富士通から提供するさらなるご支援 - fujitsudeep security 仮想パッチ適用...

Copyright 2016 FUJITSU LIMITED

2016年富士通株式会社

富士通から提供するさらなるご支援

【多発する情報漏えい事件・事故は何故止められないのか】


1．情報漏えい対策の全体像

2．Symantec DLPを用いた

富士通が提供するさらなるご支援

(1) Symantec DLPのおさらい

(2) お客様支援の強化

(3) アセスメントサービスご紹介

目次

1

1．情報漏えい対策の全体像


防衛の概念

Copyright 2016 FUJITSU LIMITED 3

情報漏えい対策はお城の防衛と同じ。

外壁（ネットワーク）や城内（PC）、

本丸(サーバ)における多層としての防衛が必要。

サーバ

不正なアクセス

Internet 攻撃者

不正な通信

外壁

城内

本丸

情報持ち出し

誤送信

情報搾取

情報持ち出しデータの取り出し

PC

外部媒体

Symantec DLPの位置づけ


サーバ情報の取り出し

3

情報の持出し

2

端末・デバイスの保護


4

Internet 情報の外部送信

1

ネットワークの防御サーバの保護

情報漏えいの脅威

対策ポイント

①情報の外部送信外部への情報送信をチェック

②情報の持ち出し情報の持ち出しを制御・チェック

③情報の取り出しデータの不正なダウンロードを防ぐ

④不正なアクセス必要のない情報にはアクセスさせない

Symatec DLP の範囲

Symantec DLPは出口対策として、

最終的な水際での対策を行います。

PC

外部媒体

PC

【ご参考】富士通が提供するソリューション


サーバ情報の取り出し

3

情報の持出し

2



4

Internet 情報の外部送信

1

ネットワークの防御サーバの保護

特権ID管理

サーバ要塞化

DB保護

外部媒体の制御

印刷制御

盗難紛失対策

サイバー攻撃対策

メール誤送信対策

富士通では、統合的にソリューションを

ご用意しています。

生体認証

脆弱性対策

メール暗号化対策

外部媒体


サーバの保護


特権ID管理サーバ要塞化

DB保護脆弱性対策

SHieldWARE NE SHieldWARE

Chakra/PISO Deep Security

インターネット

ネットワーク経由の攻撃

外部からのマルウェア

マルウェアの拡散

ログ

ホワイトリスト防御不正なサーバ操作防止

ハッカー

内部犯行

操作ログを取得し証跡管理

サーバ保護

マルウェアに感染したPC

アクセス制御

○

作業者

操作画面

操作画面を記録

DBサーバ

Chakra PISO

情報取出し防止

不正アクセス防止

Deep Security 仮想パッチ適用

ベンダー正式パッチ公開

脆弱性発覚！

時間

ベンダー正式パッチ適用

重要データが入ったサーバの防御特別なIDの利用を一元的に管理

早期パッチ適用の実現 DBへのアクセス制限とDB証跡管理




外部媒体の制御盗難/紛失

印刷

Systemwalker Desktop Keeper

PrintBarrier

生体認証

PalmSecure

パソコン

接続制限

操作記録

操作制限

内部不正への心理的抑止にも

USBメモリ

スマートデバイス

プリンタ

CLEARSURE 3G/LTE

消去/ロック

管理者/利用者

消去/ ロック指示

簡単で確実な本人認証を可能にする手のひら静脈認証

盗難・紛失したPCのデータを遠隔消去

USB等による持ち出し制御

背景

ヘッダー

フッター

印刷

印刷制御、印刷証跡、重要情報への強制印字

ログ採取

強制印字


ネットワークの防御


メールサイバー攻撃対策

グローバルマネージドセキュリティサービス

SHieldMailChecker

FENCE-Mail For Gateway

