inSync - jp.druva.comjp.druva.com/wp-content/uploads/JP1-inSync-Enterprise-Class... · ホワイトペーパー今日の企業向けに最高レベルの保護を提供する、高度な

ホワイトペーパー

今日の企業向けに最高レベルの保護を提供する、高度な

マルチレイヤセキュリティ

inSync

エンタープライズクラスのセキュリティ


2inSync セキュリティティティティティ

目次inSync セキュリティの概要..................................................................................................................... 4

経路上のデータ................................................................................................................................................................... 4

保存時のデータ................................................................................................................................................................... 4

安全なクライアントの認証 ...................................................................................................................................... 5

inSync クラウド............................................................................................................................................6

inSync クラウドのセキュリティ方針 ...................................................................................................8

クライアント機器とサーバー間の双方向転送時のデータセキュリティ確保..............................................................................................................................................8

顧客データの分離 ...............................................................................................................................................................8

デジタルエンベロープ暗号化と認証..................................................................................................................9

inSyncクラウドAD連携................................................................................................................................................11

ファイル保存とバージョン制御..........................................................................................................................11

inSyncクラウド管理コントロールパネル....................................................................................................12

Druva社員によるinSyncクラウドへのアクセス......................................................................................12

データセンターのセキュリティ..........................................................................................................................12

クラウドインフラストラクチャーとデータ資産を保護する付加セキュリティ手法..........................................................................................................................13

サードパーティーのセキュリティ認証.........................................................................................................14

バックアップセキュリティ....................................................................................................................15

クライアント主導型アーキテクチャ................................................................................................................15

データバックアップ時のセッションセキュリティ..............................................................................16

データ復元時のセッションセキュリティ....................................................................................................16



デバイスセキュリティ.............................................................................................................................17

データ暗号化......................................................................................................................................................................17

リモートワイプ................................................................................................................................................................18

位置情報機能......................................................................................................................................................................19

スマートフォンとタブレットのセキュリティ...............................................................................20

モバイルアクセス.............................................................................................................................................................21

ポリシーベースのアクセス.......................................................................................................................................21

安全な認証..............................................................................................................................................................................21

経路上のデータセキュリティ.................................................................................................................................21

モバイルデバイスからアクセスされる企業データ向けのプライベートコンテナ......21

モバイルデバイスの保護............................................................................................................................................22

データ暗号化........................................................................................................................................................................22

ファイル共有セキュリティ....................................................................................................................23

ITコントロール....................................................................................................................................................................23

データ共有を行う社員の制御.................................................................................................................................24

共有可能ユーザーと共有対象の制御................................................................................................................24

IT部門による外部のパートナーや共同作業者とのデータ共有の制御...................................24

暗号化........................................................................................................................................................................................25

共有データの保護.............................................................................................................................................................25

まとめ..............................................................................................................................................................25

Druvaについて.............................................................................................................................................26



概要Druva inSyncを使用することで、企業データにエンドツーエンドで万全なセキュリティを施すことができるようになります。データの機密性を保ち外部の脅威から安全に守るため、inSyncは厳しい基準に準拠して企業データを統合的に保護します。

inSyncはデータ保護を最優先事項とし、データ送信、データストレージ、データアクセスの各手順でデータセキュリティを確保するよう設計されています。

本文書ではinSyncコアサービス、パブリッククラウドでの導入、モバイルデバイスのサポート、inSync Shareファイル共有サービスを含むさまざまな環境設定において、Druvaが顧客データ保護のために実装しているセキュリティのガイドラインおよび方策に関する詳細な概説を記します。

inSync サーバーinSyncの基盤となるコアサーバーでは、データの保存や取得のためにエンドポイントとの接続性を提供します。このサーバーでは、以下の方法に従ってデータが処理され

ます。

経路上のデータ

エンドポイントは多くの場合WAN経由でVPNを使用しないネットワーク上で接続されるという前提の下で、inSyncはエンドポイント向けにゼロから設計されています。inSyncは経路上のデータをTLSコネクション上で256ビットのAES暗号により暗号化し、これらネットワーク上で常にエンタープライズレベルのセキュリティを確保します。

