• ソリューション
  • 目的で探す
    • ランサムウェア/マルウェア対策
    • Windows のパッチ管理
    • Windows の管理者権限管理
    • USB メモリのセキュリティ
    • デバイス/メディアからの
      情報漏洩対策
    • クリーンな
      クライアント環境の維持
  • 実例で探す
    • 標的型メールの
      ゼロデイ攻撃対策
    • 管理コストを削減する
      ホワイトリスト
    • アクセス制御と連動した
      USB 暗号化
    • 私物 USB メモリ経由の
      ウイルス感染対策
  • リムーバブル メディアや
    PC 周辺機器からの情報漏洩対策
• 製　品
  • HEAT Application Control
  • Ivanti Device Control
  • Ivanti Application Control
  • Ivanti Patch for Windows
• 導入事例
• 構成例
• ダウンロード
  • 評価版 (30 日無料)
  • 製品カタログ
• ニュース
• 販売パートナー
• ＦＡＱ
  • HEAT Application Control
  • Ivanti Device Control

top ＞ 導入事例 ＞ スイス・アールガウ州警察様

 

2010 SC Magazine アワード・ヨーロッパ Best Security Management 部門
Highly Commended 賞受賞

 

導入事例

スイス・アールガウ州警察様

スイス警察のアールガウ州支部は HEAT Device Control を選択しました。

情報窃盗との戦い

スイスのアールガウ地方では不法侵入は実に困難です。州、地方、町の警察署の 550 人の職員が一丸となって公共の安全を守っています。しかしながら、11 の地区からなるこの地域の 575,000 人の住民を効果的に守るという事は現代的な IT システムなしには考えられません。コンピューター ネットワークの中でデータ窃盗と戦う手段として、アールガウ州警察の IT 部門は HEAT Device Control を選びました。同社によって開発されたそのソフトウェアは、ビジネス環境におけるポータブル メディアとエンドポイント デバイスの使用を管理する、「ホワイトリスト方式」の技術を採用しています。

アールガウ州警察では、バーナード・ウエンリ氏と彼の率いる 8 人の IT エキスパートによるチームが、スイス政府により 2007 年に施行されるセキュリティとデータ プライバシーの規定に対応しました。悪意のないユーザーでも、USB メモリ スティックやモバイル デバイス、そして保護されていない PC によるポート アクセスを通して機密データを盗んだり、マルウェアやスパイウェアの攻撃を行ってしまう事があります。毎日、必ずやってくるそうしたユーザーの持つリスクに対処しなくてはなりません。基幹ネットワークの再構築の最初の目標はアールガウ州警察の 650 台を超えるワークステーションに免疫を与える事と、“セントラル ファイアウォールの裏で” 起こる不正ソフトとウイルスの感染から内部コンピューター ネットワークを守る事でした。同時に、本部と 12 箇所の支部においては限られた数個のモバイル デバイスを毎日の警察の業務を行う為にアクセス可能にし続けておく必要がありました。

コンサルティング・実行の手順の間はずっと、ウルドルフにある IBV インフォマティック社と提携していました。1981 年に設立された、OS/400、Windows、.NET、Linux、Unix といった OS に対応したポートフォリオ (金融) 系の製品を開発・販売を行う会社です。自動化、顧客管理、システム マネジメント、そしてセキュリティという分野の総合的なソリューションを得意としています。徹底的な市場の調査の後、アールガウ州警察は HEAT Device Control を選びました。そのソフトウェアのホワイトリスト技術は、情報漏えい、不正ソフト、スパイウェア攻撃を効果的に止める事でモバイル デバイスとポート アクセスの為のセントラル セキュリティ ポリシーを完全に遵守させることができます。

