Copyright 2012 FUJITSU SYSTEMS EAST LIMITED

株式会社富士通システムズ・イースト IPWATCHER

切断と遮断の違い

専用遮断装置 遮断方式

セグメント毎に遮断専用装置を配置(※)

①Arpパケット ②遮断パケット

偽装パケットを送信するなどの遮断方式

誰が何処に機器を持ち込んだのだろう？

遮断ﾊﾟｹｯﾄへの対応策を実装されたら？

自動遮断は業務に影響を与えるので手動切断にしたい･･･

切断方式

ｽｲｯﾁﾎﾟｰﾄをﾊｰﾄﾞ的に切断するので安心･確実！

犯人･機器確認後に手動切断もできるので安心して運用できる！

どのｽｲｯﾁのどのﾎﾟｰﾄで不正接続があったかが直ぐに判明する！！

IPWATCHER

インテリジェントスイッチ①

インテリジェントスイッチ ②

インテリジェントスイッチ ③

インテリジェントスイッチ ④

インテリジェントスイッチ ⑤

インテリジェントスイッチ ⑥

監視・検出・切断

IPWATCHER-PROは センターにのみ配置！

閉塞

ｽｲｯﾁ④８番ポート 認定外 MACｱﾄﾞﾚｽ：xxxxxx-xxxxxx 接続切断

J-SOX法対策として不正接続が無かった事の証明にも利用できそう！

※複数vlanを監視するタグVLAN対応製品有

Copyright 2012 FUJITSU SYSTEMS EAST LIMITED

株式会社富士通システムズ・イースト IPWATCHER

IPWATCHER-PRO

不正接続防止機能比較 スイッチ連動して切断する利点

監視 追跡

接続防止

◇フォレンジック（監査証跡）に優れます ⇒インテリジェントスイッチから接続情報を取得します ◎機器がどのスイッチの何番ポートに接続されているか管理できます。 ◎不正接続検出時の接続場所・機器・利用者の追跡調査・特定が容易です。

◇確実に切断します ⇒インテリジェントスイッチと連動し接続ポートを切断します ◎不正接続防止機能は、ハードウェア（スイッチポート）が制御します ので完璧に防止できます。 ◎ネットワーク接続するにはスイッチのポートに接続しますので機器や タイミングによって接続されてしまうことはありません。

遮断機能製品

製品の「注意・制限事項」の記載事項を抜粋･･･ ・不正接続防止機能は、ソフトウェアで実装しているため、完璧な防止が できない場合がありますので、ご注意下さい。 ・機器やタイミングによっては、不正接続防止機能で利用しているＡＲＰの 偽装方式でだますことができない場合があります。

・遮断したという情報（アドレス）だけでは接続場所・機器・利用者の 追跡調査や特定が不可能といえます。

使用技術

◇ＳＮＭＰ(Simple Network Management Protocol) ⇒標準プロトコルを利用して監視・切断の制御を行います。 ◎各ベンダーのインテリジェントスイッチにも標準実装されています。 ◎ハードウェアで切断しますので確実・安心してご利用いただけます。

・偽装ＡＲＰを不正接続機器に送信して防御する技術です。 ・今後、不正行為者側で偽装ＡＲＰを送信されてきた場合への対応方式が 一般化すると知らない間にネットワークへの侵入を許していたり、対応 不能状態に陥る、またはそれらへの対応はイタチゴッコになると予測し ます。

構成

◇安価でメンテナンス性・セキュリティに優れます ⇒IPWBOX600(またはCloserAG)は1台で16台のスイッチ(4,096ﾉｰﾄﾞ以内)を 監視します。 ⇒セグメント単位に配置する必要がありません。 ⇒センターにIPWBOX600(またはCloserAG)を集中して配置することも可能 ◎導入コストが安価 ◎メンテナンス性に優れます ◎装置を外される心配もありません

・監視サーバやアプライアンス装置をセグメント単位に配置する必要が あります。 ⇒高額な導入コスト（手配・設置） ⇒高額な管理コスト（メンテナンス） ⇒脆弱なセキュリティ（監視装置を外すなど）

2

Copyright 2012 FUJITSU SYSTEMS EAST LIMITED

株式会社富士通システムズ・イースト IPWATCHER

②ＳＮＭＰルーター調査（IPWATCHER-Bee／PRO）

IPWATCHER調査方式の特長

①ＩＣＭＰネットワーク調査（IPWATCHER-Bee／PRO）

IPWATCHER-Bee／PRO

ネットワーク

IPアドレス

MACアドレス

ｺﾝﾋﾟｭｰﾀ/ﾎｽﾄ名

(ﾜｰｸｸﾞﾙｰﾌﾟ/ﾛｸﾞｲﾝ）

（ｺﾝﾋﾟｭｰﾀ/ﾎｽﾄ名）

MACアドレス

ポート

IPWBOX600 IPWATCHER-CloserAG

（IPアドレス）

ネットワーク

SNMPルーター

レイヤ3スイッチ

IPアドレス

MACアドレス

ｺﾝﾋﾟｭｰﾀ/ﾎｽﾄ名

IPWATCHER-Bee／PRO

☆PINGコマンド、NetBIOS主体の調査 ★大量のパケットが発生 ★調査時間が長い(10,000アドレス≒60分） ★PING応答しない機器は検出できない ★不正接続検出目的の運用は難しい ★切断はできない ★接続箇所／利用者の特定は困難 ◎簡単・短納期でネットワーク状況が把握できる ◎導入コストとランニングコストが安価

■ルーター調査 ☆ルーターのMIB情報主体の調査 ◎高速で効率の良い調査（1,000ｱﾄﾞﾚｽ≒30秒)※名前解決なし ◎PING応答しない機器も検出可能 ◎ルータを監視するだけの安価・容易な導入と運用 ◎インテリジェントスイッチがなくても調査できる △不正接続検出目的の運用 ☆ルータの学習能力に依存しリアル環境と数分の誤差がある ☆ルータを通過しない通信の機器は検出できない ☆接続箇所／利用者の特定は困難、切断はできない

③ＳＮＭＰネットワーク調査(IPWATCHER-PRO・IPWBOX600)

IPWATCHER-PRO

■IPWBOX600調査（SNMP対応スイッチ調査） ☆インテリジェントスイッチのMIB情報主体の調査 ◎高速で効率の良い調査(設置場所を選ばない） ◎PING応答しない機器も検出可能 ◎ルーター調査よりもリアルで精度の高い監視 ◎アドレスとその接続スイッチ・ポートまで判別可能 ◎認定外機器はポート自動切断し排除できる ◎接続箇所／利用者の特定も容易

3

切断

SNMP対応スイッチ