自治体情報システム・セキュリティ強靭性向上対策
•
0 likes•2,509 views
シンクライアント技術による自治体情報システム・セキュリティ強靭性向上対策
自治体情報システム・セキュリティ強靭性向上対策
- 3. 1. 現行業務プロセス、ワークフローの変更はできるだけしない 2. 既存情報システム資産はハードウェアもソフトウェアもできるだけそのま ま活用する 3. 既存情報システムのソフトウェアの書き換え等の開発作業を必要としない もの 4. 既存情報システムの再構築、再インストールは必要最小限に止める 5. 導入、運用、管理が複雑で、カスタマイズが必要なソリューションは、将 来の情報システム構成変更の際などにコスト圧迫要因になるので注意 6. 将来の情報システム更改に備えて、導入、撤去、他ソリューションとの入 れ替えが容易に行えるもの 7. 物理基盤、仮想基盤、クラウド基盤、どこでも変わらず利用可能なもの 上記の基準は、セキュリティ・ソリューションの導入・運用・管理コストを抑制 する上で大変需要です。セキュリティ・ソリューションは、単体の機能や価格だ けを基準に選択判断をすると危険です。必ず、その導入・運用・管理コストと共 に、既存情報システムへのコスト面での影響度もご確認ください。 セキュリティ強靭化ソリューション選択の際の留意点 株式会社きっとエイエスピー著作(禁無断転用) 3
- 8. 物理(仮想)サーバ Windowsサーバ 画面描画 API キーボード マウス ドライバ GO-Global for Windows アプリケーション 画面描画情報 だけを送信 マウスイベントと キーボード入力 だけを送信 アプリケーション配信サーバ クライアント端末 シンクライアント技術はアプリケーション・プログ ラムはもちろん、アプリケーション・データもサー バ内に閉じ込めて、それをネットワーク越しに利用 するための技術です。サーバからクライアントへは 画面描画情報だけが送信され、クライアントから サーバへはマウスイベントとキーボード入力だけが 送信されます。このような仕組みのお陰で、クライ アント側がウィルスやマルウェアに汚染されたとし ても、その影響がサーバ側へ及ぶことはありません。 内部情報漏洩対策にも、外部からの攻撃対策にも有効な 最先端シンクライアント技術GO-Global for Windows 独自プロトコル Rapid-X “シンクライアント”は外部攻撃にも内部情報漏洩にも堅牢 アプリケーションが 利用するAPIを監視 株式会社きっとエイエスピー著作(禁無断転用) 8
- 10. シンクライアント主要3要素の開発企業別競合製品比較 シンクライアント 仮想デスクトップ サーバ 通信プロトコル クライアント Microsoft社RDS Remote Desktop Service Remote Desktop Protocol RDSクライアント Citrix社XenApp Remote Desktop Service Independent Client Architecture ICAクライアント Remote Desktop Protocol Vmware社Horizon View Remote Desktop Service PC over IP Horizon Viewクライアント Remote Desktop Protocol Ericom社AccessNow Remote Desktop Service Remote Desktop Protocol AccessNow GraphOn社GO-Global GO-Globalサーバ Rapid-X GO-Globalクライアント 開発企業 Microsoft Citrix VMware Ericom Teradici GraphOn 1. 上記の表から分かるように、シンクライアントを構成する主要3要素のすべてを一貫して独自の技術で開発・保守して いるのはMicrosoft社とGraphOn社だけです。その意味で、GraphOn社GO-Globalは、Microsoft社Remote Desktop Serviceに 対する市場唯一の本当の意味での競合製品といえます。 2. Microsoft社のRemote Desktop Serviceは、GraphOn社GO-Global以外のすべての製品で使われています。したがって、 GraphOn社GO-Global以外のすべての製品でRemote Desktop Protocolが利用可能です。 3. GraphOn社GO-Globalの通信プロトコルRapid-Xは、GraphOn社独自のものであり、その仕様は公開されていません。し たがって、GO-Globalサーバにアクセスできるサードパーティ・クライアント製品は存在しません。 4. GraphOn社GO-Globalは、3要素すべてGraphOn社により開発されており、すべての要素についてGraphOn社単独による 一貫したサポート体制が組まれています。 株式会社きっとエイエスピー著作(禁無断転用) 10
