Shell Control Box (SCB) - 概要

PCI-DSS, ISO27001対応は万全ですか? Shell Control Boxにお任せください

サーバーアクセス管理・監視及び監査のための透過プロキシゲートウェイで、全世界で650,000以上のユーザー数を持つオープンソースログサーバーアプリケーション「Syslog-ng」の開発元として広く知られるBalaBit IT Security(BalaBit ITセキュリティ社)の製品です。BalaBit ITセキュリティ社は、2000年設立で、ハンガリー本社の他にフランス、ドイツ、イタリア、カナダ、アメリカ合衆国に拠点を置き、グローバルな販売網を持ちます。

Shell Control Box (SCB)(BalaBit ITセキュリティ社)

特権ユーザーによるサーバーアクセスのアクティビティ監視と監査のためのプロキシゲートウェイです。エージェントレスで、サーバーとクライアントの間に設置するだけで、透過的に動作するため、現環境を変更することなく、サーバーへのアクセスを監視/コントロールし、簡単にセキュリティーレベルを強化できます。

BalaBit ITセキュリティ社 会社概要

* Windows 10 対応状況は こちら。

 

ソリューション

* Shell Control Box(SCB) が、Citrix Ready認定製品として、Citrix社ホームページに掲載されました (平成26年11月13日)
* Shell Control Box(SCB) 最新情報はこちらへ(BalaBit Shell Control Box 4 LTS リリースノート」(平成26年10月6日)

特権アクセスアクティビティ監視

SCB設置イメージ

Shell Contol Box(SCB)は、リモートサーバー、バーチャルデスクトップ、ネットワーク機器へのアクセスを管理し、アクセスユーザーのアクティビティを記録するアクティビティ監視アプライアンスです。特権アクティビティ監視が特に推奨されるのは、大規模なIT基盤(管理者20名以上)を管理し、セキュリティ基準が高い企業です。実際、SCBは、機密データへのアクセスの管理・監査や、特権ユーザー(管理者、スーパーユーザーなど)の監視が必要な大企業に導入されています。金融、公益事業、製造、通信、ホスティングプロバイダや、IT部門アウトソーシング企業といった分野がターゲットとなります。SCB導入企業はどの企業も、ITがビジネスの基盤であり、迅速なトラブルシューティングやフォレンジックが重要なミッションとなっています。

サーバーはほとんどの場合、暗号化されたSSHやWindows RDPプロトコルで管理されます。これがシステム管理者によるアクティビティの監視や追跡を困難ししている大きな原因です。信頼できる監査を行うためには、クライアントとサーバー間通信データは透過的に(誰にも気づかれず)、そしてアクティビティ実行とは独立して記録しなければなりません。そうでなければ熟練技術者や攻撃目的のシステム侵入者は自分の操作痕跡や関連イベントを簡単に削除・改竄します。Shell Control Box(SCB)はシステム担当者を管理するため、独立した管理レイヤー採用により、これらの問題を正面から解決します。

  • プロトコルコンプライアンス検査
  • 認証方法を強制適用
  • SSHキー検証
  • 監査用操作記録作成(監査トレイル)
  • 動画による操作の再現
  • 透過的(誰にも気づかれない)

SCBの導入効果

導入後の満足度

監査の信頼性

SCBはサーバー管理に使用されるSSH, RDPチャンネルを透過的に監査します。コンフィグレーション変更、コマンド実行を含む全トラフィックを暗号化し変更や操作不可能な監査トレイルとして保存します。どんな問題(サーバー設定間違い、データベース操作、突然のシャットダウン)でもイベントの引き金になった操作を監査トレイルからすぐに取り出せます。

Shell Control Boxの特長

すべてのハードウェア、OS、アプリケーションをサポート
以下のコンプライアンスに対応

SOX(J-SOX)、 PCI-DSS, SAS 70、Basel II、FDIC/OCC/OTSまたはFFIEC、Gramm-Leach-Billey Act、EU Data Protection Directive、HIPAA、UK Data Protection Act

ユーザーアクティビティをAudit Playerで動画再生

管理者がサーバーに接続後、入力したコマンドやサーバーの応答はすべて監査トレイルに保存されます。監査トレイルファイルは専用のアプリケーションAudit Playerでビデオデータと同じように再生できます。サーバーログ解析からはこのような操作の再現は不可能であ り、Shell Control Box (SCB)がコンプライアンスやフォレンジックに非常に優れた製品であることを示しています。

(Audit Player GUI例)

