1.1. InfoCage FileShellを導入する

1.1.1. 本文書の説明

1.1.1.1. 本文書について

本書は、Smart Data Platform(以下SDPF)においてファイル共有機能を実現する際に、暗号製品として日本電気株式会社のInfoCage FileShellを利用した場合の検証結果の紹介です。

InfoCage FileShellについては以下のURLをご確認ください。
https://jpn.nec.com/infocage/fileshell/index.html

1.1.1.2. 本文書のご利用にあたって

本書を参照するにあたって、以下の点にご留意ください。

  • 本書で紹介する構成は、実際に当社にて構築した一例として紹介します。実際の設定内容は、お客さま環境によって大きく異なる点についてご了承ください。

  • 本書で紹介する構成は、機能を検証するうえで最低限必要な構成になります。

  • 商用環境の構成については要件に応じた設計が必要となるため、販売元である日本電気株式会社やSIベンダーとご契約いただき、設計・構築を進めていただくことになります。

  • 本書では、OSはWindows Server 2016を利用して環境を構築しております。OSのバージョン、FileShellのバージョンや構成によって手順が異なることがあるため、詳細な手順は販売元である日本電気株式会社やSIベンダーにご確認ください。

  • 導入する機能やオプションによっては、手順が不要になったり、追加されることがあります。詳細な手順は販売元である日本電気株式会社やSIベンダーにご確認ください。

  • 本書の記載は予告なく変更となる場合がありますので、あらかじめご了承ください。


1.1.1.3. お問い合わせ先について

弊社、営業までお問い合わせください。 販売元である日本電気株式会社やパートナーであるSIベンダーをご紹介します。
なお、お客さまと日本電気株式会社やSIベンダーとの間での取引に関する諸条件により、InfoCage FileShellをご提案出来ない場合があります。

1.1.2. 評価を行った環境

本書では、SDPF上にファイル共有サーバーを構築し、ファイル共有クライアントはオンプレミス(お客さま環境)に用意する環境を想定して記載します。
弊社にて評価を行った環境を以下に示します。

ファイル共有クライアントはファイル共有サーバーに保存されたファイルを参照します。
ファイル共有サーバーに保存されたファイルは、ファイル共有クライアントにインストールされたFileShellクライアントがFileShellサーバーで設定されたポリシーに従い暗号化します。
ファイル共有クライアントはFileShellサーバー内にインストールしたAD RMSサービスから復号鍵を取得し、ファイルの復号を行います。
【図1 評価を行った環境】

1.1.3. SDPF環境構築

1.1.3.1. ネットワークの環境構築

SDPFに必要なネットワーク機能を構築します。

ロジカルネットワークの構築

上記手順を基にロジカルネットワーク(プライベートセグメント、DMZセグメント)を構築します。

以下のようなセグメント設定で構築しています。

No

ロジカルNW名

NW種別

割当サブネット

1

client-seg

ファイル共有クライアント用

192.168.100.0/24

2

private-seg

各種サーバー用

192.168.100.0/24

3

DMZ-seg

ファイル共有サーバー用

192.168.200.0/24

インターネット接続の構築

No

ロジカルNW名

NW種別

割当サブネット

4

internet-seg

インターネット接続用
インターネット越しのクライアントと通信を行うため、上記手順を基にインターネットゲートウェイを構築します。

共通機能ゲートウェイの構築

共通機能ゲートウェイを構築します。

No

ロジカルNW名

NW種別

割当サブネット

5

common_function_gw

共通機能ゲートウェイ

169.254.0.0/17

ファイアウォールの構築

マネージドファイアウォールを構築します。


ネットワークの環境構築は、以下のチュートリアルを参考に構築いただけます。
手順:ロジカルネットワーク
https://sdpf.ntt.com/services/docs/logical-network/tutorials/logicalnetwork.html

手順:インターネット接続
https://sdpf.ntt.com/services/docs/internet-gw/tutorials/internet-gw.html

手順:共通機能ゲートウェイ
https://sdpf.ntt.com/services/docs/common-function-gw/tutorials/cfg.html

手順:Managed Firewall
https://sdpf.ntt.com/services/docs/network-based-security/service-descriptions/menu_fw_v2.html

1.1.3.2. SDPFサーバーの環境構築

SDPFを用いて以下に示すサーバーを作成します。
本書ではFileShellサーバーに対してさまざまな役割をインストールしておりますが、商用環境の構成については販売元である日本電気株式会社やパートナーであるSIベンダーに設計・構築を依頼してください。

名称

用途

1

FileShellサーバー
・Active Direstoryドメインサービス(AD RMSを導入するために必要、ユーザー管理)
・AD RMSサービス(暗号化のアルゴリズムを提供)
・SQL Server(AD RMS用のデータベース、FileShellポリシー格納用データベースとログ格納用データベースとして利用)
・FileShellサーバー(Infocage FileShellをインストール)

2

ファイル共有サーバー

・暗号化したファイルを共有するための共有フォルダーを提供

FileShellサーバー構築

手順:基本構成:Windows版
https://sdpf.ntt.com/docs/quick-start-guide/ecl/rsts/pattern_1/model_a1_win_index.html
上記手順(以下SDPF構築手順)を基に構築する。

