インターネット接続環境を分離 - jscom.jp ·...
TRANSCRIPT
企業において万全な情報漏洩対策を実現
SCVX (エス・シー・ブイ・エックス)
背景と課題
多層防御も完璧ではない
公的機関、企業における大規模な情報漏洩があり、より強固なサイバーセキュリティ対策が必要となっています。多層防御に加えてインターネットを分離することにより万全な情報漏洩対策、ランサムウェア対策を実現します。
高機能な防塵マスクは、ほこり、におい、花粉、細菌、ウイルス、
大気汚染物質など、想定される様々な汚染物質から呼吸器を
保護するが、どうしても透過してしまう物質もある。
● コードに小さな変更を加えることによって自身を偽装するため、シグネチャと一致しない
● パターンマッチングをかける個所を独自にエンコードして検出を回避する● ボットの通信先となるC&Cサーバーのホスト名を疑似DGA(ドメイン生成アルゴリズム)でランダム生成してURLフィルターを回避する
● あらかじめ遅延時間を設定。これによりサンドボックスが上述のようにマルウェアであると判定できない
多層フィルタによる呼吸器保護 多層防御での端末保護
さらにインターネット分離で抜本的に情報搾取の対応をすべき!
想定外もしくは未知の汚染物質に対して、呼吸器を保護できる保証はない
ほこり におい 大気汚染物質
花粉 細菌・ウイルスFW Anti-Virus
Anti-SpamEnd-PointSecurity
IPSSandbox
想定していない攻撃の例
高密度フィルタ
抗菌フィルタ
花粉フィルタ
活性炭フィルタ
集塵フィルタ
想定された攻撃
想定してない未知の攻撃
想定された攻撃
インターネット接続環境を分離インターネットと内部ネットワークを分離することで、メールやブラウザ経由でマルウェアに感染しても、
ファイル無害化システムと組み合わせることで、ランサムウェア対策も万全となり、重要情報が流出することが無くなります。
侵入されない防御から侵入される前提の防御へ多層防御だけでは万全とは言えない
Secure Container Virtual Extensions(SCVX)
によってインターネット環境を分離することにより、
企業の重要データをサイバー攻撃から守ります!
企業向けインターネット分離ソリューション
企業において万全な情報漏洩対策を実現
企業におけるインターネット分離構成
低価格・コスト削減
SCVXアプライアンスパッケージ システム構成
SCVX パッケージ
は、SCVXアプライ
アンス Server、
SCVX Client、
NWスイッチにより
構成されます。
複数台の SCVX Server間での負荷分散や冗長化
を可能にするクラスタ機能により、大規模ユーザでの
利用にも耐えうる拡張性と堅牢性を提供します。
● SCVXライセンスをインターネット分離専用に開発することで低コストを実現!● Linuxサーバ上でコンテナエンジンを搭載しアプライアンスパッケージにすることでコスト削減を実現!● CPUコア数ライセンス体系にすることにより、ライセンス費用低減を実現!
イニシャルコスト
システム構成 クラスタ構成
● 保守、運用の簡易化によるコスト低減を実現!● ライセンス保守費用を安価に設定することによるTCOの削減を実現!
ランニングコスト
インターネット接続セグメントと内部システムセグメントを
Firewallで分離します。インターネットへの接続は、インター
ネット接続セグメント内に設置されたSCVXサーバの仮想ブラウザ
で行い、内部システムセグメントのクライアントへ画面転送します。
また、Webサイトからダウンロードファイルは、ファイル無害化システム(オプション)との組み合わせで安全なファイル交換、ファイル無害化を行います。
SlaveMaster
Master Slave Member Member
SCVX Server
SCVX Server
Internet Firefox
情報系サーバ
FAT端末など
業務系サーバ
メールサーバ(Webメール)
ファイル無害化システム
Proxy
Active Directory
SCVX Server Cluster
Firewall
Firewall
データセンター
本社支店/営業所
インターネット接続セグメント
内部システムセグメント
画面転送
Webアクセス
既存ネットワーク
SCVX Client
SCVX client
ターゲット2
接続要求1
コンテナ生成3ステータス4
画面に接続5
優れたコストパフォーマンス!
コンテナ(+ブラウザ)
無害化
図:E1000構成図:E100/E200/ E300構成
Docker/セキュアなコンテナ技術を採用
SCVXは、Linux(Ubuntu)サーバ上のDocker仮想化技術によって、コンテナを生成、削除します。
SCVX Eシリーズアプライアンスパッ
ケージは、小規模100同時アクセスの
小規模構成から数千・数万同時アクセス
までの構成をサポートします。
スケールアウト・信頼性
SCVXは、ブラウザの各種設定を集中
管理することが可能です(日本語対応)。
セキュリティレベルや業務利用ごとに
利用者をグループ分けし、設定テンプ
レートを複数作成することで、グループ
ごとに違った設定のブラウザを利用す
ることが可能です。
柔軟な運用・管理
SCVX (エス・シー・ブイ・エックス)企業向けインターネット分離ソリューション
接続時
切断時
(例)30,000人/6,000同時アクセス構成:2クラスタ構成
セッションごとに自動生成されます。コン
テナ内でブラウザを起動することで、万が一
マルウェアに感染する様な危険なWeb
サイト閲覧した場合でも、マルウェアはコン
テナに封じ込まれ、サーバOSや他の端末
に感染が広がることはありません。端末側
でブラウザ画面を閉じると、コンテナが
ブラウザやマルウェアごと削除されます。
SCVX clientInternet
内部システムセグメント
インターネットセグメント
SCVX Server
SCVX Server Cluster SCVX Server Cluster
SCVX Server
※ Clusterあたり最大18式のMemberまで拡張予定
コンテナ(+ブラウザ)
SCVX client Internet
InternetFirewall
Member×18 Member×18
Backupサーバファイル無害化システム(オプション)
Master#1/Slave#2/ログサーバ#1 Master#2/Slave#1/ログサーバ#2
Firewall
Firewall
Firewall
コンテナ(+ブラウザ)
画面転送3
接続1
閉じる5
生成2
削除6
Web閲覧4
image
既存ネットワーク
仮想サーバ
1クラスタあたり約3,000同時アクセス
接続可能!
