1.1. InfoCage FileShellを導入する¶
1.1.1. 本文書の説明¶
1.1.1.1. 本文書について¶
本書は、Smart Data Platform(以下SDPF)においてファイル共有機能を実現する際に、暗号製品として日本電気株式会社のInfoCage FileShellを利用した場合の検証結果の紹介です。
InfoCage FileShellについては以下のURLをご確認ください。
1.1.1.2. 本文書のご利用にあたって¶
本書を参照するにあたって、以下の点にご留意ください。
- 本書で紹介する構成は、実際に当社にて構築した一例として紹介します。実際の設定内容は、お客さま環境によって大きく異なる点についてご了承ください。
- 本書で紹介する構成は、機能を検証するうえで最低限必要な構成になります。
- 商用環境の構成については要件に応じた設計が必要となるため、販売元である日本電気株式会社やSIベンダーとご契約いただき、設計・構築を進めていただくことになります。
- 本書では、OSはWindows Server 2016を利用して環境を構築しております。OSのバージョン、FileShellのバージョンや構成によって手順が異なることがあるため、詳細な手順は販売元である日本電気株式会社やSIベンダーにご確認ください。
- 導入する機能やオプションによっては、手順が不要になったり、追加されることがあります。詳細な手順は販売元である日本電気株式会社やSIベンダーにご確認ください。
- 本書の記載は予告なく変更となる場合がありますので、あらかじめご了承ください。
1.1.1.3. お問い合わせ先について¶
弊社、営業までお問い合わせください。 販売元である日本電気株式会社やパートナーであるSIベンダーをご紹介します。
なお、お客さまと日本電気株式会社やSIベンダーとの間での取引に関する諸条件により、InfoCage FileShellをご提案出来ない場合があります。
1.1.2. 評価を行った環境¶
本書では、SDPF上にファイル共有サーバーを構築し、ファイル共有クライアントはオンプレミス(お客さま環境)に用意する環境を想定して記載します。
弊社にて評価を行った環境を以下に示します。
ファイル共有クライアントはファイル共有サーバーに保存されたファイルを参照します。
ファイル共有サーバーに保存されたファイルは、ファイル共有クライアントにインストールされたFileShellクライアントがFileShellサーバーで設定されたポリシーに従い暗号化します。
ファイル共有クライアントはFileShellサーバー内にインストールしたAD RMSサービスから復号鍵を取得し、ファイルの復号を行います。
1.1.3. SDPF環境構築¶
1.1.3.1. ネットワークの環境構築¶
SDPFに必要なネットワーク機能を構築します。
ロジカルネットワークの構築¶
上記手順を基にロジカルネットワーク(プライベートセグメント、DMZセグメント)を構築します。
以下のようなセグメント設定で構築しています。
No | ロジカルNW名 | NW種別 | 割当サブネット |
1 | client-seg | ファイル共有クライアント用 | 192.168.100.0/24 |
2 | private-seg | 各種サーバー用 | 192.168.100.0/24 |
3 | DMZ-seg | ファイル共有サーバー用 | 192.168.200.0/24 |
インターネット接続の構築¶
No | ロジカルNW名 | NW種別 | 割当サブネット |
4 | internet-seg | インターネット接続用 |
インターネット越しのクライアントと通信を行うため、上記手順を基にインターネットゲートウェイを構築します。
共通機能ゲートウェイの構築¶
共通機能ゲートウェイを構築します。
No | ロジカルNW名 | NW種別 | 割当サブネット |
5 | common_function_gw | 共通機能ゲートウェイ | 169.254.0.0/17 |
ファイアウォールの構築¶
マネージドファイアウォールを構築します。
ネットワークの環境構築は、以下のチュートリアルを参考に構築いただけます。
手順:ロジカルネットワーク
手順:インターネット接続
手順:共通機能ゲートウェイ
手順:Managed Firewall
1.1.3.2. SDPFサーバーの環境構築¶
SDPFを用いて以下に示すサーバーを作成します。
