Comments
Description
Transcript
導入パターン別でわかる! セキュリティ基盤の最適な構成
導入パターン別でわかる! セキュリティ基盤の最適な構成 マイクロソフト株式会社 2-1 セキュリテゖ基盤構築 本資料は、Microsoft® Office PowerPoint® 2007 で作成しています。 拝啓 ますますご清祥のこととお慶び申し上げます。 平素は弊社製品をご愛顧賜り、厚く御礼申し上げます。 さて、このたびはセキュリティ基盤の最適な構成に関するご提案の機会を賜り、 誠にありがとうございます。 今日、急速に変化する社会環境に対応し、質の高いサービスを提供するために、 その活動を支えるコンピューティング システムにおいても、迅速性、柔軟性、 経費削減と同時に、セキュリティ対策やコンプライアンスへの対応が強く求めら れています。 今回、弊社がご提案させていただくテクノロジは、まさにこれらの課題を解決す ると共に、 ビジネスの発展に貢献するものと確信しております。 つきましては、本提案書の内容をご高覧のうえ、ご検討賜りますようお願い申し 上げます。 敬具 マイクロソフト株式会社 セキュリティ基盤を構築する3つのパターン パターン1:デスクトップ統制 PC を大量に展開したものの、ユーザーごとに デスクトップ環境が異なるため、セキュリテゖ 対策の一環として PC 環境を標準化したい。 パターン2:更新プログラム管理 複数拠点に配置した PC に対して、効率的かつ 確実に更新プログラムを配布して管理したい。 パターン3:ネットワーク資源の保護 内部/外部からのネットワークの脅威に対して、 無防備であるサーバーや PC 群を効果的に保 護したい。 Active Directory® とグループ ・・P2 ポリシーで PC を統制 Windows Vista™ の最新テク ノロジで強固な PC を標準化 ・・P3 WSUS と ISA Server による 効率的な更新プログラム配布 ・・P4 SMS 2003 と MOM 2005 で ・・P5 高度かつ安定した管理を実現 ISA Server 2006 で安全な ネットワーク環境を実現 Forefront™ でサーバー群を 保護しながら安全に公開 ・・P6 ・・P7 1 パターン1:デスクトップ統制<その1> Active Directory とグループ ポリシーで PC を統制 <構成例:PC 500台> Active Directory の標準機能だけで、組織内の デスクトップ環境を統制できます。 強固なセキュリテゖ基盤を構築する第一歩です。 ドメイン コントロー ラ ドメイン コントローラ ドメン コントローラを 2 台設置することで、 高いコストをかけることなく認証基盤の可用性 を向上できます。 セキュリティ ポリシーの 一括適用 <セキュリティ ポリシー例> パスワード規則の一括適用 USB 記憶デバスの使用禁止 暗号化フゔル システムの一括適用 特定のサービスの停止 特定のゕプリケーション実行の禁止 Windows フゔゕウォールの制御 コントロール パネルの使用制限 スクリーン セーバー ロックの一括適用 Office のセキュリテゖ設定 Internet Explorer® の初期設定 (プロキシ、セキュリテゖ設定 等) グループ ポリシー 管理コンソール(GPMC) Windows XP Windows Vista コンピュータごとのポリシー 構成例参考価格 一式 ユーザーごとのポリシー ¥1,814,400- 構成例:Windows Server 2003 R2 Standard Edition×2、Windows Server 2003 CAL×500 クラゕント PC は 500 台を想定しております。 クラゕント PC の Windows OS、Office の価格は含まれておりません。 表記価格は参考価格です。( 2007 年 1 月現在) ラセンス価格は、Select/GOLP の価格レベル A の新規ラセンス( L )で算出しております。 民間の企業様は Select 、官公庁様は Government Open License( GOLP )のご契約が必要です。 2 パターン1:デスクトップ統制<その2> Windows Vista の最新テクノロジで強固な PC を標準化 <構成例:PC 500台> セキュリテゖ機能が大幅に強化されたWindows Vista の最新メージ作成技術と 、Windows 展 開サービス(WDS)を利用することで、セキュ リテゖに強い PC を標準化でき、管理者の手を煩 わすことなく自動で展開できます。 Windows Vista に よる標準メージの 作成 Windows Vista (標準 PC) 作成したメージは PC の機種に依存せず汎用的 に適用できるため、機種ごとにメージを作成し たり管理する必要はありません。 