ShareFileを徹底的にセキュアに使う方法 ~利用可能端末の限定やファイルの封じ込めなど~
2 likes2,351 views
ShareFileは、他のファイル共有サービスと同様に、「ローカル端末にファイルをダウンロードできてしまうのは、セキュリティに懸念がある」などと思われがちですが、実はShareFileには、利用可能端末の限定やファイルのコピーを防止して情報漏洩を防止するセキュリティ機能を豊富に備えています。それらの機能を使ってShareFileを徹底してセキュアに利用する設計方法について解説します。
ShareFileを徹底的にセキュアに使う方法 ~利用可能端末の限定やファイルの封じ込めなど~
- 1. ShareFileを徹底的にセキュアに使う方法 〜利用可能端末の限定やファイルの封じ込めなど〜 営業推進本部 プロダクトソリューション推進部 プロダクトソリューション推進マネージャー 山田 晃嗣 M3
- 2. 2 © 2015 Citrix. 資料は後日ダウンロード可能です。 安心してセッションをお楽しみください
- 3. 3 © 2015 Citrix. 疑問君、またの名を要望君 なぜ?どうして? それでは困る! こうしたい!
- 4. 4 © 2015 Citrix. 本セッションの内容 • まずはShareFileの基本から • SAML認証による制限 • Restricted StorageZonesによる制限 • さらに発展でこんな使い方も!
- 6. 6 © 2015 Citrix. What’s ShareFile? •そもそもShareFileって何モノ? •どんな特徴があるの? •何に使われる?
- 7. 7 © 2015 Citrix. Citrix が目指す理想のワークプレイス 机に置いて座って使う 手に持って立って使う キーボード/マウス操作に最適化 タッチ操作に最適化 データ同期 1. エクスペリエンス: 2. セキュリティ: 3. フレキシビリティ: デバイスに応じたインターフェイス 情報漏洩の防止 どこからでも同じリソースにアクセス
- 8. 8 © 2015 Citrix. ShareFileでPCとモバイルでファイルを自動同期
- 9. 9 © 2015 Citrix. 例えば会議のペーパーレス化などに Before After
- 10. 10 © 2015 Citrix. 元々ShareFileは、フルクラウド型のファイル共有 Web モバイルデバイスWindows Desktop
- 11. 11 © 2015 Citrix. ストレージをオンプレミスに配置することも可能 Web モバイルデバイスWindows Desktop オンプレミスデータセンター
- 12. 12 © 2015 Citrix. オンプレミス ストレージの構成 デバイス NetScaler F/W F/W Active Directory ShareFile StorageZones Controller ShareFile ストレージ SharePoint Windows ファイル共有
- 13. 13 © 2015 Citrix. オンプレミス ストレージの技術トピック •専用の外部IPアドレスが必要 •その外部IPは、デバイスからと ShareFileクラウドからのアクセスを受け入れる •NetScalerは無くても動作するが、 セキュリティと可用性を鑑みると事実上必須
- 14. 14 © 2015 Citrix. オンプレミス ストレージの利点 •保存容量に依存しないライセンス料 •”買取り”ライセンスモデルが選択可能 •地理的な近さよるパフォーマンス向上 •ただし・・・ オンプレミスストレージによって 明確にセキュアになるわけではないことに注意!
- 15. 15 © 2015 Citrix. オンプレミスストレージでも ”基本的には”デバイスの場所に関わらず利用可能 企業ネットワーク内のデバイス屋外のデバイス
- 16. 16 © 2015 Citrix. XenMobileによる「コンテナ化」と「ワイプ」 SSL3 001000111010101 SSL3 001000111010101 SSL 001000111010101 SSL3 00100 ①データの封じ込め ②アプリ限定のVPN (LAN内のSAML連携) ③端末紛失時のワイプ 社内 ITリソース
- 17. 17 © 2015 Citrix. XenMobile認証失敗によるデータ消去 ・認証タイミング・桁数は 管理者が任意に設定 ・一定回数の失敗でデータ消去
- 18. 18 © 2015 Citrix. Citrix Workspace Suite の構成 ShareFileXenApp XenMobile Enterprise Edition XenDesktop Platinum Edition Citrix Workspace Suite
- 19. SAML認証による利用制限
- 20. 20 © 2015 Citrix. よくあるご要望 •マンガ喫茶の端末からでも 使えてしまうのは困る 端末の制限は出来ないか? •XenMobileコンテナアプリは良いが、 コンテナ外のAppStoreアプリで 使えてしまっては意味がないのでは?
- 21. 21 © 2015 Citrix. SAMLによるActive Directory認証 •SAML:Security Assertion Markup Language •WebサービスのSSOに使われる オープンな仕組み •Microsoft ADFSが広く普及 •ユーザー管理をADで一元化 SAML ID Provider AD
- 22. 22 © 2015 Citrix. SAML認証利用イメージ ShareFile認証 SAML認証
- 23. 23 © 2015 Citrix. SAML認証の強制ができる!
