Comments
Description
Transcript
インフラストラクチャ セキュリティの概要
ホワイト ペーパー インフラストラクチャ セキュリティの概要 Cisco IronPort® クラウド E メール セキュリティは、最高のテクノロジーを組み合わせ、現時 点で最も拡張性に優れた高度な電子メール保護を提供します。Cisco IronPort クラウド E メール セキュリティが基盤としている業界最先端のテクノロジーは、Fortune 1000 の 40 パーセントの企業がインバウンドとアウトバウンドの E メール脅威からの保護に使用してし ているものと同じです。お客様は、オンサイト データセンターの設置面積を削減し、信頼でき るセキュリティの専門家に電子メール セキュリティ管理をアウトソーシングすることができま す。複数の耐障害性に優れたデータセンターで専用の電子メール セキュリティ インスタンス を提供し、最高水準のサービス可用性とデータ保護を実現します。Cisco IronPort E メール セキュリティ ソリューションは、物理アクセスおよび論理アクセスの両方の観点から、クラウド インフラストラクチャのセキュリティと可用性を最高の水準で確保できるように設計されてい ます。この設計は、データセンターの建物へのアクセスの制御、顧客データへのアクセスを 保護する手続き、ハードウェア インフラストラクチャの可用性といった側面にまで及んでいま す。図 1 はこうした側面を表したものです。 © 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 1/6 物理セキュリティ データセンターの物理セキュリティは、強固なセキュリティ インフラストラクチャの基盤となります。データセンター セキュリ ティは、物理インフラストラクチャ セキュリティを最高水準に保つよう細心の注意を払うセキュリティ担当者と、最新の監視シ ステムに支えられています。これには、次のような特徴があります。 1. 監視システム オンサイトへのシスコの常駐と、デジタル ビデオ監視システムによって、自動化された監視インターフェイスが提供され ます。すべての固定カメラは、0.01 ルクスまで対応可能な自動微光切り替え機能が付いた高解像度カラー カメラで す。パン/チルト/ズーム カメラ(PTZ)は、屋外や、特に注意が必要な場所に設置します。すべての PTZ では、現在の 固定カメラ位置に瞬時に移動するのための同軸多重式プロトコルが使用されています。 ビデオの録画解像度は 720 X 240 ピクセル、録画レートは 15 IPS(モーション検知時)または 30 IPS(オペレータ コ マンド)になります。ほとんどのビデオ チャネルは同時に音声も記録します。ビデオは、約 100 日間保存されます。 データセンターでは、警備員による 24 時間 365 日体制の監視システムが稼働しています。警備員は IOU(Identify、 Observe、Understand)手法を使用してカメラ システムを操作します。IOU を使用することにより、モニタへの集中力 が向上し、検証用に優れたビデオ映像を提供できます。エグゼクティブ チーム メンバーは、PDA および VPN ラップ トップ アクセスによってビデオにリモートからアクセスできます。すべてのビデオは、最低 90 日間 M-JPEG 形式で アーカイブされます。 2. アクセス制御/侵入検知 すべてのエントランスは、24 時間 365 日体制で一箇所から監視されます。外部からの出入り口に設置されているドア は、防御性の高い設計になっています。検知デバイスやアクセス制御が備わっており、固定カメラによって個別に映し 出すことができます。外部とのアクセス ポイントは最小限に抑えられています。ほとんどの施設では、1 つのドアから のみ外部に出入りできるようになっています。ドアの奥には、12 ゲージのステンレス鋼から製造され、1/4 インチのア ルミニウム ストラップで固定された特殊設計のマントラップが構えています。このマントラップ以降のすべてのアクセス ポイントでは、さらにカード所有者の生体認証とマントラップ リレー ロジックが求められます。さらに、マントラップには 少なくとも 1 つの固定カメラと音声監視装置が取り付けられています。 データセンターのアップタイム 図 2 に、Cisco IronPort クラウド E メール セキュリティ ソリューションのアーキテクチャを示します。このソリューションに は、次のような特徴があります。 1. ディザスタ リカバリ用の地理的に分散したデータセンター 2. SAS 70 タイプ II 認定データセンター 3. 各データセンター内のネットワーク接続、電力、冷却機能、帯域幅の冗長性 4. 最大 20 Gbps のネットワーク トラフィックに対応する帯域幅 Cisco IronPort クラウド E メール セキュリティでは、アクティブ-アクティブ展開アーキテクチャの複数の SAS 70 タイプ II データセンターが採用されています。複数の MX レコードがこれらのデータセンターを指すようにすることで、いずれかの データセンターで予期しない障害が発生した場合でも電子メールが途切れることなく送受信されます。Cisco IronPort クラ ウド E メール セキュリティのサービスでは、複数のデータセンターから成るアーキテクチャにより、最高レベルの可用性が 保たれます。 © 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 2/6 図 1. Cisco IronPort クラウド E メール セキュリティのデータセンター アーキテクチャ 各データセンターのインフラストラクチャには、複数のレベルでの冗長性が組み込まれています。1 つ目は、複数のキャリア グレード アクセス ルータ、ディストリビューション スイッチ、POD スイッチ(100 ~ 1000 個のポートを持つ大規模なイーサ ネット スイッチ)で構成され、シングル ポイント障害が排除されたネットワーク インフラストラクチャです。冗長性の高いネッ トワーク インフラストラクチャを実現するため、メール処理、報告、追跡などのための複数の専用の Cisco IronPort E メー ル セキュリティ インスタンスが使用されています。いずれかの入力に影響を与えるような予期せぬインシデントが発生した 場合に障害を回避して接続を確保するために、データセンターでは、物理的に分離された 2 つの光ファイバ入力が使用さ れています。また、これらのデータセンターには、最大 20 Gbps のネットワーク トラフィックに対応する帯域幅容量があり ます。 今日の多くのデータセンターでは、機器から発生する熱の管理や制御が適切に行われていないために深刻な問題が起き ています。Cisco IronPort データセンターは、業界最先端のスペース設計および電力設計を使用して構築されています。プ ライマリ電源回路とフェールオーバー電源接続(どちらも完全に独立した N+2 電源システムに属する)が含まれる高度な電 力網アーキテクチャによって 100 % の電力可用性が実現されています。各システムには、それぞれ個別の UPS バッテ リ、発電機、PDU、RPP が備わっており、電力は色分けされたレセプタクルによって各ラックに提供されます。これにより、 システムに接続されている E メール セキュリティ インスタンスに対して一貫したアップタイムが保証されます。 サーバの密度が高くなるにつれ、冷却システムの必要性も非常に大きくなります。それぞれの Cisco IronPort データセン ター設備には、プライマリおよびバックアップの冷却装置が十分に備えられていて、E メール セキュリティ インスタンスに よって発生する熱が適切に分散されるようになっています。冷却システムのいずれかに障害が発生した場合には、十分な バックアップの冷却装置が利用できるようになっています。冷却インフラストラクチャは、フロン冷却、蒸発冷却、冷却水冷 却、および外気冷却のメカニズムによって提供されます。 © 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 3/6 データセンターへの電源供給に関係するインフラストラクチャの仕様を、表 1 および 2 に示します。 表 1. 電力仕様 ラックあたり 17 KW の電力および冷却機能 UPS バックアップ電源 販売終了日 120/208 VAC および -48 VDC を利用可能 発電機による 100% バックアップ 48 VDC バッテリ プラント 1 ~ 2 MW の複数の発電機用に設計された発電機容量 1200A ~ 10,000A まで拡張可能 燃料タンクのサイズ:1,000 ~ 2,000 gal 予備バッテリ、非冗長で 2 時間、冗長で 4 時間 自動開始と自動切替の両方を備えた発電機。自動転送スイッチの分離バイ パス機能。 完全な A/B 給電 24 時間以上実行可能な燃料容量 NFPA 70 に準拠した接地 燃料補給に 2 時間で対応 表 2. 環境制御 コンピュータ ルーム グレードの設備によって提供される床下式冷却 N+1 の冗長性を持つ 1 平方フィートあたり 200 Btu/h 以上の冷却装置 ASHRAE 1% において、温度は 72°F(乾球)に維持 停電発生時、HVAC システム(および設備全体)はディーゼル発電機で稼動 します。 湿度 30% ~ 60%(結露しない)。赤外線加湿器の ATS/Liebert ユニットによって提供される湿度制御。 セキュリティ オペレーション センター シスコのセキュリティ オペレーション センター(SOC)は Cisco Remote Operations サービス(ROS)によって運営されてい ます。世界水準のセキュリティ監視を保証するため、Cisco ROS では、従業員、プロセス、ツールの管理および内部監査を 継続的に実施しています。そのようにして、最高水準の安全なサービス提供を実現し、お客様に安心してシスコをご利用い ただけるようにしています。 図 2. シスコのセキュリティ オペレーション センターのヘルプ デスク © 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 4/6 1. ネットワーク セキュリティ Cisco SOC では、セキュリティ デバイスとアプリケーションを組み合わせて使用することにより、多重防御設計を構築して います。追加層には、Cisco ROS へのインバウンド アクセスを制御する複数のファイアウォールが含まれます。この戦略 では、目的に適った情報のみへのアクセス権(最小権限)がユーザに与えられます。 侵入検知システム(センサーとして機能)は、トラフィックを監視して、セキュリティ イベントを検出するために、ネットワーク全 域に戦略的に配置されます。検出されたイベントは、シスコのセキュリティ管理サービスによって管理されます。侵入検知 は、ネットワーク内のさまざまなポイントで使用され、サービス配信ネットワークとお客様のネットワークの間のトラフィックを 監視して、疑わしいパターンや悪意のあるパターンがないか見張ります。 