NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

Smooth File のファイル交換ソリューションについて

Smooth File とは

プロット社が開発・提供する「ファイル交換ソリューション」です。「ファイル無害化機能*1」により、分離されたネットワーク間での安全なファイル交換を実現します。詳細についてはこちらを参照ください。

ダブルブラウザとの連携について

前回記事「インターネット分離時のファイル共有について」ではファイルサーバーを利用して、ユーザ間でファイル共有を行う例をご紹介しましたが、本記事では分離されたネットワーク間で、Smooth File を使用して、同一ユーザーがファイルを交換する例について紹介します。

Smooth File の展開

Smooth File は物理アプライアンス版と、VMwareHyper-V 上で動作する仮想アプライアンス版が提供されております。本例では仮想アプライアンスVMware 版)を使用します。ova 形式で提供されており、インストール方法について割愛します。

  • インストール完了後、"https://(IP アドレス)/smoothfile/top/login/1_admin" にアクセスします。こちらが管理画面となり、基本的な設定はこちらで行います。

f:id:FriendsNow:20170902233441p:plain

f:id:FriendsNow:20170902233457p:plain

ネットワーク分離

Smooth File のネットワーク分離エディションでは、「管理グループ」と「インターネットセグメント*2」及び、「情報セグメント*3」の3つがデフォルトで定義されおり、追加・削除はできません。本例では、「インターネットセグメント」は、RDS サーバからのみ接続可能とし、クライント端末は「情報セグメント」への接続のみ可能とします。なお、2つあるネットワークアダプタのうち「eth0」を「インターネットセグメント兼管理用」とし、「eth1」を「情報セグメント」とします。

検証環境

f:id:FriendsNow:20170902233629p:plain:w600

Smooth File の設定例

ネットワークアドレス設定

  • 「オプション」タブで「eth0」のネットワークアドレスを設定します。上述のとおり「eth1」は、コンソールのみで設定変更可能です。

f:id:FriendsNow:20170902235053p:plain

セグメント管理設定

  • 「セグメント管理」タブで、各セグメントの設定を行います。

f:id:FriendsNow:20170903011142p:plain

  • 「情報セグメント」にチェックをして、「セグメント情報編集」をクリックします。

f:id:FriendsNow:20170903011331p:plain

  • 「背景カラー」をオレンジを指定します。

f:id:FriendsNow:20170903011753p:plain

  • 他の設定はデフォルトとします。画面下にある「登録」をクリックします。

f:id:FriendsNow:20170903011847p:plain

  • 次に「インターネットセグメント」にチェックをして、「セグメント情報編集」をクリックします。

f:id:FriendsNow:20170903012102p:plain

  • 「ログイン許可 IP」に RDS サーバ(100.64.100.111)を指定し「無変換時のみ上長承認」を「no」に指定します。

f:id:FriendsNow:20170906124909p:plain

  • セグメントに所属する職員を明示的に設定する場合は「所属職員管理」をクリックします。

f:id:FriendsNow:20170903012844p:plain

  • 「職員管理」タブへ遷移し、こちらで設定していきます。※本例では後述の AD 連携にて職員情報を取得するため設定しません。

f:id:FriendsNow:20170903013121p:plain

職員管理設定(AD 連携設定)

  • AD 連携を行う前に AD に利用ユーザを定義する必要があります。本例では User01,02 の承認者に Manager01、User03,04 の承認者に Manager02 を定義することを前提とします。

f:id:FriendsNow:20170903014259p:plain

  • 「オプション」タブから「ActiveDirectory 連携設定」をクリックします。

f:id:FriendsNow:20170903013549p:plain

  • 「情報セグメント」を選択し「連携先情報編集」をクリックします。

f:id:FriendsNow:20170903013729p:plain

  • AD の情報を設定します。

f:id:FriendsNow:20170906125114p:plain

  • 「権限グループ」で「受信者(情報セグメント」を選択し、AD に接続可能なアカウントを設定後「登録」をクリックします。

f:id:FriendsNow:20170906125243p:plain

  • 「情報セグメント」を選択し「接続テスト」をクリックします。

f:id:FriendsNow:20170906125534p:plain

  • AD 上のアカウントを入力後「接続テスト」をクリックし「サーバの接続」と「職員情報の取得」に「成功」と表示されれば OK です。

f:id:FriendsNow:20170906125556p:plain

  • 「情報セグメント」を選択し「LDAP 同期」をクリックします。

f:id:FriendsNow:20170906125611p:plain

  • 「職員管理」タブをクリックし、AD 上のユーザ情報が登録され、所属セグメントが「情報セグメント」となっていることを確認します。

f:id:FriendsNow:20170906125644p:plain

  • 「インターネットセグメント」についても同様に設定し、設定後「LDAP 同期」をクリックします。

f:id:FriendsNow:20170906125819p:plain

  • 「職員管理」タブをクリックし、ユーザの所属セグメントが「インターネットセグメント」が追加されたことを確認します。

f:id:FriendsNow:20170906125908p:plain

  • 「セグメント管理」の「所属人数」もそれぞれ反映されていることを確認します。

f:id:FriendsNow:20170906125921p:plain

職員管理設定(承認者登録設定)

