HEATエンドポイントセキュリティ HEATエンドポイントセキュリティ HEATエンドポイントセキュリティ

ホワイトリスト方式でデバイス制御・暗号化 / アプリケーション制御(ウイルス対策,スパイウェア対策)/ IT統制・コンプライアンスの自動化(PCI DSS,ISMS)

top導入事例>ランカシャイア・ケアNHS財団トラスト
Lumensinセキュリティ試用版申込


2010 SC Magazineアワード・ヨーロッパBest Security Management部門
Highly Commended賞受賞

"HEATデバイスコントロール導入の最大の利点は、市販暗号化USBメモリをきめ細かくコントロールできること....."
詳細へ

"私たちは社員にPCを供給する際、それがどのように働き維持されるかを知ることは大きな安心でもあります....."
詳細へ

"HEATデバイスコントロールを選んだのは、全く強力で、使い勝手の良い製品だからです...."
詳細へ

"デバイス別のフレキシブルな管理がHEATでは可能なこと。
関連会社で導入済みの暗号化を中心とするソリューションのキーマネジメントが大きな負担をかける..."
詳細へ


ランカシャイア・ケアNHS財団トラスト(イングランド)

ランカシャイア・ケアNHS財団トラストはデバイスのデータ管理にHEATデバイスコントロールを選択します。

概要

ランカシャイア・ケアNHS財団トラストは2002年4月、ランカシャイア州で生まれました。その団体の目標は、ランカシャイアで全ての成人に対してメンタルヘルスと薬物乱用に関する治療の為の選択肢の提供者となる事であり、今ではその甲斐あって、多くの支部の全てでサービスを提供するべく3500人を超えるスタッフを雇用しています。

ここ5年間、団体は現代的な多方面の情報通信技術のインフラ確立の為に投資してきました。この先何年もより良いサービス提供を維持し、融通の効く労働力の確保を可能にする為の技術です。最近財団という立場になるに至り、今日ではランカシャイア・ケアNHS 財団トラストとよばれるようになりました。

財団はアラン・ボードマン氏をデータセキュリティオフィサーとして、同時にIM&T セキュリティシステムエンジニアに任命しました。ボードマン氏はインフォメーション・ガバナンス・ツールキットの要求条件を満たす責任もありました。

課題

ボードマン氏はランカシャイア・ケア NHS財団トラストのデータセキュリティオフィサーとして、同財団従業員の使う全てのUSBメモリの暗号化を徹底する方針を打ち出しました。USBスティックが紛失盗難に遭った際にもデータを確実に守る為の方策です。製薬会社の販売員はしばしばそのブランドのUSBメモリスティックを財団の従業員に預ける事があり、そのような異なるネットワークに接続されているタイプのデバイスを管理するのは難しかったと彼は述べました。「これらUSBデバイスは膨大な量のデータを保存できます。しかし、それを失うのは簡単です」とボードマン氏は言う。「紛失の際にもデータの安全を保つ為、USBスティックが暗号化される必要がありました。」 USBデバイスの使用において、暗号化を強制出来て、かつ許可した種類のもの以外はネットワーク上で全てブロックされるというソリューションを見つけるため、ボードマン氏は調査をしました。

「当初、私はトゥルークリプト(TrueCrypt)のようなオープンソースのソリューションを検討しました。しかし、これは集中管理のシステムではなく、暗号化の強制も出来ませんでした。私達は自動的に暗号化を実施するデータ保護のソリューションを必要としていたのです。」

HEATのソリューション

現在市場に出ている全ての商品を検討した後、ボードマンは3つの商品に絞り込みました。デバイスウォール、デバイスロック、そして HEATデバイスコントロールです。

HEATデバイスコントロールはネットワークに繋ぐ事を許可されたデバイスの「ホワイトリスト」をIT管理者が作成出来るようにします。標準設定では、許可されていないデバイスは全てネットワーク上での起動をブロックされるのです。そのソフトウェアはきめ細かな設定が可能であり、仕事目的でのデバイス使用をデバイスのシリアルナンバー単位で特定の従業員に許可するかまで定められます。これにより、他の全ての従業員がブロックされている時も任意の従業員のデバイス使用を許可、というような運用も可能になります。同様にその従業員がホワイトリスト上にないデバイスを繋ごうとした場合、これはHEAT デバイスコントロールにブロックされるでしょう。許可された記憶媒体はHEATデバイスコントロールによってログ取りが可能なので、IT部門は外付けのUSB記憶装置とのデータの送受信記録を常に保持します。