保存時のデータ

inSyncは厳格な認証とアクセス制御に加えて、256ビットのAES暗号化によりストレージノード上のデータを保護します。

LDAP/HTTPS

256ビット SSL暗号化

256ビット AES暗号化



安全なクライアントの認証inSyncクライアントはIMD (統合一括導入) ツールを使用した大規模展開か、エンドユーザーによって個別にアクティベートすることができます。IMDの場合、inSyncはエンドポイントを一意にアクティベートするためにワンタイムのアクティベーショントークンを使用します。アクティベーションされると、クライアント認証パラメータのネゴシエーションが再度行われます。これら認証パラメータはその後のinSyncサーバーとの接続のためにinSyncクライアントに保存されます。ユーザーが自身のデバイス上でユーザーIDとパスワードを使用してinSyncを自己導入する場合も、バックアップ、設定の変更、復元などのクライアント操作を認証し許可するために、クライアントとサーバーはバックグラウンドで認証鍵メカニズムを使用します。認証鍵が再生成されるか管理者により認証情報がリセットされると、既存の認証鍵はリセットされるため、データが悪意あるユーザーの手にわたることはありません。



inSync クラウドinSync クラウドはSaaS (Software as a Service) 型サービスとして完全に自動化されたエンタープライズクラスのエンドポイント保護ソリューションを提供します。AWSおよびMicrosoft Azureの最先端技術を搭載したinSyncクラウドは、ユーザー数やデータ処理量に依存せず拡張することができるエラスティックでオンデマンドなストレージを提供します。このサービスでは、ユーザーのストレージを特定リージョンに固定するポリシーを使って世界規模のユーザー基盤を即座にセットアップすることができます。

inSyncクラウドは安全で高性能なデータのバックアップと復元を提供しています。グローバル企業のニーズを満たすために世界中の複数のストレージリージョンで動作します。本サービスでは高可用性とエンタープライズ規模のRPOとRTOを提供します。本サービスのエンタープライズクラスのセキュリティはSOC-1、SOC-2、SOC-3のような国際規格に準拠しています。inSyncクラウドへの管理制御機能はすべてHTTPS上の安全なWebベース管理者コントロールパネル経由で提供され、保護されるユーザーグループ向けに企業ポリシーを定義することができます。ユーザーによるアカウント設定の変更を有効または無効化する機能も含まれます。クライアント側のinSyncクライアントエージェントは軽量で操作不要なクライアントアプリケーションで、保護された各デバイス上でDLPやファイル共有など他のエンドポイントサービスとともにデータバックアップを管理します。ユーザーの別デバイスのデータを含む共有データやバックアップデータへのアクセスを提供しつつ、IT部門が中央集中型ポリシーの設定と制御を行うことで、フォルダ選択やスケジューリングなどエンドユーザーにも設定管理を行わせることができます。

SOC1•2•3



Active DirectoryFederation Server

cloud.druva.com

ウェブブラウザ

1. クライアントがコネク

ションを開始

2. inSyncクラウドとSAML連携

3. SAMLを使用したクライアント認証

4. 各ゾーンにデータを配信

n1

n3

n2

PCやモバイルデバイスはポート443でcloud.druva.comというFQDNにinSyncサーバーへ接続

inSync クラウドはすべてのデバイス (モバイルを含む) を認証するためにADFS (SAML 2.0) と連携可能

企業ファイアウォール

サードパーティーのIdP

Microsoft Azure

WAN

本社ネットワーク

ヨーロッパリージョン

アジア太平洋リージョン

米国リージョン

inSyncクラウドで使用されるFQDNとポートinSyncクラウドは cloud.druva.com というFQDNを

使用してすべてのデバイスが接続され、関連するノードにルーティングされます。

使用されるポートは443です。

図1. inSyncクラウドのアーキテクチャ



inSync クラウドのセキュリティ方針DruvaはinSyncクラウドのセキュリティを確保するため、次の方針を厳格に順守します。

• クライアント機器とサーバー間の双方向転送時のデータセキュリティ確保

• 顧客データの分離

• デジタルエンベロープ暗号化と認証

• データセンターのセキュリティ

• クラウドインフラストラクチャーとデータ資産を保護する付加セキュリティ手法

• サードパーティーのセキュリティ認証

クライアント機器とサーバー間の双方向転送時のデータセキュリティ確保概要 (4ページ) とバックアップセキュリティ (19ページ) を参照してください。

顧客データの分離inSyncクラウドは各顧客データを他の顧客データから分離し、顧客組織ごとに仮想プライベートクラウドが生成されます。顧客ごとの仮想プライベートクラウドは以下により実現します。

