社内PC導入ならパーペチュア

社内ＩＣＴ基盤の導入から実運用までをサポートするパーペチュアです。

暗号化サーバーの導入

ファイルを暗号化したり、ファイルの持ち出しを制限することで情報流出のリスクを低減。
情報流出対策、管理ソフトである「InterSafe ILP」の導入から機能を利用するまでの流れまでを解説します。

なお公式に日本語のわかりやすい詳細なマニュアルが添付されているため、この記事では実際に運用する際の設定の流れを記載しています。

InterSafe ILP について

アルプス システム インテグレーション株式会社が開発、販売している総合情報漏洩対策、管理ソフトウェア。

ファイルの暗号化やアクセス権限の設定、管理をしたり、ファイルをUSBメモリなどの外部端末に持ち出せないようロックしたりなど、社内の複数のPCに対する、さまざまな情報漏洩対策を一元管理できるソフトウェアです。

InterSafe ILP 公式サイト

InterSafe ILPで可能なこと

ファイルの暗号化とアクセス制御(FileProtection)
管理下にあるパソコンや共有ファイルサーバーのファイルを自動的に暗号化し、特定の端末や読み込み権限を持つユーザーにのみ読み込めるようにします。
また、ファイルのコピーや印刷などを制限して情報漏洩を防ぎます。

外部デバイスを管理(InterSafe DeviceControl)
USBメモリやプリンタなどの外部デバイスやネットワークへのアクセスを管理し、外部デバイスへのアクセスや許可のないファイルの移動やコピーなどを制限します。

USBメモリのセキュリティを強化(InterSafe SecureDevice Ultimate)
USBメモリ内のデータを特定のPCでのみ開けるように暗号化したり、USBメモリにパスワードをかけることでセキュアデバイスを作成します。

ファイル転送を管理(InterSafe FileTransporter)
端末間やネットワーク間のファイルのやり取りを管理することによって、ファイルの無断持ち出しや移動を防ぎます。

InterSafe ILP 動作環境

ILPサーバー

OS	Microsoft Windows Server 2008 Standard / Enterprise SP2　※ 32bitのみ Microsoft Windows Server 2008 R2 Standard / Enterprise SP1 Microsoft Windows Server 2012 Standard / R2 Standard Microsoft Windows Server 2016 Standard Editionv ※日本語OSのみ対応
CPU	Intel Xeon 2.1GHz(4Core)以上 (Intel Xeon 2.5GHz(6Core)以上推奨)
メモリ	2GB 以上（4GB以上推奨）

InterSafe Client

OS	Microsoft Windows 7 Professional / Enterprise / Ultimate / SP1 Microsoft Windows 8.1 Pro / Enterprise Microsoft Windows 10 Pro / Enterprise ※日本語/英語/中国語(簡体)OS対応 ※日本語OSのみ対応
CPU	Intel Core i3 2.0GHz 以上
メモリ	2GB 以上（4GB以上推奨）
ブラウザ	Internet Explorer 11、Microsoft Edge ※InterSafe Manager（管理ツール）、InterSafe WorkFlowの動作環境
必要コンポーネント	InterSafe Client v6.0 ・Microsoft Visual C++ 2015 Update 3 Redistributable Package以降 ・Microsoft .NET Framework 4.6.2以降 ・セキュリティパッチ(KB3033929)※Windows 8.1以前のみ InterSafe Client v5.x ・Microsoft Visual C++ 2008 SP1 ・Microsoft .NET Framework 3.5 SP1 ・セキュリティパッチ(KB3033929)※Windows 8.1以前のみ

InterSafe ILPの導入

InterSafe ILPは、暗号化やユーザー権限の管理をするためのサーバーと、管理対象PCにアクセス制御を実施するクライアントに分けて運用します。

この項ではサーバーのインストール、クライアントのインストールから実際に接続するまでの手順を解説します。

ILPサーバーのインストール

インストールメディア内の「Manual」フォルダにある「Install_Manual.pdf」に詳細なインストール手順が書かれているため、そちらを参考にインストールしていきます。

Windows server機でインストールメディア内の「Autorun」フォルダにある「Autorun.exe」を実行します。

注意:ILPサーバーの動作に必要な各プログラムがすでにインストールされていると、警告メッセージが表示されます。
これを無視して各プログラムをインストールすると、正しく導入できないだけではなく、既存のシステムが動作しなくなる可能性があるため、別の端末にILPサーバーをインストールするなどの対策が必要になります。

「新規インストール」で上から順番にLIPサーバーの動作に必要なソフトウェアをインストールしていきます。
インストールに失敗してもチェックがつくため注意しましょう。

