Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
© Canon Marketing Japan Inc.. 1
機能詳細1. ルールテンプレート2. URLフィルタリング3. コンテンツフィルタリング4. 標的型攻撃への対応(CONNECT通信遮断、脅威情報連携)5. 外部機能連携(ICAP連携、SIEM連携)6. SSL通信検査7. ログ・アーカイブ・統計情報8. クラウドサービス検査(シャドーIT対策)9. プライバシー情報保護機能 【特許出願中】
© Canon Marketing Japan Inc.. 2
4種類の環境(基本・企業・学校・公共)を想定し、それぞれおすすめの設定が入った
「ルールテンプレート」を用意。
「最初に何を設定したら良いか分からない」という方でも簡単に利用を開始できます。
1. ルールテンプレート
4種類の環境を想定したおすすめ設定 簡単ルール適用
© Canon Marketing Japan Inc..
「ルールテンプレート」を適用すると、必要なルールが自動生成されます。
3
1. ルールテンプレート
テンプレート名 基本 企業 学校 公共
危険/不要なWebサイトへのアクセスを遮断
○(※1)
○(※1)
○(※1)
○(※1)
拡張子を偽装したファイル送信を遮断 ー ○ ー ○
特定キーワードを含む外部への通信を遮断
誹謗・中傷 ー ○(※2)
○(※2)
○(※2)
ネガティブ ー ○(※2)
○(※2)
○(※2)
機密情報 ー ○(※3)
○(※3)
○(※3)
個人情報を含む外部への通信を遮断
個人情報 ー ○ ○ ○マイナンバー ー ○ ー ○
(※1)ブロック対象として設定されているURLカテゴリはテンプレートごとに異なります(※2)対象のキーワードが含まれていた場合、外部への送信をブロックし管理者(メール)に通知します(※3)対象のキーワードが含まれていた場合、外部への送信をブロックします
© Canon Marketing Japan Inc.. 4
ポリシー設定URLやカテゴリ単位で容易にアクセス制限をかけることが可能です。業務に不要なアクセスを制限することでセキュリティの強化や業務効率の向上を実現することができます。
警告禁止
中継
カテゴリ「ショッピング」へのアクセスを禁止
カテゴリ「ビジネス」へのアクセスを許可
特定URL(http://xxx)へのアクセスを警告※任意でアクセスを許可
URLやカテゴリで柔軟に制御が可能 時間を指定することにより業務時間内/外に絞った制御が可能 中継、禁止、警告など豊富なフィルタリングアクションが利用可能
ポイント
2. URLフィルタリング
© Canon Marketing Japan Inc.. 5
ポリシー設定は ①誰が ②いつ ③どこに対する ④どのような通信を という4つの条件と⑤どう処理する という処理動作を掛け合わせたものです。
⑤どう処理する かは以下の6種類のアクションから選択できます。
誰が ユーザー認証名、IPアドレス、User-Agent、グループ
いつ 時間範囲、曜日
どこに対する URLリスト、カテゴリ
どのような通信を メソッド、MIMEタイプ、キーワード、データサイズ、パスワード有無、個人情報
どう処理する 中継、試行、警告、禁止、リダイレクト、オーバーライド +通知メール
ポリシー設定に定義する項目
中継 通信をそのまま流します。
試行 通信はそのまま流しますが、ルールにマッチするアクセスがあったことをログに記録します。
警告 警告メッセージを表示し、ユーザーに注意を促した後、通信を中継します。
禁止 禁止メッセージを表示し、Web閲覧や情報送信をブロックします。
リダイレクト 通信を中継せずに、設定したURLへリダイレクトします。
