Comments
Description
Transcript
Data Loss Prevention の新機能
Symantec Data Loss Prevention ソリューション 企業の機密情報を検出/監視/保護 データシート: Data Loss Prevention モバイル化、クラウド化された環境に置かれた情報の保護 機密情報を安全に管理してコンプライアンスを順守するのは、決して簡単なことではありません。さらに今日では、 データ保 護に関してまったく新しい課題も発生しています。多くの従業員が個人ユーザー向けのクラウドサービスでファイルを共有 し個人のモバイルデバイスからアクセスしているので、機密情報は企業ネットワークによる保護範囲を超えています。標的 型サイバー攻撃は増加を続けていて、サイバー犯罪者は従来のセキュリティ対策を打ち破り企業情報を盗み取る効果的な 新しい手口を開発しています。これらが相まって、企業情報を管理して漏えいや盗難から保護することは困難さを増してい ます。 このような課題の多い環境で、情報の管理や保護をどのように行えばよいのでしょうか。また、 セキュリティ境界のあいまい 化、標的型攻撃の増加、ユーザーの期待の高度化や使用方法の多様化に対応する、完全で有効なデータ保護戦略とはどの ようなものでしょうか。 は、 クラウドやモバイルが中心となった今日の環境に対応した情報保護を、包括的な Symantec Data Loss Prevention(DLP) アプローチによって解決します。DLP の機能は次の領域をカバーします。 モバイル、 ネットワーク、 エンドポイント、 ストレージシステムを対象としてデータの所在を検出し • 検出: すべてのクラウド、 ます。 • 監視: 従業員によるデータの使用状況をネットワークの内外で監視します。 データを漏えいや盗難から保護します。 • 保護: あらゆる保存場所や使用方法を対象として、 シマンテックの先進的なアプローチとテクノロジによって、 お使いの DLP 機能の適用範囲をクラウドとモバイルデバイスに まで拡大します。社内ネットワークの外部に対しても、 セキュリティポリシーとコンプライアンスポリシーを適用させることが 可能です。さらに、実証済みの導入アプローチや直感的に操作できるポリシー/インシデント管理ツールを提供し、 リスクの 高い経路すべてを包括的にカバーするので、総所有コストは最小となります。 コンテンツ認識型検出でより多くのデータを検出 すべて正確に検出が可能です。これを実現 Symantec DLP では、機密データが保存中/移動中/使用中のいずれの場合でも、 するのは、次の先進的な検出テクノロジの組み合わせです。 • データ完全一致(EDM): データベース、ディレクトリサーバー、その他の構造化データファイルといった構造化データ ソースを対象に、 フィンガープリントを作成してコンテンツを検出します。 • インデックス文書一致(IDM): フィンガープリントの手法を適用して、 Microsoft Office 文書や PDF ファイルのほか、 JPEG、 マルチメディアファイルなどの非構造化データに含まれる機密データを検出します。また、元の文書から別の CAD 設計、 ファイルにコピーされたテキストなどの「派生」 コンテンツも検出します。 • ベクトル機械学習(VML): 財務レポートやソースコードなど、記述が困難な特徴を備えた知的財産を保護します。VML は 非構造化データの統計的分析を実行して類似のコンテンツや文書と比較することで、 このようなコンテンツを検出しま す。他の検出テクノロジとは異なり、保護対象とするデータの特定、記述、 フィンガープリントは不要です。 1 データシート: Data Loss Prevention Symantec Data Loss Prevention ソリューション ファイルのプロパティと一致するコンテンツ • 記述コンテンツ一致(DCM): 特定のキーワード、正規表現またはパターン、 を検出します。Symantec DLP では、30 を超えるデータ識別子がすぐに使用可能です。データ識別子は事前定義済みのア ルゴリズムであり、組み込みのインテリジェンス機能とパターンマッチングとを組み合わせて誤検知を防止しています。 たとえば「クレジットカード番号」データ識別子では、 「Luhn チェック」で検証します。 16 桁のパターンを検出してから カプセル化されたフォーマットなど、 • ファイルタイプ検出: 電子メール、画像、 330 種類を超えるファイルタイプを認識し て検出します。ほぼすべてのカスタムファイルタイプを認識するように Symantec DLP を構成することができます。また、 Content Extraction API を使用して、暗号化された形式を含む特定のファイル形式からコンテンツを抽出することもでき ます。 このようなコンテンツ認識型検出テクノロジが連携することで、誤検出を抑えるとともに、 DLP によってエンドユーザーの業 務が受ける影響を最小限にします。