ファイルサーバアクセス・統合管理ソリューション
Varonis DatAdvantageのご紹介『【Varonis社製DatAdvantage】による社内情報データの
アクセス監査・アクセスコントロール統合管理について』
ノックス株式会社ノックス株式会社
varonisvaronis@@nox.co.jpnox.co.jp
22
ノックス株式会社ノックス株式会社//会社概要会社概要
本社
〒152-0023 東京都目黒区八雲2-23-13
TEL 03-5731-5551/FAX 03-5731-5552
西日本支社
〒533-0033 大阪市淀川区東中島1-17-5
TEL 06-4809-5544/FAX 06-4809-5547
関連会社 : ノックステクノロジージャパン株式会社
米国関連会社 : Nox Technology,Inc.
6155 Almaden Expressway, Suite 250 San Jose, CA 95120 USA
設立:1992年9月28日
事業内容:ストレージ製品の販売/構築/保守/マーケティング
ネットワーク製品の販売/構築/保守/マーケティング
ファイルサーバアクセス/統合管理ソリューションの販売/構築
/保守/マーケティング
33
創立 : 2005年
本社 : 米国(NY)、 開発-イスラエル
従業員数: 80人(ワールドワイド)
導入実績: 100社以上(ワールドワイド)
(2007年9月末) ゴールドマンサックス、リーマンブラザーズ
EMC、Vmware、Juniper etc…
出資者 : Accel Partners
Evergreen Venture Partners
Pitango Venture Capital
製品カテゴリ
ファイルサーバのアクセス監査・
アクセスコントロール統合管理ツール
VaronisVaronis社の概要社の概要
44
今日のITの実情今日のITの実情今日のITの実情
30%平均的な組織の職員の年間離職率は30%
出典:Computerworld
30%ITヘルプ・デスク・スタッフの30%以上の時間をユーザ、グループ、アクセス許可の管理に使用
出典: Varonis
70%非構造化データ量の年間増加率は70%
出典:ガートナー
60%60%以上の許可(アクセス権限)は過剰
出典: Varonis
55
ファイルサーバ管理ニーズファイルサーバ管理ファイルサーバ管理ニーズニーズ
2000 2003 2007
解決
ソリューション
課題
テーマ
・ActiveDirectory
・専用ファイルサーバ
・WINDOWSサーバ管理
・ユーザ数の増大・WINDOWSサーバ管理
・ユーザ数の増大
・法令遵守
・Active Directory
・専用ファイルサーバ
・ログ監査ソリューション
・WINDOWSサーバ管理
・ユーザ数の増大
・法令遵守
・内部情報漏洩対策
・Active Directory管理
・ファイルサーバのログ管理
・ファイルサーバアクセス統合
管理ソリューション
66
ファイルサーバ管理における課題ファイルサーバ管理における課題
ログ管理監査ログを詳細に設定し取得するとイベントログが多量に発生し、
ファイルサーバパフォーマンスが劣化
Windowsイベントログの場合、1ファイルへのアクセスの為に複数ログ
が発生し、ログ解析の作業効率の低下する
ログ管理ツールを導入していたとしても、過負荷状態に必要となる
ログが出力されず、有事に対応が出来ない
ウッ・・・ウッ・・・
77
ファイルサーバ管理における課題ファイルサーバ管理における課題
アクセス管理ファイルサーバの増大に伴って、不要アカウント・不要権限を把握することが困難
特定のアカウントもしくはファイル・フォルダに対するアクセス権限の確認が困難
アクセス権限の設定変更時に長時間を要する
アクセス権限の設定変更時にファイルサーバのパフォーマンス劣化を招く
15
OhOh~~NoNo~~
88
課題を解決するには課題を解決するには
全てのファイルサーバ管理を統合的且つ効率的に全てのファイルサーバ管理を統合的且つ効率的に
管理出来るソリューションが必要管理出来るソリューションが必要
全てのアクセス管理を把全てのアクセス管理を把握握
ファイルサーバやファイルサーバやユーザ増加に対応ユーザ増加に対応
ログ収集を効率的にログ収集を効率的に
不要なアクセス不要なアクセス権限を排除権限を排除
適切なアクセス適切なアクセス
権限割り当て権限割り当て
社員の転出入に社員の転出入にも即座に対応も即座に対応
ファイルサーバ管理ファイルサーバ管理業務を簡素化業務を簡素化
企業の統合にも企業の統合にも対応対応
99
VaronisVaronis DatAdvantageDatAdvantageとは?とは?
製品カテゴリファイルサーバのアクセス監査・アクセスコントロール統合管理ツール
この製品でどんな事ができるのか?
