 |
||||||||||
|
||||||||||
| 1 2 3 次のページ | ||||||||||
|
||||||||||
| システム管理者権限から独立したファイル管理を実現 | ||||||||||
|
「第1回:情報とインフラの独立管理で実現する情報漏洩対策」では、VPDisk Proのような製品が必要とされている背景を解説しました。今回はVPDisk Pro自体に関して説明します。 VPDisk Proには2つの大きな機能があります。1つは「ファイル暗号化」の機能、そしてもう1つは「ファイルの上書・削除の禁止」機能です。 |
||||||||||
| ファイル暗号化機能とは | ||||||||||
|
VPDisk Proの1つ目の重要な機能である「ファイル暗号化」の機能は、Linux/UNIXのファイルシステムを対象としています。 一般的に「ファイル暗号化製品」と呼ばれるカテゴリの製品は、クライアント向けのファイル暗号化製品を思い浮かべる方が多いと思います。しかしVPDisk Proは、システム管理者が管理しているサーバやそのデータベース上に存在するデータを守るためのものなのです。 では、クライアント向けの暗号製品とVPDiskでは何が違うのでしょうか。 |
||||||||||
| クライアント向け暗号化製品の考え方 | ||||||||||
|
クライアントPCの場合は、基本的に1人のユーザのみが操作を行うという前提で管理されています。このため「操作を許可されたユーザとそれ以外をどのように区分するか」という観点でセキュリティの構築を行っています。これは「PCを紛失したとしても情報が漏洩しないようにするための暗号化」となります。 企業内での情報漏洩という点では、クライアントPCから接続したサーバ上に保存されているデータに対して、どのようにアクセスするかということが重要になります。つまり、クライアントPCのアクセス権を厳重に管理することが、大事なポイントの1つとなります。 しかし、情報漏洩を考える上では、クライアントからのアクセスだけを警戒していては不十分なのです。 |
||||||||||
| 3つのレイヤで考える、サーバのアクセス管理 | ||||||||||
|
前述の通り、クライアントPCへのアクセスを管理するためには、許可されたユーザとそれ以外という2種類の区分で事足ります。しかし、重要なデータを保管してあるサーバやその延長上にあるハードウェアにアクセスすることを考えた場合、大きく分けて3つのレイヤ構成で考える必要があります。
表1:サーバアクセスに対する3つのレイヤ そもそもOS自体には「一般ユーザ」と「システム管理者」の権限を区分する機能があります。また一般ユーザに関しては一括りにせず、個々のユーザに対してアクセス権を管理することで、特定の情報へのアクセスを簡単に区分できます。 この程度の管理はどの企業でも当然のように行われているはずです。例えば、部署ごとにフォルダやディレクトリが用意されていて、他部署のデータにはアクセスできないように設定されているケースが、この方式に該当します。 「企業内のファイルサーバは1台だけ」という場合にも、フォルダなどに対するアクセス権を設定することで、部署単位の区分を実現しているわけです。 このような運用は企業内のサーバだけではありません。最近は社内にサーバをおかず、外部のホスティングサービスを利用するケースが増えてきています。このようなホスティングサービスでは、1台のハードウェアのアクセス権を顧客ごとに区分することで、安価なサービスを実現しています。一戸建に対する賃貸マンションみたいなものと考えることができるでしょう。 |
||||||||||
|
1 2 3 次のページ |
||||||||||
|
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
-
-
連載
