FUJITSU Security Solution SHieldWARE サーバセキュリティ対策
SHieldWARE(シールドウェア)は、標的型攻撃への対策やIT全般統制への対策を強力にサポートする、セキュアOS製品です。多層防御でサーバーを要塞化します。
SHieldWAREは、サーバーに導入する事で、主に以下の機能を提供します。
- 不正プログラム(マルウェアなど)の実行制御
実行ファイルをホワイトリスト化することにより、未知のマルウェアの活動を防止 - 強制アクセス制御
全てのユーザー、プロセスに対して強制的にアクセス制御を実行
不正な操作を予め封じておくことにより、改ざんや情報漏えいを確実に防止 - 最小特権
ユーザーやプロセスに対するアクセス権限を必要最小限に付与 - ファイル改ざん検知
改ざんなどの不正操作をリアルタイムに検知 - 監査証跡
OS機能では残らない詳細ログ(OSコマンドレベル)を収集
標的型攻撃への対策として以下のようなサーバーへの導入を推奨
- LDAPサーバー(ActiveDirectoryサーバーなど)、Webサーバー、DBサーバー、ファイルサーバー、パッチ配信サーバー
など
仮想環境にも対応
- VMware ESX/ESXi
- Oracle® Solaris™ コンテナ(Global Zone, Non-Global Zone)
- Oracle VM Server for SPARC
- Microsoft® Windows Server® Hyper-V(ゲストOS, ペアレントOS)
- Linux KVM
※詳細は動作環境ページの「仮想環境への対応について」をご参照ください
ホワイトリストによる実行制御
マルウェアの活動を防止
- 実行を許可するプログラムをホワイトリスト化することで、許可していないプログラムの起動を防止します。
- アンチウイルスソフトでは検知できないマルウェアへの対策が可能です。
SHieldWARE強制アクセス制御
ログの改ざんを防止
- ログに対して書き込み禁止設定を行い、ログの改ざんを禁止します。
(注)特権ユーザー(root)による書き込みも禁止されます。 - syslogなどのロギングプロセスに関してのみ、書き込み許可を与えます。
過失/故意によるデータ盗難、紛失の抑制
- 下記設定を行い、限定されたユーザーのみ、機密データへのアクセスを許します。
・機密データにアクセスできるユーザーを指定します。
・特権ユーザー(root)を含む他のユーザーが機密データにアクセスすることを禁止します。
・特権ユーザーが、機密データへのアクセスが可能なユーザーへsuコマンドを使用し降格することを禁止します。
ファイル改ざん検知
不正なファイルの改ざんをリアルタイムに検知
- リアルタイムで検知する仕組みのため、攻撃を早期に発見することが可能です。
- アクセス制御機能を利用することで「検知⇒防御」へと不正操作を防止する対策が可能です。
SHieldWAREの監査ログ
内部統制・監査証跡のための詳細なログを収集することができます。
SHieldWAREではコマンドの引数まで記録することができます。
拡張子による実行制御
既存のコマンド制御機能ではプロセス単位の制御を行うため、JVM(Java Virtual Machine)がJARファイルを読み込んで実行する場合にJARファイル毎に実行許可・禁止を設定することができません。
拡張子による実行制御機能を利用することで、JARファイル毎の実行制御を行うことが可能です。
動作環境
2021年12月9日:V04L19 の動作環境に更新
標準版
| OS | Red Hat® Enterprise Linux® 7.1 ~ 7.9(Intel64) |
|---|---|
| Red Hat® Enterprise Linux® 8.0 ~ 8.4(Intel64) | |
| CentOS 7.1.1503 ~ 7.8.2003 | |
| CentOS 8.0.1905 ~ 8.2.2004 | |
| メモリー | 1GB以上 |
| ディスク容量 | /usrパーティション: 100MB以上 |
暗号化版(暗号化 DB Edition)
| OS | Red Hat® Enterprise Linux® 7.1 ~ 7.9(Intel64) |
|---|---|
| Red Hat® Enterprise Linux® 8.0 ~ 8.4(Intel64) | |
| メモリー | 1GB以上 |
| ディスク容量 | /usrパーティション: 100MB以上 |
| /tmpパーティション: 1GB以上 |
大規模版(大規模DB Edition)
| OS | Red Hat® Enterprise Linux® 7.4 ~ 7.9(Intel64) |
|---|---|
| メモリー | 1GB以上 |
| ディスク容量 | /usr パーティション:1GB 以上 |
| /tmp パーティション:1GB 以上 | |
| /etc パーティション:2MB 以上 | |
| /var パーティション:6MB 以上 | |
| /opt パーティション:86MB 以上 |
Oracle® Solaris
| OS | Oracle® Solaris™ 11 ~ 11.4(SPARC) ※ |
|---|---|
| メモリー | 512MB以上 |
| ディスク容量 | /usrパーティション: 100MB以上 |
Linux
| OS | Red Hat® Enterprise Linux® 7.1 ~ 7.9(Intel64) |
|---|---|
| Red Hat® Enterprise Linux® 8.0 ~ 8.4(Intel64) | |
| CentOS 7.1.1503 ~ 7.8.2003 | |
