Comments
Description
Transcript
InfoCage 不正接続防止 ご紹介資料 詳細版
不正接続防止領域 2013年実績 シェアNo.1 ※出典:㈱富士キメラ総研 2014 ネットワークセキュリティビジネス調査総覧 InfoCage 不正接続防止 ご紹介資料(詳細版) 2015年2月 日本電気株式会社 はじめに ▐ セキュリティ対策は、企業の規模を問わず、今やあらゆる企業に欠かせません。 ▐ 多くの企業がメディアの持ち出しを禁じたり、ウイルス対策ソフトを導入したりといった対 策を実施しています。 ▐ しかしながら、勝手に社内に持ち込まれた私有PCを、ネットワークに接続させない対策を 実施し、管理しきれていますか? Page 2 © NEC Corporation 2015 ネットワーク管理における問題点と課題 ▐ セキュリティ対策を施していないPCや持ち込みPCに対する対策が不十分だと… 問題点 持ち込みPCからウイルス感染 無許可で接続された持ち込みPCがウイルス に感染していると、そこから社内ネットワーク 経由でウイルス感染が拡大 ウイルス感染したPCから情報漏えい ウイルス感染したPCからWinny経由で社内 情報が漏えいし、漏えい情報の悪用による犯 罪の誘発や、漏えい事故に対する損害賠償 が発生。社会的な信用も失墜 ネットワーク管理者の声 持ち込みPCをネットワークに接続させた くないが、高価なシステムの導入やネット ワークの設定変更といった作業はできれ ば行いたくない。 不正PCによる情報漏えいを防止したい が、社内システムに接続されたPCの情報 をリアルタイムで監視するには多大な工 数が必要。 上記の不安を解消し、ネットワーク管理者の負担を軽減する InfoCage 不正接続防止をご紹介いたします Page 3 © NEC Corporation 2015 InfoCage 不正接続防止とは ネットワークに接続された端末をセンサーが自動的に検知し、 不正に接続された端末の通信を遮断します。 センサー NG! OK! 正規PC 正規の端末のみ 接続を許可 持ち込みPC セキュリティ対策が不十分な PCによるウイルス感染を防止 管理外のPCによる 不正アクセスを防止 Page 4 © NEC Corporation 2015 NG! 私有スマートフォン ネットワークのセキュリティを守り、 情報漏えいなどのリスクから 企業を守ります。 InfoCage 不正接続防止とは <構成> ▐ ネットワーク接続機器の固有情報の収集機能と、その情報の管理機能で構成されます。 ▐ また、管理機能はシステムの規模によって、集中管理と分散管理機能の選択ができます。 集中管理サーバ DomainManager 通報 管理サーバ SiteManager 管理者 端末情報収集 端末情報収集 InterSec/NQ30 (アプライアンス) 接続を防止 SwitchManager ※オプション インテリジェントスイッチ 接続を防止 接続を防止 持ち込み 持ち込み (無許可)機器 許可済機器 (無許可)機器 Page 5 © NEC Corporation 2015 許可済機器 持ち込み 許可済機器 (無許可)機器 許可済機器 持ち込み (無許可)機器 各モジュールの説明 モジュール名 機能概要 SiteManager 本製品の管理ソフトウェアです。InterSec/NQ30およびSwitchManagerが収集したホスト情報 を集計し、台帳の作成、接続可否の設定、管理者への通知を行います。 DomainManager SiteManager の上位の管理ソフトウェアです。SiteManagerを複数台まとめて管理します。承認 申請機能、接続ポート検知機能などWebコンソールを使った集中管理機能を提供します。 InterSec/NQ30 (アプライアンス) 各ネットワーク(IPサブネット)に設置します。ネットワーク上のパケットを 収集し管理サーバ (SiteManager)に転送します。また、管理サーバのホスト接続可否設定に従って、不正接続の 監視、未承認マシンの不正接続防止を行ないます。 SwitchManager インテリジェントスイッチから接続端末の情報を収集し、管理サーバ (SiteManager)に転送します。また、管理サーバのホスト接続可否設定に従って、スイッチと連 携し不正接続の監視、未承認マシンの不正接続防止を行ないます。 Page 6 © NEC Corporation 2015 InfoCage 不正接続防止の特徴 1. 簡単導入 ネットワーク構成の変更が不要 各クライアント端末へのソフトウェアイン ストールは不要 3. スマートデバイス対応 スマートフォンやタブレットなどのスマート デバイスもPC同様に管理が可能 スマートデバイスの種別を判別して端末 一覧に表示 Page 7 © NEC Corporation 2015 2. サーバレスでの運用も可能 管理サーバの設置が不要、センサーを設 置するだけで簡単に導入 管理サーバのイニシャルコスト、ランニン グコストを削減 4. IPv6対応 IPv4と同様にIPv6が有効になっている 端末も管理が可能 気付かずに有効になっているIPv6通信 を防止 簡単導入 ▐ ネットワーク構成の変更が不要で、既存ネットワークに検知センサー (InterSec/NQ30)を追加することで、簡単に導入可能です。 ▐ 各クライアント端末にインストールするソフトや設定変更はありません。 ▐ 1つのセグメントからスタートする段階導入が可能です。 導入イメージ 1台の管理サーバで最大10万件の MACアドレスの管理ができます。 管理サーバ 管理コンソール 私物PCの不正な持ち込みをリアルタイム監視 InterSec/NQ30 通信 禁止 ネットワークセグメントA 持ち込みPC Page 8 © NEC Corporation 2015 InterSec/NQ30 通信 禁止 ネットワークセグメントB 私有スマートフォン 検知センサー(InterSec/NQ30)を ネットワークセグメントに1台追加します。 サーバレスでの運用も可能 1/2 V5.0強化 ▐ 管理サーバの設置が必要なく、センサーを設置するだけで簡単に導入することができます。 ▐ まずは1セグメントだけ部分導入し、後から管理サーバを設置して全社導入にステップアップす ることが可能です。 STEP1 STEP2 STEP3 センサーをネットワーク接続 管理コンソールをOA機に インストール + センサーをアップデート 利用開始!! ♪ Page 9 © NEC Corporation 2015 サーバレスでの運用も可能 2/2 V5.0強化 ▐ 管理サーバのイニシャルコスト、ランニングコストを削減できます。ハードウェア費用やOSのライ センス費、管理ソフトウェアのライセンス費に加えて、SI費やサポート費の削減も可能です。 従来 InfoCage 不正接続防止 Lite サーバ機 管理用OAマシン InterSec/NQ30c 管理用OAマシン InterSec/NQ30c 別途サーバ機を調達 サーバ機に管理マネージャをインストール サーバ機上の管理マネージャ経由でセンサーを管理 Page 10 © NEC Corporation 2015 サーバ機の調達は不要 OAマシン上に管理コンソールをインストール 管理コンソールによりセンサーを直接管理 スマートデバイス対応 ▐ スマートデバイスもPCと同様に不正接続の監視・防止を行うことができます。 ▐ スマートデバイスの種別を判別して端末一覧に表示することができます。 