「どのファイルサーバから、誰が、いつ、どの資料・情報にアクセスし、評価・承認を行ったか」などの履歴やログを残しておくことでファイルサーバの監査業務を効率化することができる。
ファイルサーバの不要なアクセス権限を抽出し、適切なアクセス権限を割り当て、ユーザ・ファイル単位でのアクセスコントロールを最適化することができる。
不正経理処理、不正アクセス、情報漏洩などを未然に防ぐことができる。仮に問題が発生した場合には、問題発生時に遡ってアクションを特定することができる。
ホッ・・・ホッ・・・
1010
VaronisVaronis構成イメージ構成イメージ
管理GUI管理GUI
管理セグメント管理セグメント
ADADサーバサーバ
サーバ群サーバ群
ProbeProbeサーバサーバ
(データ収集サーバ)(データ収集サーバ)IDUIDUサーバサーバ
分析サーバ分析サーバ
VaronisVaronisDatAdvantageDatAdvantage
AgentAgent
ファイルサーバファイルサーバEMC CelerraEMC Celerra
ネットワークネットワークAA
ファイルサーバファイルサーバNetApp FilerNetApp Filer
ネットワークネットワークBB
ファイルサーバファイルサーバWindows Windows
ネットワークネットワークCC
FF--PolicyPolicy
APIAPI
1111
VaronisVaronisDatAdvantageDatAdvantage
VisibilityVisibility可視性
誰がどのFileにアクセス可能か?
AuditingAuditing監査
いつ、誰が、どのFileに何をしたか?
RecommendationsRecommendations最適化
アクセス権限の最適化
アクセス権限変更のシミュレーション
アクセス権限の確認が容易になる
不必要なアクセス権限をなくす
アクセスログ管理が容易になる
VaronisVaronis DatAdvantageDatAdvantageで出来ることで出来ること
1212
特徴 ① AuditingAuditing
1:監査ログの収集・解析1:監査ログの収集・解析
2:統計情報の出力2:統計情報の出力
3:レポートの出力3:レポートの出力
1313
特徴 ① AuditingAuditing 1:監査ログの収集・解析1:監査ログの収集・解析
独自のログ収集方式によりパフォーマンス低下を回避独自のログ収集方式によりパフォーマンス低下を回避
ユーザ・グループ、ファイル・ディレクトリ双方の観点からのユーザ・グループ、ファイル・ディレクトリ双方の観点からの詳細な検索機能により有事への備えが可能詳細な検索機能により有事への備えが可能
ファイル視点のアクセスログ
ユーザ視点のアクセスログ
複数条件を指定しての検索
1414
特徴 ① AuditingAuditing 2:統計情報の出力2:統計情報の出力
ユーザ・グループ、ファイル・ディレクトリ双方の観点からのユーザ・グループ、ファイル・ディレクトリ双方の観点からのアクセス統計情報の出力により、ユーザの利用実態の把アクセス統計情報の出力により、ユーザの利用実態の把握が可能握が可能
アクセスの多いユーザの特定
アクセスの多いディレクトリの特定
1515
特徴 ① AuditingAuditing 3:レポートの出力3:レポートの出力
ユーザ、ファイル、アクション、時間などの指定により詳細ユーザ、ファイル、アクション、時間などの指定により詳細なレポート作成が可能なレポート作成が可能
指定した条件でのレポート作成
レポートのExport
1616
特徴 ② VisibilityVisibility
11:シングルビューで一括管理:シングルビューで一括管理
22:データアクセス権限の確認:データアクセス権限の確認
1717
特徴 ② VisibilityVisibility 11:シングルビューで一括管理:シングルビューで一括管理
ユーザ・グループ、ファイル・ディレクトリ双方の視点からのユーザ・グループ、ファイル・ディレクトリ双方の視点からのデータアクセス権限の確認がシングルビューで可能なため、データアクセス権限の確認がシングルビューで可能なため、管理者がデータアクセス権限の確認にかける時間を短縮管理者がデータアクセス権限の確認にかける時間を短縮
ユーザ・グループ情報
ファイル・ディレクトリ情報
1818
特徴 ② VisibilityVisibility 22:データアクセス権限の確認:データアクセス権限の確認
各ユーザ、グループのファイル、ディレクトリに対するアクセ各ユーザ、グループのファイル、ディレクトリに対するアクセス権限、各ファイル、ディレクトリに対してアクセス権限を保ス権限、各ファイル、ディレクトリに対してアクセス権限を保持したユーザの確認が可能持したユーザの確認が可能
ユーザ視点のアクセス権限の確認
ファイル視点のアクセス権限の確認
1919
特徴 ③ RecommendationsRecommendations
11:データアクセス権限の不備の確認:データアクセス権限の不備の確認
22:不要アカウントの存在の確認:不要アカウントの存在の確認
33:アクセス権限変更前のシュミュレーション:アクセス権限変更前のシュミュレーション
2020
特徴 ③ RecommendationsRecommendations 11:データアクセス権限の不備を確認:データアクセス権限の不備を確認