Audit Player

SCBのフィロソフィ

SCBはクライアント-サーバー間の接続を分断し(クライアント-SCB, SCB-サーバー)、SCBを通過するすべてのトラフィックを検査します。クライアント-サーバー間で直接転送されるデータはありません。トラフィックはOSIレイヤー7(アプリケーション層)で検査され、プロトコル違反や非正常データ)はサーバーを攻撃から保護するために拒否されます。このためサーバーアプリケーションの脆弱性を狙う未知の攻撃にも対処できます(Anomaly Detection & Protection)。 

  • 安定稼動の障害リスクの可能性があるプログラムや、エージェントインストールは端末、サーバーともに不要です
  • サーバーハードウェア、OS、アプリケーションからは完全に独立しています(監視できないサーバー、OS,アプリケーションはありません)
  • 特権ユーザーの操作は今までとまったく同じです
  • SCBは透過的に特権ユーザーのアクセスをコントロールし、アクティビティを監査トレイに保存するだけです

SCBはなぜ役に立つのか?

特権アクセスを監視

会社には多数のお互いに見知らぬ特権ユーザーがいます。システム管理者やその関係者は多数のITシステムの機密情報にアクセスできます。彼らがサーバーにアクセスし何を行っているかを正確に把握することは組織の責任者の当然の業務です。 

外部委託パートナーを監視

多くの会社で働くのIT技術者は自社従業員より外部委託者の方が多いのが現実です。彼ら全員を標準ポリシーひとつで管理することは困難です。彼らのアクティビティを追跡し管理することも組織の責任者としては避けることの出来ない業務です。

業界や国際基準の遵守

コンプライアンス監査は多くの企業においてはもっとも苦労の多い業務です。政府や国際組織の作成した外部規制は必要な基準を誰が遵守したかを監査しなければなりません。カード業界ではPCI DSS, Basel II, SOX, ある特定業界ではHIPPAなどがあります。

SCBの使い道

ポリシーコンプライアンス

コンプライアンスはサーバー管理やリモートシステムアクセスを含むコントロールや監査の必要性を増しています。SOX, PCI-DSS, HIPPA, Basel IIなどです。これらのデータはサーバーに保管され会計ソフトでアクセスしレポートを作成できます。問題はこれらのサーバーを管理者がメンテナンスを名目に自由にアクセスできることです。SCBを使えば管理者のアクティビティを監査できます。

リモート管理

サーバーやWebホスティング利用会社はSCBのメリットを受けられます。管理者を監査し、監督できるからです。外部委託効果を評価できます。記録された監査情報はリモート管理サーバー利用上の問題解決のデータとして利用できます。SCBはSLAを改善するためにも利用できます。

シンクライアントコントロール

 SCBは一般的なシンクライアントプロトコルを監査できるため、すべてのシンクライアントのアクティビティの記録と監視が可能です。

リアルタイムファイル転送とファイルアクセス監視 

SCBはアクセスや転送されたファイルリストを外部DLPシステムに転送できますので、機密データのアクセスや転送を認識、追跡、アラート送信ができます。SCBを使えばDLPポリシーはSCPやSFTPのような暗号化転送にも対応できるようになります。

SSHコントロール 

多くの企業は外向けSSHは許可しますが、ある種のコントロールを必要とします。なぜなら他のプロトコルはSSHでトンネル化できるからです。SCBはどんなトラフィックをSSH接続で許可するかをコントロールできるので、ターミナル接続のような異なるトラフィックを分離して有効化できます。

ジャンプホスト利用 

多くの組織はリモートサーバーアクセスにジャンプホストを利用します。SCBはジャンプホストアクセスの認証や監査が出来ます。SCBは強力な認証をサポートしており、ホストのキーやパスワード管理を容易にします。

ケーススタディ

大手通信会社での特権アカウント管理
課題:「特権アカウントのセキュリティ」
Bouygues Telecom は、サイバーセキュリティ問題を十分承知していて、ユーザーとカスタマーのデータを保護することに常に特別な注意を払い続けています。それに加えて、すべてのシステム管理者が18,000 台のネットワークデバイスとサーバーにアクセスできるようにする“Jump-host” プロジェクトの一環として、Bouygues Telecom は特権アカウントのポリシー管理を実装することを希望していました。“Jump-host” プラットフォームを実装する前は、Bouygues Telecom はネットワークフローをコアの本番システムにチャネリングする、従来のIT ソリューション(Solaris、Windows TSE)を使用していました。しかし・・・   続きを読む >>