(1)サーバーインスタンス構築手順
SDPF構築手順の「サーバーインスタンス構築手順」を行います。

(2)動作確認
SDPF構築手順の「動作確認」を行います。
※加えてWindowsUpdateを実施します。

ファイル共有サーバー構築

FileShellサーバーと同様の手順で構築を行います。

1.1.4. Infocage FileShell環境構築

FileShellの環境構築は要件により構成や手順が大きく異なるため、本書では詳細な説明を割愛します。
実際の構築は販売元である日本電気株式会社やSIベンダーとご契約いただき、設計・構築を進めてください。
構築手順には以下のような項目が含まれます。

  • FileShellサーバーを構築するコンピューターの事前準備(ADドメイン、AD RMSの構築など)

  • FileShellサーバーが利用するSQL Serverのインストール

  • FileShellサーバーのインストール

  • FileShellサーバーでの組織、FileShellポリシーの作成

  • FileShellクライアントを構築するコンピューターの事前準備(ADドメイン参加、AD RMS接続確認など)

  • FileShellクライアントのインストール

  • FileShellクライアントでのポリシー受信およびファイル保護の確認


1.1.4.1. InfoCage FileShellの環境構築


サーバー環境の準備


(2)AD RMSサーバーの構築
FileShellサーバーにActive Directory Rights Managementサービスを構成します。

共有フォルダーの作成

ファイル共有サーバーにFileShellの「共有フォルダ保護機能暗号化テストフォルダー」の設定・動作確認に利用する共有フォルダーを作成します。
共有フォルダーはドメインユーザーに対して読み取り、書き込みを許可します。

ユーザー/グループの作成

FileShell環境のテストで利用するドメインユーザーとグループを作成します。
ユーザー権限、管理者権限のそれぞれのアカウント、グループを作成します。
管理者権限のアカウントはDomain Adminsに所属します。

クライアント環境の準備


(1)ADドメインへの参加
ファイル共有クライアントをADドメインに参加させます。

(2)AD RMSサーバーへの接続
AD RMSクラスターURLをセキュリティゾーンに追加します。
サーバー証明書をインストールします。

FileShellサーバーの構築


(1)インストールパッケージの展開
FileShellサーバーのインストールに必要なパッケージをインストールメディアからコピーします。

(2)必要ソフトウェアのインストール
FileShellサーバーのインストールに必要なソフトウェアをインストールします。
必要なソフトウェアは、要件に応じて変わるため、販売元である日本電気株式会社やSIベンダーにご確認ください。

(3)FileShellデータベースの構築
FileShellでは、ポリシー情報の格納にデータベースが1つ必要になります。

1.1.4.2. Web管理コンソールによる設定

日本電気株式会社やパートナーであるSIベンダーにご確認ください。

1.1.4.3. FileShellクライアントの構築


必要ソフトウェアのインストール

FileShellクライアントのインストールに必要なソフトウェアをインストールします。
必要なソフトウェアは、要件に応じて変わるため、販売元である日本電気株式会社やSIベンダーにご確認ください。

FileShellクライアントのインストール

FileShellクライアントをインストールします。

1.1.4.4. FileShellクライアントでの動作確認


ファイルの自動保護

FileShellポリシーで「自動保護対象フォルダ」に設定したフォルダーに、保存やコピー/移動したファイルを自動的に保護します。

(1)ローカルディスクの自動保護
FileShellポリシーの[自動保護]で設定した「自動保護対象フォルダ」へファイルを保存すると、自動的にファイルが保護される動作を確認します。

(2)共有フォルダーの自動保護
FileShellポリシーの[共有フォルダ保護]で設定した「自動保護対象フォルダ」へファイルをコピーすると、自動的にファイルが保護される動作を確認します。

保護ファイルの閲覧
保護したファイルが閲覧できることを確認します。

1.1.5. 利用終了時の暗号鍵の削除

本章では、サービスの利用を終了する際に暗号鍵を削除し、ファイル共有サーバー上のファイルを復号できなくするために必要となる手順を示します。
暗号鍵を削除した場合、すべてのファイルが復号できなくなります。
実際に暗号鍵を削除する場合は、販売元である日本電気株式会社やSIベンダーにリスクや詳細な手順を確認したうえで実施してください。

1.1.5.1. SDPF/InfoCage FileShellの利用終了時における暗号鍵の削除

ファイル共有サーバー上のファイルは、暗号鍵により暗号化されています。
ファイル共有サーバー上のファイルを復号できなくするためには、この暗号鍵を保護するための鍵が管理されているAD RMSサービスを利用できなくする必要があります。

(1)AD RMSのアンインストール
FileShellサーバーにインストールされているActive Directory Rights Managementサービスをアンインストールします。

(2)SQL Serverのアンインストール
FileShellサーバーにインストールされているSQL Serverをアンインストールします。

(3)SQL Serverのデータファイル、バックアップファイルの削除
SQL Serverのデータファイルを削除します。バックアップファイルがある場合はバックアップファイルも削除します。

(4)FileShellサーバーのインスタンスを削除する
FileShellサーバーのインスタンスを削除します。


参考:サーバーインスタンス
https://sdpf.ntt.com/services/docs/server-instance/service-descriptions/virtual-server.html#id22
上記手順の「インスタンスの削除」をAD RMSサービスを構築したサーバーに対して実行します。
../../../_images/InfoCageFileShell02.jpg
1. 暗号化ソリューション
1. ログ蓄積・活用ソリューション Flexible InterConnect/Wasabiオブジェクトストレージ/ログ管理ツール/Windows用S3互換ストレージマウントツール