• アクセス認証情報に基づく顧客コンフィグレーションの区画化• 拡張性の高いNoSQLデータベース内の顧客メタデータの区画化

• オブジェクトストアバケット内の顧客データの区画化

• 顧客ごとに一意の256ビットAES暗号化キーを使用して各顧客データを暗号化



デジタルエンベロープ暗号化と認証企業向けに最高のセキュリティ基準を維持するために、inSyncクラウドの鍵管理は両方の当事者が一部の鍵を保持するという銀行の貸金庫システムをモデルにしています。暗号化キーと認証キーは顧客とクラウド間で相互に共有されています。その結果、どちらか一方がクラウド上のデータへフルアクセスしたり非暗号化アクセスを行ったりすることはできません。

注意するポイント認証と暗号化は2つの情報に依存します。

• UPn パスワード (顧客のみが保持)

• UTn トークン (inSyncのみが保持)

• この2つ (UPn と UTn) でユーザーが認証され、ユーザーデータの暗号化や復号化に使用される最終的なエンタープライズ鍵を取得するために必要となります。

• 実際のエンタープライズ鍵 (AES 256ビット暗号鍵)はinSyncで保存されません。この鍵はユーザーまたは管理者が認証され、その後鍵が破棄されるまでの間のみ存在します。



アカウント作成とクラウド内データ保護でinSyncクラウドが従う手順:

1. 第一管理者 (A1) のランダム生成されたパスワードP1とともにinSyncクラウドの新しいアカウントが開設されます。

2. inSyncクラウドはAES 256ビット暗号鍵 (AK1) とともに新しい仮想プライベートインスタンスを作成します。これは顧客特有の暗号鍵です。

3. inSync クラウドはAK1を基に新しいストレージを作成します。管理者にパスワードを忘れないよう措置をとることが通知されます。

4.inSyncクラウドはクラウドに保管される新しいセキュリティトークンを作成します。新規トークンT1は (AK1 + P1 + salt) をP1で暗号化して得られます。ここでsaltはこの操作で生成されるランダムなビット列です。

5. トークン T1 はinSynクラウドに保存されます。パスワード (P1) は管理者のみが保持し、クラウドには保存されません。

6.inSyncクラウドでは第二管理者アカウント (A2) の作成が推奨されます。第二管理者を作成するとその新規パスワード (P2) とトークン (T2) が生成されます。第一管理者がパスワードを忘れた場合に、第二管理者のみがパスワードリセットできるためこの情報が必要となります。Druvaの厳格なパスワードポリシーにより、Druvaは顧客の管理者パスワードをリセットすることができません。

7.新規ユーザーのアカウント (U1) が作成されると、inSyncはユーザーのみが知るユーザーのパスワード (UP1) を基に新規トークン (UT1) を保存します。同様に、他のすべてのユーザーに対してinSyncクラウドはユーザー名 (Un) とカスタマイズされたトークン (UTn)を生成します。

認証と暗号化の手順:

1. ユーザーまたは管理者はパスワード (例: UP1) で認証します。

2. このパスワードを使用して関連するトークンUT1が復号され、AK1、UP1、salt の組み合わせが正しいか検証されます。

3. inSyncクラウドが正しい組み合わせを得られた場合、ユーザー認証は成功し、AK1がユーザーのバックアップデータを暗号化、復号化するために使用されます。

4. この鍵 (AK1) はユーザー操作が終了すると破棄されます。



inSyncクラウドAD連携inSyncクラウドのAD ConnectorはinSyncクラウドのAD連携効果を高め、inSyncクライアントの統合一括導入 (IMD)、自動ユーザープロビジョニング/プロビジョニング解除、ユーザー認証、ユーザー管理を行えるようにします。さらにinSyncクラウドは、XMLベースのオープンスタンダードであるSAMLをサポートし、セキュリティドメイン間で認証および認可データをやりとりできます。 SAMLを使用すると、Microsoft ActiveDirectoryなど外部IDサービスの認証情報を使用してユーザーがinSyncに安全にログインできるようになります。

