1.1. InfoCage FileShell導入ガイド

1.1.1. 1.はじめに

1.1.1.1. 1.1.本文書について

本書は、Smart Data Platform(以降SDPFとする)においてファイル共有機能を実現する際に、暗号製品として日本電気株式会社のInfoCage FileShellを利用した場合の検証結果の紹介になります。

InfoCage FileShellについては以下のURLをご確認ください。
https://jpn.nec.com/infocage/fileshell/index.html

1.1.1.2. 1.2.本文書のご利用にあたって

本書を参照いただくにあたって、以下の点にご留意ください。
  • 本書で紹介する構成は、実際に当社にて構築した一例として紹介します。実際の設定内容は、お客様環境によって大きく異なる点についてご了承ください。
  • 本書で紹介する構成は、機能を検証するうえで最低限必要な構成になります。
  • 商用環境の構成については要件に応じた設計が必要となる為、販売元である日本電気株式会社やSIベンダーとご契約いただき、設計・構築を進めていただくことになります。
  • 本書では、OSはWindows Server 2016を利用して環境を構築しております。OSのバージョン、FileShellのバージョンや構成によって手順が異なることがある為、詳細な手順は販売元である日本電気株式会社やSIベンダーにご確認ください。
  • 導入する機能やオプションによっては、手順が不要になったり、追加になることがあります。詳細な手順は販売元である日本電気株式会社やSIベンダーにご確認ください。
  • 本書の記載は、予告なく変更となる場合がございますので、あらかじめご了承ください。

1.1.1.3. 1.3.お問い合わせ先

弊社、営業までお問い合わせください。 販売元である日本電気株式会社やパートナーであるSIベンダーをご紹介します。
なお、お客様と日本電気株式会社やSIベンダーとの間での取引に関する諸条件により、InfoCage FileShellをご提案出来ない場合がございます。

1.1.2. 2.評価を行った環境

本書では、SDPF上にファイル共有サーバーを構築し、ファイル共有クライアントはオンプレミス(お客様環境)に用意する環境を想定して記載します。
弊社にて評価を行った環境を以下に示します。

ファイル共有クライアントはファイル共有サーバーに保存されたファイルを参照します。
ファイル共有サーバーに保存されたファイルは、ファイル共有クライアントにインストールされたFileShellクライアントがFileShellサーバで設定されたポリシに従い暗号化を行います。
ファイル共有クライアントはFileShellサーバー 内にインストールしたAD RMSサービスから複号鍵を取得し、ファイルの複号を行います。
【図1 評価を行った環境】

1.1.3. 3.SDPF環境構築

1.1.3.1. 3.1.ネットワークの環境構築

SDPFに必要なネットワーク機能を構築します。

3.1.1.ロジカルネットワークの構築

上記手順を基にロジカルネットワーク(プライベートセグメント、DMZセグメント)を構築します。

以下のようなセグメント設定で構築しています。
No ロジカルNW名 NW種別 割当サブネット
1 client-seg ファイル共有クライアント用 192.168.100.0/24
2 private-seg 各種サーバー用 192.168.100.0/24
3 DMZ-seg ファイル共有サーバー用 192.168.200.0/24

3.1.2.インターネット接続の構築

No ロジカルNW名 NW種別 割当サブネット
4 internet-seg インターネット接続用  
インターネット越しのクライアントと通信を行う為、上記手順を基にインターネットゲートウェイを構築します。

3.1.3.共通機能ゲートウェイの構築

共通機能ゲートウェイを構築します。
No ロジカルNW名 NW種別 割当サブネット
5 common_function_gw 共通機能GW 169.254.0.0/17

3.1.4.ファイアウォールの構築

マネージドファイアウォールを構築します。


3.1.ネットワークの環境構築は、以下のチュートリアルを参考に構築いただけます。
手順:Smart Data Platform チュートリアル 5.1.1 ロジカルネットワーク
https://sdpf.ntt.com/services/docs/logical-network/tutorials/logicalnetwork.html

手順:Smart Data Platform チュートリアル 5.1.2 インターネット接続
https://sdpf.ntt.com/services/docs/internet-gw/tutorials/internet-gw.html

手順:Smart Data Platform チュートリアル 5.1.13 共通機能ゲートウェイ
https://sdpf.ntt.com/services/docs/common-function-gw/tutorials/cfg.html

手順:Smart Data Platform 詳細情報 8.1 Managed Firewall
https://sdpf.ntt.com/services/docs/network-based-security/service-descriptions/menu_fw_v2.html

1.1.3.2. 3.2.SDPFサーバーの環境構築

SDPFを用いて以下に示すサーバーを作成します。
本書ではFileShellサーバーに対して様々な役割をインストールしておりますが、商用環境の構成については販売元である日本電気株式会社やパートナーであるSIベンダーに設計・構築を依頼してください。
  名称 用途
1 FileShellサーバー
・ActiveDirestoryドメインサービス(AD RMSを導入する為に必要、ユーザー管理)
・AD RMSサービス(暗号化のアルゴリズムを提供)
・SQL Server (AD RMS用のデータベース、FileShellポリシー格納用データベースとログ格納用データベースとして利用)
・FileShellサーバー(Infocage FileShellをインストール)
2 ファイル共有サーバー ・暗号化したファイルを共有する為の共有フォルダーを提供

3.2.1.FileShellサーバー構築

手順:クイックスタートガイド Smart Data Platform 基本構成:Windows版
https://sdpf.ntt.com/docs/quick-start-guide/ecl/rsts/pattern_1/model_a1_win_index.html
上記手順(以下、SDPF構築手順とする)を基に構築する。

