Systemwalker Desktop Keeperの構成コンポーネント、およびシステム構成について説明します。
構成コンポーネント
Systemwalker Desktop Keeperは、以下のコンポーネントで構成されています。
管理サーバ配下のPCのセキュリティポリシーの設定定義、各PCへのポリシーの配付、配下のPCから収集したログの保管を行うサーバです。配下のPC情報参照、ログ情報参照が可能です。収集したログは、管理サーバ単位に管理します。
また、管理コンソールを使用して、管理サーバ配下のクライアント(CT)にCTポリシーやユーザーポリシーを定義します。定義したポリシーは、CTポリシーの場合、配下のクライアント(CT)には即時または次回起動時に配付します。ユーザーポリシーの場合、クライアント(CT)のWindowsログオン時に配付します。またはユーザーポリシーが定義されているIDでログオンしている場合には、CTポリシーの即時更新時に同時に配付します。
CTポリシーとユーザーポリシーでは、ポリシーの種類、設定方法、および適用範囲が異なります。詳細は、“運用ガイド 管理者編”の“ポリシーとは”を参照してください。
管理サーバが複数ある場合に設置します。統合管理サーバに、管理コンソールやログビューアを接続して、各管理サーバで定義したポリシーの参照および変更、ログの参照ができます。なお、統合管理サーバは管理サーバと同様の機能を持ち、直接クライアント(CT)を管理することもできます。
各クライアントでのファイル持出し、ファイルに対する操作、印刷状況などの各種操作ログから操作の傾向を分析するサーバです。
Citrix Virtual Apps and Desktops(Citrix社製)のクライアント(仮想端末)の操作(アプリケーション起動・終了、ログオン/ログオフ、ファイル操作、コマンドプロンプト、印刷、FTP操作、Web操作、クリップボード操作)ログを採取し、管理サーバへ転送します。
また、Citrix XenApp監視機能はVMware Horizon RDSH(VMware社製)にも対応しています。
管理サーバに対する定義、CTポリシーおよびユーザーポリシーの定義、クライアント(CT)へのポリシーの配付や、クライアント(CT)から収集するログの定義を一括操作するコンソールです。GUI操作で設定します。
クライアント(CT)から収集したログや、ログの傾向分析結果を参照するコンソールです。
状況画面では、情報漏洩の恐れがある操作が実施されたPCの台数を、システム全体で集計した結果を表示します。
ログビューア画面では、日時、ログの種類およびキーワード等の条件を指定し検索できます。検索した結果は一覧に表示およびCSVファイルへの出力ができます(付帯情報は除く)。また、指定したログからファイル操作を追跡することもできます。
ログアナライザ画面では、操作別集計結果の表示、違反操作ランキングの表示、または過去の日付を指定した集計などを行うことができます。
セキュリティリスク状況やコンプライアンス状況などを報告するための資料として、印刷またはファイル出力するためのツールです。管理者がレポートを作成するPCにインストールして使用します。
管理対象となるPCにインストールするクライアントモジュールです。セキュリティポリシーの配付をうけ、設定されたポリシーに従って、各種ログの保存、およびポリシーに違反した操作の禁止を行います。
また、スタンドアロン機能(Systemwalker Desktop Keeper for Standalone)として、クライアント端末単体で設定されたポリシーに従って、ログの保存(USBデバイス接続ログ、USB接続デバイス利用のファイル操作ログ)、およびポリシーに違反したUSB操作の禁止を行うことができます。
インターネット経由でクライアント(CT)を接続する場合に、クライアント(CT)と(統合)管理サーバとの間に設置します。
システム構成
Systemwalker Desktop Keeperでは、階層構造による運用管理を実現します。
大規模モデル(管理対象ノードが多い環境)の場合は、3階層(統合管理サーバ→管理サーバ→クライアント)でのシステム構成を構築することを推奨します。中小規模(管理対象ノードが少ない環境)の場合は、2階層(管理サーバ→クライアント)で構築することもできます。