本書ではFileShellサーバーに対してさまざまな役割をインストールしておりますが、商用環境の構成については販売元である日本電気株式会社やパートナーであるSIベンダーに設計・構築を依頼してください。
名称 | 用途 | |
1 | FileShellサーバー | ・Active Direstoryドメインサービス(AD RMSを導入するために必要、ユーザー管理)
・AD RMSサービス(暗号化のアルゴリズムを提供)
・SQL Server(AD RMS用のデータベース、FileShellポリシー格納用データベースとログ格納用データベースとして利用)
・FileShellサーバー(Infocage FileShellをインストール)
|
2 | ファイル共有サーバー | ・暗号化したファイルを共有するための共有フォルダーを提供 |
1.1.4. Infocage FileShell環境構築¶
FileShellの環境構築は要件により構成や手順が大きく異なるため、本書では詳細な説明を割愛します。
実際の構築は販売元である日本電気株式会社やSIベンダーとご契約いただき、設計・構築を進めてください。
構築手順には以下のような項目が含まれます。
- FileShellサーバーを構築するコンピューターの事前準備(ADドメイン、AD RMSの構築など)
- FileShellサーバーが利用するSQL Serverのインストール
- FileShellサーバーのインストール
- FileShellサーバーでの組織、FileShellポリシーの作成
- FileShellクライアントを構築するコンピューターの事前準備(ADドメイン参加、AD RMS接続確認など)
- FileShellクライアントのインストール
- FileShellクライアントでのポリシー受信およびファイル保護の確認
1.1.4.1. InfoCage FileShellの環境構築¶
サーバー環境の準備¶
共有フォルダーの作成¶
ファイル共有サーバーにFileShellの「共有フォルダ保護機能暗号化テストフォルダー」の設定・動作確認に利用する共有フォルダーを作成します。
共有フォルダーはドメインユーザーに対して読み取り、書き込みを許可します。
ユーザー/グループの作成¶
FileShell環境のテストで利用するドメインユーザーとグループを作成します。
ユーザー権限、管理者権限のそれぞれのアカウント、グループを作成します。
管理者権限のアカウントはDomain Adminsに所属します。
クライアント環境の準備¶
1.1.4.3. FileShellクライアントの構築¶
必要ソフトウェアのインストール¶
FileShellクライアントのインストールに必要なソフトウェアをインストールします。
必要なソフトウェアは、要件に応じて変わるため、販売元である日本電気株式会社やSIベンダーにご確認ください。
1.1.4.4. FileShellクライアントでの動作確認¶
1.1.5. 利用終了時の暗号鍵の削除¶
本章では、サービスの利用を終了する際に暗号鍵を削除し、ファイル共有サーバー上のファイルを復号できなくするために必要となる手順を示します。
暗号鍵を削除した場合、すべてのファイルが復号できなくなります。
実際に暗号鍵を削除する場合は、販売元である日本電気株式会社やSIベンダーにリスクや詳細な手順を確認したうえで実施してください。
1.1.5.1. SDPF/InfoCage FileShellの利用終了時における暗号鍵の削除¶
ファイル共有サーバー上のファイルは、暗号鍵により暗号化されています。
ファイル共有サーバー上のファイルを復号できなくするためには、この暗号鍵を保護するための鍵が管理されているAD RMSサービスを利用できなくする必要があります。
(1)AD RMSのアンインストール
FileShellサーバーにインストールされているActive Directory Rights Managementサービスをアンインストールします。
(2)SQL Serverのアンインストール
FileShellサーバーにインストールされているSQL Serverをアンインストールします。
(3)SQL Serverのデータファイル、バックアップファイルの削除
SQL Serverのデータファイルを削除します。バックアップファイルがある場合はバックアップファイルも削除します。
(4)FileShellサーバーのインスタンスを削除する
FileShellサーバーのインスタンスを削除します。
参考:サーバーインスタンス
上記手順の「インスタンスの削除」をAD RMSサービスを構築したサーバーに対して実行します。