(1)サーバーインスタンス構築手順
SDPF構築手順の「サーバーインスタンス構築手順」を行います。

(2)動作確認
SDPF構築手順の「動作確認」を行います。
※加えてWindowsUpdateを実施します。

3.2.2.ファイル共有サーバー構築

FileShellサーバーと同様の手順で構築を行います。

1.1.4. 4.Infocage FileShell環境構築

FileShellの環境構築は要件により構成や手順が大きく異なる為、本書では詳細な説明を割愛します。
実際の構築は販売元である日本電気株式会社やSIベンダーとご契約いただき、設計・構築を進めていただくことになります。
構築手順には以下のような項目が含まれます。
  • FileShell サーバーを構築するコンピューターの事前準備 (AD ドメイン, ADRMS の構築など)
  • FileShell サーバーが利用する SQL Server のインストール
  • FileShell サーバーのインストール
  • FileShell サーバーでの組織、FileShell ポリシーの作成
  • FileShell クライアントを構築するコンピューターの事前準備 (AD ドメイン参加、AD RMS 接続確認など)
  • FileShell クライアントのインストール
  • FileShell クライアントでのポリシー受信およびファイル保護の確認

1.1.4.1. 4.1.InfoCage FileShellの環境構築


4.1.1.サーバー環境の準備


(2)AD RMSサーバーの構築
FileShellサーバーにActive Directory Rights Managementサービスを構成します。

4.1.2.共有フォルダーの作成

ファイル共有サーバーにFileShell の「共有フォルダ保護機能暗号化テストフォルダー」の設定・動作確認に利用する共有フォルダーを作成します。
共有フォルダーはドメインユーザーに対して読み取り、書き込みを許可します。

4.1.3.ユーザー/グループの作成

FileShell 環境のテストで利用するドメインユーザーとグループを作成します。
ユーザー権限、管理者権限のそれぞれのアカウント、グループを作成します。
管理者権限のアカウントはDomain Adminsに所属します。

4.1.4.クライアント環境の準備


(1)AD ドメインへの参加.
ファイル共有クライアントをADドメインに参加させます。

(2)AD RMS サーバーへの接続
AD RMS クラスターURL をセキュリティ ゾーンに追加します
サーバー証明書をインストールします

4.1.5.FileShell サーバーの構築


(1)インストールインストールパッケージの展開
FileShell サーバーのインストールに必要なパッケージをインストールメディアからコピーします。

(2)必要ソフトウェアのインストール
FileShell サーバーのインストールに必要なソフトウェアをインストールします。
必要なソフトウェアは、要件に応じて変更になる為、販売元である日本電気株式会社やSIベンダーにご確認ください。

(3)FileShell データベースの構築
FileShellでは、ポリシー情報の格納にデータベースが1つ必要になります。

1.1.4.2. 4.2.Web 管理コンソールによる設定

日本電気株式会社やパートナーであるSIベンダーにご確認ください。

1.1.4.3. 4.3.FileShell クライアントの構築


4.3.1.必要ソフトウェアのインストール

FileShell クライアントのインストールに必要なソフトウェアをインストールします。
必要なソフトウェアは、要件に応じて変更になる為、販売元である日本電気株式会社やSIベンダーにご確認ください。

4.3.2.FileShell クライアントのインストール

FileShell クライアントをインストールします。

1.1.4.4. 4.4.FileShell クライアントでの動作確認


4.4.1.ファイルの自動保護

FileShell ポリシーで「自動保護対象フォルダ」に設定したフォルダーに、保存やコピー/移動したファイルを自動的に保護します。

(1)ローカルディスクの自動保護
FileShell ポリシーの [自動保護] で設定した [自動保護対象フォルダ] へファイルを保存すると、自動的にファイルが保護される動作を確認します。

(2)共有フォルダーの自動保護
FileShell ポリシーの [共有フォルダ保護] で設定した [自動保護対象フォルダ] へファイルをコピーすると、自動的にファイルが保護される動作を確認します。

4.4.2. 保護ファイルの閲覧
保護したファイルを閲覧できることを確認します。

1.1.5. 5.利用終了時の暗号鍵の削除

本章では、サービスの利用を終了する際に暗号鍵を削除し、ファイル共有サーバー上のファイルを復号できなくするために必要となる手順を示します。
暗号鍵を削除した場合、すべてのファイルが復号できなくなります。
実際に暗号鍵を削除する場合は、販売元である日本電気株式会社やSIベンダーにリスクや詳細な手順を確認したうえで実施してください。

1.1.5.1. 5.1.SDPF/InfoCage FileShellの利用終了時における暗号鍵の削除

ファイル共有サーバー上のファイルを復号できなくするためには、ファイル共有サーバー上のファイルを暗号化している暗号鍵を保護するための鍵が管理されているAD RMSサービスを利用できなくする必要があります。

(1)AD RMSのアンインストール
FileShellサーバーにインストールされているActive Directory Rights Managementサービスをアンインストールします。

(2)SQL Serverのアンインストール
FileShellサーバーにインストールされているSQL Serverをアンインストールします。

(3)SQL Serverのデータファイル、バックアップファイルの削除
SQL Serverのデータファイルを削除します。バックアップファイルがある場合はバックアップファイルも削除します。

(4)FileShellサーバーのインスタンスを削除する
FileShellサーバーのインスタンスを削除します。


参考:Smart Data Platform 詳細情報 サーバーインスタンス
https://sdpf.ntt.com/services/docs/server-instance/service-descriptions/virtual-server.html#id22
上記手順の「インスタンスの削除」をAD RMSサービスを構築したサーバーに対して実行します。
../../../_images/InfoCageFileShell02.jpg
1. 暗号化ソリューション
1. 環境構築自動化・匿名データ活用ソリューション tasokarena/Terraform/Ansible