 |
≫ |
|
|
|
|
Q. |
HPE Quarantine Systemとはどのような製品ですか? |
|
|
|
|
| |
| A. |
悪意による盗聴や侵入、不注意によるウィルス・ワームの持ち込みなど、企業ネットワークが直面する様々な脅威に対し、管理者やユーザの負担を最小限に抑え、かつ既存のネットワーク構成を最大限活用しながら実現させる認証と検疫ネットワークソリューションです。
認証・検疫の方式には認証DHCPを採用しています。 |
|
|
|
|
Q.
|
認証と検疫とはどういったことをするのですか?
|
|
|
|
|
| |
| A. |
認証:
非登録クライアントの社内ネットワークへのアクセスを遮断し、登録されたクライアントのみのアクセスを許可します。近年モバイルPCや無線LAN等の普及でより深刻になっている、不特定クライアントの接続によるセキュリティ上の脅威から、社内ネットワークを守ります。
検疫:
セキュリティポリシーに合致するクライアントのみの接続を許可します。
セキュリティ対策が十分になされていないクライアントによるウィルスやワームの脅威から社内ネットワークを守ります。 |
|
|
|
|
Q.
|
情報漏えい防止機能はどのような機能を持ちますか?
|
|
|
|
|
| |
| A. |
・外部記憶装置制御
USBメモリ、USB HDD、CD-R、DVD-Rなどリムーバブルメディアの利用を制御します。USB外部記憶装置に関しては「許可、読み込みのみ、禁止」、USB以外の外部記憶装置に関しては「許可、禁止」とすることができます。
この機能はWindows XP SP2以降の機能を使用しています。
・実行禁止アプリ制御
ファイル共有ソフトなどを実行しようとした際に、検知し、その実行を禁止します。
アプリのファイル名または、.exeファイルのハッシュ値で検知するので、精度の高い制御をおこなうことができます。
この機能はWindows XP SP2以降の機能を利用しています。
・ファイルシステム暗号化の監査
My DocumentsやDesktop、Outlookのpstファイルなどが暗号化されているかどうかをチェックし、されていない場合は検疫検査結果を不合格とします。
Windows 2000以降のEFS (Encryption File System) の属性をチェックします。 |
|
|
|
|
Q.
|
HPE Quarantine System を導入すると、同種他社製品と比べてどのようなメリットがありますか?
|
|
|
|
|
| |
| A. |
| ・ |
既存ネットワークの構成や機器の変更が不要です。システム構成要素となるHPE QuControllerをユーザセグメントに配置するだけで、既存のネットワークをそのまま検疫ネットワークとして使用できます。既存環境をそのまま有効活用できるため、高い投資効果が得られます。 |
| ・ |
802.1x非対応のWindows98,NT クライアントに対しての認証接続が可能です。 |
| ・ |
一般的な認証DHCP方式では、認証に失敗したクライアントがユーザ側セグメントから
切り離されます(IPアドレスが付与されない)。
HPE Quarantine Systemではさらに、個室化された検疫側セグメントに隔離することができます。
検疫側セグメントからは非常に制限された相手としか通信できません。
また、検疫側セグメントに隔離されたPC同士の通信が阻害されるため、PC間でのウイルス感染も防止できるといった利点もあります。 |
|
|
|
|
|
Q.
|
HPE Quarantine Systemは最近取りざたされているWannaCryなどのランサムウェアの対策にも効果がありますか?
|
|
|
|
|
| |
| A. |
企業内でパッチ管理システムやセキュリティ対策ソフトを導入していても、パッチの適用状況や更新状況を正確に把握したり、パッチの適用を迅速に行う運用は困難です。
HPE Quarantine Systemは、対象端末のパッチの適用状況や対策ファイルを定期的に直接チェックすることで、必要な対策が施されているかどうかを確実に把握し、治療へ誘導することが出来ます。 |
|
|
|
|
Q.
|
最小いくつのMACアドレス数からライセンスが購入できますか?
|
|
|
|
|
| |
| A. |
最小100MACアドレスからご購入いただけます。最大は無制限MACアドレスライセンスがあります。 |
|
|
|
|
Q.
|
ライセンス(ソフトウェア)のみ単体で購入ができますか?
|
|
|
|
|
| |
| A. |
いいえ。ライセンス(ソフトウェア)のみの販売はしておりません。
製品保守、サーバハードウェア、OSおよび導入コンサルティングと合わせてご購入をお願いします。 |
|
|
|
|
Q.