また、ほぼすべての場所、ほぼすべてのファイル形式を対象として機密情報を検出でき ます。 環境全体で一貫してポリシーを定義/適用 多種多様なデバイスやストレージ環境にデータの分散が進むにつれて、 ポリシーを一貫して定義し適用することがますます 重要になっています。Symantec DLP は、統合管理コンソールである DLP Enforce Platform、 ポリシーを設定してどの場所にも 適用可能とするビジネスインテリジェンスレポートツール IT Analytics for DLP を搭載しており、情報に関わるリスクを大幅に 低減できます。DLP Enforce と IT Analytics により、次のことが可能です。 クラウドベースサービス、 オン • 単一の Web ベースのコンソールを使用し、すべてのエンドポイント、モバイルデバイス、 プレミスネットワーク、 ストレージシステムを対象として、 データ漏えい防止ポリシーの定義、 インシデントのレビューと修 復、 システム管理を実行できます。 • 60 種類を超える事前構築済みのポリシーテンプレートと便利なポリシービルダーを活用して、DLP ソリューションの効 果をすぐに発揮できます。 インシデント対応プロセスの合理化と自動化を進めることができます。 • 強力なワークフロー機能と修復機能を活用して、 ビジネスインテリジェンスをお客様 • 高度なレポート機能とアドホック分析機能を提供する先進的な分析ツールによって、 の DLP への取り組みに適用できます。システムデータを多次元キューブに抽出して集約する機能を利用すると、 さまざま な利害関係者に向けてレポート、 ダッシュボード、 スコアカードを作成可能です。 Symantec DLP は、多様な環境に散在する機密情報をすべて検出して監視するお手伝いをします。さらに、 Enforce Platform を使用すれば、機密情報に対して一貫したポリシーを適用して安全に保護することができます。 クラウドベースのストレージと電子メールを監視/保護 多くの企業にとって、 アプリケーションをオンプレミスからクラウドに移行するのは、俊敏性を強化してコストを削減する有効 な手段となります。そこで問題となるのは、 クラウドに移行した後でも機密情報に対する可視性と制御を保持するには、 どう するかということです。Symantec DLP for Cloud Storage と Cloud Prevent for Microsoft Office 365 では、 クラウドベース のストレージと電子メールに適した強力な検出/監視/保護機能を提供することで、 この問題を解決します。 2 データシート: Data Loss Prevention Symantec Data Loss Prevention ソリューション ユーザーが Box に保存 Symantec DLP for Cloud Storage を導入すれば、共同作業における安全性を確保できます。また、 して共有する企業のファイルをすべて詳細に可視化できます。強力なコンテンツ検出機能により、 Box の Business アカウン トと Enterprise アカウントを簡単にスキャンして、保存された機密データの内容、使用状況、共有者を把握することができま す。Cloud Storage では Box のファイルにビジュアルタグが付けられ、 ポータルである Symantec DLP Self-Service Portal から は直感的な操作でインシデントの修復が可能なので、 ユーザーはポリシー違反を自分で修復することもできます。 とシームレスに連携するので、電 Symantec DLP Cloud Prevent for Microsoft Office 365 は Office 365(Exchange Online) 子メールをクラウドに確実に移行できます。また、強力なコンテンツ監視/保護機能によって、ユーザーが送信した機密情報 を含む電子メールを詳細に可視化して制御できます。Cloud Prevent を導入すれば、企業の機密情報を検出するとともに、 ユーザーにポリシー違反を通知したり、安全な送受信を行えるように電子メールを暗号化ゲートウェイにリダイレクトしたり、 重要データの漏えい防止のために電子メールをリアルタイムでブロックしたりするなど、適切なタイミングで適切な対策を とることができます。 従来のエンドポイントにおけるデータの安全性を保持 モバイルデバイスやクラウドストレージの普及はますます進んでいますが、 企業における機密情報リポジトリの中心は依然と してエンドポイントです。Symantec DLP Endpoint Discover と Endpoint Prevent はユーザーの所在が企業ネットワークの 内外であるかを問わず、従来型のデスクトップと仮想デスクトップに所在する機密データを検出/監視/保護する機能を提供 するため、情報を安全かつ確実に保護できます。 Symantec DLP では、 1 つの拡張性の高いエージェントで Endpoint Discover モジュールと Endpoint Prevent モジュールの両 方が利用可能です。