さらに、中小規模環境では、階層構造を必要としないスタンドアロン機能(Systemwalker Desktop Keeper for Standalone)での運用も可能です。
上記の構成コンポーネントを組み合わせてどのようなシステム構成にするかは、使用する機能や、システムの規模によって異なります。サーバの設置基準については、“導入ガイド”の“システム構成を決定する”を参照してください。
ここでは、以下の9パターンを代表的なシステム構成例として説明します。
2階層でのシステム構成
3階層でのシステム構成
3階層でのシステム構成(仮想環境利用あり)
3階層のシステム構成(Citrix XenApp監視あり)
3階層のシステム構成(ログ分析/レポート出力あり、Citrix XenApp監視あり)
インターネット経由で接続するクライアント(CT)の管理システム構成
Microsoft Edge 96以降、Firefox、Google ChromeでWeb操作ログおよびWeb禁止を利用する場合のシステム構成
日本国内から海外拠点のクライアントを管理する時のシステム構成
スタンドアロン運用でのシステム構成
管理サーバを1台設置し、配下に複数のクライアント(CT)を配置する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置し、Citrix Virtual Apps and Desktops環境やVMware Horizon環境にクライアント(CT)を導入する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置し、Citrix XenApp監視機能を使用する構成です。
複数の管理サーバを管理するために、統合管理サーバを設置し、ログ分析やレポート出力を行い、かつCitrix XenApp監視機能を使用する構成です。
インターネット経由で接続するクライアント(CT)を管理するために、中継サーバを設置し、インターネット経由で接続するクライアント(CT)に対しポリシーの配付やログの収集を行う構成です。
管理サーバは社内ネットワーク内に構築します。管理サーバに直接接続する中継サーバは社内ネットワーク内に設置します。インターネット経由でクライアント(CT)を接続する場合は、DMZにもう1台中継サーバを設置します。クライアント(CT)はDMZの中継サーバに接続し、DMZに設置した中継サーバは社内ネットワーク内に設置した中継サーバに接続してください。推奨する構成を、以下に示します。
Microsoft Edge、Firefox、Google ChromeでWeb操作ログおよびWeb禁止を利用する場合、各クライアント(CT)は、インターネット上のブラウザを提供しているベンダーの公開サーバにアクセスする必要があります。さらにMicrosoft TeamsのWeb操作ログを採取するために、DTK管理サーバからAzure上のMicrosoft 365管理センターへ通信する構成です。また、本機能を利用するためには、Microsoft Entra IDへのアプリケーション(*1)の登録が必要です。
(*1) DTK管理サーバからAzure上のMicrosoft 365管理センターへ監査ログを問い合わせるために必要となります。
日本国内の統合管理サーバで、日本国内および海外に展開しているクライアント(CT)管理する場合のシステム構成を以下に示します。
図1.1 日本語版統合管理サーバで一元管理する場合の運用イメージ
注意
メッセージなど、製品画面上に表示される文字列を管理者が英語と日本語の2言語を設定した場合、以下のような場合があります。
英語画面上に日本語が表示されます。または、一部文字化けして表示されます。
設定した英語が長い場合、日本語画面上に日本語が表示されません。または、一部日本語が切れて表示されます。
Webコンソールのログビューア画面でログを表示した場合、以下の様な場合があります。
ブラウザの言語を日本語に設定しても一部の文字列が英語で表示されます。あるいは、ブラウザの言語を日本語以外に設定しても一部の文字列が日本語で(または文字化けして)表示されます。
原則として、日本語環境のクライアントで収集した文字列情報は日本語となり、外国語環境のクライアントで収集した文字列情報は英語または当該外国語となります。また、クライアントで生成した文字列情報(例:デバイス構成変更ログの内容欄など)についても同様です。