端末一覧 管理サーバ InterSec/NQ30 端末情報収集 MACアドレス IPアドレス ・・・ コンピュータ名 機器種別 0A:00:01:0A:00:01 1.1.1.1 ・・・ HOST001 0B:00:02:0B:00:02 1.1.1.2 ・・・ IPad01 0C:00:03:0C:00:03 1.1.1.3 ・・・ HOST002 0D:00:04:0D:00:04 1.1.1.4 ・・・ iPhone01 iPhone 0E:00:05:0E:00:05 1.1.1.5 ・・・ Android01 Android iPad スマートデバイスの接続 状況を見える化! 無許可タブレット端末 Page 11 © NEC Corporation 2015 ウイルス感染 スマートフォン IPv6対応 ▐ 気付かずに有効になっているIPv6通信を防止することができます。 ▐ IPv4と同様にIPv6が有効になっている端末も管理が可能です。 IPv6に対応することで IPv6に対応していないと Windows Vista以降は規定でIPv6が有効になっており、 IPv4を防止しても、IPv6通信でウイルスを拡散されたり、 ネットワークフォルダから情報を抜かれる危険があります IPv4で通信できなくても、 IPv6で通信ができる! IPv4 ? IPv6 IPv6を使用して不正な通信 が行われているかも・・・ Page 12 © NEC Corporation 2015 MACアドレス IPアドレス IPv6 アドレス 0A:00:01:0A:00:01 1.1.1.1 2001:1234::1 ! IPv4 IPv6 IPv6の通信も把握可能! 主な機能のご紹介 Page 13 PC台帳情報の自動収集機能 不正接続監視機能 不正接続防止機能 機種別許可設定機能 接続履歴の可視化機能 ← New!! 接続ポート検知機能 資産管理製品との連携 承認申請機能 スイッチ連携機能 タグVLAN対応 InterSec/NQ30の冗長化機能 © NEC Corporation 2015 PC台帳情報の自動収集機能 ▐ ネットワークに接続されている機器の情報(アドレス情報、OS情報など)を自動収集し、PC台 帳を作成します。 サイトコンソール 管理用にSiteManagerを1台、各セグメントに InterSec/NQ30 を設置するだけでネットワーク 上のPC台帳情報を自動収集&作成します。 エージェントの一覧から ホスト一覧を参照 端末情報収集 SiteManager ホスト一覧 ・ネットワーク上のパケットを監視して情報収集します。 (ホストへのソフトウェアの導入は必要ありません) ・新規ホストを見つけると、そのホストにパケットを 数個送信して情報収集します。 InterSec/NQ30 Page 14 © NEC Corporation 2015 取得できたホストの情報を 一覧表形式に表示します。 CSVファイルのインポート、エクスポートが 可能です。 不正接続監視機能 ▐ MACアドレス、IPアドレス、コンピュータ名の任意の組み合わせ(MACアドレスは必須)をキーと して、不正に接続された機器を監視し、発見時に管理者へ通知を行います。 【通知手段】 ・ ポップアップ ・ 電子メール ・ SNMP Trap ・ 任意のコマンド起動 ③メールで通知 新規ホストが発見された場合、 管理者にメール、ポップアップな どで通知を行います。 ③ポップアップで通知 SiteManager 不正に接続された ホストのアドレス情 報、コンピュータ名 などの情報を自動 的に収集します。 ②未知のホストを発見すると、 SiteManagerに通知。 InterSec/NQ30 Page 15 © NEC Corporation 2015 ①新規(不正) ホストの接続 不正接続防止機能 1/2 ▐ ホストの状態(色)に基づきネットワークへの接続が許可されていないホストの接続を防止します。 【通知手段】 ・ ポップアップ ・ 電子メール ・ SNMP Trap ・ 任意のコマンド起動 ④メールで通知 通信を防止した場合、管理者に メール、ポップアップなどで通知 可能です。 ④ポップアップで通知 SiteManager ③接続防止すると SiteManagerに通知 ①ホストの状態を チェックし、不 正PCと判定 不正ホスト 青( ): ホストの接続が許可されます。 黄( ): Windowsマシンの連携PC管理製品導入有無に 従ってネットワークへの接続可否を決定します。 赤( ): ホストの接続を防止します。 InterSec/NQ30 接続を防止 Page 16 ホスト毎に状態(色)を設定します。また、新規にホストを 発見したときの初期の状態(色)を設定します。 © NEC Corporation 2015 ②不正ホストの通信を検知し接続を防止 不正接続防止機能 2/2 ~ 防止の仕組み ~ サイト管理者 サーバー (正規端末) InterSec/NQ30 ①不正接続防止機能の 有効化/無効化 不正ホスト ②不正ホストからの ARPパケットを監視 ③不正ホストからの ARPパケットを検知 ④不正接続を防止するパケットを不正ホスト とセグメント内の端末へ送信 防止には偽装ARPパケットを使用します。 不正ホストかどうかは、集中管理機能利用時はMACアドレスやIPアドレスで、分散管理機能利用時は MACアドレスのみで識別します。 Page 17 © NEC Corporation 2015 接続履歴の可視化機能 V5.0強化 ▐ グラフ表示により、休日や勤務時間外に稼働しているPCの台数や接続時間をひと目で確認すること ができます。 ▐ PCの利用状況を見える化することで、社内資産を有効活用することができます。 接続履歴表示グラフ 日付、時間ごとに 総接続時間を表示 端末ごとに接続状況を表示 ・接続時間 ・起動/終了時間 Page 18 © NEC Corporation 2015 機種別許可設定機能 ▐ 判別した機器種別ごとに自動で接続許可/不許可の設定を行うことができます。 ▐ 自動でサポート切れOSのネットワークへの接続防止や、ルータやスイッチなどネットワーク機器の接続 許可を行うことができます。 端末一覧画面 状態 MACアドレス IPアドレス 機器種別 NG 00:00:00:00:00:01 192.168.0.1 Windows XP OK 00:00:00:00:00:02 192.168.0.2 Windows 7 SP1 OK 00:00:00:00:00:04 192.168.0.4 iOS OK 00:00:00:00:00:05 192.168.0.5 ネットワーク機器 OK 00:00:00:00:00:06 192.168.0.6 Linux Page 19 サポート切れOSを ネットワークから遮断 ネットワーク機器の接続を 自動的に許可 © NEC Corporation 2015 接続ポート検知機能 ▐ 検知した不正PCが接続されているスイッチのIPアドレスとポート番号を収集し、接続してい る場所の特定を容易にします。 通常製品の場合 InfoCage 不正接続防止の場合 人手による調査が必要で 不正なPCが接続された場所の特定に時間が掛かる 不正PCの利用形跡を発見! でもどのフロアで利用されたの か調査が大変... PCが接続されているスイッチのIPアドレスとポート番号を 自動で収集することで迅速な場所の特定が可能 <管理画面-ホスト一覧> MACアドレス IPアドレス … 接続ポート情報 AA:AA:AA:AA:AA:AA 1.1.1.1 … Fa0/1 1.1.1.254 スイッチへ ログインして調査 人手による調査 SNMP通信で 調査 ? 