両者が連携して次の機能を提供します。 • ローカルでのスキャン、検出、リアルタイム監視: Windows 7、Windows 8、Windows 8.1、Mac OS X マシン上の多種多様 なイベントが対象です。 • 機密データの監視: ノート PC とデスクトップ PC でダウンロード/コピー/転送が行われている機密データが対象です。 以下が対象となります。 – アプリケーション: Outlook – クラウドストレージ: Box、Dropbox、Google Drive、Microsoft OneDrive – 電子メール: Outlook、Lotus Notes – ネットワークプロトコル: HTTP/HTTPS、FTP – リムーバブルストレージ: USB、MTP、CF カード、SD カード、eSATA、FireWire – 仮想デスクトップ: Citrix、Microsoft Hyper-V、VMware ユーザーに通知が送信されるか、特定の操作が • ポップアップ画面によるユーザー通知: ポリシー違反が検出された場合、 ブロックされます。 • ノート PC とデスクトップ PC のローカルドライブをスキャン: 機密データの包括的なインベントリが提供されるため、 リスクにさらされたファイルを保護したり移動したりできます。 システムへの影響 • 複数のスキャンオプション: アイドルスキャンや差分スキャンなど複数のオプションを使用することで、 を最小限に抑えながら、数千台のエンドポイントを高速で並列スキャンできます。 • 拡張性に優れた多層アーキテクチャの導入: 何十万人ものエンドポイントユーザーを保護できるアーキテクチャです。 3 データシート: Data Loss Prevention Symantec Data Loss Prevention ソリューション 包括的なデータ保護をモバイルデバイスに拡張 によって、仕事とプライベートの境界線がなくなりつつあります。今日のユーザーが BYOD(個人所有デバイスの持ち込み) 求めているのは、いつでも、 どのデバイスからでも、 どのような接続方法でも、仕事用の機密データにアクセスできることで す。現実に、従業員の 5 人に 2 人が、個人用のスマートフォンやタブレットに仕事用のファイルをダウンロードしています。 このようなトレンドに対応して情報をリスクにさらすことなくユーザーに柔軟なモバイルアク Symantec DLP for Mobile は、 セスを提供するうえで必要となる、可視性と制御機能を備えています。Symantec DLP for Mobile を利用すると次のことが可 能です。 • DLP の監視機能と保護機能を、iOS デバイスと Android デバイスすべてに拡張します。所有者が誰であっても対象となり ます。 ユーザーが機密情報の含まれた電子メールを Microsoft Exchange • 先進的な Mobile Email Monitor モジュールを活用して、 ActiveSync プロトコルを介して Android デバイスや iOS デバイスにダウンロードする時点で検出します。ネットワークの出 口に設定されたこの機能はリバース Web プロキシと連携して、 モバイルの電子メールをシームレスに監視します。 ネーティブ iOS メールクライアント、 ブラウザ、 • Mobile Prevent モジュールを使用してユーザーの活動を監視し、 Dropbox や Facebook などのアプリによる機密データの転送を防止します。Mobile Prevent は 3G/4G の携帯ネットワーク、 Wi-Fi ネットワーク、iOS VPN オンデマンドを使用して企業ネットワークに接続します。送信モバイルトラフィックは VPN を経由し て Web プロキシから Mobile Prevent へとルーティングされます。Mobile Prevent では情報を分析し、 機密データがあれば 自動的に修正またはブロックします。 記述しにくい非構造化データを検出して保護 非構造化データは、1 年で 70% という驚くべきペースで増加しています。その効率的な管理と保護に多くの企業が苦心して いるのも当然です。Symantec DLP Network Discover、Network Protect、Data Insight、Data Insight Self-Service Portal を連携させると、 すべての非構造化データを制御することができます。従業員の不注意や悪意のある攻撃者によってリスク にさらされることはなくなります。 まず、Symantec DLP Network Discover がネットワークファイル共有やデータベースなどの企業データリポジトリをスキャ ンして機密データを検出します。対象には、 Windows/Linux/AIX/Solaris サーバーのローカルファイルシステム、 Lotus Notes と SQL データベース、Microsoft Exchange サーバーと SharePoint サーバーが含まれます。