ボードマン氏はこう続けます。「デバイスウォールは外付け記憶デバイスをやりたいようには管理させてくれませんでした。そしてデバイスロックは評価を行った時には暗号化機能を持っていませんでした。臨時のデバイスのホワイトリスト化は可能にしましたが、ホワイトリスト化は特定の種類のみで、デバイスモデルの種別には対応していなかったのです。つまり、HEATデバイスコントロールが一際きめ細かい機能を持っていると言えます。デバイスのモデル、もしくはシリアルナンバーのような形でまで詳細にホワイトリスト化できるのです。」

ボードマン氏はHEATデバイスコントロールを選択し、2008年初頭、財団への本格導入の準備をしました。

政府組織や銀行が繊細な顧客情報の入ったCDを紛失するといった特に目立つ例を見てきた事で、ランカシャイア・ケアNHS財団トラストの多くのスタッフが既に外付け記憶媒体によるデータ保存のリスクを意識していたとボードマン氏は語ります。 さらにゴードン・ブラウン首相 は、情報管理規定における、暗号化されるべき機密と記された情報に関する記述の改正を呼び掛けて来ていました。 しかし、HEATデバイスコントロールが財団のネットワーク全体に適用される前に、ボードマン氏は新しいセキュリティポリシー実施の手続きを周知徹底する従業員教育キャンペーンに取りかかりました。彼はスタッフにUSBデバイスの新管理基準が実施される事の重要性を教育するために、広告バナーを財団のイントラネットのトップページに据え、データセキュリティ規約もイントラネット上に載せました。そしてeメールに加えデスクトップからのリンク、サービスデスクのボイスメッセージ、そして印刷物の記事で周知徹底をさらに補強しました。彼はHEATデバイスコントロールがインストールされる前にネットワークに接続されていた事が分かっている全てのUSBスティックは遡って咎めない事でこのキャンペーンを推進しました。一度これらの不正なデバイスが集められると、財団のスタッフには仕事のデータを保存する為の公認USBメモリースティックが支給されました。それ以外のUSBメモリースティックがネットワーク上での起動を許される事はありません。

「私達はUSBメモリースティックを1つのブランドで統一する事に決め、全ての認可デバイスに財団本部の郵便番号とPO Box番号をスクリーン印刷し、「機密」と記しました。HEATデバイスコントロールによって暗号化された、読まれたくないデータの入ったスティックを誰かが見つけた場合も、どこに返すべきかがわかるでしょう。各USBメモリースティックにも固有の番号が刻印されています。

従業員教育キャンペーンの間、ボードマン氏とそのチームはどの部署がどの従業員の為のメモリースティックを希望するかを知る為に、財団内の各ラインマネージャーに不正なデバイスを集めると共に公式USBメモリースティックの注文をするよう通達しました。「私達はITILコンプライアントサービスデスクシステムと、備品としてユーザーに割り当てられたそれぞれの固有番号付きUSBメモリースティックを使っています。」とボードマン氏は説明します。

彼はスタッフのHEATデバイスコントロールの導入に対する反応が励みになっていると語ります。「現在の政府機関のデータセキュリティホールに関するメディアの関心は本当にセキュリティ意識を家庭に広める助けになっています。私達は多くの人々からデータセキュリティに関する相談を受け、新しいセキュリティ基準の為の積極的なスタッフサポートを持つ事を証明してきました。