現物確認 Page 20 スイッチアドレス … 管理画面からPCの 接続場所を確認 © NEC Corporation 2015 インテリジェント スイッチ … 接続ポート検知機能(補足) ▐ 接続ポート検知機能が利用可能なスイッチの要件 種別 要件 SNMP SNMPv1、SNMPv2c MIB 標準MIB (※1) ※1:利用するMIBは以下の通りです。 ■ポート情報を取得するために、以下3つのMIBが必要 ・以下のどちらかひとつ dot1dTpFdbPort(BRIDGE-MIB RFC1493) dot1qTpFdbPort(Q-BRIDGE RFC2674) ・ifName(IF-MIB RFC2233) ・dot1dBasePortIfIndex(BRIDGE-MIB RFC1493) ■スイッチ構成情報、スイッチMACアドレス情報を収集する ために(導入時)、以下3つのMIBが必要 ・sysObjectID(SNMPv2-MIB RFC3418) ・ifPhysAddress(IF-MIB RFC2233) ・以下のどちらかひとつ Cisco製(sysObjectIDが"1.3.6.1.4.1.9.~")の場合は entLogicalDescr(ENTITY-MIB RFC2737) 非Cisco製の場合は ipAdEntIfIndex(IP-MIB RFC4293) ▐ 評価済みスイッチ Page 21 機種 ソフトウェアバージョン Cisco Catalyst 2960-24TT-L C2960-LANBASEK9-M 12.2(46)SE Cisco Catalyst 3560-24PS-E C3560-IPSERVICES-M 12.2(25)SEE2 Cisco Catalyst 6503-E s72033_rp-IPSERVICESK9-WAN-M 12.2(33)SXI4 Cisco Catalyst 6506-E s72033_rp-IPSERVICESK9-WAN-M 12.2(33)SXI4 QX-S5124P 3.3.1 QX-S3628TP-BS 3.3.24 QX-S3528C-BS 2.3.17 © NEC Corporation 2015 資産管理製品との連携 ▐ 資産管理製品エージェントの導入済みPCのみネットワークへの接続を許可し、未導 入PCは接続させません。 ▐ 遮断されたPCに対してインストーラを配布することで、エージェントの導入徹底と展開 コストの削減が可能になります。 InfoCage サーバ 遮断されたPCから、Webブラウザを起動するとインストーラダウンロード画面を 自動表示します。インストールが完了後、自動で接続許可となります。 遮断! InterSec/NQ30 資産管理製品エージェント 未導入PC 資産管理製品 サーバ 接続許可 資産管理製品エージェント 導入済PC Page 22 © NEC Corporation 2015 接続許可 Webブラウザ 資産管理製品エージェント 導入済PC 対応製品: LanScope Cat(MOTEX社) SKYSEA Client View(Sky社) InfoCage PC検疫(NEC) 承認申請機能 ▐ 接続が防止されたPC上からネットワークへの接続許可申請を実施することができます。 ▐ ネットワークへの一時接続が管理者を介さず可能になり、承認手順が簡易化されます。 管理者へ事前申請をすることで ネットワークへの接続が許可される 承認作業で管理 工数圧迫... MACアドレスを確認 するのも面倒... 接続不可のため紙や 電話などで接続申請。 接続できるようになるまで 時間もかかる... 出張などの 一時利用者 ③接続許可 ネットワーク 管理者 接続したい時に利用者自身で申請を行うことで ネットワークへの接続が許可される 自PCのWebブラウザを使って スムーズに申請が可能! 承認処理不要! ネットワーク 管理者 出張などの 一時利用者 ①接続防止 ①接続不可 ②承認依頼 Page 23 機能を有効 © NEC Corporation 2015 管理画面から 状況を確認 ②承認申請 InterSec/NQ30 ③接続許可 承認申請機能(補足) ▐ ネットワークへの接続許可申請の実施イメージ ユーザID/パスワードにより承認 WEBの承認申請画面から下記の情報の入力を 受け付けると接続が許可されます。 •ユーザID/パスワード (事前に承認申請用のユーザID/パスワードを作成) ユーザID/パスワード OK 接続許可 ユーザID/パスワード NG 接続拒否 必要情報(氏名等)および、 ユーザID/パスワードを入力 ※運用を簡易化したい場合は、利用者情報(氏名等。カスタ マイズ可)のみの入力で接続を許可することも可能です。 接続許可 必要情報(氏名等)を入力 Page 24 © NEC Corporation 2015 スイッチ連携機能 ▐ インテリジェントスイッチを利用することで、不正接続防止・検知を行うことできます。これにより InterSec/NQ30が不要になります。 ▐ 管理コンソールからスイッチとInterSec/NQ30を一元管理できます。 InterSec/NQ30 スイッチ SiteManager 端末情報収集 SwitchManager NETCONF対応スイッチ、MAC認証 対応スイッチ、SNMP対応スイッチ InterSec/NQ30 未許可端末の接 続を防止 Page 25 © NEC Corporation 2015 タグVLAN対応 ▐ タグVLAN(IEEE802.1Q)を用いて、複数のVLAN(IPブロードキャストドメイン)を構成する環境で も、1台のInterSec/NQ30 で管理可能です。 1台のInterSec/NQ30で複数のセグメントを管理す る場合(タグVLAN対応環境) タグ付きの複数VLANのパ ケットを監視 1台のInterSec/NQ30で1つのセグメント を管理する場合(非タグVLAN環境) InterSec/NQ30b InterSec/NQ30 セグメント L3SW L2SW L2SW 基本は1セグメントに1台の InterSec/NQ30を設置する必要があります。 VLAN-1 •1台のInterSec/NQ30cで最大16個のVLANを管理可能です。 •複数のVLANを管理する場合、“VLANの数-1”の 「InterSec/NQ30 1VLAN追加ライセンス」が必要となります。 VLAN-2 Page 26 © NEC Corporation 2015 InterSec/NQ30の冗長化機能 ▐ InterSec/NQ30に障害が発生した場合に、自動でフェイルオーバーを行い不正接続PCの監視・防 止を継続します。InterSec/NQ30が故障してもセキュリティを維持でき、管理者は緊急対応が不要 になります。 冗長化に対応していないと 冗長化に対応することで InterSec/NQ30が故障すると、不正接続を防止でき ない。リプレースまでの期間セキュリティが低下。 InterSec/NQ30の障害を検知すると自動で 予備機へ切り替え DomainManager SiteManager ①障害を発見 ②ハードウェア 保守対応依頼 障害発生 防止不可 ③現地で リプレース ②設定を配布し 自動で切り替え ①現用系ダウン を検知 障害発生 現用系 フェイル オーバー 待機系 接続防止 1台の待機系で複数台の現用系をカバー可能 Page 27 © NEC Corporation 2015 InterSec/NQ30の冗長化機能(補足) ▐ 1台の待機系で複数台の現用系をカバー可能です。 