FileBlogはWebブラウザを介した文書共有に利用できます。現時点ではLAN内(社内ネットワーク)でお使いのお客様が過半数ですが、ネットワーク技術の進歩にしたがって、将来的にはほとんどのお客様がFileBlogをより広範囲のネットワーク越しに利用することになる日が来るでしょう。その時に向けて、鉄飛テクノロジーではFileBlogのセキュリティ強化に継続的に取り組んでおります。
今回は、特に端末にインストールして端末上でのセキュリティを守る、いわゆる「エンドポイント・セキュリティ」ソリューションをご紹介します。
端末セキュリティ・ソリューションの必要性
FileBlogは、ファイルデータをサーバ上で管理し、WebブラウザおよびHTTP通信を通じてクライアント端末と共有する仕組みです。データのセキュリティ対策は、サーバを守ることと、クライアント端末を守ることの両方で行う必要があります。
サーバがデータセンタやサーバルームで集中管理されるのに対し、クライアント端末はユーザの人数に比例して多数になり、携帯端末はユーザとともに移動するため、クライアント端末のセキュリティを守ることは、サーバのセキュリティを守ることよりも一段と難しく、場合によっては莫大な費用を要してしまいます。
端末セキュリティ対策の予算を抑制するために、以下のような原則的ポリシーは極めて一般的なものです。
- 個人端末の社内持ち込み・社内LAN接続を禁止する
- 会社端末の持ち出しを禁止する
- 会社端末への管理者アクセスを禁止する
- USBメモリなどのメディアの持ち込み・持ち出しを禁止する
- 心当たりのないメールを読んだり、添付ファイルを開いたりしない
- 信頼できないWebサイトを開いたり、ダウンロードされた未知のファイルを開いたりしない
それでも、特定の会社端末については、持ち出して社外からインターネット越しにアクセスを許可したり、オフラインでデータを持ち出して作業することを許可したりする必要があるかもしれません。また、電子メールやWebサイトの閲覧によって受信されるファイルは、気が付かないうちにうっかり開いてしまう危険があり、社内ルールや一人ひとりの心がけだけでリスクを防止することはできません。
クライアント端末のセキュリティを守る、いわゆるエンドポイント・セキュリティ・ソリューションは、こうした問題に対処するために各端末にインストールされる対策ソフトウェアです。
端末セキュリティ・ソリューションの代表的な機能
端末セキュリティ・ソリューションの機能は、主に下記のようなものがあります。
ネットワーク・ファイヤウォール
- 外部ネットワークから、稼働中のサービスアプリケーションへの攻撃を遮断します
- ネットワークアクセスを既知のネットワーク内に限定し、未知のサイトへのアクセスを遮断します
ウィルスチェック・アプリ実行検査
- コンピュータ・ウィルスに感染したファイルがないか、ストレージ内をスキャンしたり、ファイルの読み書きをリアルタイムで検知したりして、感染ファイルのチェックを行います
- 許可されないアプリケーションが実行されることを阻止します
- 許可されたアプリケーションプログラムが、改変されたりしていないことを確認し、改変されている場合の実行を阻止します
ブラウザ動作の限定
特にブラウザの代替として、いわゆる「セキュア・ブラウザ」は下記の機能を提供します。
- 許可された既知のWebサイトに接続を限定します
- ファイルのダウンロードを禁止できます
ファイルのコピー禁止
- ドライブ間、フォルダ間でのファイルのコピーや移動を阻害します
- 特に、ファイルをUSBメモリなど外部メディアに書き込めないようにしたり、ネットワークドライブ(ファイルサーバ内)のファイルをコピーしたり移動したりすることを禁止します
ファイルの印刷禁止
- 紙媒体を介したデータの持ち出しを防止するため、ファイルの印刷を禁止します
ローカルファイルの削除
- デスクトップやマイドキュメントなどの作業用フォルダ内のファイルを、定期的かつ自動的に削除します
- 端末が第三者に拾われたり奪われたりしたと判定される場合(パスワード入力を繰り返し間違えた場合など)に、端末上のデータを自動消去します
サンドボックス化
PC内の仮想マシン環境でブラウザやオフィス文書を起動してファイルにアクセスします。
- 万が一ウイルスやマルウェアに感染しても、仮想マシンのみが感染し、端末PCへの感染から免れます
- 仮想マシンの挙動を監視し、感染を検出して被害を防止できます
FileBlogによる文書共有を補うための端末セキュリティ
本稿は、FileBlogをお使いの皆さんが、できるだけ安全に文書データを管理できるようにとの思いで書いております。そのため、下記の三つのシナリオを想定してみました。
| 社内LANで検索エンジンとして使う場合 | 電子メール・Webから入手した未知のファイルによるマルウェア感染などを防止するため、一般的な社内端末用の端末セキュリティ・システムをお使いください |
|
端末にデータのダウンロードをさせない方式
インターネットからブラウザ経由で専らファイルを閲覧する場合 |
FileBlogのプレビュー機能を使ってファイルを閲覧するものの、ファイルのダウンロードを禁止することで、データ流出を防止するものです。 一般的なブラウザでも十分に安全ですが万全を期すならば、ブラウザ画面の印刷やスクリーンショットの取得を禁止するタイプの、セキュアブラウザソリューションと組み合わせてください。 |
|
端末にデータアクセスを許す場合
インターネットからブラウザでファイルをダウンロードして参照・更新・アップロードする場合 |
端末から外部メディアやプリンタを経由してデータが流出することを防止する、仮想シンクライアントソリューションや、ファイルコピー禁止・印刷禁止機能を持った端末セキュリティソリューションとの組み合わせが有効です。 |
FileBlogと組み合わさるせ動作確認済の 端末セキュリティ・ソリューション紹介
FileBlogは癖のないWebアプリケーションですので、さまざまなセキュリティ・ソリューションと組み合わせて利用しても、相性問題に悩まされる可能性は少ないと思います。下記については動作実績を確認済です。
| LAN内利用一般 |
アンチウィルス・ネットワークセキュリティ
|
| 端末にデータのダウンロードをさせない方式 |
アンチウィルス・ネットワークセキュリティ
|
|
端末にデータアクセスを許す場合
インターネットからブラウザでファイルをダウンロードして参照・更新・アップロードする場合 |
仮想シンクライアントソリューション
ファイルコピー禁止・印刷禁止ソリューション
|
※お客様環境にあわせた構成をご提案しますので、お気軽にご相談ください。
