Comments
Description
Transcript
ファイルサーバは 無法状態になっていませんか? NEC
ファイルサーバは 無法状態になっていませんか? NEC クラウドプラットフォーム事業部 シニアエキスパート 板持 肇 アジェンダ ファイルサーバの利用実態 ファイルサーバは無法状態になっていませんか? NECのファイルサーバソリューション • ファイルサーバ肥大化・セキュリティ対策 NIAS • アクセスログ監査 ALogConVerter 事例紹介 まとめ ファイルサーバの利用実態 ファイルサーバ導入のメリット(おさらい) 5 情報の 公開/共有 個人依存の 脱却 情報漏えい リスクの 低減 データ消失 リスクの 低減 © NEC Corporation 2015 ファイルサーバの利用実態 その1 NECファイルサーバアセスメントの実績(200企業/団体の統計値) 4年後 3年後 1年後 2年後 データは毎年1.55倍、5年で9倍のペースで増加している 6 © NEC Corporation 2015 ファイルサーバの利用実態 その2 ▌その一方、利用状況を調査した結果は 90 日 以上 未参照のファイル 1 年以上 更新がない ファイル 巨大ファイル (10MB以上) ファイル数で 換算すると 全体のわずか 1 % 重複ファイル 重複をなくせば 14% 容量削減 (NEC調査 200企業/団体の統計値) 容量の増加は進みつつも、格納後は 「放置されている」データが大半を占めている 7 © NEC Corporation 2015 ファイルサーバは無法状態になっていませんか? ファイルサーバは無法状態になっていませんか? 不要なファイルが放置され ストレージコストが増大 個人情報や機密情報に 誰でもアクセスできる 9 © NEC Corporation 2015 無法状態を放置すると・・・ コスト増 不要ファイル の増加・蓄積 10 情報漏えい ごみ箱化 個人情報 機密情報放置 管理不能 © NEC Corporation 2015 無法状態を放置すると・・・ ファイルサーバが「コストとリスク」を 生み出すシステムに変貌 11 © NEC Corporation 2015 組織における内部不正防止ガイドライン ▐ IPA(独立行政法人情報処理推進機構)が2014年9月に公表 ※抜粋 ファイルサーバ 社内システム 4-2-2. アクセス権指定 情報システムを管理・運営する担当者は、 異動又は退職により不要となった利用者ID及びアクセ ス権を、ただちに削除していますか? 4-5. 証拠確保 システム管理者のアクセス履歴や操作履歴等の ログ・証跡を記録して保存するだけでなく、 そのログ・証跡の内容を定期的にシステム管理者以外が 確認していますか? 「何もしていなかった」では済まされないご時世に 12 © NEC Corporation 2015 ファイルサーバで考えるべき課題と対応策は? 課題① 整理されず、投げ込み場になっていること でコスト/セキュリティの両面から問題 減らす 課題② 情報へのアクセス権利を適切な人にのみ 与えているか、管理と確認が困難 守る 課題③ 「いつ、誰が、どの情報に、アクセスして いるか」把握することが難しい 監査する どれか一つでも当てはまれば「無法状態」の可能性大 「減らす、守る、監査する」の3対策をご提案いたします。 13 © NEC Corporation 2015 NECのファイルサーバソリューション ①減らす ②守る ファイルサーバ統合管理ソフトウェア NIAS(NEC Information Assessment System) ファイルサーバ EMC VNX シリーズ EMC Isilon シリーズ ファイルサーバソリューション 導入支援サービス 14 © NEC Corporation 2015 ③監査する アクセスログ監査 ファイルサーバ肥大化・セキュリティ対策 NIAS V3.2 ファイルサーバ肥大化・セキュリティ対策 NIAS(NEC Information Assessment System) 無法状態になったファイルサーバのシステムコスト/情報漏洩リスクの増大を防ぎ、 運用適正化を実現するソフトウェア ①見える化 自動でサーバの利用状況を グラフィカルにレポート ③アクセス権管理 不適切なアクセス権設定を検出し、 情報漏えいのリスクを低減 16 © NEC Corporation 2015 ②整理・容量削減 不要データの整理により 毎年20~30%容量削減 ④リソース管理 フォルダ運用の一元管理と申請フローにより業務 効率を大幅に改善 ①減らす 見える化、不要ファイルの整理 あるべき姿: 紙文書と同様に、業務で不要になったデータは定期的に整理する 見える化 整理 考慮 すべき ポイント 何のデータが、どの程度存在して いるか 未使用で放置されたデータが存在 していないか 重複、大容量、更新期間などルー ルに基づいて定期的に整理 未使用の放置されたデータは削除 する 課題 何のデータがあるか把握すること すら困難 未使用かどうかわからない 勝手に整理ができない 整理を依頼してもやってくれない ファイルサーバ管理ソフトウェア NIAS をご提案 17 © NEC Corporation 2015 見える化 一目で運用状態がわかる「ダッシュボード」 スタイリッシュで直観的なユーザインターフェイスによって 管理対象とするファイルサーバの運用状態が「簡単/シンプル」に確認可能 容量の推移 18 © NEC Corporation 2015 今後の増加予測 見える化 業界初 メモリDB搭載による「サクサク分析」 整理対象とする条件のシミュレーションができ、効果的に不要ファイルの蓄積度を 見える化 自由に分析できるから 問題点の抽出が簡単 19 © NEC Corporation 2015 整理 不要なファイルを簡単に整理整頓 2通りの運用形態でNIASを利用した不要ファイル整理が推進可能。 ① 利用者確認型整理 見える化で絞り込んだ不要ファイルをリストから確認 管理者から整理候補ファイルを利用者に通知 共有フォルダごとに管理者がいて、 各フォルダごとに運用を回せる場合に オススメ ② ポリシー設定による自動整理 整理ポリシーを設定して、定期的に自動整理 長期未参照ファイルをアーカイブ領域に退避 システム部門が全体の運用ルールを決定 ルールに沿った整理を自動化 20 © NEC Corporation 2015 整理 ①利用者確認型の整理 利用者へ確認を行った後、必要のないファイルは未公開エリアに移動 『不要なファイルは残さない』という意識を利用者に持たせる 管理者 ②残すファイルの選択依頼 ①整理対象を決定 ④必要フラグ以外の ファイルをアーカイブ へ自動的に移動 整理対象リスト ③必要フラグを付与 整理対象 退避フォルダ 21 © NEC Corporation 2015 ファイルサーバ 7 整理 ②ポリシー設定による自動整理 長期間未参照ファイルは、ショートカットとアーカイブストレージを 活用し、利用者に負担をかけずに整理可能 ①整理対象を決定 ②自動整理 スケジュールを設定 管理者 ③ショートカットを残し アーカイブへ移動 ④ショートカットから利用 利用者 22 © NEC Corporation 2015 ⑤更新されたファイルは 自動で元の場所に戻る ファイルサーバ アーカイブ (2次ストレージ) 6 参考:NIAS活用によるディスク容量増加の抑制(年率120%増加の場合) NIASを利用し毎年10%削減することで、5年間での増加量を36%抑制できコスト最適化が可能。 NIASの活用により 毎年10%の容量削減を想定した増加率 30 33 36 40 44 48 年率120%の容量増加 現在 1年後 2年後 3年後 4年後 5年後 80 70 60 30 36 43 52 62 75 75 年率120%の容量増加 62 NIASの活用により 毎年10%の容量削減を想定した増加率 43 50 40 36 30 30 20 52 30 33 36 40 44 48 10 0 現在 23 © NEC Corporation 2015 1年後 2年後 3年後 4年後 5年後 ②守る アクセス権を正しく設定 ▌あるべき姿: 必要な人に、必要なアクセス権が、必要な期間に限り与えられる 棚卸 考慮 すべき ポイント 課題 設定 誰がどのフォルダにアクセスでき るか 上位フォルダの権限が、 下位まで踏襲されているか 組織、プロジェクト、役職に基づ き、最適な権限設定がされている 組織改編など権限の変更が速やか に反映される フォルダごとにアクセス権の確認 を行うには膨大な手間 アクセス権を付ける申請は来ても、 外す申請は来ない アクセス権の設定、変更、確認は 膨大な手間がかかる ファイルサーバ管理ソフトウェア NIAS をご提案 24 © NEC Corporation 2015 棚卸 問題があるアクセス権設定を可視化 ポリシーに反するアクセス権がシングルウィンドウで確認/修正可能 抽出条件例: 退職者や無効ユーザ/管理者権限がない/ Everyone フルコントロール など シングルウィンドウで アクセス権を棚卸 アクセス権設定の 詳細がアイコンで チェック可能 フォルダツリーから一目で 状況を把握可能 25 © NEC Corporation 2015 問題箇所を 一括で修正 問題箇所を 一括で修正 6 棚卸 お客様ポリシーに準拠しないアクセス権の具体例 ① 退職したユーザのアクセス権が残っている箇所 ② 管理者権限が外されてしまっている箇所 人事部 採用 人事部 人事部 administrator ① S-1-5-21-408268402--92964889-1219 administrator 教育 人事部 ② 26 © NEC Corporation 2015 設定 リソース管理機能によるアクセス権設定の効率化/適正化 フォルダ運用の一元管理と申請承認フローにより業務効率を大幅に改善 クオータ アクセス権 AD セキュリティグループ システム管理者 (情シス部門) 承認者 フォルダ管理者 (部門管理者) 一般ユーザ 27 © NEC Corporation 2015 申請者 アクセスログ監査 ALog ConVerter ③監査する ログ監視、異常発見、アラートを上げる仕組み ▌あるべき姿: 不審な操作を見張り、早期に発見、警告を与える 監視 警告 考慮 すべき ポイント いつ、誰が、どのデータに何をし ているか 情報を不正に持ち出す 兆候がないか 操作が記録されていることの周知 により不正を思い止まる 発見次第、警告を与え事故を未然 に防ぐ 課題 ファイルサーバで何をしているか 把握する手段がない 不正の兆候を通知・報告する仕組 がない アクセスログ監査 ALog ConVerter で解決 29 © NEC Corporation 2015 アクセスログ監査 ALog ConVerter 「ログの知識がなく、専門のスタッフも抱えられない」課題を解決 ファイルサーバからユーザーの操作記録を取得するログ監査ソフト 「いつ、誰が、どのような操作を行ったか」 が一目瞭然! S-1-5-21-2910433525S-1-5-21-2910433525404745982-3962478095S-1-5-21-2910433525404745982-3962478095500/Toshio/2008SP2/0x50b70/Sec 404745982-3962478095S-1-5-21-2910433525500/Toshio/2008SP2/0x50b70/Sec urity/File/E:¥DATA¥顧客情報¥取引先重 500/Toshio/2008SP2/0x50b70/Sec 404745982-3962478095urity/File/E:¥DATA¥顧客情報¥取引先重 要顧客リスト.xls/0x444/{00000000urity/File/E:¥DATA¥顧客情報¥取引先重 要顧客リスト.xls/0x534/{000000000000-0000-0000500/Tanaka/2008SP2/0x50b70/Se 要顧客リスト.xls/0x534/{000000000000-0000-0000000000000000}/%%1538 curity/File/d:¥営業¥顧客¥製品別購入 0000-0000-0000000000000000}/%%1538 %%441 %%4417 %%4418 者.xls%%4420%%441 000000000000}/%%1538 6 %%4419 %%4423 %%4423 %%4424 7 /0x534/%%4416 %%4418 %%4420 %%4423 /0x1/0x4// /0x20089/-/0/0x4// %%4424 いつ 誰が どのファイルに 何をした 実際に行った操作通りのログが出力されるため、不正行為を容易に発見可能 30 © NEC Corporation 2015 監視 アクセスログによるモニタリング いつもと違う不審な操作をルールに基づいて発見可能 アクセスログを条件に監視対象とする ルールを定義し不正な兆校を把握 なぜ夜間にアクセス? 頻度の多いユーザーがひと目でわかる 時間 ユーザ 対象 操作内容 頻度 (例:深夜) (例:退職者) (例:個人情報) (例:参照) (例:1日100回) 退職予定者が顧客データに頻繁に アクセスしていることが、一目瞭然 豊富な監視テンプレートにより、専門知識がなくても最適なレポートを出力 31 © NEC Corporation 2015 警告 閾値から逸脱した行動に対し自動アラート 「自分の行動が常に監視されている」と認識させることが最大の抑止効果 上長 メール 悪意がある社員 定期的な警告が自動発信されることで不正行為の兆候を発見 32 © NEC Corporation 2015 確認 事例紹介 事例紹介 住友電装株式会社 様 グローバルレベルで製品を安定供給できる体制構築の為、 様々な分野でBCP強化に向けた取り組みを実施。 34 新データセンター • • • 老朽化対策と強靭化 免震構造、非常用発電増強 スペース拡張 DRシステムの構築 • • データセンター停止時の業務継続 データの遠隔保管と業務システムのデータ保全 統合ファイルサーバ の構築 • • 部門ファイルサーバの集約、データ保護およびセキュリティ強化 堅牢なデータセンターでの安全な運用 WAN回線の二重化 • 回線障害時の業務停止回避 IT BCP 訓練 • 災害発生時の役割や行動手順の検証および改善 © NEC Corporation 2015 事例紹介 住友電装株式会社 様 BCP強化の一環として統合ファイルサーバを構築 全国150拠点の被災に対するリスクから「事業継続性の確保」 「セキュリティ/ITガバナンス強化」を目的として統合化 センターA(本番サイト) ユーザ領域:40TB センターB(DRサイト) レプリケーション領域 圧縮/重複排除 データ量を 約40%削減 (約10TB) SAS NL-SAS 35 従来 現在 データ最適配置 高 利用頻度 低 利用頻度 アクセス頻度 に応じた データ配置 1. 高性能/高信頼なEMC社 専用ストレージを二重化 2. 圧縮/重複排除とデータ最適配置の機能によりリソースを効率化 © NEC Corporation 2015 NL-SAS 事例紹介 住友電装株式会社 様 「肥大化解消」や「セキュリティ強化」の取り組みを実施 NIAS と ALog ConVerter を採用 36 利用状況の可視化 ファイルの 定期的な整理 アクセス権の棚卸 アクセスログ取得 リソースの一元管理 と投資計画の判断 リソースの有効活用 と管理工数の削減 適切なセキュリティ ポリシーの維持 © NEC Corporation 2015 まとめ ▌ ファイルの投げ込み場となり、無法状態と化したファイルサーバには秩 序が必要です。 秩序あるファイルサーバ運用を実現するために、 NECのファイルサーバソリューションで、 「減らす」「守る」「監査する」 の3対策 をご検討下さい。 見える化 監視 監査する 警告 37 © NEC Corporation 2015 減らす 整理 棚卸 守る 設定