タグVLAN環境では、異なるVLANを監視している複数のInterSec/NQ30に対し、 待機系のInterSec/NQ30を1台を追加するのみで冗長化構成にすることができます。 監視VLAN VLAN 1 VLAN 2 現用系① 監視VLAN VLAN 3 VLAN 4 監視VLAN VLAN 1 VLAN 2 VLAN 3 VLAN 4 現用系② 現用系①で 障害発生 フェイルオーバー 待機系のInterSec/NQ30にフェイル オーバー後に監視する可能性のある VLANを設定しておく必要があります。 また、設定したVLANで通信ができるト ランクポートにInterSec/NQ30を接続 してください。 待機系 運用系①を引き継いで VLAN 1、 VLAN 2を監視 VLAN 1 Page 28 VLAN 2 © NEC Corporation 2015 VLAN 3 VLAN 4 •登録できるVLAN数 1台のInterSec/NQ30cで最大32個 •現用系のときに監視できるVLAN数 1台のInterSec/NQ30cで最大16個 管理機能のご紹介 Page 29 管理者権限の設定 ホスト情報管理 ホスト情報の自動運用 管理情報出力機能 インポート/エクスポート機能 エージェントの自動バージョンアップ機能 © NEC Corporation 2015 管理者権限の設定 ▐ 管理単位(LANグループ or コンポーネント)ごとにホストの管理や管理権限の設定が可能です。 ▐ 部門の管理者に権限を委譲するなど、効率の良い運用をすることが可能です。 コンポーネント単位 LANグループ単位 DomainManager SiteManager ドメイン管理者/ 参照者 DomainManager :管理範囲 LANグループ LAN LANグループ LAN LAN LAN SiteManager LAN InterSec/NQ30 LANグループ管理者/ 参照者 © NEC Corporation 2015 InterSec/NQ30 LANグループ管理者/ 参照者 管理者:ホスト情報の参照、編集が可能 参照者:参照のみ可能 Page 30 SiteManager サイト管理者/ 参照者 エージェント管理者/ 参照者 ホスト情報管理 ▐ 管理コンソールからエージェントが収集、または手動登録した接続ホスト情報の一覧の閲覧・編集 が可能です。 ▐ 接続可否の判定条件やその適用範囲を柔軟に設定することが可能です。 <集中管理WEBコンソール-ホスト管理画面> •状態: ホストの接続可否(ホストの状態(色))を設定します。 •MACアドレス、IPアドレス: 収集または登録したホストのMACアドレス、IPアドレス情報です。 •識別方式(※): 接続可否を判断する際のキーを設定します。MAC(MACアドレスをキーとする)、IP(IPアドレスをキーとする)、 DHCP(設定したDHCPスコープ内のIPアドレスであるかをキーとする)、および左記の組み合わせから選択できます。 •サイトID、エージェント名(※): 収集または登録した、該当ホストの接続可否が適用されるサイトやエージェントです。 「*(ワイルドカード)」を指定してサイトやエージェントを横断した一括設定も可能です。 ※LANグループで管理単位を設定した場合は、LANグループ名となります。 分散管理では設定できません。分散管理では、ホストの接続可否判断はMACアドレスのみをキーとします。 Page 31 © NEC Corporation 2015 ホスト情報の自動運用 ▐ ホスト情報を削除する日付を指定することで、ホストの接続許可の停止日をあらかじめ設定すること が可能です。 ▐ 最後にホストが検出された日付をもとに、接続許可を制御(ホスト情報を削除、または初期の状態 へ設定)することができます。 時間 許可登録 削除予定日経過 接続を防止 一定期間ネットワークに 未接続 削除予定日を指定した ホスト 状態 識別方式 MACアドレス IPアドレス サイトID エージェント名 最終検出日 削除対象 削除予定日 MAC 00:00:01 1.1.1.1 001 NA1 2010/04/05 YES 2010/04/08 MAC 00:00:02 1.1.2.1 002 NA2 2010/04/01 YES MAC 00:00:03 * * * 2010/04/01 No MAC 00:00:03 1.1.3.1 002 NA3 2010/04/07 YES 状態 日次で自動処理 Page 32 © NEC Corporation 2015 一定期間検出されてい ないホスト 一定期間検出されない場合に削除対 象とするかを選択可能です。 識別方式 MACアドレス IPアドレス サイトID エージェント名 最終検出日 MAC 00:00:03 * * * 2010/04/07 MAC 00:00:03 1.1.3.1 002 NA3 2010/04/07 削除対象 No 削除予定日 「*(ワイルドカード)」指定のホスト情報に YES も最終検出日が反映可能です。 管理情報出力機能 ▐ DomainManagerで検知した、新規ホスト発見件数や不正ホストの接続防止件数などの情報を CSVファイルとして定期的に出力することが可能です。 ▐ 不正接続ホスト数等の増加・減少傾向の把握や管理に役立てることができます。 CSVファイル DomainManager レポート管理画面 Excelなどの表計算ソフト を用いて、データ分析 例)各ネットワークの 不正接続台数推移 Page 33 © NEC Corporation 2015 インポート/エクスポート機能 ▐ ホスト情報をCSVファイルを利用してインポート、エクスポートすることが可能です。 ▐ 資産管理製品から既存資産のPC固有情報を取り込み、InfoCage 不正接続防止が使用す る認証用のデータベースを作成することができます。 OSのスケジューリング機能などを利用して コマンドの定期実行も可能 既存資産の PC固有情報出力 インポート MACアドレス, ・・・, ○○○, ●●●, ・・・, IPアドレス, ・・・, △△△, ▲▲▲, ・・・, 備考 ・・・ □□□ ■■■ ・・・ SiteManager 資産管理製品 CSVファイル 許可済みPC リストの配布 抽出箇所指定 ファイル インポートコマンド・置換コマンドでインポート するCSVファイルの読み取り方法を指定する ことができます。 他製品から出力したCSVファイルのフィールド (項目)の数や順序等に関わらずインポートす ることが可能です。 InterSec/NQ30 許可済みPC (資産管理されているPC) Page 34 © NEC Corporation 2015 未許可PC (資産管理されていないPC) エージェントの自動バージョンアップ機能 ▐ InterSec/NQ30のバージョンアップを、運用形態に合わせて柔軟に実施できます。(自動展開 による一斉適用、手動による段階的な部分適用) 管理しているInterSec/NQ30の一斉 自動バージョンアップが可能 Ver. UP! ・バージョンアップ手順はSiteManagerを バージョアップするのみです。 ②バージョンアップ日時を指定したい 場合は、エージェント毎に指定 SiteManager InterSec/NQ30をそれぞれ指定した 日時に自動バージョンアップさせるこ とが可能 ・エージェント毎にバージョンアップさせる日 時を指定して、段階的な部分適用が可能 になります。 4/10 0:30 Ver. UP! InterSec/NQ30 © NEC Corporation 2015 4/12 21:30 Ver. UP! Agent1 Page 35 ①SiteManagerをバージョンアップ。 Agent2 InterSec/NQ30 バージョンアップ日時 Agent1: 2010/04/10 00:30 Agent2: 2010/04/12 21:30 保留 Agent3 InterSec/NQ30 ③一斉(1時間以内) またはスケジュールし た日時にバージョン アップモジュールが 配布され、自動バー ジョンアップ スイッチ連携 機能のご紹介 Page 36 © NEC Corporation 2015 スイッチ連携機能とは ▐ 各セグメントに InterSec/NQ30を設置せずに、インテリジェントスイッチとの連携によって端末情報 の収集、不正接続端末の監視・防止を行うことができます。 ▐ スイッチ管理用エージェント SwitchManagerをSiteManagerに登録し、管理対象スイッチの機能を 利用することで、スイッチ配下のホストを検知し、不正接続防止します。 スイッチで収集したMACアドレスを一元管理 SiteManager 【MAC認証方式】 スイッチのARPテーブルからMACアドレスを 自動収集 不正接続端末はRADIUSの認証ログで検出 SwitchManager L3スイッチ 【NETCONF方式】 スイッチの学習MACテーブルから MACアドレスを自動収集 L2スイッチ Page 37 © NEC Corporation 2015 スイッチ連携機能 連携方式について ▐ ご利用のネットワークスイッチと、連携方式の関係は以下の通りです。 NETCONF(※1)方式 • NETCONFを利用した制御機能で端末が所属するVLANを動的に切り替え、不正接続PCをネットワー クから隔離します。MACアドレスによる認証を行います。 • 端末接続先スイッチが特定できます。(スイッチIPアドレス、接続ポート情報を取得可能) • 対応スイッチ:IP8800/Sシリーズ ※1 NETCONF(NETwork CONFiguration) :ネットワーク機器を制御するための通信プロトコル MAC認証方式 • スイッチなどが端末を認証する方式の一つで、MACアドレスをユーザアカウントとして使用することで 、接続された端末のMACアドレスごとに認証を行います。 認証されたMACアドレスを持つ端末のみ ネットワークを使用することができます。 • 対応スイッチ:MACアドレス認証に対応したスイッチ (IP8800/Sシリーズ、QXシリーズ、IXシリーズ(※2)、Catalystシリーズなど) 検知のみ • ネットワーク制御は行いません。ネットワーク接続機器の情報収集のみを行います • 対応スイッチ:SNMP通信に対応したスイッチ (IP8800/Sシリーズ、QXシリーズ、IXシリーズ(※2) 、Catalystシリーズなど) ※2 IX1000シリーズは対象外 Page 38 © NEC Corporation 2015 スイッチ連携機能(NETCONF方式の隔離) ~ 隔離の仕組み ~ ⑤ホスト情報を管理コ ンソールに表示 管理者 ホストがスイッチのどのポートに 接続したかまで特定! SiteManager ①不正接続防止機能の 有効化/無効化 ③スイッチから学習したMAC アドレス情報を取得 SwitchManager ④登録されていないMACアドレス を見つけた場合、スイッチにMAC アドレスを登録しVLAN隔離 IP8800/S ②スイッチが接続され た端末のMACアドレ スを学習 Page 39 © NEC Corporation 2015 不正ホスト スイッチ連携機能(MAC認証方式の遮断) ~ 遮断の仕組み ~ ④ホスト情報を管理コ ンソールに表示 管理者 MAC認証に失敗したホストの情 報も取得し、確認可能! SiteManager SwitchManager RADIUSサーバ(※) ①MAC認証機能の 有効化/無効化 ※Windowsサーバ標準のRADIUSサーバ機能を利用します。 ②MACアドレスを認証 不正ホスト MAC認証対応スイッチ ③承認されていないホストは 認証失敗とし、ポート遮断 Page 40 © NEC Corporation 2015 スイッチ連携機能での柔軟な運用 ▐ スイッチを利用した従来運用(※1)に比べ、端末管理の運用性が向上します。 • 【従来】 MACアドレス情報の手動入力・手動管理 • 【導入後】 MACアドレス情報を自動収集し、1つの管理コンソールで一元管理 ▐ NQの段階導入と同様、情報収集から始めて段階的な拡張をすることも可能です。 ※1:インテリジェントスイッチとRADIUSを利用したMACアドレス認証 スイッチのアイコン メリット1:運用コスト小 運用管理操作は管理コンソールのみ メリット2:段階導入可能 まずは収集だけ行い、一定期間後未承認端末 を通信制御する運用に変更することが可能 メリット3:スイッチ毎の権限付与可能 不正PC 接続防止有効 Page 41 © NEC Corporation 2015 IP8800/Sであればスイッチ毎にMACアドレ ス管理が可能 スイッチ連携機能要件 【スイッチ別 動作可能方式】 スイッチ機種 動作可能方式 IP8800/Sシリーズ NETCONF、MAC認証、検知のみ Catalyst MAC認証(※1)、検知のみ QXシリーズ MAC認証、検知のみ ※1 旧IOSでは1ポートで認証でき る端末数に上限がある場合が あります。IOSのバージョンが 12.2(52)SE以前である場合 は事前にお問合せ下さい。 IXシリーズ(※2) MAC認証、検知のみ ※2 IX1000シリーズは対象外 【必須要件】 ソフトウェア 必須(方式共通) MAC認証 集中管理 ・SiteManager ・SwitchManager ・NPS(NetworkPolicyServer) ・Active Directory (※3、※4) ・DomainManager SNMPv1およびRFC1213_MIB SNMP 【最大収容数】 管理スイッチ数/1SwitchManager 100台 管理ホスト数/ 1SwitchManager 10000クライアント Page 42 © NEC Corporation 2015 ※3 MAC認証にはRADIUS機能の利用が必要です。 Windows Server標準のNPS(Network Policy Server) +ADを使用して下さい。 ※4 1サーバでスイッチを50台以上管理する場合、 Windows Server 2008,2008 R2を利用するには Enterprise Editionを選択する必要があります。 (OSのRadiusクライアント制限) スイッチ連携機能 InterSec/NQ30との要件比較 ▐ 不正PCの接続防止の手段は異なりますが、不正PC接続防止機能はどちらも持っています。 ▐ 「セグメント毎のエージェント配置」 or 「インテリジェントスイッチ導入」 の選択が必要になります。 