- 24. 24 © 2015 Citrix. SAMLに届かない端末には認証させない 企業ネットワーク内のデバイス屋外のデバイス SAML ID Provider
- 25. 25 © 2015 Citrix. SAMLを使った利用端末制限のポイント •ネットワーク的に”SAML ID Providerに届くかどうか” に基づいた認証が可能 •社内端末あるいはVPNで社内に接続可能な端末に 利用を限定することが可能 •その他、SAML ID Providerの機能によっては、 デバイス証明書に基づく認証も可能 ただしこれはユーザー認証を制限する だけだと言うことに注意!
- 26. 26 © 2015 Citrix. ShareFileは社外ユーザーともファイル共有可能 社外ユーザーはSAMLの制限は全く適用されない
- 27. 27 © 2015 Citrix. XenMobile WorxMailからでも送信可能 •モバイルメールから 容易にダウンロード リンクを送信 •モバイルメールでも PCと同等の ファイル送信 社外ユーザーはSAMLの制限は全く適用されない
- 28. 28 © 2015 Citrix. それに伴うセキュリティの懸念 •社員の操作ひとつで社外とファイルが 共有できてしまうのは困る •社外と一切共有したくないデータを ShareFileで扱うには?
- 30. 30 © 2015 Citrix. オンプレミスストレージでも ”基本的には”デバイスの場所に関わらず利用可能 企業ネットワーク内のデバイス屋外のデバイス
- 31. 31 © 2015 Citrix. Restricted StorageZonesでファイルアクセスは完全に内部のみ 企業ネットワーク内のデバイス屋外のデバイス Restricted StorageZones
- 32. 32 © 2015 Citrix. Restricted StorageZonesのポイント •オンプレストレージに直接アクセス可能な端末以外は その中のファイルに全くアクセスできない •したがってRestricted StorageZonesのファイルは、 社外との共有は不可! •Restricted StorageZonesはインターネットに 公開されない。従って外部IPアドレス不要
- 33. 33 © 2015 Citrix. やっぱり社外との共有にも使いたい? •社外との共有が全く出来ないのは問題 •そうかと言って、 無条件に社外と共有させたくない •管理職の承認があった場合にのみ 社外とのファイル共有を許可したい
- 34. 34 © 2015 Citrix. 管理職承認に基づく社外共有の実現 インターネット社外共有不可 社外共有可 一般社員 管理職 Restricted StorageZones 通常StorageZones
- 35. 35 © 2015 Citrix. Restricted StorageZones 通常StorageZones 管理職承認に基づく社外共有の実現 インターネット ①確認依頼 ③管理職による移動 一般社員 管理職
- 36. 36 © 2015 Citrix. 管理職承認に基づく社外共有の実現 インターネット 一般社員 管理職 Restricted StorageZones 通常StorageZones
- 37. 37 © 2015 Citrix. 社外共有可能ストレージに移動すれば 一般社員も社外共有操作が可能に
- 38. さらに発展で、こんな使い方も!
- 39. 39 © 2015 Citrix. それでも要望は尽きない ・屋外のデバイスからも ShareFileを使いたい もちろんセキュリティは大事! ・企業ネットワーク内端末からでも USBメモリなどを使って ファイルが漏洩するかも なんとかこれを防げないか?
- 40. 40 © 2015 Citrix. XenApp/XenDesktop/XenMobileと統合で セキュアなデバイス内にファイルを封じ込め 管理外 デバイス FAT PC仮想 デスクトップ 仮想 デスクトップ XenMobileXenApp/XenDesktop XenMobile 管理デバイス XenMobile 管理デバイス Restricted StorageZones
- 41. 41 © 2015 Citrix. 仮想デスクトップ最適化 <オンデマンド同期> 通常の同期(FAT PC用) 双方に ファイルを保持 ファイルの実体は ストレージのみ Desktop側は ショートカットを配置 オンデマンド同期(仮想PC用) 完全同期と同じ操作を提供しながら ファイルの実体は仮想デスクトップには置かない 仮想デスクトップ用ストレージを節約
- 42. 42 © 2015 Citrix. Citrix が目指す理想のワークプレイス 机に置いて座って使う 手に持って立って使う キーボード/マウス操作に最適化 タッチ操作に最適化 データ同期 1. エクスペリエンス: 2. セキュリティ: 3. フレキシビリティ: デバイスに応じたインターフェイス 情報漏洩の防止 どこからでも同じリソースにアクセス
- 43. まとめ
- 44. 44 © 2015 Citrix. まとめ SAML認証が可能な範囲を制限することで、 ShareFileの認証も同様に制限することが出来る Restricted StorageZonesなら ファイルのアクセス可能な範囲を完全に制御できる XenApp/XenDesktopさらにはXenMobileとの組み合わせで、 セキュリティと利便性を両立した理想的な仕組みを構築可能
- 45. 45 © 2015 Citrix. 関連するセッション M-1 13:20-14:00 「ここまで使える!最新Worxアプリ徹底活用術」 M-2 14:10-14:50 「シトリックステクニカルトレーナーが語る XenMobile 10 技術概要とベストプラクティス」
- 46. 46 © 2015 Citrix. WORK BETTER. LIVE BETTER.WORK BETTER. LIVE BETTER.WORK BETTER. LIVE BETTER.