークや、システムのソフト

構成を変更する必要はありません。

資産管理やウィルス対策製品とも連携

できます。

従来型本製品

追加する形態ですぐに導入可能既存システムへの導入が困難

� 追加で導入

サーバー

すべてのスイッチを交換従来システム

IEEE802.1X

認証サーバー

インテリジェント

スイッチ

交換

ソフトウェア＋監視用PC

NX NetMonitor

端末端末端末端末サーバー

追加

従来システム側にはソフトや個別の設定が不要認証サーバーの場合は端末側でも個別に設定が必要


補足Ａ． ⑤計画的にステップアップ導入することができます

49

�導入計画を支援

本製品基本機能と連携機能で、陳腐化せずに計画的にステップアップ導入することが可能です。

予算、計画に合わせた投資で、ステップアップが可能

現状分析

集中監視

ウィルス対策

情報漏洩対策

検疫・治療

資産管理

内部統制

ユーザーニーズ

管理者

NX NetMonitor

/ Manager

集中管理

導入イメージ

ステップ２

検疫・治療検疫・資産管理

NX NetMonitor

ウィルス対策サーバー

既存既存既存既存サーバーとサーバーとサーバーとサーバーとの連動（自動化）の連動（自動化）の連動（自動化）の連動（自動化）

既設のウイルス対策、資産管理と

組み合せて、システム化できます。

ステップ３

既設スイッチ（MIB情報）

検出

ステップ１

拠点はソフト・ハードレスも可能

（MACアドレスなどの情報を利用）

不正持込みPC

強制排除

NX NetMonitor

アプライアンス

社内と社外からの

不正接続を排除

管理情報

監視情報

拠点監視

アプライアンスを設置アプライアンスを設置アプライアンスを設置アプライアンスを設置

継続的に運用でき、不正持込みPC

を強制排除できます。検出のみから

排除へと様子を見ながら切り替えて

スタートすることもできます。

サーバー１台サーバー１台サーバー１台サーバー１台の設置からスタートの設置からスタートの設置からスタートの設置からスタート

PC特有の情報(MACアドレスなど）

で統合的にPCを監視。メールや

SNMPにより通知することもできます。

社内、持ち帰ったPC


補足Ａ． ⑥運用開始までのスピードアップにお応えします

50

適用範囲が部門全体に及びます。

システム全体の運用設計は大変です。

ネットワークトラブルの危険があります。

マネージャから全体を集中監視したり、

導入を優先する部門や拠点から順次

拡大することができ、低コストで構築で

きます。監視統計情報や運用計画をも

とにフィードバックしながら運用を調整

できます。

従来型本製品

導入後、短期間で効果が出せます管理コストや負担、リスクが大きい

� スピード重視

運用計画設置、工事

運用

計画設置

研究部門

製造部門

�スケジュール �スケジュール

�コストや負担 �コストや負担

全体を見据えた高額な投資と、運用開始までの

手間がかかります。

また、全体を一度に構築することになります。

全PCの情報を収集し現状分析を行い、必要部分

から導入できるので、投資も構築も段階的に実施

できます。

運用管理部門の手間もかかりません。

ネットワーク変更、運用設計

６ヶ月

1ヶ月

1ヶ月

1ヶ月

計画設置

計画設置

運用

結果をフィードバック

現状分析


補足Ａ． ⑦PCの更新、新規登録の運用フローを簡単化

51

更新、新規登録するPCは、ネットワーク

に接続できないため社内で規定した管

理ソフトのインストールをオフラインで

行う手間がかかりました。

ネットワークを利用したセットアップ環

境が可能となり、PCの運用フローを簡

単化できます。

従来型本製品

ネットワーク利用で運用の簡単化ローカル作業が手間

� 運用フロー支援

ユーザー作業

管理者作業

ネットワーク

セットアップ

（資産管理ソフト）

資産管理に

反映

PCの更新

新規登録

NX NetMonitor

許可リストに

登録

管理者作業

個別にローカル

セットアップ

（資産管理ソフト）

資産管理に

反映

PCの更新

新規登録

監視サーバーに

登録

ネットワークは利用できず、

管理者もしくはユーザーが

オフラインで作業。

運用フローが分断し、手間がかかるネットワーク活用による運用フロー

ユーザーでも作業できる範囲に。

資産管理側で認定されなければ

NX NetMonitorがほかとの通信を遮断。


補足Ａ． ⑧ハードウェアのコストを抑えられます

52

お客さまのシステム規模や運用にあわせ

て選択可能な監視製品レパートリーを選

択していただけます。

重要拠点には監視装置を追加するだ

けで切断運用が可能。VLANを活用し

複数サブネットを監視することができ

ます。

本製品

本製品

お客さまの環境に応じた監視が可能初期導入、ランニングコストを低減化

