|
(1) 専用ファイアウォール
お客様専用のセキュリティポリシーに準拠し、ファイアウォールを構築して運用するサービスです。ファイアウォールについては1社に1台を割り当てますので、独自のセキュリティポリシーにも対応することができます。
- 基本設定シートに必要事項を記入していただき、その設定を行います。
- より詳細な設定を希望の場合は別途、お打ち合わせといたします。
- ファイアウォールについてはWatchguard社のFireBox IIIを使用します。
- ファイアウォールの二重化をすることも可能です。ご要望の場合は別途、お打ち合わせといたします。
ファイアウォールの設定については、指定用紙に記入していただいた内容で設定します。
(2) 共用ファイアウォール
ネットワークセンター内に設置されたファイアウォールを複数のお客様と共有することにより、安価にサーバーをファイアウォールの管理下で運用することが可能になります。
ファイアウォールについては、Watchguard社のFireBox IIIを使用します。
| ※ |
独自の設定はできません。 |
| ※ |
利用できるポートやサービスについてはネットワークセンター内のセキュリティポリシー規定で定められたもののみとします。よって独自の設定等を希望の場合は専用ファイアウォール運用サービスをご利用願います。 |
共用ファイアウォールのオープンポート(プロトコル)は HTTP、HTTPS、FTP、SMTP、POP3、DNS、SSH となっております。お客様からのtelnetによるリモートアクセスにつきましては、SSH(注)をご利用願います。
注:SSH
リモートでtelnet使用すると、対話の様子を容易に傍受されてしまうおそれがあります。SSHはそれに対処するため、リモートログインやコマンド送信を保護するソフトです。ユーザーのパスワードをチェックし、正規のユーザーが暗号化された通信チャネルで通信を使えるようにします。SSHとは、この暗号化によりコンピュータ間で送信されるコマンドを、外部から傍受できないようにする仕組みです。
|
(2) 不正アクセス監視
不正侵入検知システムを利用しお客様へのサイトに対する通信をすべて監視、不正アクセスをリアルタイムに監視し、検知を行います。不正アクセスと判断された場合は、お客様との間に事前に取り決めた手順に沿って対応にあたります。
不正侵入検知サービスは、そのサービスの性格上、事前にお客様との打合せが必要となります。不正侵入検知サービスにはネットワーク型とホスト型の2通りを準備し、一体となったセキュリティを実現させております。
| |
ホストベース監視 |
ネットワーク型 |
| 監視方法 |
各種のログやログインなどのアクティビティ、ファイル操作を監視 |
ネットワークに流れるパケットを監視 |
| 検出できるアタックタイプ |
コンピュータ内のファイルを置換・破壊してしまうような、ファイル操作タイプの不正アクセス |
大量のパケットを送りつけてコンピュータを麻痺させてしまうような不正アクセス
|
| アタック例 |
・管理者権限の横取り
・不正プログラムの挿入
・ファイルなどの破壊行為
・監査ログ操作
・セキュリティ管理へのアタック
(例:バックドア、トロイの木馬)
|
全パケットを取り込んで解析するため、高速マシンが必要。暗号化された通信には無効 |
| 注意点 |
ファイルに直接変更を加えない不正アクセスの検出が苦手 |
全パケットを取り込んで解析するため、高速マシンが必要。暗号化された通信には無効 |
ホストベース監視:
ログやログインなどの履歴、その他サーバー内で発生するイベント状況やファイル操作などを監視します。権限の横取り、不正プログラムの挿入、WEBサイトの改竄、ファイルの破壊などのアタック(バックドア、トロイの木馬等)トップページが何らかの手段により変更が加えられたと判断した場合に、あらかじめ準備してあった正常なトップページに自動的に切り替わるよう設定することが可能です。
不正アクセスと判断した場合、あらかじめ、お客様との間で決定した手順に沿ってその対応にあたります。
ネットワーク型不正アクセス監視:
ネットワークセグメント内に流れるパケット情報を監視します。大量のパケットを送信し続けることによりコンピューターを麻痺させ、停止させるようなアクセス(Dosアタック、スキャニング、プローピング等)を不正アクセスと判断した場合、あらかじめ、お客様との間で決定した手順に沿ってその対応にあたります。
| ※ |
不正侵入検知システムはネットワーク型とホストベース型の両方を使用することにより本来の機能を発揮します。どちらか一方の場合は検知できないアクセスがあり、必ずしも有効とは限らないからです。そのため、私たちはこの両者を一体化したサービスを提供します。
|
(4) 毎日のテープバックアップ
お客様のサイト内容を専用のバックアップ機構により定期的にバックアップを行い、障害が発生した場合はバックアップテープを利用し復旧作業を行います。これにより万一障害が発生した場合でも、サイトを現状どおり復旧することが可能になります。
- 利用する媒体は8mmテープを利用し、バックアップ可能容量は40GBまでとします。
- 復旧できる状態は直近でのバックアップ内容までとなります。
- バックアップは1日1回とします。
- バックアップテープについては別途、実費請求といたします。
(5) 障害対策用スタンバイサーバー
お貸しするサーバーに対して障害対策用の2台目のサーバーを準備することにより、万一サーバーに障害があった場合でも数十秒程度でスタンバイサーバーに切り替わり、サービスを提供し続けることが可能となります。障害が復旧した場合は自動的に主サーバーに戻るようになっています。
|
障害を検知すると自動的にスタンバイサーバーに切り替わります。
スタンバイサーバー上で登録されているサイト内容が表示されます(通常は障害が発生していることを知らせる告知画面)。スタンバイサーバー上に主サーバーと同じサイト内容が保管されている場合は、引き続きサービスを続けることが可能になります。メールサーバーが停止している間は、自動返信機能により送信者に再度送信していただくようメールが返信されます。
|
|
主サーバーの障害が復旧すると自動的に元のサーバーに切り替わります。
| 1) |
主サーバーを常に障害対策用のサーバーで動作を確認しています。
|
| 2) |
障害を検知すると自動的に障害対策用のサーバーが主サーバーと切り替わります。
インターネットを利用している人はほとんど切り替わったことがわかりません。
|
| 3) |
同時に主サーバーの障害アラートを通知します。障害告知用の画面を表示させることもできます。
|
| 4) |
引き続き、主サーバーが復旧するのを常に監視します。
|
| 5) |
主サーバーが復旧したのを確認できた時点で、自動的に障害対策用サーバーから主サーバーへ切り替わります。
データやその他システム等のバックアップ機能はありません。
|
|
|
自動返信メールサンプル
ただいまメールサーバーにて障害が発生している恐れがありますので、たいへん申し分けございませんが、しばらくたってから、再度、送信していただけるようお願い申し上げます。
○○○○株式会社 ○○○○部
文面は自由に決定していただいて結構です。
|
| ※ |
負荷分散機能はありません。
|
| ※ |
スタンバイサーバーにて利用するサーバーはネットワークセンター側で準備するため、スペック等の要求には応じられないケースがあります。
|
(6) WEBデータベース運用管理
お客様専用のデータベースサーバーとして運用いたします。データベースサーバーはお客様独自に設定することができます。
専用ファイアウォール運用サービスを同時に利用することにより、DMZ※機能により保護されたデータベースサーバーを構築することが可能になります。
| ※ |
DMZ:De Militarized Zone の略で、非武装地帯と呼ばれる場所のこと。 |
| ※ |
利用するデータベースは、PostgreSQL、Oracle8、DB2/UDB、その他(要相談)をご利用いただけます。 |
| ※ |
PostgreSQLをご要望の場合は、その他のオプション価格表を参考にしてください。 |
(7) その他オプションサービス
その他の各種オプションサービス(システムリソース監視、アプリケーションプロセス監視、ダブルドメイン、各種ソフト対応、メール運用など)については個別にてご相談に応じます。
| ※ |
一時的に発生する作業については利用料金の表を参考にしてください。
|
|