Bare Metalサーバ
クラスタ内は、負荷分散
および冗長構成をとって
おり信頼性を高めてい
ます。
図:E3000×2構成
※1 上記金額には、サーバアンチウィルスの費用は含まれておりません。※2 上記金額には、UPS、バックアップソフト、外部ストレージの費用は含まれておりません。※3 上記金額には、構築費、保守費が含まれておりません。※4 モデル3000は、仮想基盤の管理サーバ/ログサーバ2台を含みます。モデル3000を1クラスタとしてクラスタを追加することにより、拡大が可能です。※5 2018年1月時点の価格となります。ハードウェアの仕様変更により変動する場合がございます。予めご了承ください。※6 SCVXは、Linux(Ubuntu)サーバ上で稼働します。※7 同時アクセス推奨値は、対象ユーザ数の約20%として算出しています。
SCVX (エス・シー・ブイ・エックス)企業向けインターネット分離ソリューション
SCVX機能一覧
SCVXアプライアンスパッケージ Eシリーズ製品
管理機能
E30S
E50S
E50
E100
E200
E300
E1000
E3000
32
56
64
112
224
352
1,056
3,168
¥3,300,000 ~
¥3,999,000 ~
¥6,200,000 ~
¥9,630,000 ~
¥12,430,000 ~
¥18,540,000 ~
個別見積
個別見積
システム設定
レポート
クライアント
カテゴリ 機 能
・ダッシュボード・コンテナ一覧、コンテナ削除・設定/ログバックアップ
・最大接続数制限・SCVXイメージ切り替え・パックファイルアップロード
・ログ検索・ユーザランキング・ユーザ利用状況・サーバ稼働状況
・ショートカット起動・起動アプリケーション指定・初期画面(URL)指定・ボーダー指定
SCVXモデル名
同時アクセス推奨値(※7)
サーバ数/コア数 製品価格(参考価格)
グループ管理
サーバクラスタ
ユーザ管理
カテゴリ 機 能
・グループ単位有効/無効・曜日時間制限・Firefox情報保存・コピー&ペースト制限(双方向のみ)・実行モード SINGLE/MULTI・Firefox設定・共有フォルダ機能・SCVXイメージ切り替え・プロファイルテンプレート・直接プリント機能・PDF無害化・アップロード/ダウンロード制限
・冗長化(マスター /スレーブ)・負荷分散
2台 / 2プロセッサー 28コア(1プロセッサー 14コア×2)×2台(計56コア)※但し、SCVXは14コアライセンスを使用。
2台 / 2プロセッサー 28コア(1プロセッサー 14コア×2)×2台(計56コア)
2台 / 2プロセッサー 44コア(1プロセッサー 22コア×2)×2 台(計88コア)
6台 / 2プロセッサー 44コア(1プロセッサー 22コア×2)×6 台(計264コア)
・登録ユーザ検索・CSV一括登録/編集/削除・AD/LDAP連携
E3000 3,168 個別見積
対象ユーザ数
150名程度
250名程度
300名程度
500人程度
1,000人程度
1,500人程度
5,000人程度
15,000人程度
1台 / 1プロセッサー 8コア×1台(計8コア)
2台 / 2プロセッサー 16コア(1プロセッサー 8コア×2)×2台(計32コア)
・仮想サーバ(管理系サーバ):物理サーバ2台(Master/Log#1、Slave/Log#2) (1プロセッサー 8コア×4台)・Bare Metalサーバ(Memberサーバ):18台 (2プロセッサー 44コア(1プロセッサー 22コア×2)×18 台)計792コア
1台 / 1プロセッサー 14コア×1台 (計14コア)
http://jscom.jp/
Copyright © J's Communication Co., Ltd.※告知内容は予告なく変更することがあります。あらかじめご了承ください。
お問い合わせ先
東京本社
大阪本社
名古屋営業所
福岡営業所
〒104-0033 東京都中央区新川1-16-3 住友不動産茅場町ビルTel : 03-6222-5858 / Fax : 03-6222-5855
〒532-0011 大阪市淀川区西中島5-5-15 新大阪セントラルタワー南館Tel : 06-6309-7600 / Fax: 06-6309-7677
〒460-0003 愛知県名古屋市中区錦1-17-13 名興ビルTel : 052-223-2131 / Fax : 052-223-2133
〒812-0027 福岡県福岡市博多区下川端町1-1 明治通りビジネスセンター 本館Tel : 092-263-6700 / Fax : 092-263-6710