Systemwalker Desktop Keeperの構成コンポーネント、およびシステム構成について説明します。
構成コンポーネント
Systemwalker Desktop Keeperは、以下のコンポーネントで構成されています。
管理サーバ配下のPCおよびスマートデバイスのセキュリティポリシーの設定定義、各PCおよびスマートデバイスへのポリシーの配付、配下のPCおよびスマートデバイスから収集したログの保管を行うサーバです。配下のPCおよびスマートデバイス情報参照、ログ情報参照が可能です。収集したログは、管理サーバ単位に管理します。
また、管理コンソールを使用して、管理サーバ配下のクライアント(CT)にCTポリシーやユーザーポリシーを定義します。スマートデバイス(エージェント)にはCTポリシーを定義します。定義したポリシーは、CTポリシーの場合、配下のクライアント(CT)には即時または次回起動時に配付し、スマートデバイス(エージェント)には一定のタイミングで配付します。ユーザーポリシーの場合、クライアント(CT)のWindowsログオン時に配付します。またはユーザーポリシーが定義されているIDでログオンしている場合には、CTポリシーの即時更新時に同時に配付します。
CTポリシーとユーザーポリシーでは、ポリシーの種類、設定方法、および適用範囲が異なります。詳細は、“運用ガイド 管理者編”の“ポリシーとは”を参照してください。
管理サーバが複数ある場合に設置します。統合管理サーバに、管理コンソールやログビューアを接続して、各管理サーバで定義したポリシーの参照および変更、ログの参照ができます。なお、統合管理サーバは管理サーバと同様の機能を持ち、直接クライアント(CT)およびスマートデバイス(エージェント)を管理することもできます。
各クライアントでのファイル持出し、ファイルに対する操作、印刷状況などの各種操作ログから操作の傾向を分析するサーバです。
Citrix XenApp(Citrix社製)のクライアント(仮想端末)の操作(アプリケーション起動・終了、ログオン/ログオフ、ファイル操作、コマンドプロンプト、印刷、FTP操作、Web操作、クリップボード操作)ログを採取し、管理サーバへ転送します。
また、Citrix XenApp監視機能はVMware Horizon RDSH(VMware社製)にも対応しています。
管理サーバに対する定義、CTポリシーおよびユーザーポリシーの定義、クライアント(CT)およびスマートデバイス(エージェント)へのポリシーの配付や、クライアント(CT)およびスマートデバイス(エージェント)から収集するログの定義を一括操作するコンソールです。GUI操作で設定します。
クライアント(CT)およびスマートデバイス(エージェント)から収集したログや、ログの傾向分析結果を参照するコンソールです。
状況画面では、情報漏洩の恐れがある操作が実施されたPCの台数を、システム全体で集計した結果を表示します。
ログビューア画面では、日時、ログの種類およびキーワード等の条件を指定し検索できます。検索した結果は一覧に表示およびCSVファイルへの出力ができます(付帯情報は除く)。また、指定したログからファイル操作を追跡することもできます。
ログアナライザ画面では、操作別集計結果の表示、違反操作ランキングの表示、または過去の日付を指定した集計などを行うことができます。
セキュリティリスク状況やコンプライアンス状況などを報告するための資料として、印刷またはファイル出力するためのツールです。管理者がレポートを作成するPCにインストールして使用します。
管理対象となるPCにインストールするクライアントモジュールです。セキュリティポリシーの配付をうけ、設定されたポリシーに従って、各種ログの保存、およびポリシーに違反した操作の禁止を行います。
管理対象となるスマートデバイスにインストールするエージェントです。
あらかじめ設定されたポリシーに従って、各種ログの保存、およびポリシーに違反した操作の禁止を行います。リモート制御による強制ロックやワイプが可能です。
管理対象となるスマートデバイスにインストールするプロファイルです。
あらかじめ設定されたポリシーに従って、操作の禁止を行います。リモート制御によるワイプおよびロックが可能です。
スマートデバイス(エージェント)と(統合)管理サーバの間に位置する中継サーバです。スマートデバイス(エージェント)を管理する場合に設置します。また、インターネット経由でクライアント(CT)を接続する場合に、クライアント(CT)と(統合)管理サーバとの間に設置します。
Android端末の場合、ポリシーは(統合)管理サーバから中継サーバを経由して、スマートデバイス(エージェント)へ配付され、ログはスマートデバイス(エージェント)から中継サーバを経由して、(統合)管理サーバに収集されます。
