Systemwalker Desktop Keeperの構成コンポーネント、およびシステム構成について説明します。
Systemwalker Desktop Keeperは、以下のコンポーネントで構成されています。
管理サーバ配下のPCおよびスマートデバイスのセキュリティポリシーの設定定義、各PCおよびスマートデバイスへのポリシーの配付、配下のPCおよびスマートデバイスから収集したログの保管を行うサーバです。配下のPCおよびスマートデバイス情報参照、ログ情報参照が可能です。収集したログは、管理サーバ単位に管理します。
また、管理コンソールを使用して、管理サーバ配下のクライアント(CT)にCTポリシーやユーザーポリシーを定義します。スマートデバイス(エージェント)にはCTポリシーを定義します。定義したポリシーは、CTポリシーの場合、配下のクライアント(CT)には即時または次回起動時に配付し、スマートデバイス(エージェント)には一定のタイミングで配布します。ユーザーポリシーの場合、クライアント(CT)のWindowsログオン時に配付します。またはユーザーポリシーが定義されているIDでログオンしている場合には、CTポリシーの即時更新時に同時に配付します。
CTポリシーとユーザーポリシーでは、ポリシーの種類、設定方法、および適用範囲が異なります。詳細については、“Systemwalker Desktop Keeper 運用ガイド 管理者編”を参照してください。
管理サーバが複数ある場合に設置します。統合管理サーバに、管理コンソールやログビューアを接続して、各管理サーバで定義したポリシーの参照および変更、ログの参照ができます。なお、統合管理サーバは管理サーバと同様の機能を持ち、直接クライアント(CT)およびスマートデバイス(エージェント)を管理することもできます。
各クライアントでのファイル持出し、ファイルに対する操作、印刷状況などの各種操作ログから操作の傾向を分析するサーバです。
Citrix XenApp(Citrix社製)のクライアント(仮想端末)の操作(アプリケーション起動・終了、ログオン/ログオフ、ファイル操作、コマンドプロンプト、印刷、FTP操作、Web操作、クリップボード操作)ログを採取し、管理サーバへ転送します。
管理サーバに対する定義、CTポリシーおよびユーザーポリシーの定義、クライアント(CT)およびスマートデバイス(エージェント)へのポリシーの配付や、クライアント(CT)およびスマートデバイス(エージェント)から収集するログの定義を一括操作するコンソールです。GUI操作で設定します。
Webコンソール(状況画面、ログビューアおよびログアナライザ)
クライアント(CT)およびスマートデバイス(エージェント)から収集したログや、ログの傾向分析結果を参照するコンソールです。
状況画面では、情報漏洩の恐れがある操作が実施されたPCの台数を、システム全体で集計した結果を表示します。
ログビューア画面では、日時、ログの種類およびキーワード等の条件を指定し検索することができます。検索した結果は一覧に表示およびCSVファイルへの出力ができます(付帯情報は除く)。また、指定したログからファイル操作追跡を行うこともできます。
ログアナライザ画面では、操作別集計結果の表示、違反操作ランキングの表示、または過去の日付を指定した集計などを行うことができます。
セキュリティリスク状況やコンプライアンス状況などを報告するための資料として、印刷またはファイル出力するためのツールです。管理者がレポートを作成するPCにインストールして使用します。
管理対象となるPCにインストールするクライアントモジュールです。セキュリティポリシーの配付をうけ、設定されたポリシーに従って、各種ログの保存、およびポリシーに違反した操作の禁止を行います。
管理対象となるスマートデバイスにインストールするエージェントです。セキュリティポリシーの配付をうけ、設定されたポリシーに従って、各種ログの保存、およびポリシーに違反した操作の禁止を行います。
スマートデバイス(エージェント)と(統合)管理サーバの間に位置する中継サーバです。スマートデバイス(エージェント)を管理する場合に設置します。
ポリシーは(統合)管理サーバからスマートデバイス中継サーバを経由して、スマートデバイス(エージェント)へ配布され、ログはスマートデバイス(エージェント)からスマートデバイス中継サーバを経由して、(統合)管理サーバに収集されます。
システム構成
Systemwalker Desktop Keeperでは、階層構造による運用管理を実現します。
大規模モデル(管理対象ノードが多い環境)の場合は、3階層(統合管理サーバ→管理サーバ→クライアント)でのシステム構成を構築することを推奨します。中小規模(管理対象ノードが少ない環境)の場合は、2階層(管理サーバ→クライアント)で構築することもできます。
上記の構成コンポーネントを組み合わせてどのようなシステム構成にするかは、使用する機能や、システムの規模によって異なります。サーバの設置基準については、“Systemwalker Desktop Keeper 導入ガイド”の“システム構成を決定する”を参照してください。
ここでは、以下の4パターンを代表的なシステム構成例として説明します。
2階層でのシステム構成
3階層でのシステム構成
3階層でのシステム構成(仮想環境利用あり)
3階層のシステム構成(Citrix XenApp監視あり)
3階層のシステム構成(ログ分析/レポート出力あり、Citrix XenApp監視あり)
管理サーバを1台設置し、配下に複数のクライアント(CT)を配置する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置し、Citrix XenDesktopTM環境やVMware ViewTM環境にクライアント(CT)を導入する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置し、Citrix XenApp監視機能を使用する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置し、ログ分析やレポート出力を行い、かつCitrix XenApp監視機能を使用する構成です。
スマートデバイスを管理するために、スマートデバイス中継サーバを設置し、スマートデバイスからこのサーバを経由してログの収集や、スマートデバイス中継サーバを経由して、スマートデバイスに対しポリシーの配布を行う構成です。
PCは従来通り管理サーバに直接接続します。スマートデバイス(社内アクセスポイントに接続しているもの)は別途スマートデバイス中継サーバを構築し、そのスマートデバイス中継サーバに接続します。管理サーバおよびスマートデバイス中継サーバは社内ネットワーク内に構築します。
インターネット上のスマートデバイスについては、DMZにリバースプロキシを設置して運用して下さい。推奨する構成を、以下に示します。
スマートデバイスの運用パターン
代表的な運用パターンとして、スマートデバイスを、社内ネットワーク、および、外出先で使用するパターンが考えられます。
スマートデバイスの社外持ち出しを許可する場合は以下のようなポリシーを設定するのが有効です。
Wi-Fiアクセス禁止にて、社内のアクセスポイントおよび信頼できるアクセスポイントのみ接続可能とする。
アプリケーション使用禁止を行い、クラウド系ツールの使用を限定する。
アプリケーション使用禁止を行い、標準ブラウザ以外の使用を禁止する。
Webアクセスログを採取し、社外のクラウドストレージ、クラウド系サービスへの接続を監視する。
上記ポリシーを設定することで、社外のアクセスポイントについては信頼できるもののみ接続し、インターネットを利用することができます。またWebアクセスを監視することで業務に関係ないHPの参照など監視することができます。
ポイント
インターネット経由でスマートデバイスを管理する場合は、リバースプロキシサーバの設置を推奨します。
