Comments
Description
Transcript
ファイルサーバは 無法状態になっていませんか? NEC
ファイルサーバは
無法状態になっていませんか?
NEC
クラウドプラットフォーム事業部
シニアエキスパート 板持 肇
アジェンダ
ファイルサーバの利用実態
ファイルサーバは無法状態になっていませんか?
NECのファイルサーバソリューション
• ファイルサーバ肥大化・セキュリティ対策 NIAS
• アクセスログ監査 ALogConVerter
事例紹介
まとめ
ファイルサーバの利用実態
ファイルサーバ導入のメリット(おさらい)
5
情報の
公開/共有
個人依存の
脱却
情報漏えい
リスクの
低減
データ消失
リスクの
低減
© NEC Corporation 2015
ファイルサーバの利用実態 その1
NECファイルサーバアセスメントの実績(200企業/団体の統計値)
4年後
3年後
1年後
2年後
データは毎年1.55倍、5年で9倍のペースで増加している
6
© NEC Corporation 2015
ファイルサーバの利用実態 その2
▌その一方、利用状況を調査した結果は
90 日 以上
未参照のファイル
1 年以上
更新がない
ファイル
巨大ファイル
(10MB以上)
ファイル数で
換算すると
全体のわずか 1 %
重複ファイル
重複をなくせば
14% 容量削減
(NEC調査 200企業/団体の統計値)
容量の増加は進みつつも、格納後は
「放置されている」データが大半を占めている
7
© NEC Corporation 2015
ファイルサーバは無法状態になっていませんか?
ファイルサーバは無法状態になっていませんか?
不要なファイルが放置され
ストレージコストが増大
個人情報や機密情報に
誰でもアクセスできる
9
© NEC Corporation 2015
無法状態を放置すると・・・
コスト増
不要ファイル
の増加・蓄積
10
情報漏えい
ごみ箱化
個人情報
機密情報放置
管理不能
© NEC Corporation 2015
無法状態を放置すると・・・
ファイルサーバが「コストとリスク」を
生み出すシステムに変貌
11
© NEC Corporation 2015
組織における内部不正防止ガイドライン
▐ IPA(独立行政法人情報処理推進機構)が2014年9月に公表 ※抜粋
ファイルサーバ
社内システム
4-2-2. アクセス権指定
情報システムを管理・運営する担当者は、
異動又は退職により不要となった利用者ID及びアクセ
ス権を、ただちに削除していますか?
4-5. 証拠確保
システム管理者のアクセス履歴や操作履歴等の
ログ・証跡を記録して保存するだけでなく、
そのログ・証跡の内容を定期的にシステム管理者以外が
確認していますか?
「何もしていなかった」では済まされないご時世に
12
© NEC Corporation 2015
ファイルサーバで考えるべき課題と対応策は?
課題①
整理されず、投げ込み場になっていること
でコスト/セキュリティの両面から問題
減らす
課題②
情報へのアクセス権利を適切な人にのみ
与えているか、管理と確認が困難
守る
課題③
「いつ、誰が、どの情報に、アクセスして
いるか」把握することが難しい
監査する
どれか一つでも当てはまれば「無法状態」の可能性大
「減らす、守る、監査する」の3対策をご提案いたします。
13
© NEC Corporation 2015
NECのファイルサーバソリューション
①減らす
②守る
ファイルサーバ統合管理ソフトウェア
NIAS(NEC Information Assessment System)
ファイルサーバ
EMC VNX
シリーズ
EMC Isilon
シリーズ
ファイルサーバソリューション
導入支援サービス
14
© NEC Corporation 2015
③監査する
アクセスログ監査
ファイルサーバ肥大化・セキュリティ対策
NIAS V3.2
ファイルサーバ肥大化・セキュリティ対策
NIAS(NEC Information Assessment System)
無法状態になったファイルサーバのシステムコスト/情報漏洩リスクの増大を防ぎ、
運用適正化を実現するソフトウェア
①見える化
自動でサーバの利用状況を
グラフィカルにレポート
③アクセス権管理
不適切なアクセス権設定を検出し、
情報漏えいのリスクを低減
16
© NEC Corporation 2015
②整理・容量削減
不要データの整理により
毎年20~30%容量削減
④リソース管理
フォルダ運用の一元管理と申請フローにより業務
効率を大幅に改善
①減らす
見える化、不要ファイルの整理
あるべき姿:
紙文書と同様に、業務で不要になったデータは定期的に整理する
見える化
整理
考慮
すべき
ポイント
何のデータが、どの程度存在して
いるか
未使用で放置されたデータが存在
していないか
重複、大容量、更新期間などルー
ルに基づいて定期的に整理
未使用の放置されたデータは削除
する
課題
何のデータがあるか把握すること
すら困難
未使用かどうかわからない
勝手に整理ができない
整理を依頼してもやってくれない
ファイルサーバ管理ソフトウェア NIAS をご提案
17
© NEC Corporation 2015
見える化
一目で運用状態がわかる「ダッシュボード」
スタイリッシュで直観的なユーザインターフェイスによって
管理対象とするファイルサーバの運用状態が「簡単/シンプル」に確認可能
容量の推移
18
© NEC Corporation 2015
今後の増加予測