オーバーライド オーバーライドコードを入力すると、通信を一時的に中継します。
2. URLフィルタリング
© Canon Marketing Japan Inc.. 6
カテゴリ一覧72に分類されたカテゴリを選択するだけで簡単に制御できます。URLからカテゴリを逆引き検索することも可能です。
未分類
広告
酒/タバコ
ビジネス
自動車(運送手段)
フォーラム/ニュースグループ
コンピューター/技術
匿名化
芸術
チャット
セキュリティ脆弱
犯罪
デート(出会い)
ダウンロード
教育
エンターテインメント
金融
ギャンブル
ヘイト
健康/医学
求人/求職
ニュース
ゲーム
公共機関
違法薬物/麻薬
動画
非営利団体/NGO
ヌード
個人サイト
フィッシング/詐欺
政治
ポルノ
不動産
検索エンジン/ポータル
ショッピング
スパムメール配布
マルウェア配布
宗教
飲食店
ソーシャルネットワーキング
スポーツ
翻訳
旅行
暴力/中傷
武器
ウェブメール
一般
レジャー
ファッション/ビューティー
グリーティングカード
違法ソフトウェア
情報セキュリティ
ボットネット
カルト
ハッキング情報共有
イメージ共有
メッセンジャー
ネットワーク不明
ドメインパーキング
P2P
プライベートIPアドレス
不正試験情報
性教育
マリファナ
専門家ネットワーク
オンラインストレージ
自傷行為
悪趣味
児童ポルノ
有害サイト
LGBT
セミヌード
2. URLフィルタリング
業務に不要なサイト
セキュリティリスクが高いサイト
目的に応じたカテゴリ例
© Canon Marketing Japan Inc.. 7
キーワード検査送信データに特定キーワードを含む通信を制限することができます。
禁止キーワード「社外秘」を検知して接続を拒否
禁止キーワードの登録により送信データを検査し接続を拒否 SNS等はメソッドとの組み合わせにより、閲覧は許可、書き込みは禁止などの設定が可能
禁止キーワード登録 機密 社外秘 名簿 など
「社外秘」を含むウェブサイトの書き込み
禁止キーワード社外秘
ポイント
3. コンテンツフィルタリング
© Canon Marketing Japan Inc.. 8
個人情報検査送信データに個人情報・マイナンバーを含む通信を制限することが可能です。
個人情報検査「マイナンバー」を検知して接続を拒否
個人情報検査有効 マイナンバーなど
マイナンバーを含むファイル
123456XXXXXX
特定のキーワード検査では発見が難しい個人情報も当社独自技術で検知しブロック マイナンバーについてはチェックデジットを検査することで正確な検知が可能
ポイント 特許取得済み
3. コンテンツフィルタリング
© Canon Marketing Japan Inc.. 9
検査可能な個人情報項目
個人情報検査項目氏名 生年月日・年齢 パスポート番号 傷病名
住所 組織名 運転免許証番号 罪名・刑罰名
電話番号 クレジットカード番号 住民票コード 健康項目
メールアドレス マイナンバー 基礎年金番号 障害区分
3. コンテンツフィルタリング
© Canon Marketing Japan Inc.. 10
ウェブメールウェブメールに含まれる送信データからも通信を制限することが可能です。
キーワード、個人情報を検知してウェブメールからの情報漏えいを対策
規制ルール キーワード検査 個人情報検査 etc
Office365等のウェブメールからの送信
件名、本文添付ファイル
Office365、outlook.com等のクラウドサービスに対応 件名、本文、添付ファイルを検査し、情報漏えいを未然に防ぐ
ポイント
3. コンテンツフィルタリング
© Canon Marketing Japan Inc..