比較項目 スイッチ連携 NETCONF方式 MAC認証方式 セグメント毎のエージェント配置 構成 ネットワーク環境 主な収集情報 機能 管理権限割当て単位(※3) 状態変更 時の動作 不要 要 インテリジェントスイッチが必要 スイッチに認証設定が必要 要件無し MACアドレス、IPアドレス 接続スイッチ、接続ポート 不正接続防止の識別キー 不正PCの制御手段 設定の反映(青→赤) (赤→青) 遮断解除時、端末側の復旧操 作 NQ MACアドレス、IPアドレス MACアドレス MACアドレス、IPアドレス ホスト名 MACアドレス、IPアドレス 特定VLANへ隔離 端末ごと(送信元MACアド レスで識別)に認証 偽装ARPで通信妨害 スイッチ単位 SwitchManager単位 InterSec/NQ30単位 次回ポーリング(※1)後 再認証時(※2) 即時 PC再起動 (もしくはIPアドレス再取得) ネットワーク再接続 即時 (※1)ポーリング:スイッチに対して行う定期的な状態問い合わせ (※2)スイッチによってタイミングは異なります。 (※3)SiteManagerが管理するエージェントの単位となります。 Page 43 © NEC Corporation 2015 構成例 小規模向け提案 中規模・大規模向け提案 Page 44 © NEC Corporation 2015 小規模向け提案 intersec NQ30 オフィス全体で数セグメント 端末数は数台から数百台程度 見積もり概算(1セグメントの例) 製品名 個数 単価 InfoCage 不正接続防止 V5.0 Lite リモートコンソール 1 ¥145,000 ¥145,000 InterSec/NQ30c 1 ¥178,000 ¥178,000 合計 ¥323,000 Page 45 © NEC Corporation 2015 価格(税別) 中規模・大規模オフィス向け提案 端末数は数百台から数千台程度 ルータやL3スイッチを使用して部署ごと にセグメントを設置 タグVLAN対応機能を利用し、1台の InterSec/NQ30で複数VLANを監視 SiteManager intersec NQ30 intersec NQ30 intersec NQ30 見積もり概算(10セグメント+タグVLAN×40の例) 製品名 個数 単価 価格(税別) InfoCage 不正接続防止 V5.0 メディアキット 1 ¥20,000 ¥20,000 InfoCage 不正接続防止 V5.0 SiteManager 1ライセンス 1 ¥290,000 ¥290,000 InterSec/NQ30c 10 ¥178,000 ¥1,780,000 InfoCage 不正接続防止 V5.0 10VLAN追加ライセンス 1 ¥900,000 ¥900,000 InfoCage 不正接続防止 V5.0 30VLAN追加ライセンス 1 ¥2,700,000 ¥2,700,000 合計 ¥5,690,000 Page 46 © NEC Corporation 2015 付録 Page 47 © NEC Corporation 2015 導入実績 ▐ 2002年12月の発売以降、官公庁、製造、流通業など業種を問わず約1100社の導入 実績があります。 ▐ NECグループの全セグメント(約7,000)に10万台規模で現在運用中です。 業種 企業名 製造・プロセス業 P社、K社、O社、S社、M社、D社 ・・・ 流通サービス業 K社、B社、I社、F社 情報サービス産業 O社、C社、S社・・・ 電力・通信・放送業 T社、N社、M社、Oテレビ、B新聞社、P印刷、I電力、電話会社、 建設業 O社、A社・・・ 金融・証券業 U証券、S証券、N証券、A信金、M信金・・・ 学校 O大学、Z高校、A研究所、独立行政法人・・ 省庁・公共 ○省、T市役所、Y市水道局、○農政局、I町役場、○県警・・・ その他 鉄道会社、製薬会社、病院、旅行会社、運送会社、消防所・・ ・・・ 大規模環境の実績 A社(サービス業) ・・・ 435セグメント、49,000端末 B社(サービス業) ・・・ 270セグメント、40,000端末 C社(通信) ・・・ 600セグメント、45,000端末 Page 48 © NEC Corporation 2015 導入事例:製造業A社様 ▐ IPv4セグメントだけでなく、部分的に導入していたIPv6セグメントについても同様に接続 機器の管理と不正接続防止を実現 導入イメージ 導入の背景 ・セキュリティ対策として、登録外の端末の接続を制 限したい。 ・IPv6対応製品を開発しているため、部分的にIPv6 セグメントが存在している。 ・IPv4通信については接続制限を実施しているが、 IPv6通信についても同様の対策が急務。 選定理由と効果 ・類似製品は多くあるが、IPv4に加えてIPv6に対応 していたことが最大のポイント。 ・Windows 7は標準でIPv6が有効になっていることを 知り、従来の対策では不十分であることに気づいた が、本製品の導入により解決できた。 ・IPv6機器が予想以上に存在することが分かった。 MACアドレス IPアドレス IPv6 アドレス 0A:00:01:0A:00:01 1.1.1.1 2001:1234::1 0A:00:01:0A:00:02 1.1.1.2 2001:1234::2 管理コンソール 管理サーバ InterSec/NQ30 IPv4セグメント IPv6通信 未許可PC IPv6セグメント IPv4通信 未許可IPv6 機器 許可済IPv6 機器 10拠点、100セグメントを統合管理 Page 49 © NEC Corporation 2015 導入事例:医療法人B病院様 ▐ ネットワーク内の端末をInterSec/NQ30で見える化、医師や職員の勝手な機器の持ち込 みを制限。 導入イメージ 導入の背景 ・医師や職員が勝手に私有のPCやタブレットを接続 している状況のため、情報漏洩事故の不安を感じて いた。 ・ネットワークの使用ルールを徹底したいが、医師の 権限が強く、運用での対策が困難なため、システム での対策の必要性を感じていた。 院内ネットワーク InterSec/NQ30 効果 管理サーバ 私有PC 1台のInterSec/NQ30で 10セグメントを管理 台帳作成 ・許可された端末以外は接続ができなくなることで、 自然と私有機器の持ち込みはなくなった。結果、情 報漏えい事故のリスクもなくなり、安心してネットワー ク管理ができている。 Page 50 © NEC Corporation 2015 私有スマートフォン 接続端末一覧 MACアドレス IPアドレス OS種別 コンピュータ名 0A:00:01:0A:00:01 1.1.1.1 Windows HOST001 0B:00:02:0B:00:02 1.1.1.2 Windows HOST002 0C:00:03:0C:00:03 1.1.1.3 iPhone iPhone001 導入事例:金融業C社様 ▐ InterSec/NQ30とスイッチ連携を併用することで、小規模の店舗についても本社と同様 のセキュリティレベルを安価に実現。 導入イメージ 導入の背景 ・数十セグメントある本社に加えて、600以上の店舗 からなるネットワーク構成となっているが、各店舗に 勝手にPCが接続されている痕跡あった。 ・本社に加えて、不正に接続しているPCを検出でき る仕組みを全ての店舗に導入したい。ただし、PCが 3台のみの小さな店舗もあり、全ての店舗にセンサー を置く構成は費用が高額になるため避けたい。 選定理由と効果 ・複数社の製品を選定して見積もりを依頼したが、 小さい店舗にはセンサーを置かずに安価に導入する ことができたのはNECのみ。 ・センサーでの管理とスイッチを利用しての管理を併 用することで、全ての店舗にシステムを導入すること ができた。管理も画面一つで統合管理することがで き、想定より簡単に運用ができている。 Page 51 © NEC Corporation 2015 MACアドレス IPアドレス エージェント名 0A:00:01:0A:00:01 1.1.1.1 InterSecNQ30 0B:00:02:0B:00:02 1.1.1.2 InterSecNQ30 0E:00:05:0E:00:05 1.1.1.5 SwitchManager 管理サーバ 管理コンソール 管理サーバ 600店舗 ルータ 持ち込みPC 店舗ネットワーク InterSec/NQ30 持ち込みPC 本社セグメント 600拠点含む、計700セグメントを統合管理 InterSec/NQ30b、NQ30c比較表 InterSec/NQ30c InterSec/NQ30b 型番 N8100-1400Q N8100-1200Q N8100-1300Q 希望小売価格(税別) ¥178,000 ¥187,000 1台のInterSec/NQ30で管理可能なホスト数(※1) 4,000件(V3.8以上) 2,000件(V3.6~V3.7) 1,000件(~V3.4)(※2) 2,000件(V3.6~) 1,000件(~V3.4) 1台のInterSec/NQ30に登録可能な承認ポリシーの数 100,000件 60,000件 「タグVLAN対応機能」で監視可能なVLAN数 16個 8個 「NQ冗長化機能」で待機系NQに設定できるVLANイン ターフェースの数 32個 16個 電源スイッチ 有り(電源スイッチ押下でシャットダウンが可能) 電源ケーブルを挿したときは自動起動(ボタン押下 は不要) 無し(電源OFFはシャットダウンコマンドまたは電源ケー ブルの抜去) 使用可能なUSBバージョン 2.0 1.1、2.0(※3) 工場出荷時のバージョン 2.2~3.8(※4) N8100-1200Q:2.2h N8100-1300Q:3.1g NQ30の日時指定バージョンアップ機能 V3.8より利用可能(※5) V3.7より利用可能 (※1)一日に検出したMACアドレス数(目安としてホスト一覧の最終検出日がその日になっているものの件数)が該当します。 (※2)サーバレスのLite版を利用する場合は1台のInterSec/NQ30で管理可能なホスト数が1,000件となります。 (※3)USB2.0のUSBメモリを接続した場合、USB1.1として動作します。 (※4)バージョン2.2から3.8に対応するモジュールがプリインストールされています。ダウングレードする初期化を実施するとバージョンはV2.2となります。 (※5)工場出荷時のNQ30cをV2.2~V3.8のSiteManagerに接続するときは、NQ30cはバージョンアップ機能は使われずに適切なバージョンが自動認識されます。 基本的な運用方法、NQのパラメータの設定方法につきましては差分はありません。 Page 52 © NEC Corporation 2015 動作環境 (DomainManager/SiteManager) DomainManager OS CPU メモリ ディスク 備考 Page 53 ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows Server Server Server Server Server Server Server Server Server Server Server Server Server Server Server Server 2003 2003 2003 2003 2003 2003 2008 2008 2008 2008 2008 2008 2012 2012 2012 2012 Standard Edition(SP2) R2 Standard Edition(SP2) Enterprise Edition(SP2) R2 Enterprise Edition(SP2) R2 Standard x64 Edition (SP2) R2 Enterprise x64 Edition (SP2) Standard(SP1、SP2) Enterprise(SP1、SP2) Standard x64(SP1、SP2) Enterprise x64(SP1、SP2) R2 Standard(SPなし、SP1) R2 Enterprise(SPなし、SP1) Standard(SPなし) Datacenter(SPなし) R2 Standard(SP なし) R2 Datacenter(SP なし) SiteManager ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows ・Windows Server 2003 Standard Edition(SP2) Server 2003 R2 Standard Edition(SP2) Server 2003 Enterprise Edition(SP2) Server 2003 R2 Enterprise Edition(SP2) Server 2003 R2 Standard x64 Edition (SP2) Server 2003 R2 Enterprise x64 Edition (SP2) Server 2008 Standard(SP1、SP2) Server 2008 Enterprise(SP1、SP2) Server 2008 Standard x64(SP1、SP2) Server 2008 Enterprise x64(SP1、SP2) Server 2008 R2 Standard(SPなし、SP1) Server 2008 R2 Enterprise(SPなし、SP1) 7 Professional(SPなし、SP1) 7 Professional x64(SPなし、SP1) 7 Ultimate(SPなし、SP1) 7 Ultimate x64(SPなし、SP1) 7 Enterprise (SPなし、SP1) 7 Enterprise x64(SPなし、SP1) Server 2012 Standard(SPなし) Server 2012 Datacenter(SPなし) Server 2012 R2 Standard(SP なし) Server 2012 R2 Datacenter(SP なし) Intel(R) Xeon(R) CPU E5502 @ 1.87GHz相当以上 Intel(R) Xeon(R) CPU E5502 @ 1.87GHz相当以上 2GB以上 2GB以上 40GB以上の空き容量 分散管理の場合:150MB以上の空き容量 小規模管理の場合:40GB以上の空き容量 ・.NET Framework 3.5 SP1 必須 ・Windows Installer 4.5 以降必須(Windows Server 2008 以降は標準 でインストール済) ・Web コンソールの対応ブラウザはInternet Explorer 7/8/9/10/11 ・小規模管理モードを利用する場合は、DomainManagerの動作環境を満 たすこと © NEC Corporation 2015 動作環境 (RemoteConsole) RemoteConsole 32bit Windows Windows Windows Windows