HEAT Device Control のホワイトリスト技術

HEAT エンドポイント セキュリティはクライアントの OS のカーネル層にインストールされるので、許可されていないスクリプトを確実にブロックします。そのホワイトリスト技術は会社のセキュリティ ポリシーを遵守させるのに利用できるのです。ネットワーク内の全てのコンピューターにインストールされた HEAT Device Control は許可されていない命令の実行を防ぐ事でユーザーの活動を制限します。脅威が既に広がった後で対症療法を取る旧来のセキュリティ ソリューションとは違い HEAT Endpoint Security Suite は全てを禁止するのが標準設定である為、データ漏えい、不正ソフト、スパイウェアから先回りで保護します。日々変化を重ねる膨大な種類の悪意あるアプリケーションと格闘していくのでなく、ホワイトリスト技術は、許可されたプログラムの電子指紋を作ります。社内ネットワーク内で、サービスされているプロセスをスキャンし、ホワイトリストに載っているデバイスのみが許可されます。

その実用的なセキュリティ モデルを通して、アールガウ州警察は PC の活動を完全に統制し、望ましいセキュリティ態勢を維持する事ができました。ユーザー達は各個の PC、ユーザー、およびユーザー グループに基づいたセキュリティ サーバーの認証で各コンピューターにログを取る事を許可されています。ハッシュと認可リストはユーザーによるエンドデバイスのアクセス権利を調整する為にアクティブディレクトリとeディレクトリ・データベースとのコミュニケーションを考慮します。ユーザーが新しいプログラムのインストールを試みた場合、ネットワーク チームが承認するまではセキュリティ プログラムに止められます。VB スクリプト、マイクロソフト・オフィス VBA、ジャバ スクリプトのような実行可能なコードにもセキュリティ設定とポリシーは適用されます。また、HEAT エンドポイント セキュリティは OS の穴を突いた不正なリンクを作ろうとしてもブロックします。こうしてコンピューター ネットワークの基盤に被害が及ぶ前に不正ソフトやハッカーの攻撃は阻止されます。

プロジェクトの歴史

「ネットワークとスタンドアローンのコンピューターの間でデータを交換する状況に対応する必要がありました。」とアールガウ州警察 IT 部門の責任者、バーナード・ウエンリ氏は説明します。「こうした状況では、USB メモリ スティックに保存された機密情報がネットワークから持ち出されたり、もしくはマルウェアがセントラル ファイアウォールにバイパスを形成したりといった危険が絶えず存在します。現在は個々のユーザーに権限を与える事が可能であり、警察署単位でもアクセス権限を調整します。携帯記憶デバイス、CD-ROM ドライブ、フロッピー ディスク、デジタル カメラなどの器機を仕事に使用するかどうかでユーザー権限を設定し、多くのユーザー グループを作ります。警察官は単純にアクセスが必要なのはどの業務かのリクエスト フォームを埋めるだけで、現在の 6 つのアクティブ ディレクトリ グループの 1 つに振り分けられます。「これに費やす日々の管理業務は本当にわずかです。」とウエンリ氏は述べます。「私達がやらなければならないのは、一度違うアクセス権限を持たせたユーザー グループを設定する事だけで、今は IT 部門の誰もがユーザーをグループに暫定的に振り分ける事ができます。

「全てのコンピューターが遮断される」

正しいセキュリティ ソリューションの追求は難しく、厳しいものだと分かってきました。「当初、競合製品を試してきましたが私達のネットワーク上では上手く動きませんでした。」とアールガウ州警察 IT 部門の責任者は付け加えます。「しかし、HEAT Device Control をインストールした時は、感動しました。」実際に本格導入する前に、アールガウ州警察の IT 担当者は試用計画の一環として、全ての機能が滞りなく働くかどうかを試し、特別なユーザー権限を持たせた特別なユーザー グループを設定しました。アールガウ地区は IT 化の全く進んでいない、多くの小さな警察署の集合であったので、HEAT エンドポイント セキュリティの技術とともに、コンピューター ネットワークは徐々に広まっていきました。「これは一斉に起こったのではないでしょう」とウエンリ氏は振り返ります。「全部で 650 台以上のコンピューターがありました。しかし問題が起きたのはその内のたった 5 台です。これは PC の多さを考えると本当に低い割合です。」アールガウ州警察が HEAT を選ぶ判断基準ではソフトウェアの価格効率及びその機能性、操作性、使いやすさのような他の判断基準もまた重要でした。ウエンリ氏は以下のように結論つけました。「HEAT Device Control をインストールしたコンピューターは全て遮断され、望まないアクセスから保護されます。」

↑ トップ ページへ