VLAN 1

監視装置

L2 L2 L2L2

L3スイッチ

VLAN 2

タグVLAN(IEEE802.1Q)対応

専用監視装置もあります

小規模拠点はハード・ソフトレス構成

で中央から集中監視することができ

ます。

本製品

NX NetMonitor

大規模拠点

PCを用意して

しっかり監視

監視ﾈｯﾄﾜｰｸ

監視規模や運用体制で使い分け

監視ﾈｯﾄﾜｰｸ監視ﾈｯﾄﾜｰｸ監視ﾈｯﾄﾜｰｸ

専用監視装置

各地の拠点

メンテナンス不要。

中央から運用操作

NX NetMonitor

� ハードコスト低減

NX NetMonitor


補足Ａ． ⑨集中管理により、効率的な運用を支援します

53

アドレス一覧

本製品

運用管理作業も集中・簡単化

各種機能設定

管理者

本製品

資産管理を利用し簡単導入

コマンド、関数、

CSV形式ファイルによる連携

資産管理等ですでに管理している

アドレス情報を活用することができます。

監視に必要なアドレス情報を、自動収

集することもできます。

アドレス一覧管理済みの

アドレス情報

管理者NX NetMonitor

/Manager

NX NetMonitor NX NetMonitor NX NetMonitor

監視対象の

ネットワーク

監視対象の

ネットワーク

監視対象の

ネットワーク

マネージャ機能で、複数の監視装置を

容易に運用することができます。

運用容易化のための情報活用、製品・

監視ポリシーのリモートメンテナンスが

できます。

社外からの不正接続監視も統合管理が

可能です。

� 簡単運用


補足Ａ． ⑩保守サービスもご安心を

54

� 保守サポート

お客さまでのご利用を、製品品質と保守サービスでサポートします。本製品

�保守サービスに加入のお客さまには、無償でバージョンアップ版を提供(ご要求時)

�ご利用中のお問い合わせや問題解決を、保守サービスにて迅速にサポート。

�独自開発製品なので、日立にて製品のメンテナンスを行うことが可能。

問題解決支援のご依頼

事例、問題管理

データベース

再現テスト、調査

製品開発など

解決策、回避策の提示

または改良版の送付

お客さま

問合せ窓口

(HMC)

日立

製品開発部

連携


補足Ｂ. 関連製品のご紹介

55


補足Ｂ．関連製品のご紹介

56

専用監視装置、HF-Wシリーズ、HF-BTシリーズ

日立の長期保守可能な産業用コンピュータです。

日立産業用コンピュータ

HF-Wシリーズ

・デスクトップタイプ

・最長10年間の保守に対応

・高信頼化、障害解析機能を重視

・サーバー、端末用途に対応

HF-BTシリーズ

・小型デスクトップタイプ

・最長7年間の保守に対応

・省スペース・静音対応

・端末用途に最適

この商品の詳細は、株式会社日立産業制御ソリューションズの下記Webサイトをご覧ください。

http://www.hitachi-ics.co.jp/product/virsecur/scbox/scb.htm

http://www.hitachi-ics.co.jp/product/hfw/index.html

�小型PC�高信頼コンピュータ

HFHFHFHF----WWWW

専用監視装置専用監視装置専用監視装置専用監視装置

・組込みボックスタイプ

・ファンレス筐体を採用

・前面ケーブル接続対応

・7年間の保守対応

� 専用監視装置




不正持ち込みPC監視&強制排除システム

「NX NetMonitor」のご紹介

END

57

※記載内容は、2015年12月のものです。

※記載した製品の仕様は、改良により予告なく変更することがありますのでご了承ください。

※カタログ記載の一部あるいは全部、イラストなどの無断転載を禁じます。

商標について・Microsoft、 Windows、 Windows Server、 SQL Serverは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。

・Linuxは、Linus Torvalds氏の日本およびその他の国における登録商標または商標です。

・Red Hat、Red Hat Enterprise Linuxは、米国およびその他の国でRed Hat, Inc. の登録商標もしくは商標です。

・Oracleは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。

・S.COATBOXは、株式会社日立産業制御ソリューションズの登録商標です。

・その他記載の会社名、製品名は、それぞれの会社の商標または登録商標です。 V07-10C

制御設製品｜ 2016年 nx netmonitor製品紹介 （ｾｷｭﾘﾃｨ） · pdf...

Documents

制御設製品｜ 2016年 nx netmonitor製品紹介（ｾｷｭﾘﾃｨ） · pdf...