ネットワーク通信からの情報漏えいを防ぐ -NetworkLock-

NetworkLock とは?

NetworkLock(ネットワークロック)はDeviceLock Base の外部デバイス制御を中心とする機能に加え、ネットワーク通信による情報漏えいを防ぐために、Windows の様々なプロトコル( インターネット、クラウドストレージ、メール、SNS、IM、その他) の制御/ 証跡の取得をクライアント単位で実現できるDeviceLockのオプションです。

ネットワークの高速化・転送データの大容量化により、近年ではUSBメモリのような外部記憶デバイスを介した情報漏えいに加え、電子メールや掲示板などインターネットを介した情報漏えいが増加しており、この対策もおこなう必要があります。

業務に必要となる特定のネットワーク通信の許可や柔軟なプロトコル制御を行うことで、利便性を損なうことなく、ネットワーク通信からの情報漏えいの対策を行うことが可能です。

機能

柔軟なプロトコル制御

Windowsユーザー/グループごとに、様々なプロトコルに対して、アクセス許可/禁止設定を簡単な操作で設定できます。

  • ユーザー/グループごとに制御せず、コンピュータごとに設定を行いたい場合は、Everyoneグループを使用します。

HTTP/HTTPSプロトコルの制御例

SMTP、Web Mailプロトコルの制御例

File Sharingプロトコルの制御例

SMBプロトコルの制御例

制御可能なプロトコル

各プロトコルについても同じようにWindowsユーザー/グループごとに詳細なアクセス許可設定をすることができます。

プロトコル インターネット HTTP/HTTPS *1
クラウドストレージ OneDrive、Dropbox、Google Drive、Amazon S3、RapidShare、その他 *1
その他 SMB、FTP、Telnet *2
メール SMTP/SMTPS、Gmail、OWA(OutLook WebApp)、MAPI (Microsoft Exchange)、NAVER、iCloud、その他 *3
SNS Facebook (+API)、Twitter、Google+、LinkedIn、Tumblr、MySpace、Disqus、Instagram、Pinterest、その他 *3
IM Skype、Windows Live Messenger、Yahoo! Messenger、ICQ/AOL、IRC、Jabber、その他 *3

これらプロトコルで制御可能な項目は各々異なり、様々な制御が可能です。

*1 … HTTP/HTTPS・クラウドストレージでは、POSTメソッドやファイルアップロードの可否設定が可能です。
*2 … SMB・FTPでは、ダウンロードとアップロードの可否設定が可能です。
*3 … SNS・メッセンジャー・メールのプロトコルでは、テキスト送信やデータ送信の可否設定が可能です。

Web Search

Web Serachは、Web検索サービスを提供しているWebサイトでの検索の実行を制御する機能です。また、監査ログにて検索内容の履歴を取得できます。ContentLockの「キーワード」ルールと組み合わせることで、特定文字列での検索を禁止することが可能です。

対象Webサイト

  • Google
  • Yahoo
  • Yandex
  • Bing
  • Baidu
  • Mail.ru
  • Ask.com
  • AOL Search
  • Rambler
  • Wolfram Alpha
  • DuckDuckGo
  • WebCrawler
  • Search.com
  • Wayback Machine
  • Dogpile
  • StartPage
  • Excite
  • NAVER
  • Web.de

ホワイトリスト機能

全てのプロトコルにアクセス制御を施した場合でも、ある特定のプロトコルに対してアクセス許可を設定することができ、さらにWindowsユーザー/グループごとにアクセス許可/禁止を設定できます。たとえば、Webページの閲覧を全面的に禁止した上で、特定ユーザー/グループだけに特定サイトの閲覧を許可することが可能です。
アクセスを許可するHTTP/HTTPSサイトは、IPやドメイン名とポートで識別できます。

SMTP・Web Mail + コンテンツ認識ルール(ファイルタイプ検知)を使った制御例

NetworkLockのSMTP・Web Mailプロトコルとコンテンツ認識ルール(ファイルタイプ検知)を用いることで、SMTP・Web Mailにて添付送信可能なファイルを、特定のファイルタイプだけに指定することができます。
コンテンツ認識ルール機能は、4000種類以上のファイルタイプに対応し、拡張子に依らないファイル認識をおこなっていますので、ファイルの偽装による持ち出しも見逃しません。

オンライン・オフラインポリシー

同じWindowsユーザー/グループのオンラインとオフラインで、異なるセキュリティポリシーを定義することができます。

オンラインポリシー

Active Directoryドメイン、またはDeviceLock Enterprise Serverに接続された時に適用されるポリシー

オフラインポリシー

Active Directoryドメイン、またはDeviceLock Enterprise Serverから切り離された時に適用されるポリシー

  • キャッシュドメイン接続時は、オフラインポリシーが適用されます。

監査ログ/シャドウイング機能

監査ログ機能

プロトコルへのアクセスの記録を監視することで、情報流出の危険がないかをチェックすることができます。クライアントPCのアクセス履歴を監査ログに表示、ログ項目には、日時、プロトコルタイプ、アクション、ファイル名、情報、ユーザー、PIDなどが含まれ、プロトコルによって許可、もしくはブロックされたアクセス行為を詳細に把握することができます。

シャドウイング機能

クライアントマシン上でプロトコルを介して外部に出力されたデータを、ミラーリングして保存する機能です。管理者はビューアを使用してミラーリングされたデータを参照することができます。これによって、万が一不正操作がおこなわれた際に「何が持ち出されたのか」を明らかにすることができます。
持ち出された実データを参照できるため、悪意を持ったユーザーがファイル名を偽装して情報の持ち出しをしたとしても、システム管理者は直ぐに犯人の特定ができます。
また、ネットワーク通信(SSLを含む)をミラーリングして保存することも可能です。
たとえば、ログイン形式のHTTPSサイトにて、ログイン情報をミラーリングすることも可能です。

某HTTPSサイトにて、ログインに使用したユーザー名/パスワードが判明した例

※ 無償のオプションコンポーネント「DeviceLock Enterprise Server」を利用すれば、監査ログとシャドウデータを一元管理することができます。
監査ログの格納先として別途SQLServerを用意する必要があります。DeviceLock Enterprise Serverについてはこちらをご参照ください。

ライセンス・保守価格及びライセンス購入例

ライセンス・保守価格及びライセンス購入例はこちらをご参照ください。

https://www.devicelock.jp/price

関連情報

NetworkLock ホワイトペーパー

詳細は下記をご参照ください。
情報漏えいはデバイス経由のみにあらず。ネットワークにおけるプロトコル制御で万全のセキュリティ体制を

DeviceLock + NetworkLockによるDLPソリューション

詳細は下記をご参照ください。
DLPソリューション「社外に持ち出したPCから情報を漏えいさせない」

導入事例

導入事例:一般財団法人 労災サポートセンター様

一般財団法人 労災サポートセンターでは、全国7 拠点の支援センターと、遠隔地で働く労災ケアサポーターのPC 端末にDeviceLock によるデバイス制御とネットワーク制御を施すことで、管理コストをかけずに運用できる堅牢 […]