| CentOS 8.0.1905 ~ 8.2.2004 | |
| メモリー | 512MB以上 |
| ディスク容量 | /usrパーティション: 100MB以上 |
Windows
| OS | Microsoft® Windows Server® 2016 ※ |
|---|---|
| Microsoft® Windows Server® 2019 ※ | |
| メモリー | 128MB以上(推奨256MB以上) |
| ディスク容量 | Cドライブ: 1GB以上(推奨2GB以上) |
※Windows Server バージョン 1709 などの半期チャネル(Server Core モード)での対応予定はございません。
※V04L18 から Windows Storage Server にも対応しています。
| OS | Microsoft® Windows Server® 2016 (x64) |
|---|---|
| Microsoft® Windows Server® 2019 | |
| Microsoft® Windows® 7 / 8.1 / 10
(注:Pentium-III 500MHz以上) |
|
| メモリー | 128MB以上 |
| ディスク容量 | 10MB以上 |
※Windows Server 2016、2019 などの長期サービス チャネル(LTSC)に対応しています。
※Windows Server バージョン 1709 などの半期チャネル(Server Core モード)での対応予定はありません。
※V04L18 から Windows Storage Server にも対応しています。
以前のバージョンの動作環境については、下記をご参照ください。
SHieldWARE V04L19以前 サポートプラットフォーム 
制限事項
- Linuxエージェントと統合管理サーバーは、LSM(Linux Security Modules)と呼ばれるセキュリティフレームワークを利用し、機能を実現しています。従ってLSM を利用した実装方式の機能(SELinux 等)、製品とは共存できません。
- Solarisエージェントではホワイトリスト機能に未対応です。
- Windowsエージェントは、デバイスに対する書き込みを制限するフィルタードライバ制御(IRP方式)などSHieldWAREの制御と類似した制御をしている製品とは共存できません。
統合管理サーバー 暗号化DB Edition の特長について
- 統合管理サーバー内の監査ログデータの暗号化
- 1台の統合ログ管理サーバーで管理可能なエージェント台数の増加
- ログファイル肥大化時に必要となる運用作業が不要となり、メンテナンス性が向上
統合管理サーバー大規模DB Editionの特長について
- 暗号化DB Editionと比較し、監査ログ件数の大容量保存が可能
| 暗号化DB Editon | 大規模DB Editon | |
|---|---|---|
| 1日当たりの監査ログ件数 | 40万件以下 | 1800万件以下 |
| 監査ログDB保存監査ログ件数 | 1800万件以下 | 1億5000万件以下 |
仮想環境への対応について
- SHieldWAREでサポートしている仮想環境は以下の環境です。
・VMware ESX/ESXi
・Windows Server 2008 Hyper-V (V03L01以降)
・Solaris コンテナ (V03L01以降)
・Oracle VM Server for SPARC (V04L02 以降)
・KVM (V04L02 以降) - Windows Server Core インストール環境には、対応していません。
- Windows Subsystem for Linux (以降 WSL) および WSL2 環境には、対応していません。
- 統合管理サーバーを VMware 上のゲスト OS (RHEL) に、導入することは可能です。
- Solaris カーネルゾーンには、対応していません。
- Solaris コンテナ環境において、Non-Global Zone に SHieldWARE を導入する場合、システムの制限により、Global Zone にも SHieldWARE の導入が必要になります。なお、以下の場合はサポート対象外となります。
・Non-Global Zone と Global Zone に異なるバージョンの SHieldWARE をインストールした場合
導入事例
導入事例1 サイバー攻撃対策(マルウェアからサーバーを保護)
WindowsサーバーOSの脆弱性を利用し、ActiveDirectoryサーバーからID情報を搾取するマルウェアへの対策としてSHieldWAREを導入。SHieldWAREは、導入後に侵入してきたマルウェアの起動をすべて止めることができるため、ID情報の漏えいを防ぐことが可能です。
導入事例2 業務システムの機密保持・IT全般統制支援
SHieldWAREの強制アクセス制御、最小特権機能を利用することにより、システム管理者等、内部による不正なアクセスや操作を防ぎ、業務システムの機密性を高く保持することが可能です。 また、監査証跡機能により、内部管理者の操作内容をOSコマンドレベルで採取し、不正操作の監査をも可能とします。
これらの機能により、組織におけるIT全般統制を強力に支援します。
標準価格
| SHieldWARE 標準価格表 |
|---|
パンフレット・資料
| パンフレット・資料名 |
|---|
 | 上記のファイルはPDF形式で作成されており、ご覧になるためにはAdobe Acrobat Readerが必要です。Acrobat Readerをお持ちでない場合は、左の"Get Acrobat Reader"アイコンをクリックしてください。 |