ドメイン コントローラ 展開イメージ ファイル ドメイン コントローラ 兼 DHCP サーバー 自動応答ファイル 展開用サーバー (WDS) 展開用サーバー への標準メー ジ登録 <Windows Vista 搭載のセキュリティ機能> 進化した Windows ファイアウォール ⇒ Inbound/Outbound 通信のネットワーク制御 Windows Defender ⇒ リゕルタム保護機能による、スパウェゕや迷惑な ソフトウェゕの削除 展開用サーバーか らの標準メージ の自動展開 User Account Control (UAC) ⇒ 不正ゕプリケーションの侵入や実行の防止 Windows Vista Windows Vista BitLocker Drive Encryption ⇒ システム ボリューム全体の暗号化による、情報 漏えい対策 ※Windows Vista Enterprise のみ 構成例参考価格 一式 ¥1,896,600- 構成例:Windows Server 2003 R2 Standard Edition×3、Windows Server 2003 CAL×500 クラゕント PC は 500 台を想定しております。 クラゕント PC の Windows OS、Office の価格は含まれておりません。 表記価格は参考価格です。( 2007 年 1 月現在) ラセンス価格は、Select/GOLP の価格レベル A の新規ラセンス( L )で算出しております。 民間の企業様は Select 、官公庁様は Government Open License( GOLP )のご契約が必要です。 3 パターン 2:更新プログラム管理<その1> WSUS と ISA Server による効率的な更新プログラム配布 <構成例:PC 500台、Active Directory 導入済み> Windows Server Update Services(WSUS)と Active Directory のグループ ポリシーを利用すれ ば、PC ごとの更新プログラム適用をエンド ユー ザー任せにすることなく管理者が一元的に制御で き、自動的に適切な更新プログラムを PC に展開 することができます。 また、サーバー ラセンスのみで構築できる Internet Security & Acceleration(ISA)Server 2006 と WSUS を組み合わせることで、より効率 的かつ安価な更新プログラム展開が実現できます。 Microsoft Updateサト 更新プログラム群 ドメン コントローラ WSUS サーバー キャッシュによる 帯域幅削減 ISA Server 2006 設定の一括適用 Windows XP Office 2003 キャッシュされた 更新プログラム群 Windows Vista Office 2007 ISA Server のBITS キャッシュによる 拠点間の帯域幅削減 他拠点 キャッシュされた 更新プログラム群 <Active Directory による一括設定> ISA Server 2006 各 PC における WSUS の構成を、Active Directory の 標準機能であるグループ ポリシーで一括設定が可能 POINT <キャッシュによるダウンロードの高速化> ISA Server 2006 の BITS *キャッシュ機能により、更新 プログラムの配布で使用するネットワーク帯域を削減でき、 ダウンロードを高速化することが可能 * BITS : Background Intelligent Transfer Service HTTP 通信における帯域幅制御やレジューム機能を提供 Windows 2000 Office XP Windows Vista Office 2007 構成例参考価格 一式 一度クラゕントがダウンロードした更新プ ログラムは ISA Server に キャッシュされ、 2 台目からは ISA Server からダウンロード します。 ¥561,800- 構成例:ISA Server 2006 Standard Edition×2、Windows Server 2003 R2 Standard Edition×3 Active Directory は導入済みと想定しております。 クラゕント PC は 500 台を想定しております。 クラゕント PC の Windows OS、Office の価格は含まれておりません。 表記価格は参考価格です。( 2007 年 1 月現在) ラセンス価格は、Select/GOLP の価格レベル A の新規ラセンス( L )で算出しております。 民間の企業様は Select 、官公庁様は Government Open License( GOLP )のご契約が必要です。 4 パターン 2:更新プログラム管理<その2> SMS 2003 と MOM 2005 で高度かつ安定した管理を実現 Systems Management Server(SMS)2003 を 利用すれば、更新プログラムの適用をより的確に 実施できると共に、取得したンベントリ情報や レポートを利用することで PC の資産管理にも活 用できます。 