ブラウザの言語設定に関わらずログの内容欄/備考欄の一部文字列が、常に日本語で表示されます(DTKSetBilingualMode.batで英語表示を有効化していない場合)。または、日本語(英語)の併記形式で表示されます(DTKSetBilingualMode.batで英語表示を有効化している場合)。なお、英語表示が有効な時に収集したログは無効化しても日本語(英語)形式で表示されます(逆の場合も同様です)。
ブラウザの言語を日本語以外にした場合、Webコンソールで以下の機能は使用(参照)できません。
ログビューアの設定変更ログ
海外拠点に配置するクライアント(CT)で利用できない機能について、以下に示します。
項番 | 機能名 | 海外拠点での利用 |
|---|---|---|
1 | ファイル持出しユーティリティの暗号化持出し | 海外拠点で利用不可 |
2 | 暗号ファイルのメールソフトへの自動添付 | 海外拠点で利用不可 |
3 | Citrix XenApp監視機能 | 海外拠点で利用不可 |
4 | 複合機連携機能 | 海外拠点で利用不可 |
5 | Sense YOU Technology Biz連携機能 | 海外拠点で利用不可 |
6 | PC使用時間通知 | 海外拠点で利用不可 |
7 | 個体識別機能 | 海外拠点で利用可(注1) |
8 | コマンドプロンプト操作ログ取得機能 | 海外拠点で利用可(注2) |
9 | ログオン禁止機能 | 海外拠点で利用可(注2) |
10 | メール添付禁止機能 | 海外拠点で利用可(注2) |
11 | メール送信時宛先確認機能 | 海外拠点で利用可(注2) |
12 | セキュリティリスクへの対応 | 海外拠点で利用可(注2) |
注1)海外でしか入手できないような特殊なUSBデバイス/メディアはサポート対象外です。
注2)日本語OS、英語OS環境での利用を前提でサポートします。
Windowsの表示言語によって、インストール方法が異なります。英語OSにインストールできるコンポ―ネントは管理コンソール/クライアント(CT)になります。
以下に、各コンポーネントのインストール方法、および画面表示の関係を下表に示します。画面表示はユーザーがDTKインストール時のWindowsの表示言語に従って画面の表示言語が切り替わります。ただし、Active DirectoryのグループポリシーにてSYSTEMアカウントがインストールした場合は、Windowsインストール時に選択した言語に従って画面の表示言語が切り替わります。
Windowsの表示言語 | コンポーネント | インストール方法 | 画面表示 |
|---|---|---|---|
日本語 | 統合管理サーバ | インストール媒体からインストールします。 | 日本語 |
管理サーバ | |||
管理コンソール | |||
中継サーバ | |||
ログアナライザサーバ | |||
レポート出力ツール | |||
Citrix XenApp監視機能 | |||
クライアント(CT) | |||
英語 (日本語以外) | 管理コンソール | インストール媒体からインストールします。 | 英語 |
クライアント(CT) |
Web GUIは、以下のとおりブラウザの言語設定に従って画面表示が切り替わります。
ブラウザの言語設定 | インストール方法 | 画面表示 |
|---|---|---|
日本語 | - | 日本語 |
日本語以外 | - | 英語 |
ブラウザの言語設定は以下のとおりです。
IEの場合
[インターネットオプション]-[全般]-[言語]-[言語の優先順位の設定]-[優先する言語]または[言語の設定の変更]の項目で既定の言語に設定されている言語
Edgeの場合
[設定]-[言語]-[言語]の項目で既定の言語に設定されている言語
各画面、ファイル、コマンドに表示される日時を以下に説明します。
管理サーバで検出した日時
管理サーバが動作した時の日時を画面などに表示する際は、管理サーバのローカル時間に従って出力されます。
例)トレース/ログ日時、サーバ設定ツールに表示されるインストール日、管理者通知設定で通知する情報の日時(「禁止ログ・検知時の動作」以外)
クライアント(CT)で検出した日時