見える化
業界初 メモリDB搭載による「サクサク分析」
整理対象とする条件のシミュレーションができ、効果的に不要ファイルの蓄積度を
見える化
自由に分析できるから
問題点の抽出が簡単
19
© NEC Corporation 2015
整理
不要なファイルを簡単に整理整頓
2通りの運用形態でNIASを利用した不要ファイル整理が推進可能。
① 利用者確認型整理
見える化で絞り込んだ不要ファイルをリストから確認
管理者から整理候補ファイルを利用者に通知
共有フォルダごとに管理者がいて、
各フォルダごとに運用を回せる場合に
オススメ
②
ポリシー設定による自動整理
整理ポリシーを設定して、定期的に自動整理
長期未参照ファイルをアーカイブ領域に退避
システム部門が全体の運用ルールを決定
ルールに沿った整理を自動化
20
© NEC Corporation 2015
整理
①利用者確認型の整理
利用者へ確認を行った後、必要のないファイルは未公開エリアに移動
『不要なファイルは残さない』という意識を利用者に持たせる
管理者
②残すファイルの選択依頼
①整理対象を決定
④必要フラグ以外の
ファイルをアーカイブ
へ自動的に移動
整理対象リスト
③必要フラグを付与
整理対象
退避フォルダ
21
© NEC Corporation 2015
ファイルサーバ
7
整理
②ポリシー設定による自動整理
長期間未参照ファイルは、ショートカットとアーカイブストレージを
活用し、利用者に負担をかけずに整理可能
①整理対象を決定
②自動整理
スケジュールを設定
管理者
③ショートカットを残し
アーカイブへ移動
④ショートカットから利用
利用者
22
© NEC Corporation 2015
⑤更新されたファイルは
自動で元の場所に戻る
ファイルサーバ
アーカイブ
(2次ストレージ)
6
参考:NIAS活用によるディスク容量増加の抑制(年率120%増加の場合)
NIASを利用し毎年10%削減することで、5年間での増加量を36%抑制できコスト最適化が可能。
NIASの活用により
毎年10%の容量削減を想定した増加率
30
33
36
40
44
48
年率120%の容量増加
現在
1年後
2年後
3年後
4年後
5年後
80
70
60
30
36
43
52
62
75
75
年率120%の容量増加
62
NIASの活用により 毎年10%の容量削減を想定した増加率
43
50
40
36
30
30
20
52
30
33
36
40
44
48
10
0
現在
23
© NEC Corporation 2015
1年後
2年後
3年後
4年後
5年後
②守る
アクセス権を正しく設定
▌あるべき姿:
必要な人に、必要なアクセス権が、必要な期間に限り与えられる
棚卸
考慮
すべき
ポイント
課題
設定
誰がどのフォルダにアクセスでき
るか
上位フォルダの権限が、
下位まで踏襲されているか
組織、プロジェクト、役職に基づ
き、最適な権限設定がされている
組織改編など権限の変更が速やか
に反映される
フォルダごとにアクセス権の確認
を行うには膨大な手間
アクセス権を付ける申請は来ても、
外す申請は来ない
アクセス権の設定、変更、確認は
膨大な手間がかかる
ファイルサーバ管理ソフトウェア NIAS をご提案
24
© NEC Corporation 2015
棚卸
問題があるアクセス権設定を可視化
ポリシーに反するアクセス権がシングルウィンドウで確認/修正可能
抽出条件例:
退職者や無効ユーザ/管理者権限がない/ Everyone フルコントロール
など
シングルウィンドウで
アクセス権を棚卸
アクセス権設定の
詳細がアイコンで
チェック可能
フォルダツリーから一目で
状況を把握可能
25
© NEC Corporation 2015
問題箇所を
一括で修正
問題箇所を
一括で修正
6
棚卸
お客様ポリシーに準拠しないアクセス権の具体例
① 退職したユーザのアクセス権が残っている箇所
② 管理者権限が外されてしまっている箇所
人事部
採用
人事部
人事部
administrator
①
S-1-5-21-408268402--92964889-1219
administrator
教育
人事部
②
26
© NEC Corporation 2015
設定
リソース管理機能によるアクセス権設定の効率化/適正化
フォルダ運用の一元管理と申請承認フローにより業務効率を大幅に改善
クオータ
アクセス権
AD
セキュリティグループ
システム管理者
(情シス部門)
承認者
フォルダ管理者
(部門管理者)
一般ユーザ
27
© NEC Corporation 2015
申請者
アクセスログ監査
ALog ConVerter
③監査する
ログ監視、異常発見、アラートを上げる仕組み
▌あるべき姿:
不審な操作を見張り、早期に発見、警告を与える
監視
警告
考慮
すべき
ポイント
いつ、誰が、どのデータに何をし
ているか
情報を不正に持ち出す
兆候がないか
操作が記録されていることの周知
により不正を思い止まる
発見次第、警告を与え事故を未然
に防ぐ
課題
ファイルサーバで何をしているか
把握する手段がない
不正の兆候を通知・報告する仕組
がない
アクセスログ監査 ALog ConVerter で解決
29
© NEC Corporation 2015
アクセスログ監査
ALog ConVerter
「ログの知識がなく、専門のスタッフも抱えられない」課題を解決
ファイルサーバからユーザーの操作記録を取得するログ監査ソフト
「いつ、誰が、どのような操作を行ったか」 が一目瞭然!
