Customer Like

Customer Satisfaction

Image is not available
Image is not available
Image is not available
Image is not available
Image is not available

日本NTT DATA

全公司成功導入TotalSecurityFort

 

NTT DATA為日本首屈一指的系統整合商,前身為日本NTT電信公司 (Nippon Telegraph and Telephone Corporation) 的電腦部門,目前仍為NTT集團旗下成員。過去NTT DATA曾發生兩次重大的資訊安全事件,被緊急要求實施防止再發生的解決方案。因此,NTT DATA以「若無法建立一套管理寫出至外接式儲存裝置的方法,NTT DATA將難以繼續營運。這樣的堅持,來選擇資訊安全產品。」

NTT DATA

 

 

 

導入背景與資安理念

 

井上先生:NTT DATA曾兩次發生重大個人資料外洩。第一次為2003年12月10日,承包商的筆記型電腦被竊,裡面包含了客戶資料。雖然發生資料外洩事件是在個人資料保護法實施前,但我們仍採取明確、徹底的落實個人資料管理措施,同時減少存取權限的人員,並積極投入員工教育訓練,以完善的措施防止資料外洩事件的再發生。

但不幸的,在2005年五月又發生第二次的資料外洩事件。這次事件不是客戶資料,而是NTT DATA員工資料外流,外流管道為常見的隨身碟遺失。我們從這兩次資料外洩事件獲得教訓,「就算花錢,也必須有完善的預防措施。」因為單純的執行資訊安全政策,結果並不理想,反而造成員工的負擔與害怕。另一個重要的議題是「必須做好確實的內部資訊控管」,正確地判斷是否允許寫出/帶出,控制資訊的流動。特別是大容量的隨身碟可以放入各種資訊,一旦遺失,便很難確定隨身碟內存了哪些資訊。

對企業來說,資訊是很重要的資產,擁有這些資產,才能持續提高工作效率、生產力與創新能力,並創造新的顧客價值。另外,資訊必需善加管理,正確地使用,如果錯誤使用或不小心交給沒有權限的人,將可能造成極大的損失。所以如何將看似衝突的兩個條件,以高標準來達到平衡,是資訊安全的重點。在NTT DATA集團內,每家公司都擁有相同的資訊安全理念,致力確保整個集團的資訊安全,以正確的共享與使用資訊。

 

選定解決方案的關鍵要素

 

這兩次資料外洩事件的問題點都是隨身碟,它可以輕易放入超過一萬筆以上的個人資料。因此選擇解決方案的第一要素,是能夠限制寫出資料至外接式儲存裝置(包含CDROM)。另外,因每位員工可能都擁有Windows本機的管理者權限,使用者可輕易移除控管軟體,但如果不給予使用者本機的管理者權限,又會造成工作困擾;所以必須給予使用者管理者權限,又要讓使用者無法解除控制的強力系統,加上可管控所有外接式儲存裝置及網路、藍芽等通訊設備,控管才有意義。

井上先生:若全面禁止資料寫出,在工作上會有點窒礙難行。公司內部集團對於特定重點顧客,可用共享檔案伺服器的方法來實作,但對於一般客戶就沒那麼簡單。如果工作上需要帶出資料,應由適當的負責人審核,並記錄核准的時間。業務可使用紙張申請書,再加蓋審核章就可以了。但是過幾天這樣的做法就不會被嚴格的執行,可能會出現「可以後補單據吧!」、「我現在要外出,回來再蓋章應該也沒關係吧!」等,萬一發生資料外洩事件,對外也就無法解釋清楚發生的原由了。

為了在發生資料外洩事件時,可以明確知道外流的資訊內容,有自動記錄功能將非常方便。雖然每次寫出時,備份並記錄寫出檔案的內容也是可行的方法,但這樣做會增加工作困擾。此外,若在其他裝置上或工作流程的電子審核上,「在主管同意下能審核寫出」就更好了。在選定解決方案時,唯一可以全部滿足這些功能的,就只有X-FORT。