4. 標的型攻撃への対応(CONNECT通信遮断、脅威情報連携)
11
GUARDIANWALL WebFilterでは、標的型攻撃対策としてマルウェアによく見られる挙動を検知できます。
C&Cサーバーとの長時間接続を維持する
CONNECT通信遮断機能
まだ対策されていない未知のURLに誘導する
脅威情報連携機能
© Canon Marketing Japan Inc.. 12
CONNECT通信遮断
特定サーバーとの長時間の通信を検知し、自動遮断します。自動遮断した情報はブラックリストに登録され、次回以降同様な通信が発生した際には接続を禁止します。これにより、被害の拡大阻止が可能です。
長時間通信を遮断し情報をブラックリストに追加 登録された通信は接続を禁止
ポイント
4. 標的型攻撃への対応(CONNECT通信遮断、脅威情報連携)
マルウェア
C&Cサーバー
ブラックリスト
長時間の通信を検知しブラックリストに登録
遮断したことを管理者へ通知
© Canon Marketing Japan Inc.. 13
4. 標的型攻撃への対応(CONNECT通信遮断、脅威情報連携)
脅威情報連携
GUARDIANWALL Mailセキュリティ/Webセキュリティおよび、トレンドマイクロ株式会社のDeep Discovery Inspector(DDI)と連携し、標的型攻撃メールなどに含まれる「脅威URL情報」を受け取ります。
受け取った「脅威URL情報」から「未知の脅威」の可能性が高いURLをブロック対象のリストに登録し、接続を禁止します。
これまでカテゴリー遮断などで対応していた「既知の脅威」に加え「未知の脅威」についても動的に対応可能となり
「マルウェア感染」や「情報漏えい」に対してより強固な対策を実現
© Canon Marketing Japan Inc.. 14
4. 標的型攻撃への対応(CONNECT通信遮断、脅威情報連携)
© Canon Marketing Japan Inc.. 15
ICAP連携 ‐ クライアントICAPにより連携を行うことで連携先の製品の機能を利用することができます。
例えばアンチウイルス製品と連携しマルウェア/ウイルス検査が可能となります。
ESET Web Security for LinuxInterScan Web Security Virtual Appliance
5. 外部機能連携(ICAP連携、SIEM連携)
正常なWebアクセス
WebFilterICAP連携
動作確認済み製品
• WebFilterの機能に加え、アンチウイルス製品の機能が利用可能
• SSLデコードをすれば、HTTPS通信にもウイルスチェックが可能
業務上不要なWebアクセス
マルウェアのダウンロード
正常なWebアクセス
アンチウイルス製品
© Canon Marketing Japan Inc.. 16
ICAP連携 ‐ サーバー既存プロキシに対してICAPサーバーとして連携することでWebFilterの検査機能を拡張的に利用することができます。
既存のネットワーク構成を変更することなく導入することが可能です。
5. 外部機能連携(ICAP連携、SIEM連携)
Blue Coat ProxySGSquid※プロキシ認証、SSLデコード等は既存プロキシにて実施してください
既存プロキシWebFilterICAP連携
• 既存のプロキシのリプレースが不要• 構成を変えずにWebFilterによるフィルタリングが可能
正常なWebアクセス
正常なWebアクセス
業務上不要なWebアクセス
動作確認済み製品
© Canon Marketing Japan Inc.. 17
splunkQRadar
動作確認済み製品
SIEM連携アクセスログ等を連携先のSIEM製品に送信する事ができます。
SIEM側でWebFilterのログを一元管理することで、横断的な相関分析が可能となります。
Webアクセス
連携SIEM
5. 外部機能連携(ICAP連携、SIEM連携)
ログデータ
WebFilterSIEM連携
© Canon Marketing Japan Inc.. 18
HTTPSで暗号化されたウェブ通信を復号(デコード)し、検査することができます。復号した通信は再び暗号化した上で外部に送信するため、サーバー間の通信は暗号化された状態が保たれます。
機微情報をマスク
本機能の検査ログに機微情報(ログイン情報やクレジット番号など)が含まれる場合があります。これらの機微情報をマスク表示しプライバシーを保護することが可能です。
高速かつ低負荷なSSL処理
AES-NI対応により高いコストパフォーマンスでSSL検査を実施できます。※CPUおよびコンポーネントがAES-NIに対応している場合
6. SSL通信検査
検査復号 暗号化
