1.1. InfoCage FileShell導入ガイド¶
1.1.1. 1.はじめに¶
1.1.1.1. 1.1.本文書について¶
本書は、Smart Data Platform(以降SDPFとする)においてファイル共有機能を実現する際に、暗号製品として日本電気株式会社のInfoCage FileShellを利用した場合の検証結果の紹介になります。
InfoCage FileShellについては以下のURLをご確認ください。
1.1.1.2. 1.2.本文書のご利用にあたって¶
本書を参照いただくにあたって、以下の点にご留意ください。
- 本書で紹介する構成は、実際に当社にて構築した一例として紹介します。実際の設定内容は、お客様環境によって大きく異なる点についてご了承ください。
- 本書で紹介する構成は、機能を検証するうえで最低限必要な構成になります。
- 商用環境の構成については要件に応じた設計が必要となる為、販売元である日本電気株式会社やSIベンダーとご契約いただき、設計・構築を進めていただくことになります。
- 本書では、OSはWindows Server 2016を利用して環境を構築しております。OSのバージョン、FileShellのバージョンや構成によって手順が異なることがある為、詳細な手順は販売元である日本電気株式会社やSIベンダーにご確認ください。
- 導入する機能やオプションによっては、手順が不要になったり、追加になることがあります。詳細な手順は販売元である日本電気株式会社やSIベンダーにご確認ください。
- 本書の記載は、予告なく変更となる場合がございますので、あらかじめご了承ください。
1.1.1.3. 1.3.お問い合わせ先¶
弊社、営業までお問い合わせください。 販売元である日本電気株式会社やパートナーであるSIベンダーをご紹介します。
なお、お客様と日本電気株式会社やSIベンダーとの間での取引に関する諸条件により、InfoCage FileShellをご提案出来ない場合がございます。
1.1.2. 2.評価を行った環境¶
本書では、SDPF上にファイル共有サーバーを構築し、ファイル共有クライアントはオンプレミス(お客様環境)に用意する環境を想定して記載します。
弊社にて評価を行った環境を以下に示します。
ファイル共有クライアントはファイル共有サーバーに保存されたファイルを参照します。
ファイル共有サーバーに保存されたファイルは、ファイル共有クライアントにインストールされたFileShellクライアントがFileShellサーバで設定されたポリシに従い暗号化を行います。
ファイル共有クライアントはFileShellサーバー 内にインストールしたAD RMSサービスから複号鍵を取得し、ファイルの複号を行います。
1.1.3. 3.SDPF環境構築¶
1.1.3.1. 3.1.ネットワークの環境構築¶
SDPFに必要なネットワーク機能を構築します。
3.1.1.ロジカルネットワークの構築¶
上記手順を基にロジカルネットワーク(プライベートセグメント、DMZセグメント)を構築します。
以下のようなセグメント設定で構築しています。
No | ロジカルNW名 | NW種別 | 割当サブネット |
1 | client-seg | ファイル共有クライアント用 | 192.168.100.0/24 |
2 | private-seg | 各種サーバー用 | 192.168.100.0/24 |
3 | DMZ-seg | ファイル共有サーバー用 | 192.168.200.0/24 |
3.1.2.インターネット接続の構築¶
No | ロジカルNW名 | NW種別 | 割当サブネット |
4 | internet-seg | インターネット接続用 |
インターネット越しのクライアントと通信を行う為、上記手順を基にインターネットゲートウェイを構築します。
3.1.3.共通機能ゲートウェイの構築¶
共通機能ゲートウェイを構築します。
No | ロジカルNW名 | NW種別 | 割当サブネット |
5 | common_function_gw | 共通機能GW | 169.254.0.0/17 |
3.1.4.ファイアウォールの構築¶
マネージドファイアウォールを構築します。
3.1.ネットワークの環境構築は、以下のチュートリアルを参考に構築いただけます。
手順:Smart Data Platform チュートリアル 5.1.1 ロジカルネットワーク
手順:Smart Data Platform チュートリアル 5.1.2 インターネット接続
手順:Smart Data Platform チュートリアル 5.1.13 共通機能ゲートウェイ
手順:Smart Data Platform 詳細情報 8.1 Managed Firewall
1.1.3.2. 3.2.SDPFサーバーの環境構築¶
SDPFを用いて以下に示すサーバーを作成します。