利用実績をもとに必要以上にアクセス権限が付与されている利用実績をもとに必要以上にアクセス権限が付与されている領域の抽出が可能領域の抽出が可能
ユーザ視点のアクセス権限の不備の確認
アクセス権限が不要と思われるファイル
ファイル視点のアクセス権限の不備の確認
アクセス権限が不要と思われるユーザ
2121
特徴 ③ RecommendationsRecommendations 22:不要アカウントの存在を確認:不要アカウントの存在を確認
利用実績をもとに退職や部署異動などで利用されていない利用実績をもとに退職や部署異動などで利用されていないアカウントの抽出が可能アカウントの抽出が可能
利用されているユーザと利用されていないユーザの比率
2222
特徴 ③ RecommendationsRecommendations 33:アクセス権限変更前のシミュレーション:アクセス権限変更前のシミュレーション
アクセス権限を変更したと仮定した際にアクセス不可となるファイアクセス権限を変更したと仮定した際にアクセス不可となるファイルアクセスがどの程度発生するかを確認することが可能ルアクセスがどの程度発生するかを確認することが可能
アクセス権限を削除した場合にアクセス不可となる
ファイルアクセスのログ
2323
DatAdvantage
IDUサーバ
(分析エンジン)
データとユーザの関係の実態を把握し、
様々な角度からデータ使用状況を理解する。
STEP
2
DatAdvantage 管理GUI 管理GUIにてデータ使用管理状況を管理、確認
STEP
3
DatAdvantageDatAdvantage構成要素構成要素
NetApp Filer MSファイルサーバ アクティブディレクトリEMC Celerra
F-Policy API Agent
DatAdvantage Probeサーバ
(データ収集サ-バ)
システムに影響を与えず、ファイルシステムとディレクトリのイベント情報を収集
ユーザ数、データ量に制限されないデータ収集。
STEP
1
2424
ドメイン #1
EMCEMC Celerra Celerra
NetAppNetApp Filer Filer
ProbeProbeサーバサーバ
((データ収集サーバデータ収集サーバ))
STEP1Agent
API
F-Policy
Agent
ドメイン #2
ドメイン #3
ドメイン #4
WindowsFileServer WindowsFileServer
WindowsFileServer WindowsFileServer
ADADサーバサーバ
DatAdvantageDatAdvantageシステム構成システム構成//サーバ要件サーバ要件
IDUIDUサーバサーバ
((分析サーバ分析サーバ))
STEP2
**ProbeProbeサーバとサーバとIDUIDUサーバは兼用でも構いません。サーバは兼用でも構いません。
*ユーザ数によってサーバ要件は異なりますので、*ユーザ数によってサーバ要件は異なりますので、
詳細構成は別途ご相談ください。詳細構成は別途ご相談ください。
管理GUI管理GUISTEP3
2525
課題アクセスログをWindowsサーバのログで確認しており、確認が面倒
ファイルサーバ増大により、各ユーザに割り当てられたアクセス権限を把握するのが困難
不必要なアクセス権限割り当てにより、適当なアクセス権限割り当てができていない
アクセス権限の設定変更時にファイルサーバのパフォーマンス劣化を招いてしまう
Varonisによる導入効果Auditing機能により、複数のファイルサーバに対するアクセスログの確認、検索が容
易になった
Visibility機能により、複数のファイルサーバのアクセス権限の把握が容易になった
Recommendations機能により、不必要なアクセス権限割り当てをなくすことができた
アクセス権限の設定変更をスケジュール機能により深夜帯にできるようになった
某証券会社 社員数:600人
導入事例導入事例
2626
課題派遣社員や契約社員が多く、各ユーザに適切なアクセス権限があるか不安
社員数が多く部署異動のたびに、ユーザのアクセス権限を変更するのが面倒
アクセス権限の設定変更時にファイルサーバのパフォーマンス劣化を招いてしまうため、毎日のように業務時間外に設定変更を行う管理者にかかる負担が大きい
Varonisによる導入効果Visibility機能およびRecommendations機能により、ユーザ・グループ、ファイル・ディ
レクトリ双方の観点から適切なアクセス権を与えることが容易になり、不必要なアクセス権限割り当てを把握、最適化できた
アクセス権限の設定変更をスケジュール機能により、管理者に負担をかけることなく深夜帯にできるようになった
某製造業会社 社員数:3000人 派遣/契約社員:700人 グループ全体:6000人
導入事例導入事例
将来既存でファイルサーバアクセスログ管理ツールを使用しているが、ファイルサーバの運用を統合的かつ効果的に行いたいため、Varonis DatAdvantageのAuditing機能を利用
し、ファイルサーバの統合管理を目指している
2727
まとめまとめ
DatAdvantage監査ログの収集・解析
統計情報、レポートの出力
データアクセス権限割り当ての確認、変更
シングルビューでの画面操作
不要なアクセス権限割り当ての最適化
シンプルなライセンス形態
2828
ご清聴誠に有難うございました。ご清聴誠に有難うございました。
ノックス株式会社ノックス株式会社
varonisvaronis@@nox.co.jpnox.co.jp