Microsoft Operations Manager(MOM)2005 を利用してすべてのサーバー資源を監視すること で、システム全体の信頼性を向上させ、安定した セキュリテゖ基盤が実現できます。 <SMS 2003 の特長> <構成例:PC 500台、Active Directory 導入済み> Microsoft Updateサト 更新プログラム群 ドメン コントローラ SMS 2003 MOM 2005 サト サーバー 兼 ンベントリ データベース サーバー監視 Windows Vista Office 2007 充実したレポート 他拠点 SMS 2003 Microsoft Update と同じエンジンを利用 Windows 2000 Office 2000 SMS 配布 ポント ⇒ 効率的かつ確実な更新プログラムの適用 モバイル端末の対応 ⇒ 拠点間を移動する PC への確実な更新プログラム適用 ※オフラン端末のンベントリ情報収集も可能 充実したレポート機能 ⇒ 適用状況の把握と効果的な分析/報告が実現 更新プログラム未適用の PC を自動発見し強制適用 ⇒ 運用負荷を増大させずに適用率を向上 Windows Update Services(WSUS)が対応して いないプログラムの配布と削除 Windows XP/Office XP 管理者が SMS クラ ゕント機能により ユーザーにゕナウン スすることが可能 構成例参考価格 一式 モバル端末へ の確実な更新プ ログラムの適用 ¥3,641,400- 構成例: SMS 2003 R2 Enterprise Edition w/SQL×1、SMS CML×500、MOM 2005 Enterprise Edition w/SQL×1、MOM Enterprise OML×3、Windows Server 2003 R2 Standard Edition×3 Active Directory は導入済みと想定しております。 クラゕント PC は 500 台を想定しております。 クラゕント PC の Windows OS、Office の価格は含まれておりません。 表記価格は参考価格です。( 2007 年 1 月現在) ラセンス価格は、Select/GOLP の価格レベル A の新規ラセンス( L )で算出しております。 民間の企業様は Select 、官公庁様は Government Open License( GOLP )のご契約が必要です。 5 パターン 3:ネットワーク資源の保護<その1> ISA Server 2006 で安全なネットワーク環境を実現 Internet Security & Acceleration(ISA)Server 2006 を利用すれば、プロキシ キャッシュとしてだ けでなく、不正ゕクセスや攻撃から PC やサーバー を保護できます。 また、通信ログを SQL Server 2005 に格納すれば、 Web ゕクセスを監査/分析することができます。 Microsoft Operations Manager(MOM)2005 で ISA Server 群を監視することで、ンターネット 通信の信頼性を向上させ、安全なネットワーク環境 が実現できます。 <ISA Server 2006 の特長> Active Directory との親和性 ⇒ ログに Active Directory ユーザーが記録されることで、 Web ゕクセス監査を効果的に実施可能 <構成例:PC 500台、Active Directory 導入済み> ドメン コントローラ ISA Server 2006 MOM 2005 拠点間 VPN を安価に実現 ⇒ VPN 装置を使用することなく、安全な拠点間接続が可能 ファイアウォール クライアントによる通信保護 ⇒ PC – ISA Server 間の通信を暗号化 サーバー監視 ログに 保存 ネットワーク 負荷分散 ISA Server 2006 大容量のログから の分析レポート Windows Vista ネットワーク 負荷分散 安全かつ安価な ISA Server 2006 による拠点間 VPN 他拠点 フゔゕウォール クラゕントによ る安全な暗号通信 ISA Server 2006 ネットワーク 負荷分散 ネットワーク負荷分散による可用性の向上 ⇒ 予期せぬサーバー障害の際にも Web ゕクセスを継続 ※ Enterprise Edition のみ Internet SQL Server 2005 Windows XP 構成例参考価格 一式 Windows 2000 ¥6,176,500- 構成例: ISA Server 2006 Enterprise×6、SQL Server 2005 Standard×1、MOM 2005 Enterprise w/SQL×1、MOM 2005 Enterprise OML×8、Windows Server 2003 R2 Standerd×8 Active Directory は導入済みと想定しております。 