セキュリティ イベント マネージャは、サービス提供ネットワーク全体のセキュリティ デバイスのイベントと脅威の相関関係を 示します。デジタル証明書は、カスタマー Web ポータルや、内部からと外部からの両方のアクセスを必要とするシステムへ のアクセスを保護するために使用されます。 2. システムのセキュリティ Cisco ROS は複数の制御を利用して、管理対象システムのセキュリティを確保します。これらには、物理制御と脆弱性検 出スキャンの両方が含まれます。 ● 物理的制御 シスコでは、すべての従業員と契約社員に写真付き ID を提供し、建物内にいるときにはこの ID を見えるところに 身に着けるよう義務付けています。すべての訪問者にはビジター バッジが提供され、建物内では必ず従業員が訪 問者に同行します。 制御されたデータセンターやワイヤリング クローゼットのエントランスへは、会社敷地内からのみアクセスできるよう なっています。アクセスは、ビジネス ニーズに応じて許可されます。会社の敷地内も制御されています。敷地内に入 るには、適切なバッジを使用してアクセスしなければなりません。 ビデオ カメラが各建物の出入り口に設置され、セキュリティ ファシリティ オペレーション センターによって 24 時間 365 日体制で監視および管理されます。 施設へのプライマリ電源は、地元の発電所から提供されます。バックアップ電源は、スタンバイ UPS システムおよ び発電機によって重要なエリアに提供されます。バックアップ電源システムは定期的にチェックされ、テストされま す。予防保守は四半期ごとに実施され、全負荷テストは年 1 回実施されます。 ● 脆弱性スキャン Cisco ROS サービス提供ネットワークを定期的にスキャンし、リスクや脆弱性について評価します。これらの評価 結果は、必要な修復のための内部 IT インシデント ケースを作成するために使用されます。 3. 人的制御 情報セキュリティおよび情報資産や知的財産の保護は、認識と教育から始まります。セキュリティ文化を育んで維持するた めに必要なこととして、成功する組織には、責任と説明義務はすべての従業員にあるという認識があります。 シスコの経営陣は企業イニシアチブとビジネス行動規範の中にセキュリティを組み込んでおり、従業員も日常の活動にセ キュリティを取り入れています。組織全体で従業員にセキュリティ意識の重要性についての教育が行われ、企業(および パートナーやお客様)の安全を守るという共通の目標に向けて全社員が一丸となって努力しています。 © 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 5/6 人的制御は、データセンターのセキュリティにおいて重要な側面になりつつあります。これらの制御の目的は、サービス プ ロバイダー内で発生する可能性のあるセキュリティ上の脅威から顧客データを保護することです。Cisco ROS には、お客 様のデータのセキュリティを確保するためのいくつかの制御が用意されています。シスコでは、すべての正社員および契約 社員に対して雇用プロセスの一部としてバックグラウンド スクリーニングを実施します。職務記述書には、Cisco ROS 内で の役割と責任が記載されます。また、最小権限のルールを適用して、お客様のネットワークと情報へのアクセスが適切に行 われるようにしています。 Cisco ROS では、さらに以下の人的制御も実施しています。 ● 監査およびテスト Cisco ROS では、ネットワークベースの脅威の危険を軽減する 5 段階のプロセスが採用されています。このプロセ スには、危険を最小限にとどめるためのステップとして、定義されたセキュリティ ポリシーの確立、コンプライアンス の評価、ポリシー違反の監視、ポリシーの定期的なテストが含まれています。最後のステップでは、確認されたすべ ての脅威と危険ついての要約を行います。その要約を使用して、ネットワークの全体的なセキュリティを改善してい きます。 ● 変更制御 変更制御は、IT 環境とサービス提供チームの運営に不可欠です。Cisco ROS の変更制御は、お客様の環境内の すべての変更の要求、スケジュール、実装、検証のために適切な認証を確立するためのお客様とのパートナーシッ プになります。 まとめ Cisco IronPort クラウド E メール セキュリティは、高い可用性を備えた物理リソース、ユーティリティ、データの冗長性を 1 つの場所で実現する最新のデータセンターによって支えられています。シスコのセキュリティ オペレーション センターの サポートによって、セキュリティがさらに向上し、安全なサービス提供が可能になります。シスコは、このような方法を通じ て、最高水準のサービス可用性とデータ保護を提供しています。 ©2016 Cisco Systems, Inc. All rights reserved. Cisco、Cisco Systems、および Cisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(1502R) この資料の記載内容は 2016 年 5 月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。 お問い合せ先 シスコシステムズ合同会社 〒107‐6227 東京都港区赤坂 9-7-1 ミッドタウン・タワー http://www.cisco.com/jp C11-701314-00JA 16.05