• inSyncクラウドのIDプロバイダとしてAD フェデレーションサービス (AD FS 2.0)を設定できます。

• モバイルアプリへのアクセスにSAMLを使用してAD認証するよう設定できます。• SAMLにより他のサードパーティーのIDプロバイダと連携させることができ、

多要素認証サービスも提供できます。

ファイル保存とバージョン制御inSyncクラウドを使用すると、顧客は保護されたデータの復元ポイントを無制限に保持できるようになります。管理制御としてバックアップポリシーごとにファイル保存設定を行う機能が提供されます。このオプションを選択すると、保存ルール対象外のファイルを削除する自動プロセス (コンパクト化) が毎日実行されます。

権限を持つ管理者は、必要に応じて個別アカウントから復元ポイントを選択的に削除する機能を利用できます。システムのエンドユーザーは保存ファイル削除の制御は行えず、管理者が保護データの所有権を維持できます。


12inSync セキュリティ

inSync クラウド管理コントロールパネル• inSyncクラウドの各インスタンスへの管理アクセスは管理コントロールパネル経由で

提供されます。• 管理者はHTTPSコネクション経由のWebコンソールを使用してinSyncクラウドにアクセします。

• inSyncクラウドは管理者パスワードを保存しませんが、前述した認証方法を使用します。

• 管理者は役割 (ロール) に応じて他の管理者を作成することができます。主な管理者には次の二種類があります。

− サーバー管理者: サービスのすべての領域にわたり全般的な管理者権限を持ちます。− プロファイル管理者: ユーザープロファイルの階層的な権限を持ちます。各プロ

ファル管理者はユーザー作成、データ復元、レポート実行の一つ以上の権限を持つことができます。

− Druvaの社員がインスタンスのサーバー管理者やプロファイル管理者としてのアクス権を持つことはありません。

− サーバー管理者のみがWebベースの管理コントロールパネルを使用して管理者アカウントを削除でき、いつでも他の管理者のアクセス権を取り消すことができます。

Druva社員によるinSync クラウドへのアクセス顧客のinSyncクラウドインスタンスにDruvaの社員がアクセスすることはできません。Druva社員によるクラウドインフラストラクチャーへのアクセスはクラウド運用チームに限定されており、Druvaセキュリティポリシー文書に定義された厳格な規則や規制に従います。このアクセス権はセキュリティパッチの適用、サービスのアップグレード、監視作業のために付与されます。

データセンターのセキュリティinSyncクラウドはAWS (Amazon Web Services) およびMicrosoft Azureの技術基盤上で構築されています。AmazonとMicrosoftは大規模データセンターの設計、構築、運用の経験を長年にわたり持っています。AWSとAzureのインフラはAmazonとMicrosoftが管理する世界中のデータセンターに収容されています。AmazonとMicrosoft社内の特定の職務者のみがデータセンターの実際の場所を知っており、データセンターは



セキュリティ対策が行われSOC-1、SOC-2、SOC-3の認定要件を満たしています。 AWSおよびAzureネットワークは、ネットワークのセキュリティ問題に対して以下を含む (これに限定されない) 保護を提供します。

• DDoS (Distributed denial-of-service) 攻撃

• 中間者 (Man-in-the-middle) 攻撃

• IPスプーフィング

• ポートスキャン

• 他のテナントによるパケットキャプチャ

詳細については Amazon Web Services - Overview of Security Processes Microsoft - Microsoft Azure Trust Center を参照してください。

クラウドインフラストラクチャーとデータ資産を保護する付加セキュリティ手法冗長化AWSおよびAzureデータセンターはサービスレベルを維持しながら障害を予期し故障に耐えられるよう設計されており、その設計は世界中のリージョン内のクラスタで実装されています。inSyncクラウドはコンフィグレーション、メタデータ、実際のデータを含む顧客データの各種要素をマルチゾーンで複製し、顧客データはゾーン障害に対処するため複数のアベイラビリティゾーン (AZ) で利用可能となります。

AmazonとMicrosoftが提供する冗長化は以下を含みます (これに限定されません)

• 火災検知と抑制

• 電源

• 気候と温度

• 管理

詳細については Amazon Web Services - Overview of Security Processes Microsoft - Microsoft Azure Trust Center を参照してください。



サードパーティーのセキュリティ認証AWS と Azure では以下のサードパーティーの規格やフレームワークに準拠しています。取得済みの認証には以下が含まれます (これに限定されません)。