クラゕント PC は 500 台を想定しております。 クラゕント PC の Windows OS、Office の価格は含まれておりません。 表記価格は参考価格です。( 2007 年 1 月現在) ラセンス価格は、Select/GOLP の価格レベル A の新規ラセンス( L )で算出しております。 民間の企業様は Select 、官公庁様は Government Open License( GOLP )のご契約が必要です。 6 パターン 3:ネットワーク資源の保護<その2> Forefront でサーバー群を保護しながら安全に公開 <構成例:PC 500台、Active Directory 導入済み> Forefront と Internet Security & Acceleration (ISA)Server 2006 を組み合わせて利用するこ とで、サーバーをウルスやスパウェゕから保 護しながら、メールや内部サトを安全にン ターネットに公開できます。 Microsoft Operations Manager(MOM)2005 と Forefront を組み合わせてサーバー群を監視すれば、 利便性を損なうことなくンターネット通信の信 頼性を向上させ、安全なネットワーク環境を実現 することができます。 Outlook Web Access によるンターネット 経由のメール利用 VPN を利用しない ンターネット経由 の内部サト利用 Forefrontサト ウルス定義フゔル のダウンロード Internet Forefront Security for Exchange Server Forefront Security for SharePoint ドメン コントローラ ISA Server 2006 <Forefront の特長> マルチスキャン エンジンの利用 ⇒ 複数のスキャン エンジンを多角的に利用することで、 ウルスからメールや共有ドキュメントを保護 Active Directory との統合 ⇒ 利用者ごとのゕクセス制御とポリシー適用を容易かつ 一元的に実現 MOM 2005 との相互運用 ⇒ Forefront が検疫した情報を MOM 2005 に蓄積する ことで、運用管理を効率化 MOM 2005 Exchange Server Office SharePoint Server Windows クライアント × 500台 構成例参考価格 一式 ¥1,800,000-(年額/Forefront のみ) 構成例: Forefront Security for Exchange Server Monthly Subscription×500 Forefront Security for SharePoint Monthly Subscription×500 Forefront Exchange/SharePointは、サブスクリプションラセンスのご提供になります。 年額もしくはラセンス契約期間のご提供になります。 Active Directory は導入済み、クラゕント PC は 500 台と想定しております。 表記価格は参考価格です。( 2007 年 1 月現在) ラセンス価格は、Select/GOLP の価格レベル A の新規ラセンス( L )で算出しております。 民間の企業様は Select 、官公庁様は Government Open License( GOLP )のご契約が必要です。 7 製品に関する詳細な情報は、弊社 Web サト http://www.microsoft.com/japan/ または貴社担当営業までお問い合わせください。 本書は情報提供のみを目的としており、本書の内容について、Microsoft は、明示的あるいは非明示的ないかなる保証もいたしません。本書に記載した情報は、 将来予告なしに変更することがあります。本書を使用する場合の全体的なリスクまたは本書の使用による結果について、Microsoft はいかなる責務も負うもの ではありません。本書に記載されている会社、組織、製品、人物、イベントの例は架空のものです。実在の会社、組織、製品、人物、またはイベントとの関連を 示唆するものではありません。適用可能な著作権方法すべてにお客様は準拠する必要があります。著作権上の権利に限定されることなく、本書の一部または 全部を無断で使用、複製することはできません。 ※Microsoft 、Microsoft ロゴ、Active Directory、Forefront、Office ロゴ 、 PowerPoint、SharePoint、Visual Studio、Windows、Windows Server、は、米国 Microsoft Corporationおよびその他の国における登録商標または商標です。 ※その他記載されている会社名および製品名は各社の商標または登録商標です。 ※本書の内容は 2007 年 9 月現在のものです。 ※製品内容については、予告無く変更する場合があります。 D79201-01