警告表示により、メール送信のうっかりミスを防止

メール送信者

既存メールサーバ

既存メールソフト

送信

宛先等確認

送信ストップ

暗号化機能と承認機能の二重の対策

承認者 (上司など）

メール送信者

①送信

③保留通知

④保留解除

メール受信者

②保留・中断

⑤送信

暗号化メール

⑥パスワード

インシデントの発生リスク軽減

1

被害の極小化 2

攻撃への耐性強化 3

GMSS

セキュリティ

耐性強化

1

2

3

検知・防御分析・

対処

※GMSS: グローバルマネージドセキュリティサービス

脆弱性監視

侵入検知

インシデント・レスポンス

侵害調査

改善提案レポート

各運用プロセスにおける対応コンセプト

誤送信対策

暗号化対策

2．Symantec DLPを用いた

富士通が提供するさらなるご支援


(1) Symantec DLP のおさらい


Symantec DLPの概要


データの中身を見て機密情報の流出を防止

3つの機能で、社員のモラルやマンパワーに頼らず機密情報を保護

機密情報のありかを見える化

見える 1

機密情報の流出を監視

見つける 2

機密情報の流出を水際でブロック

止める 3

他のDLP製品に対するアドバンテージ


4方式の検出ルールを搭載し、すり抜けや誤検知少

大量のインシデントによる運用負荷を軽減

Symantec DLPの検出技術

競合製品の検出技術

社員番号姓名 E-Mail

10001 佐藤一 [email protected]

20002 鈴木二 [email protected]

30003 高橋三 [email protected]

・・・・・・・・・・・・

キーワード・パターン・データ属性を検出

「社外秘」などのキーワードや正規表現

クレジットカード番号、マイナンバーなど、

規則性があるパターン

ファイル形式

DBの内容を検出

顧客情報などのDBをまるごとDLPに登録し、登録内容に

一致する情報を検出

特定の文書を検出

フォーム(書式) を検出

白紙のフォーム (標準様式)を DLPに登録

手書きの申請用紙のスキャンデータや撮影データを画像検出

口座開設申請書などを保護

特定の文書そのものや、ある文書から派生した文書を検出

サービス契約V1.doc

サービス契約書V2.doc

サービス契約雛型.doc

DBの内容を検出する例


個人情報DBをまるごとDLPに登録し、共有サーバを

スキャンして機密情報を見える化

• DBの内容に一致する情報を漏れなく検出し、誤検知が少ない → 大量のインシデントを確認する必要がないため、運用負荷が低い

• 某機構の漏えいも、DLPで共有サーバをスキャンしていれば防げた事故

個人情報DB 管理サーバ検出サーバ共有サーバ検疫サーバ

個人情報.CSV ポリシー

DB情報をDLPに登録検出ルール配信サーバをスキャン安全な場所に隔離

スキャン

特に内部犯行対策に有効


利用者や経路の制限ではなく、情報の中身に応じて

持ち出し可否を判断

某通信教育事業社の情報漏えい事例

• 顧客DBを管理する委託先のSEが、正規権限で顧客個人情報を取得

• PCへの接続が制限されていなかったスマホを使って個人情報を持ち出し

Symantec DLPがもし導入されていれば…

流出経路がふさがれていなくても、コピー時にファイルをスキャンして

個人情報を見つけ、コピーを止める

パソコンスマホ

MTPによるファイル転送

(2) お客様支援の強化


導入のステップ


• 守るべき情報の明確化

• 保護対象の決定（共有サーバ、エンドポイント、ネットワーク） 1 ご要件確認

• ご要件確認の一環として、ストレージ上の機密情報や

ネットワーク上を流れる機密情報を実地検証 2 アセスメント※

• 要件定義、設計、構築、テスト

• 操作方法ご説明、システム引き渡し 3

導入、引き渡し

• インシデントの監視

• ポリシー改善(過剰検知、除外プロセス設定) 4

運用 (お客様)