• SOC 1 (SSAE 16/ISAE 3402)、SOC 2、SOC 3

• PCI DSS Level 1

• ISO 27001

• FedRAMP

• DIACAP および FISMA

• ITAR

AmazonとMicrosoftにより定期的に更新される認定準拠に関する詳細は http://aws.amazon.com/compliance/ および http://microsoft.com/trustcenter/compliance を参照してください。

ISAE 3000 Type IIDruvaはKPMGによるISAE 3000 Type IIの認定を含む、自社の認証プロセスを受けています。ISAE監査は以下の要素について網羅されます。

• inSyncクラウドオペレーションをサポートする一般的な動作環境に関するDruvaシステムの記述

• 記述に記載されたコントロール目標に関連する制御設計

HIPAADruvaはHIPAA準拠の保護された健康情報 (PHI) の処理に対して、企業のセキュリティとプライバシーコントロールを検証するKPMGによる審査に合格しています。これら認定の詳細はDruvaに問い合わせて入手することができます。

SOC1•2•3

ISAE3402TYPE I



バックアップセキュリティクライアント主導型アーキテクチャDruva inSyncでは、バックアップおよび復元のリクエストは常にinSyncクライアントから開始されます。これはサーバーセキュリティと拡張性のために有用です。サーバーがリクエストを開始することはありません。またコンフィグレーション、制御、データリクエストのすべてにおいて、バックアップと復元は同じポート (デフォルトで443) が使用されます。

バックアップと復元のすべての処理は256ビットAESによるTLSコネクション上で実施されます。

Amazon Web Services および Microsoft Azure Druva 認定済みクラウド

取得済みの認定

Amazon Web Services Certifications Certified Cloud Operations

ITAR SOC 1, 2, 3 FISMA Moderate

HIPAA PCI DSS

ISAE 3402FIPS 140-2

ISO 27001

MPAA

ISAE 3000

HIPAA BAA

TRUSTe

Skyhigh Enterprise-Ready



データバックアップ時のセッションセキュリティ:

1. TCP/IPソケット経由でエージェントがinSyncサーバーに問い合わせます。

2. 256ビットAESによるTLSコネクションがinSyncによるすべての通信で使用されます。

3. サーバーは暗号鍵でユーザーを認証します。

4. 必要に応じて、クライアントはセキュアTLSコネクション上でサーバーにバックアップするデータブロックを送信します。

5. データブロックは256ビットAES暗号化を使用してサーバー上で暗号化され保存されます。

データ復元時のセッションセキュリティ:

1. ユーザーがクライアントエージェントを立ち上げ、必要な復元ポイントからファイルを選択します。

2. エージェントはTCP/IPソケット経由でinSyncサーバーに問い合わせを行います。

3. 256ビットAESによるTLSコネクションが認証で使用されます。

4. クライアントエージェントは取得するファイルのリストをサーバーに送信します。

5. サーバーは必要なブロックを選択し、セキュアTLSコネクション上でクライアントにブロックを送信します。

6.inSyncはWebブラウザ経由でオプションのデータ復元を提供します。Active Directory認証を利用して復元前にユーザー認証を必須化することができます。これによりエンドユーザーはファイルの選択と復元が行えるようになり、ファイルはセキュアな256ビットTLSコネクション経由で転送されます。



デバイスセキュリティinSyncには紛失や盗難に遭ったエンドポイントによる企業への経済的影響を低減する、シンプルかつ非常に効果的なソリューションが含まれています。このデバイスレベルのセキュリティ機能により、エンドポイント上の重要な企業データに強力な多層防御が提供されます。

データ暗号化inSyncでは、パソコンやモバイルデバイス上の重要なファイルやフォルダにデータ暗号化を設定し、それらデータが最高の暗号規格で保護されるようにすることができます。

デバイス上でのデータ暗号化機能 (有効化するためにDLP機能ライセンスが必要)

• エンドポイントのオペレーティングシステムに組み込まれている暗号化ツール(たとえばWindows EFS (Encrypting File System)) が使用されます。