|
Live OSライセンスには、メディアは含まれますか?
|
|
|
|
|
| |
|
|
|
|
Q.
|
情報漏えい防止機能を利用するための追加ライセンスを教えてください。
|
|
|
|
|
| |
| A. |
情報漏えい防止機能は、MACアドレス数に対応した、追加ライセンスとなっています。
本体ライセンスと一緒に情報漏えい機能オプションライセンスを必要MACアドレス数だけご購入願います。 |
|
|
|
|
Q.
|
HPE Quarantine System導入時に必要な最小構成を教えてください。
|
|
|
|
|
| |
| A. |
| QuController for LANを使った場合の最小構成 |
| ハードウェア: |
HPE ProLiantサーバ(QuManager用):1台
HPE ProLiantサーバ(QuController for LAN用):1台(*) |
| ソフトウェア: |
Red Hat Enterprise Linux (QuManager用) :1個
Red Hat Enterprise Linux (QuController用): 1個(*)
HPE Quarantine System Media and Manual:1個
HPE Quarantine System QuC for LAN License:1個(*)
HPE Quarantine System MAC Address License:クライアントMACアドレス数
上記それぞれの保守製品 |
| *: |
基本的にセグメント毎に必要です。ただし使用しているLANスイッチの仕様によっては、複数セグメントに対して1台でも可です。下のQ&Aも参照して下さい。 |
|
|
|
|
|
Q.
|
HPE Quarantine Systemを導入すると、既存のネットワーク機器の構成・設定など変更が必要になりますか?
|
|
|
|
|
| |
| A. |
いいえ。大幅な変更は必要ありません。
基本的に既存のネットワークにHPE Quarantine Systemのサーバを追加することで検疫ネットワーク環境を構築できます。 |
|
|
|
|
Q.
|
QuControllerはセグメント毎に必要ですか?
|
|
|
|
|
| |
| A. |
基本的にQuControllerはセグメント毎に必要です。
但し、トランク可能なL2 LANスイッチに接続されている場合には、ユーザセグメントをいくつか束ねて1台のQuControllerが管理することも可能です。 |
|
|
|
|
Q.
|
支店など地方拠点毎にQuControllerは必要ですか?
|
|
|
|
|
| |
| A. |
基本的にQuController for LANは拠点毎に最低限1台必要です。
大きな規模の拠点では複数台のQuController for LANが必要な場合もあります。
反対に小規模な拠点が多くある場合には、センターにQuController Centralを置き、その他の拠点には小さなDesktop PCで動作する QuController Live OSを置く事もできます。リモートアクセス経由の拠点には、QuController for Remoteをセンターに配備することもできます。 |
|
|
|
|
|
|
|
|
| |
| A. |
はい。HPE Quarantine Systemの機能により、QuControllerは冗長構成にすることが可能です。
QuManagerを冗長化するには別途クラスタソフトウェアが必要です。 |
|
|
|
|
Q.
|
QuManager及びQuControllerのOSは何ですか?
|
|
|
|
|
| |
| A. |
Red Hat Enterprise Linuxです。
ただしQuController Live OSでは、提供されるメディアに格納されている専用OSが動作します。 |
|
|
|
|
|
|
|
|
| |
| A. |
H/Wに関しましては弊社IA Serverにて動作保証されております。
QuManagerにはProLiant DL20を推奨します。冗長化が必要な場合にはクラスタリングミドルウェアで冗長化するか、コールドスタンバイでの運用を行ってください。
QuControllerにはProLiant DL20を推奨します。QuControllerは自前の冗長化機能を含んでいます。 H/Wのサイジングに関しては導入規模、ネットワーク構成に合わせて弊社エンジニアがサイジングを行っております。 |
|
|
|
|
|
|
|
|
| |
| A. |
クライアントの検疫に必要なエージェントがサポートするOSはWindows98、Windows Me、Windows NT WorkStation、Windows2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10 (Windows 8以降は64bitのみ)です。
Windows以外のクライアントは検疫検査の対象にはなりませんが認証DHCPでの使用が可能です。
|
|
|
|
|
Q.
|
クライアントに入れるウィルス対策ソフトに指定はありますか?