※ 省略可能

導入を成功させるポイント


「ポリシー設定」と「運用の考え方」が導入のポイント

ポリシー設定

•何を保護対象とするか

運用の考え方

•DLPの機能をどこまで使うか

情報資産の検出方法守るべき情報資産は何か＋

機密情報の見える化＋違反者への通知＋持ち出しの遮断

ポリシー設定


様々な情報を検出可能だが、検出しやすい情報から取り組むポリシーテンプレートを利用できる領域

DBを取り込むことで設定が行える、個人情報の領域

マイナンバー

日本版SOX法

個人情報保護ガイドライン(医療、介護)

クレジットカードセキュリティ基準(PCI-DSS)

日本人の名前

郵便番号

携帯電話番号およびPHS番号

機密文書など

ポリシーテンプレートの例

運用に慣れてきたら、多様な文書を検出するためのポリシーを作成経営会議議事録、契約書、新商品開発計画書など

運用の考え方


機密情報の「見える化」から開始

「見える」「見つける」から始め、「止める」はインシデントが

減ってきたら実施（いきなりの遮断は混乱の元）

•違反が多い従業員を重点的に指導（下図２）することでインシデント量を削減

•違反通知メール等による従業員への通知フェーズ（下図3）を経て、最終的に遮断

イン

シデ

ント

発生

件数

1 見える化

2 指導 3

通知 4 遮断

時間ポリシーの継続的な改善（チューニング）

メールシステムにおけるセキュリティ強化実施例


お客様（信販会社様）の要件

・クレジットカード番号などの個人情報が、メールによって漏えいすることを防ぎたい

・既存システムへ影響を与えず、従業員の負担を増やさずに対策したい

・情報システム部門ではなく、コンプライアンス管理部門でインシデントを管理したい

）

Symantec DLPと富士通FENCEシリーズの組み合わせにより、メールの遮断と自動暗号化を実現メール送信経路に追加配置により、既存システムへの影響を最小限にダッシュボードにより、インシデントの監視と検出ルールの登録をコンプライアンス部門で実施

Symantec DLP

FENCE-Mail For Gateway

お客様メールシステム

Symantec Messaging GW

ダッシュボード（インシデント監視、機密情報検出ルールの登録）

遮断

自動暗号化

コンプライアンス部門


導入効果


月に数件発生していたクレジットカード番号などの個人情報を含むメールの誤送信が０件に

外部送信メールの暗号化漏れがなくなった

コンプライアンス担当者が情報漏えいインシデントを把握することで、社内セキュリティルールの見直しや従業員の啓蒙活動に利用

(3) アセスメントサービスご紹介


アセスメントサービスとは


機密情報の現状把握を支援するサービス

機密情報の所在と流通に関する現状を調査し、リスクを提示

機密情報の

所在を可視化機密情報の

社外への流通を可視化

機密情報漏えいのリスクを提示

機密情報の保護に着目した対策すべきポイントを明確にします

アセスメントサービス実施概要


実施方法

お客様環境にDLPサーバを約1週間接続し、情報を採取

機密情報の外部への流出状況を把握（ネットワークの監視）

機密情報の管理状況を把握（ストレージのスキャン）

社内ネットワーク社外ネットワーク


DLPサーバ

FWから外部に出るパケットをポートミラーして分析

社内ネットワーク

DLPサーバ

ストレージ内のデータをスキャンして分析

FW FW

終わりに


多様なセキュリティ対策製品の導入ノウハウを活かし、

Symantec DLP単体だけでなく、

お客様セキュリティ全体を考慮した提案を実施いたします。

情報保護に関するお悩みをお寄せください

富士通が解決します

Symantec DLP紹介ページ、お問い合わせフォーム • 富士通株式会社

http://www.fujitsu.com/jp/products/software/partners/partners/symantec/products/dlp/

• 株式会社富士通ソフトウェアテクノロジーズ http://www.fujitsu.com/jp/group/fst/services/s-security/s-security11.html

富士通から提供するさらなるご支援 - fujitsudeep security 仮想パッチ適用...

Documents