• ファイルやフォルダの選択的暗号化により、高負荷のフルディスク暗号化が不要になります。バックアップ対象として選択されたエンドポイント上のすべての

ファイルは暗号化されます。このアプローチは高負荷のフルディスク暗号化や単一の場所にすべてのファイルを置く、という策よりも優れています。

• 暗号化や復号化は透過的であり、ユーザーによる操作は不要です。エンドポイントデバイスにユーザーがログインすると、ファイルへのアクセス時に自動的に復号化が行われます。



リモートワイプ紛失や盗難に遭ったデバイス上のデータ漏えいを防ぐために、inSyncはノートパソコンやスマートデバイス向けにリモートワイプ機能を提供します。この機能は管理者操作または自動削除ポリシーで実行することができます。

リモートワイプ機能は以下を含みます。

• 管理者は紛失または盗難に遭ったデバイス上でリモートからデコミッション操作を開始することができます。この操作後にデバイスがinSyncと接続されるとデバイスデータはワイプ(削除)されます。

• 自動削除ポリシーを使用して、デバイスが指定した日数inSyncと接続されない場合、自動的にデータを消去するよう設定できます。

• WindowsおよびMacデバイスでは、デバイスからデータを復元不可能とするためにNIST SP800-88標準に準拠した安全な消去技術が用いられます。

リモートワイプの手順 (Windows向け) :

1. inSyncはバックアップされたすべてのファイルを上書きします。暗号化ファイルなどでファイルが上書きできない場合、それらファイルは即座に削除されます。

2.inSyncはSEraseファイルを作成して当該パーティション全体の空き領域を上書きし、「空き領域不足」のエラーが出るまでSEraseファイルのサイズを大きくしていきます。安全なアルゴリズムによって書き込まれたデータを用いることでドライブの空き領域をクリーンアップすることができます。

3. inSyncはすべてのバックアップ、同期、共有ファイルを削除します。

4.inSyncはMFTレコードを使い切ってそれ以上生成できなくなるまで0バイトのSMFTファイルを作成していきます。これによりMFTテーブル内のレコードが上書きされ、システム上にあったファイル名が誰にも見られないようになります。

5. 最後に、inSyncはSEraseファイル (空き領域を埋めるために使用されたファイル) を削除します。



リモートワイプの手順 (Mac向け) :

1. inSyncはSRM (Secure Remove Files) ツールを使用してデータを安全に削除します。

2. SRMはリンク解除される前に各ファイルの上書き、名前変更、削除を確実に実行します。これにより他人が削除を取り消したり、ファイルに関する情報を回復したりすることができないようにします。

3. 上書き処理は米国国防省規格 (DoD) に準拠した7つのパス(0xF6, 0x00, 0xFF, ランダム, 0x00, 0xFF, ランダム) を使用して実施されます。

位置情報機能inSyncは場所や時間に関わらず20メートル程度の精度でデバイスの位置情報を追跡する機能を提供します。

• 組み込みソフトウェアエンジンにより、すべてのエンドポイントを追跡するためにWi-Fiアクセスポイント、GPS衛星、携帯電話基地局からのデータに基づいて高度なハイブリッド測位アルゴリズムを使用します。

• 位置情報では町・丁目、市町村、都道府県、国などの詳細が提供されます。• 使い慣れたGoogle Mapsのインターフェイスにより、inSync管理コンソール上

で利用可能なすべてのエンドポイントデバイスの位置情報を提供します。



スマートフォンとタブレットのセキュリティinSyncのモバイルアプリケーションにより、ユーザーは自身のモバイルデバイスからバックアップデータや共有データにアクセスできるようになります。inSyncはBYODおよび会社支給のデバイスとデータを保護するためのさまざまなポリシーオプションを管理者に提供します。管理者は、ユーザーによるバックアップとデバイス保護のポリシー変更を行わせることができますが、モバイルデバイス上でinSyncモバイルアプリを使用してアクセスされる企業データは常に管理者の制御下にあります。

さらにデバイスポリシーやデータ損失防止を管理するためにMDM/EMMソリューション (例: MobileIron) を使用している組織では、これらサービスとinSyncを無償で連携させることができます。

安全なクライアント認証、クライアント主導アーキテクチャ、データバックアップセッション、データ復元セッション、経路上のデータセキュリティなどinSyncのすべての機能はモバイルデバイスでも同様に利用可能です。



