製品選定のために

世の中に多くのセキュリティソリューションがありますが、SECUDRIVE File Server(以下FS)のように情報の流出を情報の源であるファイルサーバから一切持ち出せなくする、というタイプの製品はさほど多くありません。しかし、似た機能を持つ他社製品がいくつかあるのも事実です。

各製品それぞれに良い点があり、お客様のニーズにマッチする製品をお選びいただくのが一番ですが、何が違うのかがわからないと製品の選定も困難です。そこでFSを他社製品と比較することで、FSの特長をご理解いただければと思います。

まず、最も大きな違いは、どこにある情報を守るのかという点です。FSは機密情報が置かれている共有ファイルサーバからデータが漏えいすることを防止します。しかし、他社製品の中にはサーバではなくクライアントPCからデータが漏えいすることを防止するタイプのものがあります。以下、(1) 何も対策をしていない場合、(2) FSの場合、(3) 他社製品の場合の3つでご説明します。

何も対策をしていない状態では、ネットワークに接続されているPCからアクセス権を持っているユーザーを通して簡単にデータを持ち出されてしまいます。

  1. 何も対策をしていない状態

    FSではデータの保存元であるサーバからデータが漏れることを防止します。サーバに対しては、FSのClientアプリがインストールされているPCからしかアクセスできず、クライアントPCからデータを外部にコピーしたり印刷やキャプチャなどを制限します。ただし、元々ローカルPCに存在しているファイルは保護の対象ではないので自由に外部に出せます。

  2. FSによりサーバとクライアントが守られている状態

    これに対し、クライアントPCに対して漏えい防止機能を持たせるものは、ガードされているPCから情報が漏れることはありませんが、肝心のサーバそのものはノーガードです。

  3. クライアントPCをガードする製品を入れている状態

    クライアントPCをガードする製品の場合、サーバに対する保護がなされていません。したがって、ネットワークを通じて直接サーバにアクセスするPCやデバイスが存在する場合に、その部分が重大なセキュリティホールとなります。

    こうしたことを踏まえて、機能別に比較をしていきます。

    集中管理

    FSでは

    FSでは、Managerと呼ばれる管理プログラムで多くの端末を集中管理します。これにより、ポリシー設定が一元管理できますが、その反面、管理プログラムを動作させるPCが必要となります。しかし、この製品は共有ファイルサーバのデータを守るという前提ですから、必ず存在する共有ファイルサーバにインストールしておくのが最も自然です。

    他社製品では

    他社製品の中には、各端末にインストールして個別に動作させるタイプのものもあります。管理プログラムが動作しているPCが無くても単独で動作しますが、その反面、ポリシーの変更があるとソフトの再インストールが必要となるなど、運用の手間がかかります。

    インストール

    FSでは

    FSでは、クライアントソフトはFSのClientアプリ1本を一律にインストールするだけです。SECUDRIVE製品はセキュリティや操作性を向上させるために頻繁にUpdateが行われますが、すべてのクライアントはみな同じ最新アプリをインストールすることで安全に運用できます。

    他社製品では

    他社製品では管理者がインストールプログラムをポリシーごとに作成し、ポリシーのタイプごとに異なるアプリをクライアントにインストールしなければならないものがあります。

    ポリシー変更

    FSでは

    FSでは、ポリシー変更はマネージャで設定するだけですから、クライアントは自動的に最新のポリシーを反映します。

    他社製品では

    他社製品ではポリシーを変更する際、インストールメディアをもう一度作成して再インストールが必要なものがあります。

    1台のPCを複数ユーザーで共有

    FSでは

    FSでは、アカウント情報(ユーザID/パスワード)はクライアントPCのユーザプロファイルごとに安全に管理されます。PCの利用者が変われば、アカウント情報も切り替わります。よって、複数の利用者で安全にPCを共用することが可能となります。また、アカウントはWindowsのアカウントを利用していますから、セキュリティソフト独自のアカウント管理は不要です。