iOS端末の場合、Apple Push Notification Service(APNs)を使って、端末にプロファイルを配付して制御します。
システム構成
Systemwalker Desktop Keeperでは、階層構造による運用管理を実現します。
大規模モデル(管理対象ノードが多い環境)の場合は、3階層(統合管理サーバ→管理サーバ→クライアント)でのシステム構成を構築することを推奨します。中小規模(管理対象ノードが少ない環境)の場合は、2階層(管理サーバ→クライアント)で構築することもできます。
上記の構成コンポーネントを組み合わせてどのようなシステム構成にするかは、使用する機能や、システムの規模によって異なります。サーバの設置基準については、“導入ガイド”の“システム構成を決定する”を参照してください。
ここでは、以下の7パターンを代表的なシステム構成例として説明します。
2階層でのシステム構成
3階層でのシステム構成
3階層でのシステム構成(仮想環境利用あり)
3階層のシステム構成(Citrix XenApp監視あり)
3階層のシステム構成(ログ分析/レポート出力あり、Citrix XenApp監視あり)
インターネット経由で接続するクライアント(CT)の管理システム構成
スマートデバイス管理システム構成
管理サーバを1台設置し、配下に複数のクライアント(CT)を配置する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置し、Citrix XenDesktop環境やVMware View環境にクライアント(CT)を導入する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置し、Citrix XenApp監視機能を使用する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置し、ログ分析やレポート出力を行い、かつCitrix XenApp監視機能を使用する構成です。
インターネット経由で接続するクライアント(CT)を管理するために、中継サーバを設置し、インターネット経由で接続するクライアント(CT)に対しポリシーの配付やログの収集を行う構成です。
管理サーバは社内ネットワーク内に構築します。管理サーバに直接接続する中継サーバは社内ネットワーク内に設置します。インターネット経由でクライアント(CT)を接続する場合は、DMZにもう1台中継サーバを設置します。クライアント(CT)はDMZの中継サーバに接続し、DMZに設置した中継サーバは社内ネットワーク内に設置した中継サーバに接続してください。推奨する構成を、以下に示します。
スマートデバイスを管理するために、中継サーバを設置し、スマートデバイスに対しポリシーの配付やログの収集を行う構成です。
PCは、従来どおり管理サーバに直接接続します。スマートデバイス(社内アクセスポイントに接続しているもの)は別途中継サーバを構築し、その中継サーバに接続します。管理サーバおよび中継サーバは社内ネットワーク内に構築します。
インターネット上のスマートデバイスについては、DMZにリバースプロキシを設置して運用してください。推奨する構成を、以下に示します。
スマートデバイスの運用パターン
代表的な運用パターンとして、スマートデバイスを、社内ネットワーク、および、外出先で使用するパターンが考えられます。
注意
iOS端末の管理を行う場合は、中継サーバおよびスマートデバイス(iOS端末)が、APNs(Apple Push Notification Service)に接続する必要があります。イントラネット環境のみで運用することはできません。APNsに接続するための環境設定については、Apple社が開示している最新の情報を参照ください。
スマートデバイスの社外持出しを許可する場合は以下のようなポリシーを設定するのが有効です。
Wi-Fiアクセス禁止にて、社内のアクセスポイントおよび信頼できるアクセスポイントのみ接続可能とする。
アプリケーション使用禁止を行い、クラウド系ツールの使用を限定する。
アプリケーション使用禁止を行い、標準ブラウザ以外の使用を禁止する。
Webアクセスログを採取し、社外のクラウドストレージ、クラウド系サービスへの接続を監視する。
上記ポリシーを設定することで、社外のアクセスポイントについては信頼できるもののみ接続し、インターネットを利用できます。またWebアクセスを監視することで業務に関係ないHPの参照など監視できます。
ポイント
インターネット経由でスマートデバイスを管理する場合は、リバースプロキシサーバの設置を推奨します。