データベースコンポーネントの導入
PostgreSQLをインストールします。

ILPdatabaseの作成
PostgreSQLインストール時に設定したパスワードを入力し、ILPサーバーで使うDBを作成します。

JDKのインストール
java実行環境をインストールします。

Tomcatのインストール
Javaサーブレット(Servlet)やJSP(JavaServer Pages)の実行環境をインストールします
ポート番号はデフォルトで「8080」ですが、既に 8080 を使用しているアプリケーション等があれば変更する必要があります。

Apache HTTP Serverのインストール
webサーバープログラムをインストールします。

ILPサーバーアプリケーションの有効化
すべてのプログラムのインストール完了後に実行し、PCを再起動すればインストール完了です。

以降は「InterSafe Manager」のWeb GUIにログインして初期設定をおこないます。

ILPサーバーインストール後の初期設定

http://サーバーのIPアドレス/ISManager/faces/sysadmin.jsf
にブラウザでアクセスし、システム管理者ID、パスワードを入力してログインします。
システム管理者ID:master
パスワード:master

各サービスの接続先にサーバーのIP、またはホスト名と使用ポートを入力して「適用」をクリックします。

「最新情報に更新」をクリックして、サービス状況が稼働中になったことを確認したら「次へ」をクリックして進みます。

システムの暗号化キーとファイルの暗号化キーを設定します。システム暗号化キーは後から変更できないため注意しましょう。
※ここで設定したキーはのちほど確認可能です。

暗号化キーを入力したら「適用」をクリックします。ここで自動的にログアウトされるので、もう一度IDとパスワードを入力してログインし直しましょう。

ダッシュボードが表示されたら、「環境設定」→「システム設定」→「ライセンス設定」をひらいて、ライセンスキーを追加します。
クライアントのインストールにライセンスキーを使用するため、サーバーのインストール後、ライセンスの設定までは終わらせておきましょう。

InterSafe Clientのインストール

インストールメディア内の「InterSafe Client」フォルダをInterSafe ClientをインストールするPCにコピーします。

コピーした「InterSafe Client」フォルダ内にある「IIBSServerSetting.exe」を実行します。

ライセンスキーとサーバー情報を入力して、「OK」をクリックすると同フォルダ内に「ServerSetting.cfg」ファイルが生成されます。

生成された「ServerSetting.cfg」を
32bitOS「Installer¥x86¥CommonAppData¥ALSI¥ISC¥System」
64bitOS「Installer¥x64¥CommonAppData¥ALSI¥ISC¥System」
フォルダにコピーします。

32bitOS用「Installer¥x86」
64bitOS用「Installer¥x64」
フォルダ内にある「setup.exe」を実行して「InterSafe Client」をインストールすればクライアントのインストールは完了です。

運用を始めるまでの設定

実際にファイルの暗号化などをしていくための各種設定をします。

システム管理者として「http://サーバーのIPアドレス/ISManager/faces/sysadmin.jsf」にログインしてダッシュボードを表示します。

システム管理者のID、パスワードを変更する

システム管理者ID、パスワードを初期状態から任意のID、パスワードに変更します。

「環境設定」→「システム設定」→「基本設定」を開きます。

管理者の項目の「Master」を選択した状態で、管理者一覧右部にある「編集」をクリックします。

「管理者情報を更新します」にチェックを入れて現在のパスワードを入力したあと、新しいID、パスワードを入力して「更新」をクリックします。

「適用」をクリックすると、さきほど設定した変更が適用されます。
別画面に移行すると変更が破棄されるため、設定変更後は必ず「適用」をクリックするようにしましょう。

グループの追加

グループを追加してユーザーを所属させると、グループ単位でユーザー権限などの設定を一括変更できたりと、ユーザーの管理が非常に楽になるので、先にグループを作成してからユーザーを追加します。

「ポリシー」→「基本設定」を表示します。

左部にある組織ツリーの「ROOT」を右クリックして表示されるメニューの「グループの追加」をクリックします。

グループ名を入力して「登録」をクリックすると、組織ツリーにグループが追加されます。

ユーザーの追加

暗号化したファイルの閲覧やコピーの権限設定など、クライアントに対する各種権限や機能の設定をするためのユーザーを追加します。

「ポリシー」→「基本設定」を表示します。

画面左部の組織ツリーで、作成したユーザーが所属することになるグループを右クリックして、メニューにある「ユーザーの追加」をクリックします。

ユーザーのID、ユーザー名、パスワード、役職、メールアドレスを入力して「登録」をクリックするとユーザーが追加されます。

既存ユーザーの所属グループを変更する

すでに作成済みのユーザーをグループに所属させたい場合は、該当ユーザーを右クリックして、メニューの「ユーザーの移動」をクリックします。
所属させたいグループを選択した状態で「登録」をクリックするとユーザーがグループ下に移動します。