S-1-5-21-2910433525S-1-5-21-2910433525404745982-3962478095S-1-5-21-2910433525404745982-3962478095500/Toshio/2008SP2/0x50b70/Sec
404745982-3962478095S-1-5-21-2910433525500/Toshio/2008SP2/0x50b70/Sec
urity/File/E:¥DATA¥顧客情報¥取引先重
500/Toshio/2008SP2/0x50b70/Sec
404745982-3962478095urity/File/E:¥DATA¥顧客情報¥取引先重
要顧客リスト.xls/0x444/{00000000urity/File/E:¥DATA¥顧客情報¥取引先重
要顧客リスト.xls/0x534/{000000000000-0000-0000500/Tanaka/2008SP2/0x50b70/Se
要顧客リスト.xls/0x534/{000000000000-0000-0000000000000000}/%%1538
curity/File/d:¥営業¥顧客¥製品別購入
0000-0000-0000000000000000}/%%1538
%%441
%%4417
%%4418
者.xls%%4420%%441
000000000000}/%%1538
6
%%4419
%%4423
%%4423
%%4424
7 /0x534/%%4416
%%4418
%%4420
%%4423
/0x1/0x4//
/0x20089/-/0/0x4//
%%4424
いつ
誰が
どのファイルに
何をした
実際に行った操作通りのログが出力されるため、不正行為を容易に発見可能
30
© NEC Corporation 2015
監視
アクセスログによるモニタリング
いつもと違う不審な操作をルールに基づいて発見可能
アクセスログを条件に監視対象とする
ルールを定義し不正な兆校を把握
なぜ夜間にアクセス?
頻度の多いユーザーがひと目でわかる
時間
ユーザ
対象
操作内容
頻度
(例:深夜)
(例:退職者)
(例:個人情報)
(例:参照)
(例:1日100回)
退職予定者が顧客データに頻繁に
アクセスしていることが、一目瞭然
豊富な監視テンプレートにより、専門知識がなくても最適なレポートを出力
31
© NEC Corporation 2015
警告
閾値から逸脱した行動に対し自動アラート
「自分の行動が常に監視されている」と認識させることが最大の抑止効果
上長
メール
悪意がある社員
定期的な警告が自動発信されることで不正行為の兆候を発見
32
© NEC Corporation 2015
確認
事例紹介
事例紹介
住友電装株式会社 様
グローバルレベルで製品を安定供給できる体制構築の為、
様々な分野でBCP強化に向けた取り組みを実施。
34
新データセンター
•
•
•
老朽化対策と強靭化
免震構造、非常用発電増強
スペース拡張
DRシステムの構築
•
•
データセンター停止時の業務継続
データの遠隔保管と業務システムのデータ保全
統合ファイルサーバ
の構築
•
•
部門ファイルサーバの集約、データ保護およびセキュリティ強化
堅牢なデータセンターでの安全な運用
WAN回線の二重化
•
回線障害時の業務停止回避
IT BCP 訓練
•
災害発生時の役割や行動手順の検証および改善
© NEC Corporation 2015
事例紹介
住友電装株式会社 様
BCP強化の一環として統合ファイルサーバを構築
全国150拠点の被災に対するリスクから「事業継続性の確保」
「セキュリティ/ITガバナンス強化」を目的として統合化
センターA(本番サイト)
ユーザ領域:40TB
センターB(DRサイト)
レプリケーション領域
圧縮/重複排除
データ量を
約40%削減
(約10TB)
SAS
NL-SAS
35
従来 現在
データ最適配置
高
利用頻度 低
利用頻度
アクセス頻度
に応じた
データ配置
1.
高性能/高信頼なEMC社 専用ストレージを二重化
2.
圧縮/重複排除とデータ最適配置の機能によりリソースを効率化
© NEC Corporation 2015
NL-SAS
事例紹介
住友電装株式会社 様
「肥大化解消」や「セキュリティ強化」の取り組みを実施
NIAS と ALog ConVerter を採用
36
利用状況の可視化
ファイルの
定期的な整理
アクセス権の棚卸
アクセスログ取得
リソースの一元管理
と投資計画の判断
リソースの有効活用
と管理工数の削減
適切なセキュリティ
ポリシーの維持
© NEC Corporation 2015
まとめ
▌ ファイルの投げ込み場となり、無法状態と化したファイルサーバには秩
序が必要です。
秩序あるファイルサーバ運用を実現するために、
NECのファイルサーバソリューションで、
「減らす」「守る」「監査する」 の3対策 をご検討下さい。
見える化
監視
監査する
警告
37
© NEC Corporation 2015
減らす
整理
棚卸
守る
設定