Windows Windows Windows 7 Professional(SPなし、SP1) 7 Ultimate(SPなし、SP1) 7 Enterprise(SPなし、SP1) 8 Pro(SPなし) 8 Enterprise(SPなし) 8.1 Pro(SPなし) 8.1 Enterprise(SPなし) OS 64bit Windows Windows Windows Windows Windows Windows Windows 7 Professional(SPなし、SP1) 7 Ultimate(SPなし、SP1) 7 Enterprise(SPなし、SP1) 8 Pro(SPなし) 8 Enterprise(SPなし) 8.1 Pro(SPなし) 8.1 Enterprise(SPなし) CPU 1.87GHz以上 メモリ 1GB以上 ディスク 150MB以上の空き容量 Page 54 © NEC Corporation 2015 動作環境 (スイッチ連携オプション) SwitchManager OS Windows Server 2003 Standard Edition SP2 Windows Server 2003 Enterprise Edition SP2 Windows Server 2003 R2 Standard Edition SP2 Windows Server 2003 R2 Enterprise Edition SP2 Windows Server 2008 Standard SP2 Windows Server 2008 Enterprise SP2 Windows Server 2008 Standard x64 SP2 Windows Server 2008 Enterprise x64 SP2 Windows Server 2008 R2 Standard SP1 Windows Server 2008 R2 Enterprise SP1 Windows Server 2012 Standard(SP なし) Windows Server 2012 Datacenter(SP なし) Windows Server 2012 R2 Standard(SP なし) Windows Server 2012 R2 Datacenter(SP なし) ※日本語版OSのみ対応 CPU Intel(R) Xeon(R) CPU E5502 @ 1.87GHz相当以上 メモリ 2GB 以上 ディスク 1.1GB以上の空き容量 備考 ・下記のいずれかがインストールされていること Java Runtime Environment Version 6 Java Runtime Environment Version 7 Page 55 © NEC Corporation 2015 価格 (本体) 【センサー】 製品名 InterSec/NQ30c 希望小売価格(税別) ¥ 178,000 月額保守料 ハードウェア: ¥800 ソフトウェア: ¥1,700 ※ハードウェア保守は製造日より1年間が無償保証期間となります。 【メディアキット・ライセンス(通常版)】 製品名 InfoCage 不正接続防止 V5.0 メディアキット InfoCage 不正接続防止 V5.0 SiteManager 1ライセンス 希望小売価格(税別) 月間保守料(税別) ¥20,000 ー ¥290,000 ¥3,700 【メディアキット・ライセンス(Lite版)】 製品名 InfoCage 不正接続防止 V5.0 Lite リモートコンソール 希望小売価格(税別) ¥145,000 月間保守料(税別) ¥1,900 【オプション】 製品名 InfoCage 不正接続防止 V5.0 DomainManager 1ライセンス 希望小売価格(税別) ¥500,000 月間保守料(税別) ¥18,800 【補足説明】 • メディアキットには、DomainManager、SiteManager、SwitchManagerの媒体を含みます。 • 通常版の場合、InterSec/NQ30cが30台を超える環境では、DomainManagerライセンスが必要となります。 • 1台のSiteManagerで、InterSec/NQ30cを400台まで管理可能です。 Page 56 © NEC Corporation 2015 価格 (VLAN追加ライセンス) 【VLAN追加ライセンス】 製品 希望小売価格(税別) 月間保守料(税別) InfoCage 不正接続防止 V5.0 1VLAN追加ライセンス ¥90,000 ¥1,700 InfoCage 不正接続防止 V5.0 3VLAN追加ライセンス ¥270,000 ¥5,100 InfoCage 不正接続防止 V5.0 10VLAN追加ライセンス ¥900,000 ¥17,000 InfoCage 不正接続防止 V5.0 30VLAN追加ライセンス ¥2,700,000 ¥51,000 InfoCage 不正接続防止 V5.0 100VLAN追加ライセンス ¥9,000,000 ¥170,000 【補足説明】 • タグVLAN環境では1台のInterSec/NQ30で複数のVLANを監視することができます。その場合、”監視 するVLAN数-1”の 「VLAN追加ライセンス」 が必要です。 • InterSec/NQ30cは1台で16VLANまで管理可能です。 (例)1台のNQで7つのタグVLAN環境を監視する場合、以下の製品が必要です。 ・ InterSec/NQ30 :1台 ・ InterSec/NQ30 3VLAN追加ライセンス : 2つ Page 57 © NEC Corporation 2015 価格 (スイッチ連携オプション) 【スイッチ連携オプションライセンス】 製品 希望小売価格(税別) 月間保守料(税別) InfoCage 不正接続防止 V5.0 スイッチ連携オプション 1セグメントライセンス ¥90,000 ¥1,200 InfoCage 不正接続防止 V5.0 スイッチ連携オプション 3セグメントライセンス ¥270,000 ¥3,400 InfoCage 不正接続防止 V5.0 スイッチ連携オプション 10セグメントライセンス ¥900,000 ¥11,300 InfoCage 不正接続防止 V5.0 スイッチ連携オプション 30セグメントライセンス ¥2,700,000 ¥33,800 InfoCage 不正接続防止 V5.0 スイッチ連携オプション 100セグメントライセンス ¥9,000,000 ¥112,500 【補足説明】 •スイッチ連携機能で管理するセグメント数分のスイッチ連携オプションライセンスが必要です。 監視するクライアント台数分の購入が必要なクライアントライセンスもございます。 •スイッチ連携を利用する際のSwitchManagerの構成については、ご利用になる環境の情報を添えて ご相談ください。 •1台のSwitchManagerに、100台までのスイッチを登録できます。 •目安として、1台のSwitchManagerで10,000件程度のホストを管理可能です。 Page 58 © NEC Corporation 2015 製品ご紹介サイト/お問い合わせ先 ▐ 製品ご紹介サイト/お問い合わせ先 http://jpn.nec.com/infocage/prevention/index.html お問い合わせ・資料請求は こちらから受け付けております。 Page 59 © NEC Corporation 2015 Page 60