© Canon Marketing Japan Inc.. 19
Webアクセスログ全体から検索する条件を指定し、特定のログを抽出できます。検索条件:期間、時間範囲、特定のURL、カテゴリ etc
抽出したログはダウンロードできます。
7. ログ
© Canon Marketing Japan Inc.. 20
GUARDIANWALL WebFilterでは、用途に応じて様々なログを記録・閲覧できます。7. ログ
ログ種別 概要
外部送信ログ 外部に送信したウェブアクセスの情報を閲覧できます
規制ログ 規制ルールに適合したアクセスを閲覧できます
例外ログ 例外ルールに従って検査対象外となったアクセスを閲覧できます
SSLログ SSLによるアクセスを閲覧できます
アクセスログ 全てのログから条件に一致したログを閲覧できます
エラーログ 検査プロセスを通過しなかったログを閲覧できます
プロキシー認証ログ プロキシー認証を行ったアクセスを閲覧できます
サービス利用状況 概要
検索エンジン 検索エンジンでキーワード検索を行ったアクセスのログ
ウェブメール ウェブメールで本文/添付ファイルの送信を行ったアクセスのログ
ソーシャルウェブ ソーシャルウェブサービスへ送信を行ったアクセスログ
© Canon Marketing Japan Inc.. 21
記録したログは、画面から条件を指定し検索・閲覧できます。検索条件:期間、時間範囲、特定のURL、カテゴリなど
抽出したログはダウンロードできます。
7. ログ
カテゴリ:チャットで検索
© Canon Marketing Japan Inc.. 22
アーカイブウェブメールの添付ファイル、ウェブサイトにアップロードされたファイルをアーカイブしておき、利用者がどのようなファイルを外部へ送信したかを確認可能です。
WebFilterを経由するウェブメールはログとしてアーカイブ
送信されたウェブメールは自動的に内容を記録。 アーカイブから記録された通信内容はいつでも確認が可能。管理画面からGUIで内容を閲覧できます。
送信されたメールをログとして保持 発信者、宛先、本文 添付ファイル等
ウェブメールの送信
ポイント
7. アーカイブ
© Canon Marketing Japan Inc.. 23
アーカイブされた内容は、管理画面から詳細を確認することが可能です。
Webメールの発信者、宛先、件名、本文、添付ファイルの情報がGUIから確認でき、閲覧性に優れます 添付ファイルはダウンロードすることが可能
ポイント
7. アーカイブ
Yahoo!メール エキサイトメール Outlook.com Office365
添付ファイルの確認が可能なウェブメール
Webメール例 WebFilterでの閲覧画面
© Canon Marketing Japan Inc.. 24
ユーザーのウェブ利用の統計情報をグラフ化して閲覧することができます。
また「処理総数」、「ルール」、「カテゴリ」で表示した内容は
ダウンロードすることが可能です。
グラフにマウスオーバーすると詳細が表示
7. 統計情報
© Canon Marketing Japan Inc.. 25
SNSやフリーのメールサービス、インターネットストレージといったシャドーITに対して、閲覧・ダウンロードは許可するが、送信・アップロードは禁止といった制御が可能です。また対応クラウドサービスにおいては、送信前の本文/添付ファイルのキーワード検査や、送信後のログ閲覧・本文/添付ファイルダウンロード・ログへの事後監査記録、などの情報漏えい対策も可能です。
対応クラウドサービスSNS:Twitter、Mixi、GREE、5chウェブメール:Outlook.com、Yahoo!メール、Gmail
8. クラウドサービス検査(シャドーIT対策)
© Canon Marketing Japan Inc.. 26
SSL通信検査の対応により、利用ユーザーのクレジット番号などの隠蔽すべき個人情報が管理者によって不用意ログから閲覧できてしまうことを抑制するため、指定条件でデータをマスクするプライバシー情報保護機能を搭載しました。
9. プライバシー情報保護機能 【特許出願中】
製品情報 https://cweb.canon.jp/it-sec/solution/guardianwall/
お問い合せ https://cweb.canon.jp/it-sec/solution/guardianwall/contact/
・Windows,Office 365は、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です
・記載されている会社名及び商品名は、それぞれ各社の登録商標または商標です・本資料に記載された内容は、予告なく変更される場合がございます