DLP Network Discover は、 ファイ ルのバイナリシグネチャに基づいて、 カスタムタイプを含め 330 種類を超えるファイルタイプを認識します。また、大規模な 分散環境の高速スキャンも可能なほか、新規ファイルや変更されたファイルだけをスキャンすることでパフォーマンスも最 適化されています。Network Discover は企業の LAN 環境に配備されるもので、一元化された Enforce プラットフォームを介 してポリシーとインシデントの情報を直接処理します。 さらに、Symantec DLP Network Protect によりファイル保護機能が強化されます。Network Protect は、Network Discover で 検出されたリスクにさらされているファイルすべてを自動的にクリーンアップして保護します。また、 ファイルを検疫または 移動する、検疫エリアにファイルをコピーする、特定のファイルにポリシーベースの暗号化やデジタル著作権を適用するな ど、多様な修復オプションを用意しています。さらに、 Network Protect は検疫された理由を説明するマーカーテキストファイ ルをファイルの元の位置に残すことで、 ビジネスユーザーにポリシー違反を通知します。 Symantec DLP にはカスタムファイル修復アクションを構築できる FlexResponse API Platform も含まれています。 FlexResponse は Symantec File Share Encryption、Microsoft Rights Management サービス、 Liquid Machines、GigaTrust、Adobe シマンテックやサードパーティのファイルセキュリティソリューションと簡単に連携できます。 LiveCycle など、 4 データシート: Data Loss Prevention Symantec Data Loss Prevention ソリューション 続いて、Symantec Data Insight が NAS (ネットワーク接続型ストレージ) ファイラ、 Windows サーバー、SharePoint からユー ザーイベントを収集して分析します。このデータガバナンスソリューションは非構造化データ環境に向けて設計されたもの で、データ所有者、使用状況、 アクセス制御に関する詳細で実用的なインテリジェンスを提供します。また、Data Insight は データ所有者の特定、 ファイル権限とアクセス履歴の把握を行 Network Discover と統合されており、機密ファイルの検出、 い、異常なユーザー活動について警告します。Symantec Data Insight では、環境内のデータやその使用状況、所有者、 アクセ ス権の所持者を正確に把握できるため、従来は把握が難しかった「隠れたデータ」を可視化できるようになります。 データ所有者がネットワークファイルに関するインシデント Symantec Data Insight に搭載された Self-Service Portal では、 をレビューして修復できる機能を提供することで、効率的なインシデント修復ワークフロー機能を追加しています。ポリシー 違反が発生した時点でデータ所有者に電子メールで自動的に通知が届き、直感的な Web ベースのポータルに移動して違 反を修復できます。IT セキュリティチームは Enforce Platform の管理コンソールを使用してインシデントに関するアクティビ ティの閲覧や追跡ができます。 これら 4 つの DLP モジュールが連携することで、 ほぼあらゆるストレージシステムを対象として機密データの検出/保護/管 理が可能となり、非構造化データが急激に増加していても、 すべてを安全に保護できるのです。 移動中のデータを監視/保護 ある調査によると、従業員の約半数は日常的に、仕事用のファイルを個人用の電子メールアカウントに送信しています。デー タ漏えいの最も多い経路が電子メールと Web であるのも無理はありません。Symantec DLP Network Monitor、Network Prevent for Email、Network Prevent for Web は幅広いネットワークプロトコルの監視機能に加え、正当/不正なネットワー クユーザーによる機密データの不正な操作を防止する機能を提供して対応します。 まず、 カスタムポート固有のプロトコル、 (Internet Protocol Version 6) Network Monitor が SMTP、 HTTP、 FTP、 IM、 NNTP、 IPv6 など多種多様なネットワークプロトコルで送信された機密データを検出します。続いて、パケットロスを発生させずに、すべ てのネットワーク通信に対してディープコンテンツインスペクションを実行します。他社のソリューションの場合、 ピーク負荷 時のパケットをサンプリングするため、見逃しのリスクが高くなってしまいます。