|
|
|
|
|
| |
| A. |
HPE Quarantine Systemが対応しているウィルス対策ソフトは以下の通りです。
(2017年1月現在)
- Symantec
AntiVirusコーポレートエディション v8〜v10 ※旧製品
Endpoint Protection v11〜v14
Client Security v1〜v3 ※旧製品
ノートン アンチウイルス/ノートン インターネットセキュリティ 2005年版〜 ※旧製品
Noton 360 v1〜v6 ※旧製品
ノートンセキュリティ 2016〜2017年版
- Trend Micro
ウイルスバスター コーポレートエディション v5〜v11、XG(従来方式、スマートスキャン方式)
ウイルスバスター ビジネスセキュリティ v3〜v9(従来方式、スマートスキャン方式)
ビジネスセキュリティサービス
ウイルスバスター/ウイルスバスター クラウド 2005〜2017年版
- McAfee
ウイルススキャン エンタープライズ/Total Protection for Endpoint v7〜v8.8
Total Protection for Enterprise v2 ※旧製品
Managed Scan v3 ※旧製品
Managed Total Protection/Total Protection Service v1〜v5、2013年版 ※旧製品
ウイルススキャン/ウイルススキャンプラス/アンチウイルスプラス/インターネットセキュリティスイート/トータルプロテクション/リブセーフ 2005〜2017年版
|
|
|
|
|
Q.
|
HPE Quarantine Systemの基本機能を教えてください。
|
|
|
|
|
| |
| A. |
QuManager
- 認証情報(MACアドレス)の集中管理
- クライアントセキュリティ機能の集中管理
- 検疫ポリシーの管理
|
QuController
- MACアドレスベースの認証
- DHCPによるIPアドレスの認証
- セグメント毎のコンプライアンステスト
- 隔離セグメントへのセキュアゲートウェイ
- IPアドレスを成りすました不正クライアントの接続妨害
|
QuAgent |
|
|
|
|
Q.
|
QuAgentは必ずPCにインストールする必要はありますか?
|
|
|
|
|
| |
| A. |
基本的にはクライアント毎にインストールする必要があります。
QuAgentはクライアントのセキュリティー情報(HotFix、Pach、AntiVirusパターンファイル、エンジンファイルのバージョン情報等)を収集してその情報に基づきクライアント検査(コンプライアンステスト)をQuControllerが実施します。QuAgentはQuControllerに定期的にセキュリティ情報のアップロードを行う役割を持ちますので検疫検査対象のクライアントには必須です。但し検疫検査が必要無くクライアントの認証のみ実施する場合はQuAgentのインストールは必要ありません。
なお、インストール型のQuAgentを使用する代わりに、社内Webページに設置したActiveX型のQuAgentを、ユーザがInternet Explorerでアクセスすることによって、検疫検査を実施させることもできます。 |
|
|
|
|
Q.
|
QuManagerサーバの登録画面はカスタマイズ可能ですか?
|
|
|
|
|
| |
| A. |
QuManagerの画面はWebブラウザによるGUIです。
ユーザのご希望に合わせてカスタマイズは可能ですが、個別の対応とさせていただきますので別途費用がかかりまます。 |
|
|
|
|
Q.
|
自宅などからアクセスを行うモバイルユーザに使用可能ですか?
|
|
|
|
|
| |
| A. |
社外からアクセスを行うモバイルユーザに関してはQuController for Remoteが使用可能です。 |
|
|
|
|
Q.
|
VPNなどリモート環境で使用するQuController for Remote はローカルLAN環境でのQuController for LAN と同じ動作をしますか?
|
|
|
|
|
| |
| A. |
QuController for RemoteはDHCP方式ではなくゲートウェイ方式で実装されています。
認証DHCP以外の、検疫ポリシー、コンプライアンステスト機能は同じで、クライアント側で動作するQuAgentは同じです。 |
|
|
|
|
|
|
|
|
| |
| A. |
HPE Quarantine Systemでは802.1xによる認証ではなく、MACアドレスによる認証を行います。
HPE Quarantine Systemと802.1xによる認証が混在した環境では、クライアントの認証を802.1x認証で行い、DHCPサービスをHPE Quarantine Systemで行う事が考えられます。
なお、802.1xでの認証を行うためには、LANスイッチおよびクライアントOSが802.1xの機能を持っていて、さらにRadiusによる認証システムが導入されている必要があります。 |
|
|
|
|
Q.
|
不正アクセスへの通信妨害機能とはどのような機能ですか?
|
|
|
|
|
| |
| A. |
IPなりすましなどで不正にアクセスをしようとするクライアントを送信されるARPパケットを監視することで自動検知し、通信を妨害する機能です。 |
|
|
|
|
Q.
|
HPE Quarantine Systemには隔離されたクライアントの治療機能はありますか?