クライアント(CT)が動作した時の日時は、クライアント(CT)のローカル時間に従って出力されます。
例)トレース/ログ日時、操作ログの日時
ログアナライザサーバ/レポート出力ツールで検出した日時
ログアナライザサーバ/レポート出力ツールが動作した時の日時は、ログアナライザサーバ/レポート出力ツールのローカル時間に従って出力されます。
例)トレース/ログ日時、通知メール内の日時、レポート出力日時
スケジュールに指定する日時を以下に説明します。
管理サーバに対するスケジュールの日時
自動バックアップ、他システム連携、日付が変わった時の処理など、管理サーバに対するスケジュールの日時は、管理サーバのローカル時間です。
例) 日本の管理サーバに対して9:00に動作すると指定した場合、日本時間の9:00に動作します。
ログアナライザサーバ/レポート出力ツールに対するスケジュールの日時
データ転送やデータ移入などのタスクスケジューラに登録するコマンドのスケジュールの日時は、ログアナライザサーバ/レポート出力ツールのローカル時間です。
クライアント(CT)に対するスケジュール日時
日付が変わった時の処理など、クライアント(CT)に対するスケジュールの日時は、クライアント(CT)のローカル時間です。
集計期間指定における日時は、クライアント(CT)のローカル時刻が対象となります。
例)状況画面、ログアナライザの集計期間指定
[持出しユーティリティ機能の設定]画面の[持出しユーティリティ起動可能日時設定]について、以下に説明します。
日時・時刻確認方式は以下の通りです。
【管理サーバに照会する】
[取得できない場合は起動不可]
オフライン時にファイル持出しユーティリティを使用させない場合に指定します。
使用可能時間外にクライアント(CT)の時刻を改ざんして使用されるのを防ぎます。
[取得できない場合はCTの日付・時刻を使用する]
基本的に上記の運用を行いたいが、オフライン時にもファイル持出しユーティリティを使用させたい場合に指定します。
【CTの日付・時刻を使用する】
クライアント(CT)と管理サーバ間の通信負荷を軽減させたい場合に指定します。
[持出しユーティリティ起動可能日時設定]で指定する日時は、クライアント(CT)のタイムゾーンでの日時です。
日付・時刻確認方式のポリシー | [持出しユーティリティ起動可能日時設定]と比較する日時 | ||
|---|---|---|---|
オンライン時 | オフライン時 | ||
管理サーバに照会する | 取得できない場合は起動不可 | 管理サーバの日時を、CTのタイムゾーンに変換した日時 例えば、管理サーバ、CT間に8時間の時差がある場合、管理サーバの日時を8時間補正した日時が使用されます。 | - |
管理サーバに照会する | 取得できない場合はCTの日付・時刻を使用する | 管理サーバの日時を、CTのタイムゾーンに変換した日時 例えば、管理サーバ、CT間に8時間の時差がある場合、管理サーバの日時を8時間補正した日時が使用されます。 | CTのローカル日時 |
CTの日付・時刻を使用する | - | CTのローカル日時 | CTのローカル日時 |
管理者通知機能
[管理者通知設定]画面の[CTの監視動作]-[時刻に基準時刻以上の差がある時]の項目は、管理サーバとクライアント(CT)に基準時間(初期値:60分)以上の差がある場合に、管理者へメール通知またはイベントログに書き込むためのものです。
時差がある場合は、管理サーバとクライアント(CT)のそれぞれの現地時間で比較を行うと基準時間を超えてしまうため、UTC時刻で比較が行われます。
個体識別機能
USB装置/メディアの有効期限管理を行う場合は、上記の基準時間以上の差があるとUSB装置/メディアを使用できません。そのため、UTC時刻で比較が行われます。
バックアップツール(GUI)では、管理サーバの日付より未来の日付を指定してのバックアップおよび削除はできません。
管理サーバの日付より未来の日付の操作ログをバックアップおよび削除をする場合は、バックアップコマンドを使用してください。
タイムゾーンを変更すると、正確な日時を取得できない場合があります。
その場合、誤った日時で操作ログを記録したり、日時比較を行う機能が誤判定をします。
タイムゾーンを変更した場合は、速やかにコンピュータを再起動してください。
管理サーバを設置せず、各クライアント端末を独立して運用する構成です。