複数グループに一人のユーザーを所属させる

一人のユーザーを複数のグループに所属させることも可能です。

複数のグループに所属させたいユーザーを右クリックして「ユーザー兼職」をクリックします。

兼職先を選択し、役職を設定して「登録」をクリックすると複数のグループに所属した状態になります。

InterSafe Clientの操作

InterSafe Clientをインストールすると、スタートアップにInterSafe Clientが登録され、以降はOS立ち上げ時に自動的にクライアントが起動し、サーバーに接続するようになります。

InterSafe Clientからのログインには、ブラウザの管理用マネージャーから作成したユーザーのIDとパスワードを使用します。

InterSafe Clientはタスクバーに格納され、アイコンを右クリックするとログインしたユーザーの権限に応じたメニューが表示されます。

InterSafe ILPの各種機能を使用する

各種機能の詳しい操作方法については、インストールメディア内の「Manual」フォルダにある「Manager_Manual.pdf」や「Client_Manual.pdf」に記載されています。

この項では実際に運用するまでの手順を記載しているので、各項目の詳細はマニュアルや公式サイトをご参照ください。

・InterSafe ILP ご使用上の注意
・公式FAQサイト

ファイルの暗号化とアクセス制御(FileProtection)

FileProtectionを有効化すれば、ファイルを暗号化して権限を持つユーザーしか見れないようにしたり、ファイルのコピーや移動を制限することができます。

この項ではファイル暗号化やアクセス制御の使い方について、実際に運用するまでの手順を解説します。

暗号化の有効化と設定

画面左側メニューの「ポリシー」→「ファイル暗号(FP)」をクリックすると暗号化の有効、無効化や暗号化に関する各種設定ができます。
「ファイル暗号(ISM)」は前Verの暗号化システムのため、新規に導入する際は基本的に「ファイル暗号(FP)」を使用します。

アクセス制御の設定

まず最初に、暗号化されたファイルのアクセス権限を設定するユーザー属性の作成をします。

「環境設定」→「ファイル暗号設定(FP)」→「属性」画面から、「追加」ボタンをクリックし、ユーザー属性を追加します。このユーザー属性に暗号化関連の権限の設定が保存され、ユーザーに属性を関連付けする形でアクセス制御を実施します。

次に暗号化に関する権限を設定するため、画面左側メニューの「テンプレート」→「ファイル暗号(FP)」を表示します。

テンプレートリストの追加ボタンをクリックして、テンプレートを新規作成します。

「新規テンプレート名」には任意の名前を入力し、「鍵長」で暗号化に使用する鍵の長さを選択します。
基本的にAES 256bitのほうがより強固

次にテンプレートリストからさきほど作成したテンプレートを選択し、「ユーザー属性のアクセス権」右側にある「追加」ボタンをクリックして、各ユーザー属性のアクセス権限を設定します。

暗号化機能の有効化とユーザー属性の設定

「ポリシー」→「ファイル暗号(FP)」でユーザー属性を設定したいユーザーを組織ツリーから選択し「基本設定」内の「ユーザー属性」の項目から、そのユーザーに設定するユーザー属性を選択します。

メニュー制御や暗号化の際のアクセス制御に関するデフォルトテンプレートなどの設定も、ここから同時におこないます。

ファイル、フォルダの暗号化

暗号化を有効化し、権限を持つユーザーでクライアントにログインするとファイルの暗号化ができます。
暗号化されたファイルは権限を持つユーザーでなければ開けず、また開いても内容が暗号化されて解読できない状態になるため、外部にデータが流失したとしても情報漏洩を防げます。

暗号化の手順

暗号化したいファイル、フォルダを右クリックして「セキュアファイルの作成」をクリックします。

すると該当のファイルやフォルダ内のファイルが暗号化されます。(設定次第で暗号化されたファイルのアイコンに鍵のマークが追加されます)

ファイルを暗号化した場合は単体のファイルのみ。フォルダを暗号化した場合は中のファイルをすべて暗号化できます。
また自動暗号化を有効にしていると、暗号化に対応したアプリケーションでファイルを保存する際に、自動的に保存したファイルが暗号化されるようになります。

自動暗号化フォルダ

個別に暗号化をする以外に、指定したフォルダ内のファイルがすべて自動的に暗号化されるよう設定することもできます。

「環境設定」→「ファイル暗号設定(FP)」→「拡張設定」をひらき、「自動暗号化フォルダー設定ファイル一覧」の「追加」をクリックします。

サンプルをクリックしてサンプルの内容を取り込み、必要に応じて内容を書き換えます。

書き換え内容例
TargetDir	自動暗号化フォルダにするフォルダのパスを指定(C:自動暗号化フォルダ\など)
IncludeSubDir	サブフォルダ内のファイルを暗号化するかどうか指定(true/false)
TargetExtensions	extensionで囲んだ文字列を暗号化対象の拡張子として設定します。複数設定する場合は、暗号化対象の拡張子を一つずつextensionで囲んで指定します。 (拡張子の「.」は省略する)