|
|
|
|
|
| |
| A. |
HPE Quarantine System自体には治療機能はなく、治療サーバーにアクセスするためのゲートウェイ機能を提供することができます。この機能により既存のウィルス対策ソフトやパッチサーバとの連携が可能になります。 |
|
|
|
|
Q.
|
クライアントが接続される一連の動きを教えてください。
|
|
|
|
|
| |
| A. |
- IPアドレス要求(DHCPリクエスト)
- QuController 認証(MACアドレス認証)
・OK→コンプライアンステスト
・NG→IPアドレスのオファーなし
- QuControllerコンプライアンステスト
・OK→ユーザネットワークアサイン
・NG→隔離ネットワークアサイン
- QuControllerがGWとなり治療サーバと接続
・セキュリティーファイルをクライアントにダウンロード
- 治療完了
- QuControllerからクライアントがユーザネットワークのアドレスを配布。
- クライアントがユーザネットワーク接続完了
- ドメイン認証等に進む。
|
|
|
|
|
Q.
|
隔離ネットワーク内での状況を教えてください。
|
|
|
|
|
| |
| A. |
| ・ |
クライアント毎に個別の隔離ネットワークアドレスを配布 |
| ・ |
個々のデフォルトゲートウェイはQuController |
| ・ |
隔離されたクライアント間の通信不可(感染の拡大を防ぐ) |
| ・ |
アクセス制御による隔離ネットワークの隠蔽 |
| ・ |
指定のサーバ以外への通信は遮断されます。 |
|
|
|
|
|
Q.
|
QuManager、QuController、QuAgentの働きを説明してください。
|
|
|
|
|
| |
| A. |
QuManager
|
クライアントセキュリティ情報を集中管理
検疫ポリシー管理
企業ネットワークのバックボーンエリアに配置 |
QuController
|
セグメント毎の接続制御、検疫を実施
クライアント毎のコンプライアンステスト
各セグメントに配置 |
QuAgent
|
クライアントのセキュリティインベントリをQuControllerに報告
クライアント上に配置 |
|
|
|
|
|
Q.
|
隔離前の同一スイッチ(VLAN)に接続された機器、隔離後の隔離ネットワークに接続された機器がウィルスやワームに感染していた場合、そこからの二次感染は発生しないのでしょうか。
|
|
|
|
|
| |
| A. |
隔離されたクライアントは個別の部屋が与えられているイメージです。
隔離セグメント内ではクライアント同士の通信が一切できない状態になっていて、ウィルスの二次感染を防止しています。 |
|
|
|
|
Q.
|
パッチが未適用、ウイルス定義ファイルが古いなどでコンプライアンステストが不合格でユーザネットワークへの接続を拒否されたクライアントが、治療サーバへアクセスする手順を教えてください。
|
|
|
|
|
| |
| A. |
QuManagerで、検疫側セグメントのPCからアクセスを許可するサーバを登録し、SUSなどの治療サーバへの通信経路を提供します。
コンプライアンステストに不合格となり、検疫側セグメントのIPアドレスを割り当てられたPCはこの通信経路を使ってパッチの適用が可能です。また、検疫側セグメントからHTTPで社外の特定ドメインへのみアクセスを許可するような設定も可能です。
これにより、Anti VirusベンダーのサイトやMicrosoftのWindows Updateサイトへのみアクセスを許可することができます。
許可されていないURLへのアクセスは、強制的に検疫用ポータルのページへリダイレクト(URL Rewrite)することもできます。 |
|
|
|
|
Q.
|
HPE Quarantine Systemのサポートの内容を教えてください。
|
|
|
|
|
| |
| A. |
平日通常時間帯9:00-17:00の E-mailサポートです。 |
|
|
|
|
Q.
|
導入後のセキュリティーポリシーの変更作業はどこが行うのでしょうか?
|
|
|
|
|
| |
| A. |
導入後の検疫ポリシーの変更作業はお客様の運用でお願いします。
導入時の最初の検疫ポリシーは弊社で行うことは可能です。 |
|
|
|
|
|
|
|
|
| |
| A. |
はい。価格につきましては、個別お見積りとなりますので弊社担当営業までお問い合わせください。 |
|
|
|
|
Q.
|
HPE Quarantine Systemを導入するにはどれくらいの期間がかかりますか?
|
|
|
|
|
| |
| A. |
導入規模やユーザ数などお客様の環境によりますが、通常2ヶ月〜5ヶ月間で導入を行います。 |
|
|
|
|