本書ではFileShellサーバーに対して様々な役割をインストールしておりますが、商用環境の構成については販売元である日本電気株式会社やパートナーであるSIベンダーに設計・構築を依頼してください。
名称 | 用途 | |
1 | FileShellサーバー | ・ActiveDirestoryドメインサービス(AD RMSを導入する為に必要、ユーザー管理)
・AD RMSサービス(暗号化のアルゴリズムを提供)
・SQL Server (AD RMS用のデータベース、FileShellポリシー格納用データベースとログ格納用データベースとして利用)
・FileShellサーバー(Infocage FileShellをインストール)
|
2 | ファイル共有サーバー | ・暗号化したファイルを共有する為の共有フォルダーを提供 |
3.2.1.FileShellサーバー構築¶
手順:クイックスタートガイド Smart Data Platform 基本構成:Windows版
上記手順(以下、SDPF構築手順とする)を基に構築する。
1.1.4. 4.Infocage FileShell環境構築¶
FileShellの環境構築は要件により構成や手順が大きく異なる為、本書では詳細な説明を割愛します。
実際の構築は販売元である日本電気株式会社やSIベンダーとご契約いただき、設計・構築を進めていただくことになります。
構築手順には以下のような項目が含まれます。
- FileShell サーバーを構築するコンピューターの事前準備 (AD ドメイン, ADRMS の構築など)
- FileShell サーバーが利用する SQL Server のインストール
- FileShell サーバーのインストール
- FileShell サーバーでの組織、FileShell ポリシーの作成
- FileShell クライアントを構築するコンピューターの事前準備 (AD ドメイン参加、AD RMS 接続確認など)
- FileShell クライアントのインストール
- FileShell クライアントでのポリシー受信およびファイル保護の確認
1.1.4.1. 4.1.InfoCage FileShellの環境構築¶
4.1.1.サーバー環境の準備¶
4.1.2.共有フォルダーの作成¶
ファイル共有サーバーにFileShell の「共有フォルダ保護機能暗号化テストフォルダー」の設定・動作確認に利用する共有フォルダーを作成します。
共有フォルダーはドメインユーザーに対して読み取り、書き込みを許可します。
4.1.3.ユーザー/グループの作成¶
FileShell 環境のテストで利用するドメインユーザーとグループを作成します。
ユーザー権限、管理者権限のそれぞれのアカウント、グループを作成します。
管理者権限のアカウントはDomain Adminsに所属します。
4.1.4.クライアント環境の準備¶
1.1.4.3. 4.3.FileShell クライアントの構築¶
4.3.1.必要ソフトウェアのインストール¶
FileShell クライアントのインストールに必要なソフトウェアをインストールします。
必要なソフトウェアは、要件に応じて変更になる為、販売元である日本電気株式会社やSIベンダーにご確認ください。
1.1.5. 5.利用終了時の暗号鍵の削除¶
本章では、サービスの利用を終了する際に暗号鍵を削除し、ファイル共有サーバー上のファイルを復号できなくするために必要となる手順を示します。
暗号鍵を削除した場合、すべてのファイルが復号できなくなります。
実際に暗号鍵を削除する場合は、販売元である日本電気株式会社やSIベンダーにリスクや詳細な手順を確認したうえで実施してください。
1.1.5.1. 5.1.SDPF/InfoCage FileShellの利用終了時における暗号鍵の削除¶
ファイル共有サーバー上のファイルを復号できなくするためには、ファイル共有サーバー上のファイルを暗号化している暗号鍵を保護するための鍵が管理されているAD RMSサービスを利用できなくする必要があります。
(1)AD RMSのアンインストール
FileShellサーバーにインストールされているActive Directory Rights Managementサービスをアンインストールします。
(2)SQL Serverのアンインストール
FileShellサーバーにインストールされているSQL Serverをアンインストールします。
(3)SQL Serverのデータファイル、バックアップファイルの削除
SQL Serverのデータファイルを削除します。バックアップファイルがある場合はバックアップファイルも削除します。
(4)FileShellサーバーのインスタンスを削除する
FileShellサーバーのインスタンスを削除します。
参考:Smart Data Platform 詳細情報 サーバーインスタンス
上記手順の「インスタンスの削除」をAD RMSサービスを構築したサーバーに対して実行します。