- 12. ADサーバ RDSサーバ RDSサーバ ロード バランサー NAT GO-Globalサーバ +ロードバランサー GO-Globalサーバ +ロードバランサー NAT 名前付きユーザ100、同時アクセスユーザ50の場合の構築例 Remote Desktop Serviceによる構築例 GO-Global for Windowsによる構築例 GO-Global for Windows 50同時アクセスユーザライセンス Remote Desktop Service Client Access License 100名前付きユーザライセンス システム構成が簡単だから、構築・導入作業も簡単 株式会社きっとエイエスピー著作(禁無断転用) 12
- 13. ユーザに優しい、使いやすいライセンス体系 同一ライセンス管理サーバを参照する GO-Globalサーバ群へ、同一クライア ントから同一ユーザ名でアクセスする 場合、 この図のように異なるGO-Globalサー バに対し、同時に複数セッションを 張っていても、同時アクセス・アカウ ントは1ユーザ分と解釈されます。 ライセンス管理サーバ GO-Globalサーバ GO-Globalサーバ GO-Globalサーバ ライセンス参照 ライセンス参照 ライセンス参照 競合他社製品に比べて、大変お得に導入できる理由がここにあります! デバイスで縛るライセン スもありません。だから、 お一人お一人何端末でも 自由にご利用頂けます。 これもお得な理由です。 サーバ側同時アクセスユーザ数だけで課金するライセンス管理体系 株式会社きっとエイエスピー著作(禁無断転用) 13
- 15. ハードウェア GO-Global for Windowsサーバ用 CPU インテルXeon E5-2470 V2 / 2,4GHz / 10C 4式 メモリ 32GB HDD 1TB / 7,200RPM / SATA 基本ソフトウェア Microsoft Windows Server 2012 R2 Standard Edition Windows Server Clienet Access License 25ユーザ Network Attached Storage CPU インテルXeon E5-2403 V2 / 1.8GHz / 4C 2式 メモリ 16GB HDD 1TB / 7,200RPM /SATA HDD 4台、RAID5構成 基本ソフトウェア Microsoft Windows Server 2012 R2 Workgroup Edition ソフトウェア GO-Global for Windowsライセンスパッケージ(5ユーザ単位) 使用許諾権(ライセンス) 20パッケージ 初年度保守 GO-Global for Windows拡張機能パッケージ(サーバ単位) 使用許諾権(ライセンス) 4パッケージ 初年度保守 構築作業 GO-Global for Windowsサーバ Microsoft Windows Server構築 4式 ネットワーク設定 Network Attached Storage接続設定 GO-Global for Windows導入・設定 GO-Global for Windows拡張機能パッケージ導入・設定 セキュリティ設定 Network Attached Storage 導入設定 2式 Network Attached StorageGO-Global for Windows サーバクライアント端末 下図システム構成例の初期導入概算費用は約1,000万円 本概算費用は、一つの例です。お選びになるサーバやNASの仕様、製造元の違いによって変動します。 バックアップ用NAS サーバ当り同時アクセス25ユーザ接続端末台数無制限 GO-Global for Windows同時アクセス100ユーザ導入費用 15
- 20. 基幹業務系・オフィス業務系・外部接続系の完全分離 プリンター サーバ ファイルサーバ GO-Global for Windows 業務アプリケー ションサーバ 業務データ ベーサーバ インターネット GO-Global for WindowsGO-Global for Windows すべてのアプリケーションをサーバ側に移し替えても その操作はこれまでと変わりません 業 務 業 務 株式会社きっとエイエスピー著作(禁無断転用) 20