X-FORT在管理方面可針對不同員工的工作需求,彈性設定安全權限,除了全部禁用外,也可達到「需要時,才准許帶出資訊」。X-FORT以巧妙的平衡,同時實踐「確保資訊的安全」和「資訊的正確使用與共享」。

 

選定解決方案的其他要素

 

井上先生:開始使用後才注意到,X-FORT具有多樣的功能。除了一般的控管功能外,還可以派送程式到用戶端電腦執行的遠端控管功能,及管理電腦軟/硬體資產,是一項功能非常完備的全方位解決方案,這是其魅力之一。

當時我們預計在半年內要導入完成,NTT DATA又是特殊的公司,研發部所使用的網域就有好多個,且不一定是一起管理的,所以需要相當多的X-FORT伺服器來管理。由於安裝的用戶端電腦數量多達好幾萬台,整合這些用戶端的電腦也非容易的事。X-FORT導入時間的縮短,秘訣在於其集中且直覺的管理界面,可以彈性且詳細的控管,管理者在圖像式介面的控制台上,使用滑鼠就能確認項目,並設定權限。根據系統環境,建立個人、組織的權限,並套用到電腦及使用者,還可遠端進行Agent程式佈署,簡單又快速。(若安裝500台電腦,使用遠端操作大約50分鐘就可以完成。原廠的實際成效,依環境而有不同結果。)

 

對員工的說明與宣導

 

井上先生:X-FORT的功能非常豐富,可取得各種記錄,幾乎可記錄所有的電腦操作行為。不過,有些人會說「這個系統是公司為了管理員工而使用嗎?」站在公司的立場,是降低資料外洩風險,萬一資訊外流時,還能確定外洩途徑。但我們想讓員工了解,導入資安系統的意義,並對員工說明「這個系統是為了保護員工而導入」,萬一發生資料外洩事件時,員工可以解釋「帶出資訊」的行為,是因工作上的需求,也可了解寫出的內容,不需員工回想到底有什麼資訊,減少不必要的麻煩,精神上的負擔也變小了。導入X-FORT的好處,是同時保護員工,也保障公司。

 

導入概要與成效

 

山岡先生:上述約3萬台用戶端電腦導入X-FORT,以東京為中心擴展到全國。因此,除了有基本網路,還有多個部門網路和研發網路,X-FORT伺服器超過200台。

山岡先生:在應用方面,原則上全面禁用隨身碟等外接式儲存裝置,禁止寫出與讀取。但會發生不得不使用隨身碟的情況,可取得管理者的許可後使用。X-FORT具有稽核功能,可利用該功能,讓記錄回傳到X-FORT伺服器中,便可取得對file server等的網路寫出、Web瀏覽、軟體安裝、硬體異動等的記錄,還能控管Winny、Share等P2P軟體的執行,依不同情況,設定不同的使用權限來控管或記錄。

山岡先生:公司內幾乎已經不使用隨身碟等攜帶式儲存媒體,導入X-FORT前,因為經常使用隨身碟等小型攜帶式媒體,會有遺失隨身碟而造成資料外洩的可能性。可是因為導入X-FORT,員工無法使用隨身碟,而開始考量如何安全的傳送資訊。這不僅減少遺失儲存裝置而造成洩密,最大的效果是每位員工會考慮安全的使用資訊。

井上先生:X-FORT的有效利用,當然是「防止資料外洩」、「防止無心寫出資訊」,另外「工作進行中的記錄」也是很有用的。意思是「若資訊已審核寫出,是根據工作流程的」,便可證明何時、何人、寫出什麼,而帶出資料,也可以有「什麼都沒做的證明」。做壞事的證明,從很多筆的記錄裡找到一個就行了,但什麼壞事都沒做的證明,就必須取得所有的記錄,看過全部的記錄後才能說明沒有做過。例如,X-FORT可以取得各式各樣的程式執行記錄,可以證明「沒有執行禁用的軟體」。另外,X-FORT可取得經過網路芳鄰的檔案寫入/出記錄、檔案操作記錄,也能在檔案伺服器上,記錄監控對象的檔案存取行為,證明沒有拷貝檔案。