• ソリューション
  • 目的で探す
    • ランサムウェア/マルウェア対策
    • Windows のパッチ管理
    • Windows の管理者権限管理
    • USB メモリのセキュリティ
    • デバイス/メディアからの
      情報漏洩対策
    • クリーンな
      クライアント環境の維持
  • 実例で探す
    • 標的型メールの
      ゼロデイ攻撃対策
    • 管理コストを削減する
      ホワイトリスト
    • アクセス制御と連動した
      USB 暗号化
    • 私物 USB メモリ経由の
      ウイルス感染対策
  • リムーバブル メディアや
    PC 周辺機器からの情報漏洩対策
• 製　品
  • HEAT Application Control
  • Ivanti Device Control
  • Ivanti Application Control
  • Ivanti Patch for Windows
• 導入事例
• 構成例
• ダウンロード
  • 評価版 (30 日無料)
  • 製品カタログ
• ニュース
• 販売パートナー
• ＦＡＱ
  • HEAT Application Control
  • Ivanti Device Control

top ＞ 導入事例 ＞ バイエルン法務局

 

2010 SC Magazine アワード・ヨーロッパ Best Security Management 部門
Highly Commended 賞受賞

 

導入事例

バイエルン法務局
(Bavarian Ministry of Justice) (ドイツ)

バイエルン法務局は HEAT Device Controlを使ってデータを守ります。

バイエルンの法務局はセキュリティについてよく知っています。当局がこの分野でも厳しい条件を課すのは言うまでもありません。IT セキュリティは前提ですが、テクノロジーだけが問題を起こすのではありません。現在、地域の当局や会社にとっての主なリスクは実は従業員たちです。USB ポートを通してネットワークに接続される彼らの使う外付けデバイスは、例えばデータ盗難や、ウイルスのような悪意あるプログラムのネットワークへの感染を許してしまいます。これは故意に起こされる事も稀にありますが、多くはそれよりも不注意や無知によって起こります。

結果として、多くの IT 担当者は USB ポートのアクセスを全面的に認めるか禁止するかの選択を突きつけられます。しかしどちらの選択肢もリスクがあります。外付けデバイスが無制限に使用された場合、周辺機器はウイルスや他の悪意あるアプリケーションにも接続可能になるでしょう。一方、デジタル ディクタフォンへの接続さえ含めた、あらゆる USB ポートの使用を完全に禁止した場合、日々の業務は効率の悪いものとなるでしょう。

より良いソリューションの追求

「セキュリティ リスクを最小限に抑える為、私達は BIOS で全ての USB ポートを使用不能にしました。これはエンドユーザーの誰もが基本的に利用不可能である事を意味します。多くの従業員はこの状況を歓迎しませんでした。」とバイエルンの法務省の IT 担当者はビュー エクスプレス (view express) 上で述べています。そうした経緯で、要求される IT セキュリティとユーザーの満足を両方満たすソリューションを見つけ出す事が必要になりました。他の事をしている間も、一方では USB ポートを開放する事で増大するリスクを避ける努力が不可欠です。ユーザーの日々の業務には USB ポート使用が必須です。

このプロジェクトで示された課題の 1 つは、USB デバイスの使用により常に増え続けるセキュリティ警戒要求に由来していました。これらはエンドユーザーが PDA やフラットベッド (平台) スキャナなどの新しいデバイスを求める声や、PC とプリンタ用のレガシーフリーカードなど最新テクノロジーの導入の副産物です。しかし、USB ポートはみだりに使用されるべきではありません。そして細かい許可は余計に時間を浪費する大仰なものでない方がよいでしょう。

ホワイトリストの提供する素晴らしい柔軟性

そうした経緯で、「bajTECH2000」プロジェクトの一環として同局はモバイル デバイスの運用を容易にするソフトウェア アプリケーションを探していました。当局は HEAT Device Control を見つけ出す事ができました。このソフトウェアはホワイトリスト原理に基づき、携帯用の記憶媒体やデバイスの運用管理を補助してくれます。生産環境の作業領域全体で外部インターフェースの保護を確実にし、中央管理を可能にするこのソリューションはとても柔軟にユーザーのリクエストに応えます。例えば、各従業員が署名で個別に管理された保存デバイスの支給を受ける事が可能です。つまりプリンター、スキャナ、PDA、ディクタフォンなどのデバイスが無節操にではなく詳細に設定された許可方針に基づいて、即座に使用可能になるのです。

ホワイトリスト方式を採用する事で、自動的に全てのユーザーはデバイスへのアクセスを禁じられます。ハードウェアを使用可能にするには、管理者がユーザーまたはユーザーグループと、信頼できるデバイスおよびアクセスを要求された全てのデバイスとの関連付けを行います。このようにして HEAT Device Control は Windows の I/O デバイスを管理するセキュリティモデルを根本から拡張します。ソフトウェアはカーネル レベルで動作するのでユーザーはそれに触れる機会がありません。新しいハードウェアはプラグアンドプレイ認証の段階で自動的にあらかじめ定義されたデバイスのクラスに割り当てられます。その上で HEAT Device Control はその接続されたデバイスのクラスにアクセスルールを適用します。デバイスが未知のもので、予め定義されたクラスでなくとも、「本当に必要な許可だけが承認される」の原則で、違う方針が明確に示されるまでアクセスは遮断されます。アクセス許可は個別のコンピューターの特定のモデルにも割り当てる事が可能です。

現在のバイエルン法務局のより素晴らしいセキュリティ

バイエルン法務局は 2004 年にそのプロジェクトを打ち出し、そして 2005 年初頭には既に完遂しました。内部発表の期間、初めはそのプロジェクトは新しく公開されたデバイスだけが対象でした。それは 2006 年の間だけでしたが、最新の APC の発表に伴い、HEAT Device Control が発表されると、所蔵する全ての PC とラップトップにインストールされました。「全ての予備的な計画段階は 3 カ月前後は続きました、そして私達はプロジェクトをわずか数日で完遂する事ができました。」とバイエルン法務局は説明します。プロジェクトは法務局全体、つまり全ての裁判所とバイエルンの州検察官の事務所で大規模に実行されました。HEAT Device Control は総計 250 前後の事務所でインストールされました。このソフトウェアはその後バイエルンの法務局の約 14,400 のクライアントの保護に使われてきました。

プランニングが鍵

HEAT Device Control の使用が鍵となるのはプロジェクトの企画中です。将来的にどの機関、どの部門、どの従業員がどのデバイスを使って仕事をするかをはっきり決める事ができます。正確な内部調査は過去の多くの融通を排する為に行われる必要があります。ホワイトリストは全ての承認済みデバイスを網羅し、そしてサーバーを通じ全てのコンピューターとラップトップに適用可能です。

概していえばこのソフトウェアは、全事務所の従業員が制限の中で、機密データの安全を脅かすことなく USB ポートにアクセスするのを容易にするチャンスを法務局にもたらしました。

↑ トップ ページへ