- 22. このような場合にもシンクライアント技術がお役に立ちます ブラウザーの特定バージョンに依存するWebアプリケーションをお使いの皆さまは、こ の方針変更に戸惑っておられることと思います。でも大丈夫です。シンクライアント・ サーバ中にサポート対象から外された、ご利用になりたいバージョンのInternet Explorer をホスティングしてご利用ください。Internet Explorerのセキュリティ更新プログラムが 提供されなくても、シンクライアント・サーバの中に閉じ込めて、外部接続を遮断して 利用されるならば、脆弱性の攻撃を受けたり、内部情報が漏えいすることはありません。 Windows OS ごとに異なるサポート継続バージョンへ移行を 2016 年 1 月 12 日(米国時間)を過ぎると Microsoft 社が提供するウェブブラウザ「Internet Explorer」(以後、IE) のサポート対象が“各 Windows OS で利用可能な最新版のみ”にポリシーが変更されます。サポート対象外となる IE は、セキュリティ更新プログラムが提供されなくなるため、新たな脆弱性が発見されても解消することができませ ん。脆弱性が見つかり攻撃者がそれを悪用すると、ウイルス感染により「ブラウザを正常に利用できなくなる」ほ か「情報が漏えいする」などの被害に遭うおそれがあり、早急なバージョンアップが求められます。 情報処理推進機構ウェブサイトより マイクロソフト社によるInternet Explorerのサポート方針の変更 シンクライアント技術をご利用になれば、サポートを打ち切られた 旧バージョンのInternet Explorerを引き続き安全にご利用頂けます。 株式会社きっとエイエスピー著作(禁無断転用) 22
- 24. Office365 を 利 用 す れ ば デ ー タ フ ァ イ ル は OneDrive上に格納され、G-mailにファイルを添 付すればそれはGoogle Drive上にという具合に、 クラウドを利用するとそれに伴って分散してし まうデータファイルの管理が大変になります。 それに加えて、社内のファイルサーバへ社外か らスマートフォンなどのモバイル機器でアクセ スするという要求も高まっています。このよう に情報システムご担当の皆さまのデータスト レージの運用管理負担は増すばかりです。 分散ファイルシステム統合管理Unifyle導入前 分散ファイルシステム統合管理Unifyle導入後 Unfyle: 分散ファイルシステム統合管理サーバ 分散ファイルシステム統合管理サーバUnifyleを 追加導入するだけで、既存のファイル管理サー バ群には一切手を加えず、SharePointサーバ、 NFS、FTPサーバなどはもちろん、OneDrive、 Google Drive、Box、Dropbox、Evernoteなどの クラウドストレージサービスもUnifyleサーバか らの接続設定をするだけで、簡単に統合し、一 元管理できるようになります。 すべてのストレージのユーザ管理も、どのよう なデバイスからのアクセス管理も、すべて Unifyleサーバ経由に一元化されますので、セ キュリティ対策としても有効です。 株式会社きっとエイエスピー著作(禁無断転用) 24
- 26. 1. オンプレミスでご利用頂けますので、組織内でご利用のデータファイルは、すべて 組織内運用のファイルサーバ内で管理頂けます。 2. 現行の情報システム、ファイルサーバ、ネットワークに手を加えることなくそのま まご利用頂きながら、Unifyleを追加導入して頂くだけですので、導入が簡単です。 3. Active DirectoryやLDAPによる統合にも対応しています。 4. ユーザの皆さんがどなたもオリジナルのデータファイルを共有し、それに直接アク セスできるようになりますので、データファイルの無駄な複製が減ります。 5. ファイル同期は暗黙には行いません。データファイルをローカルデバイスへコピー することなく、まるでそれがローカルデバイスに有るかの如く取り扱って頂けます。 6. モバイルデバイスからデータファイルを利用する場合でも、そのデータファイルは 必ず元の場所へ書き戻されますので、モバイルデバイスを紛失しても、データファ イルを紛失することにはなりません。 7. 暗号化機能も組み込まれていますので、組織内ファイルサーバ内のデータファイル はもちろん、クラウドストレージ上のデータファイルも安全にご利用頂けます。 8. 認証情報はすべて多重に暗号化されています。 9. トランザクション処理はすべてHTTPSで行われます。 10. その他、SQLインジェクション等のセキュリティ対策も完備しています。 を安心してご利用頂くために 株式会社きっとエイエスピー著作(禁無断転用) 26
- 28. シンクライアント GraphOn社GO-Global for Windows & 分散ファイルシステム統合管理サーバ Primadesk社Unifyle & 文書ファイル暗号化 ソフトキャンプ社Document Security 製品組み合わせによる セキュリティ強度の高い情報システム構成例 株式会社きっとエイエスピー著作(禁無断転用) 28
Editor's Notes
- 30