モバイルアクセスinSyncでは、モバイルデバイスからの情報漏えいを防止するためにバックアップや共有された企業データへの安全なアクセスが確保されています。inSyncモバイルアプリでは以下のセキュリティ機能が利用できます。

1. ポリシーベースのアクセスモバイルデバイス上のinSyncデータへのアクセスはユーザーに割り当てられたプロファイルレベルで有効化されます。inSyncでプロファイルを設定することにより、ロール、権限、セキュリティレベル、または参加するプロジェクトに基づいて一部の社員のみが企業データへアクセスできるよう選択することができます。

2. 安全な認証社員はデータにアクセスするためにメールIDとパスワードを使用してinSyncモバイルアプリにログインする必要があります。inSyncモバイルアプリではinSyncのローカル認証情報、Acrive Directoryのパスワード、またはSAMLを使用した組織のシングルサインオンソリューションのいずれかによる認証が利用できます。

また管理者は、inSyncモバイルアプリにアクセスするためにユーザーが定義したPINを強制的に入力させるよう設定することができます。社員がモバイルデバイスそのものにPINを設定していない場合でもinSyncモバイルアプリ内の企業データの安全を確保します。

3. 経路上のデータセキュリティサーバーとモバイルデバイス間の通信は256ビット暗号のTLSコネクション上で行われます。デバイスでデータを受信してinSyncモバイルアプリを使って認証された社員に表示するまで、すべての段階でデータの安全が確保されます。

4. モバイルデバイスからアクセスされる企業データ向けのプライベートコンテナinSyncではIT管理者が会社支給のデバイスと社員所有 (BYOD) デバイスを含むすべてのエンドポイントに保存される企業データをコントロールすることが考慮されています。管理者がこれを実施できるよう、inSyncではプライベートコンテナが採用され、管理者はコンテナ内の重要データをワイプすることができます。



inSyncを使用すると、盗難や紛失に遭ったモバイルデバイス上のデータを保護できるようになります。管理者はデバイスをリモートワイプすることができ、盗まれたモバイルデバイス上で新しいデータやSIMカードが使用されていたとしてもデバイスの電源がオンになっていればデータを消去することができます。

また管理者は個人用デバイス上のinSync経由でアクセスしたファイルのダウンロードを無効化したり、サードパーティーのアプリでファイルを開くことを禁止したりするポリシーを適用することができます。

モバイルデバイスの保護IT管理者はモバイルデバイス上のバックアップやデバイス保護を強制するようinSyncを設定することができます。これら設定が受け付けられ正常に構成されるまで、社員はinSyncモバイルアプリを使用して自身のデータにアクセスすることができません。管理者はモバイルデバイス上の連絡先、写真、動画と、Androidデバイスの場合はSDカード内のコンテンツをバックアップするようinSyncを設定できます。これら設定は企業によって生成された、暗号化された証明書を使用してモバイルデバイス上に構成されます。

inSyncモバイルアプリは設定情報に基づいて定期的に選択されたデータをバックアップし、バックアップが行われたデバイスの最新の位置情報を更新します。この設定では、inSyncは管理者にinSyncコンテナをワイプするだけでなく、デバイス全体を無効化するオプションも提供します。デバイス全体を無効化するとデバイス上のすべてのデータが失われ、店頭で購入した新しいデバイスの状態となります。ただし、すべてのバックアップデータはクラウドのサーバー上に存在しています。

データ暗号化inSyncはモバイルデバイス上ですべてのデータを暗号化します。inSyncはパスコードが有効化されたデバイス上でiOSのAES 256ビットのフルディスクハードウェア暗号化を使用します。Android上のinSyncでは、暗号強度拡張オプション付きの128ビットのAES-CBCおよびESSIV:SHA256を使用し、管理者がPINの使用を強制化することができます。



ファイル共有セキュリティinSyncのセキュリティ機能には、inSync Shareを使用したデータ同期と共有が含まれます。inSync Shareにより、管理者は企業内部または外部のユーザーとデータを共有するためのポリシーを設定できるようになります。また、経路上、サーバー上、DLPオプションを持つエンドポイント上のすべての共有データが暗号化されます。

ITコントロールinSyncは企業内の共有データについて3階層の制御をIT部門に提供します。管理者にはデータ共有操作の可視性や、セキュリティで保護されない共有操作を監視およびチェックするためにすべてのレベルにおけるアクセスの可視性も提供されます。