    他社製品では

    他社製品では、アカウントおよびセキュリティポリシーはPCに固定となるものがあります。例えば、「役職者用PC」と「一般社員用PC」という具合に、クライアントPC自体に固定化された役割を持たせるタイプの製品があります。この場合、「役職者用PC」に他のユーザーのアカウントでログインした場合はセキュリティホールとなります。つまり、セキュリティを確保するにはPCは他人と共有できません。

    例えば、社内で共有ノートPCがあった時、権限の違う利用者が使用する場合はセキュリティソフトを再インストールしなければなりません。

    許可されていないPCの持ち込み

    FSでは

    PCにFS Clientアプリをインストールしない限り、サーバのフォルダにアクセスできません。つまり、外部から持ち込んだりしたPCをLANにつないでも、サーバのデータにはアクセスできません。

    他社製品では

    同じLAN内にアプリの入っていないPCを接続すると、サーバの共有フォルダにアクセスできてしまう可能性があります。無許可のPCを持ち込まないように監視する必要があります。

    ログ集中管理

    FSでは

    各Clientで行った操作はマネージャにて集中管理されます。CSV形式でエクスポートも可能です。

    ログ画面

    他社製品では

    このような機能を持たない製品もあります。

    暗号化エクスポート

    FSでは

    暗号化エクスポート機能によりUSBメモリ(USB Office)に保存して安全に持ち出し、編集したのちに元のサーバにインポートできます。

    他社製品では

    このような機能はありません。

    ネットワーク接続ブロック

    FSでは

    一般的なネットワークアプリ(例えば、Outlook、IE)では、インターネット接続をしながら、セキュリティ保護対象の共有フォルダにアクセスしているアプリに対してだけインターネット接続を遮断させた状態で作業をすることができます。

    他社製品では

    このような機能を備えていない場合があります。

    デバイス制御

    他社製品では

    他社製品には、外部から持ち込んだUSBメモリやスマートフォンなどを監視して、事前に登録されたデバイス以外は受け付けないようにするデバイス制御機能を備えているものがあります。

    FSでは

    FSにはデバイス制御機能はありません。

    しかし、SECUDRIVE Device Controlという製品がありますので、そちらを併用していただくことでデバイス制御をおこなうことができます。

    比較表

    項目

    SECUDRIVE File Server

    他社製品

    インストール クライアントソフトはFS Clientアプリを一律にインストールするだけ。 管理者がインストールプログラムをポリシーごとに作成する必要がある。
    ポリシー変更 ポリシー変更はマネージャで設定するだけ。クライアントは自動的に最新のポリシーを反映する。 ポリシーを変更する際、インストールメディアを作成して再インストールが必要。
    PCの複数ユーザー共有 FSではアカウント情報(ユーザID/パスワード)はクライアントソフト上に設定する。PCの利用者が変われば、アカウント情報も切り替わる。よって、複数の利用者で安全にPCを共用することが可能。
    アカウントはWindowsのアカウントを利用している。
    アカウントはPCに固定となるので、役職者用PCに他人がログインできた場合はセキュリティホールとなる。よって、PCは他人と共有できない。
    社内で共有ノートPCがあった時、権限の違う利用者が使用する場合は再インストールしなければならない。
    許可されていないPCの持ち込み サーバ自体がプロテクトされているので、ネットワークを通じてデータが漏洩することはない。ただし、サーバに直接ローカルログインするユーザーは保護の対象外。 サーバの共有フォルダにアクセスし、データの持ち出しができてしまう。
    ログ集中管理 Clientで行った操作はマネージャにて集中管理される。 このような機能はない。
    暗号化エクスポート 暗号化エクスポート機能によりUSBメモリ(USB Office)に保存して安全に持ち出し、編集したのちに元のサーバにインポートできる。 このような機能はない。
    ネットワーク接続ブロック 一般的なネットワークアプリ(例えば、OutlookIE)では、インターネット接続をしながら、セキュリティ保護対象の共有フォルダにアクセスしているアプリに対してだけインターネット接続を遮断させた状態で作業をすることができる。 このような機能はない。
    クライアントのデバイス制御機能 このような機能はない。

    ただし、別製品のSECUDRIVE Device Controlを利用することでデバイス制御が可能。

    この機能を備えている製品もある。
mautic is open source marketing automation