Network Monitor はネットワークの出口に配 備されており、 ネットワークタップや SPAN(Switched Port Analyzer) と統合されています。 次に、 Symantec DLP Network Prevent for Email が企業の電子メールに機密データが含まれているか検査します。ポリシー 違反があった場合、ユーザーに通知するとともに、電子メールをブロックするか、安全に送信するために暗号化ゲートウェ イにルーティングします。Network Prevent もネットワークの出口に配備されており、 SMTP 準拠のメール転送エージェント (MTA) や Symantec Email Security.cloud などのクラウドサービスと統合されています。 最後に、Symantec DLP Network Prevent for Web が HTTP と HTTPS を通じて送信される機密情報を検出し、 ポリシー違 反があればユーザーに通知して、 Web 投稿をブロックするか条件に応じてデータを削除します。Network Prevent for Web も 他の 2 つのモジュールと同様にネットワークの出口に配備されており、 ICAP 準拠の Web プロキシや Google Apps、Symantec Web Security.cloud などのクラウドサービスと統合されています。 5 データシート: Data Loss Prevention Symantec Data Loss Prevention ソリューション 統合された情報保護ソリューションの構築に今すぐ着手 シマンテックは、 お客様のデータ漏えい防止ソリューションをクラウドやデータ漏えいの危険度が高いチャネルすべてに拡張 し、保存中/移動中/使用中を問わずお客様のデータを完全かつ効率的に検出/監視/保護できるよう、いつでもお手伝いいた します。 詳しくは www.symantec.com/ja/jp/data-loss-prevention/ にて、最新のモバイル化されたクラウド中心の環境に対応する データ漏えい防止の基盤を目指した、統合アプローチのメリットをご覧ください。 システム要件 コンテンツ認識型検出サーバー、軽量のエンドポイントエージェントが含ま Symantec DLP には、統合管理プラットフォーム、 れます。導入オプションについては、 オンプレミス、 ハイブリッドクラウド、 マネージドサービス (Symantec DLP スペシャリゼー ションパートナーが提供) などの選択肢から柔軟にお選びいただけます。シマンテックの情報漏えい防止 (DLP) ソリューション は、分散が進んだ環境での利用や、何十万ものユーザーやデバイスが存在する環境への拡張が実証されています。この点 で、他社ソリューションとは異なります。 DLP サーバー オペレーティング Microsoft Windows Server 2008、 システム Microsoft Windows Server 2012 Red Hat Enterprise Linux VMware ESX および VMware ESXi プロセッサ 3.0 GHz CPU 2 基 メモリ 6 GB ∼ 8 GB ストレージ 140 GB ネットワーク 1 Gbps/100 Mbps イーサネット NIC (銅線または光ファイバー) 1枚 データベース Oracle 11g Standard Edition 6 データシート: Data Loss Prevention Symantec Data Loss Prevention ソリューション DLP エンドポイントエージェント オペレーティング システム Apple Mac OS X Microsoft Windows Microsoft Windows Server 2003、 Microsoft Windows Server 2008 Citrix XenApp および Citrix XenDesktop Microsoft Hyper-V VMware Workstation および VMware View メモリ 25 MB ∼ 30 MB ストレージ 70 MB ∼ 80 MB 詳細情報 シマンテックの Web サイト http://www.symantec.com/ja/jp/data-leak-prevention/ Copyright © 2015 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは、Symantec Corporation またはその関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の登録商標または商 標です。製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2015 年 6 月現在のものです。 株式会社シマンテック お問い合わせ 〒107- 0052 東京都港区赤坂1- 11- 44 赤坂インターシティ www.symantec.com/jp E1506DS0-IN-21350666