1.データ共有

を行う社員の制御

IT管理者はinSyncを使用してデータを共有できる社員を制御することができます。管理者は社員の機能的役割や携わるプロジェクトに基づいてグループ/ユーザープロファイルレベルでこの設定を有効化できます。

管理者は社員の共有データを可視化できます。管理者は特定社員や組織全体 (全社員) に関して、どのデータがいつ共有されたかを含む共有操作を閲覧することができます。

inSyncは企業にとって必要なプライバシー設定として管理者による社員データへのアクセスを許可しないポリシーも提供します。社員は自身のきみつでーたをIT部門に閲覧させたくない場合、プライバシー設定を行うことができます。

2.共有可能

ユーザーと共有対象の

制御

IT管理者はユーザーが他の全社員とデータを共有できるか、または選択された社員グループのみで共有できるかを制御することができます。この設定はユーザープロファイルの一部であり、データ共有を行えるユーザープロファイルを定義することで設定されます。この設定により、管理者はデータ共有制限のあるグループ内で社員が作業できるようinSyncを設定することができます。

3.IT部門による

外部のパートナーや

共同作業者とのデータ共有の制御

IT管理者はユーザーがリンクを使用したデータ共有を行えるか、ゲストアカウントにより外部ユーザーと共同作業を行えるか制御することができます。共有リンクでは、リンクの設定に応じて外部パートナーが共有ファイルを閲覧またはダウンロードできます。ゲストアカウントにより、外部ユーザーはファイルを編集して共有フォルダにアップロードできます。

管理者はポリシー設定により共有リンクの有効期間を設定することができます。管理者とユーザーは外部パートナーと共有するドキュメントのリンクを手動で即時削除することもできます。リンクはパスワードで保護され、閲覧専用として設定することができます。

管理者は外部パートナーと共有されたリンク使用に関して可視化でき、リンク閲覧とダウンロード数を参照することができます。管理者はゲストアカウントに関連するすべての操作を確認することもできます。

ユーザーレベルの共有

ファイルレベルの共有1. 2. 外部組織

との共有3.



暗号化管理者は組織のDLPポリシーの一環としてinSync Shareフォルダに追加されたデータを暗号化するよう選択できます。データはエンドポイントのオペレーティングシステムに組み込まれた暗号アルゴリズムを使用して暗号化されるため、アプリケーションレベルの暗号アルゴリズムと比較して非常に優れた性能が得られます。たとえば、inSyncはWindowsのEncryption File Systemサービスを使用してデータを即座に暗号化および復号化します。

共有データの保護inSyncのリモートワイプと自動削除の各DLPポリシーは共有データも対象に含まれます。管理者がリモートからデバイスをデコミッションすることでinSync Shareフォルダ内のデータはワイプされます。inSyncユーザープロファイル内で自動削除ポリシーを設定することで、社員の全デバイス上のinSync Shareフォルダを自動的に削除することができます。

まとめデータ保護はDruvaの最優先事項であり、inSyncはすべての段階でセキュリティを保証します。inSyncは厳格な基準を遵守することで企業データを秘匿、保護し、脅威から安全に守ります。

Druvaについて

Druvaはモバイルワーカーにデータセンターレベルの可用性と内部統制を実現する統合型データ保護のリーダーです。バックアップ、可用性、内部統制を単一のダッシュボードで提供するソリューションはネットワークへの影響を最小化し、ユーザーに対して透過的です。業界で最も急速に成長しているデータ保護プロバイダとして、4000社以上のグローバル企業において400万以上のデバイスで利用されています。詳細は jp.druva.com を参照してください。

Druva合同会社〒100-0004 東京都千代田区大手町1-9-2大手町フィナンシャルシティグランキューブ3Fグローバルビジネスハブ東京BD342 [email protected]://jp.druva.com

Q216-CON-10574

http://www.druva.com

inSync - jp.druva.comjp.druva.com/wp-content/uploads/JP1-inSync-Enterprise-Class... · ホワイトペーパー 今日の企業向けに最高レベルの 保護を提供する、高度な

Documents

inSync - jp.druva.comjp.druva.com/wp-content/uploads/JP1-inSync-Enterprise-Class... · ホワイトペーパー今日の企業向けに最高レベルの保護を提供する、高度な