効果

財団のITチームは努力目標/計画遂行の為に彼らのパスワードを再設定できます。「USB ディクタフォンやデジタルカメラのように監視・管理を可能にする必要のある外付け記憶媒体は多岐にわたります。」とボードマン氏は語る。「コントロールしたいデバイスを種類ごとにグループ分けし、それらグループに個別に許可を与える作業を、HEATデバイスコントロールは本当に容易に実行させてくれます。例えば、USBプリンタはデバイスの種類の1つです。私達は皆が1つのUSBプリンタを使用できるようにルールを設定できますが、違うデバイス、例えばUSBメモリースティックについて、誰も読み込み/書き込み出来ないという別の設定も行えます。許可されたUSBメモリースティックの場合、デバイスが暗号化された環境でのみアクセス(読み込み/書き込み)を許可されます。我々はまた、個人に許可を与える事も出来ます。だから例えば、スタッフの一員であっても持っているユーザ権限の違う場合、同じマシンで同じUSBデバイスを使ってもデバイスにアクセスするのは不可能となるでしょう。」

ボードマン氏によるとホワイトリストは、不許可デバイスのブラックリストを拡張していくよりも、より現代的な方式です。「HEATデバイスコントロールは財団内全体の強制的な暗号化を可能にします。というのも、柔軟なポリシーの設定が可能だからです。特定の種類のUSBメモリースティックを使用可能にして、しかしそれを財団の所有物である場合、かつ暗号化されている場合に限定できます。HEATデバイスコントロールは監査・コンプライアンスのためにUSBメモリースティックの全ての使用法についてログを取りシャドーイングを行うチャンスを与えてくれます。」

ボードマン氏は財団内全体でフロッピーディスクのアクセスを無効にし、CD/DVDの書き込みを管理する目的でもHEATデバイスコントロールを使っています。誰がデバイスにアクセスし、そこでどんな種類のファイルを扱うかをITマネージャーが監査・管理出来るように、HEATデバイスコントロールは全てのネットワークに繋がるデバイスを発見可能にしてくれるでしょう。

彼はまた、HEATデバイスコントロールが使用可能になる事の利点として、財団のマシンの1つがプラグで接続され有線で繋げられた時は必ずワイヤレスネットワークを切断する点を挙げています。「これはワイヤレス接続で安全でないホットスポットと繋がってしまう事を防がなければいけない私にとって本当に有用です。」とボードマン氏は述べています。

「私達はどのスタッフがまだフロッピーディスクを使っているのかを見つけ、使用をやめさせるのにもデバイスコントロールを使いました。それは古い記録の技術です。私達はまだフロッピーディスクを使っていた従業員を二人見つけましたが、より安全で優れたデータ保存の方法を教育しエキスパートにする事が出来ました。」

ボードマン氏によりDVDとCDの書き込み機能の遮断を含む追加のセキュリティ基準が定められました。HEATデバイスコントロールを用い、これらのメディアからデータを読み込めるが、書き込めなくするというルールを設定したのです。現在、HEATデバイスコントロールは120カ所で使用されるUSBデバイスの管理と、異なった規則を持つホストの管理の為に使われています。

今後の計画

ボードマン氏は現在、HEATデバイスコントロールを8から9の財団全てで本格導入する事を計画しており、DVDとCDの暗号化を可能にするHEATデバイスコントロールを使います。彼はパートナーや取引先とのコミュニケーションの安全の為にeメールの暗号化を可能にする別の商品を財団に導入する事も検討しています。「私達は常にデータ暗号化のポリシーを定めていました。そしてHEATデバイスコントロールはそのポリシーをその通りに実施してくれるのです。その意味で、HEATデバイスコントロールはビジネスをより効果的なものにしました。望まない相手に見られてしまう心配をする事なくUSBメモリースティックで情報を扱う事を可能にしてくれるのです。」とボードマンは語る。

「今では、誰かが個人情報や会社の機密情報の入ったメモリースティックを紛失することで評判が落ちる心配はしていません。HEATデバイスコントロールをインストールしてある今、そんな事は起こらないと知っているのでぐっすり眠る事が出来るのです。」

セールスサポート/ユーザサポート

トップページへ

会社概要 | サイトマップ | プライバシーポリシー | お問合せ