ファイルの復号化

暗号化されたファイルを暗号化されていない状態に戻す(復号化)には、

暗号化ファイルの取り扱い

暗号化されたファイル(セキュアファイル)を、クライアントの入っていないパソコンなどで開くと、中のデータが暗号化されたまま復号化されず、内容が読めない状態になります。

画像は適当なテキストファイルを作成して暗号化し、それをILPクライアントをインストールしていないPCで開いたときの状態です。

暗号化されたファイルを開く権限を持たないユーザーがファイルを開こうとすると、警告メッセージが表示されファイルを開けません。

ファイル暗号化を使用時の注意点

ファイルを保存するタイミングでファイルを暗号化、開くときには復号化処理をしてから開くため、暗号化使用時と比べてファイルの読み書きの速度が遅くなります。
また複数の文書を参照するようなExcelファイルやネットワーク越しのファイルでは処理に長い時間がかかる場合があるので注意しましょう。

外部デバイスを管理(InterSafe DeviceControl)

InterSafe ClientがインストールされているPCに繋がっている外部デバイスや、USBメモリなどへのアクセスを管理します。
許可されたデバイスのみ接続できるようにすることによって、無許可でファイルを持ち出したりなど、外部への情報漏洩が防げます。

外部デバイス制御設定

画面左部のメニューから「ポリシー」→「デバイス制御」をクリックします。

組織ツリーからデバイス制御の設定をしたいユーザーやグループを選択します。

画面右部からアクセス権限の設定を変更し、適用をクリックすると外部デバイスへのアクセス制御設定は完了です。

ログインしていないときの外部デバイス制御設定

Windows起動後など、クライアントにログインしていない状態でのデバイス制御設定は「環境設定」→「デバイス制御設定」内の「ログアウトポリシー」から設定します。

USBメモリのセキュリティを強化(InterSafe SecureDevice Ultimate)

USBメモリにパスワードやアクセス制限がかけられるセキュアデバイスを作成します。

USBメモリを特定の人や端末でしか開けないセキュアデバイスにすることで、紛失時などに中の情報が漏洩することを防ぎます。

セキュアデバイスに関する設定

セキュアデバイスを作成するためには、セキュアデバイスの作成を許可されたユーザーでログインしなければいけません。
そこでまずセキュアデバイスに関する権限の設定します。

画面左部のメニューからポリシー欄の「セキュアデバイス」をクリックします。

組織ツリーから、セキュアデバイスに関する権限を設定したいユーザーを選択します。

「作成権限」を開き、「セキュアデバイス作成権限」を「あり」にします。

画面上部に表示される「適用」をクリックすると設定が反映され、該当ユーザーでクライアントからログインしたときにセキュアデバイスが作成できるようになります。

セキュアデバイスの作成

まずセキュアデバイスにするUSBメモリをパソコンに接続します。
セキュアデバイスにすると中のデータはすべて削除されるため、必要なファイルは事前に取り出しておきましょう。

次にセキュアデバイス作成の権限を持つユーザーでInterSafe Clientにログインし、タスクバーのInterSafe Clientアイコンを右クリックして「セキュアデバイス管理」を選択します。

セキュアデバイスの作成をクリックします。

セキュアデバイスにするUSBメモリ、適用するテンプレート、セキュアデバイスを使用するホストを選択し、「登録」をクリックするとセキュアデバイスが作成されます。

法人ＰＣや社内ネットワーク、各種サーバーの事ならＩＣＴ基盤構築から運用・保守・改善までをサポートするパーペチュアにご相談下さい。

神戸に本社のあるパーペチュアでは、ＩＣＴ基盤構築→運用→保守→改善の永久に機能し続ける仕組みを提供してもうすぐ２０周年。長年ＩＣＴ機器に携わってきたＩＣＴ機器に精通するスタッフが、技術力と情報力でお客様の様々なニーズにお応えいたします。

業務の効率化を図るＩＣＴ基盤の導入だけでなく既設機器の保守、運用、改善どのフェーズからもサポートいたします。ＩＣＴ機器の運用を業務委託したい、従業員のＰＣのヘルプデスクをして欲しいなどどんなことでもご相談ください。費用やお見積もり、サービス内容など、気になることがございましたらお気軽にお問い合わせください。関西一円、東京、名古屋、福岡で対応可能です。