インターネットセグメント(ファイル送信側)で、ユーザ単位で承認者を設定します。

  • 「職員管理」タブをクリックし、対象のユーザ(本例では user01)を選択後、「職員編集」をクリックします。

f:id:FriendsNow:20170906130813p:plain

  • 「承認者一覧」をクリックします。

f:id:FriendsNow:20170906130909p:plain

  • 承認者(本例では Manager01)を選択し「確定」をクリックします。

f:id:FriendsNow:20170906130958p:plain

  • 「承認者一覧」に「承認者」が登録されたことを確認し「登録」をクリックします。

f:id:FriendsNow:20170906131047p:plain

  • 「職員管理」タブで対象ユーザの「承認者登録」が「済」となっていることを確認します。

f:id:FriendsNow:20170906131234p:plain

-(注)なお承認者設定は、一括して設定ができずユーザ単位で設定する必要があります。
f:id:FriendsNow:20170906130401p:plain

ファイル送受信手順

ファイルのアップロード

  • 仮想ブラウザを起動し、以下の URL からインターネットセグメントへアクセスします。
http://100.64.100.21/smoothfile/top/login_ldap?lid=2
  • user01 でログインします。

f:id:FriendsNow:20170906132125p:plain

  • 「ファイル転送 送信」タブで「送信」をクリックします。

f:id:FriendsNow:20170906132228p:plain

  • 「ファイルを選択」をクリックします。

f:id:FriendsNow:20170906132422p:plain

  • 対象のファイルを選択して「開く」をクリックします。

f:id:FriendsNow:20170906132433p:plain

  • 「登録」をクリックします。

f:id:FriendsNow:20170906132406p:plain

  • 「ファイル転送 送信」タブでファイルが存在することを確認します。

f:id:FriendsNow:20170906132544p:plain

  • ファイルを選択し「詳細」をクリックします。

f:id:FriendsNow:20170906132637p:plain

  • ファイルの詳細を確認できます。

f:id:FriendsNow:20170906132708p:plain

ファイルのダウンロード

  • ローカルブラウザを起動し、以下の URL から情報セグメントへアクセスします。
http://100.64.100.22/smoothfile/top/login_ldap?lid=1
  • user01 でログインします。

f:id:FriendsNow:20170906133006p:plain

  • 「ファイル転送 受信」タブで受信可能なファイルを確認します。承認されていないため、先ほど送信したファイルは存在しません。

f:id:FriendsNow:20170906133139p:plain

ファイルの転送承認

  • 仮想ブラウザを起動し、以下の URL からインターネットセグメントへアクセスします。
http://100.64.100.21/smoothfile/top/login_ldap?lid=2
  • manager01 でログインします。

f:id:FriendsNow:20170906133440p:plain

  • 「承認一覧」タブでファイルを選択し「承認」をクリックします。

f:id:FriendsNow:20170906133539p:plain

ファイルのダウンロード

  • 前述の手順で「情報セグメント」へアクセスし、「ファイル転送 受信」タブで受信可能なファイルを選択後、「詳細」をクリックします。

f:id:FriendsNow:20170906133945p:plain

  • 選択したファイルがダウンロード可能となります。

f:id:FriendsNow:20170906134022p:plain

*1:Microsoft Office や PDF ファイルから、マクロ領域やメタ領域を除去する機能

*2:インターネットに接続するネットワーク

*3:インターネットに接続しないイントラネットワーク

インターネット分離時のファイル共有について

インターネット分離とは

近年、標的型サイバー攻撃による情報漏洩インシデントが多発しています。この事態を受けて、総務省IPA*1・NISC*2は個人情報などの機密情報を扱うシステムをインターネットから分離する事を推奨しています。「インターネット分離」とは、インターネット経由で攻撃者が重要システムにアクセス出来る経路を断絶することを意味します。

Ericom Connect によるインターネット分離

公開アプリケーションでブラウザを配信し、インターネットには配信されたブラウザ経由で接続、(機密情報のある)イントラサイトには既存のローカルブラウザで接続することで、機密情報の漏えいを防止するソリューションです。Ericom 社製品の日本国内における総販売代理店であるアシスト社は「ダブルブラウザソリューション」と呼んでいます。 詳細についてはこちらを参照ください。

インターネット分離時のファイル共有

インターネット分離をした際、ファイルの共有が課題となります。本記事では、Ericom Connect のダブルブラウザ利用時に、ユーザ間でファイル共有を行う例について紹介します。

RDS サーバにファイルサーバを接続

  • RDS サーバにファイルサーバ上のフォルダをドライブマップするためのスクリプトを作成します。
@echo off
rem サーバ「ad01.example.com」の「share」フォルダを X: ドライブマップ
net use X: \\ad01.example.com\share /persistent:yes
  • 「ファイル名を指定して実行」を起動して「gpedit.msc」と入力し、「OK」をクリックします。

f:id:FriendsNow:20170826004813p:plain

  • 「ユーザーの構成」 > 「Windows の設定」 > 「スクリプト(ログオン/ログオフ)」 > 「ログオン」 をダブルクリックし「追加」をクリックします。

f:id:FriendsNow:20170826004849p:plain

f:id:FriendsNow:20170826005037p:plain

  • 「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「グループポリシー」 > 「ログオンスクリプトの遅延を構成する」 をダブルクリックします。

f:id:FriendsNow:20170826005051p:plain

  • 「無効」にチェックし「OK」クリックします。

f:id:FriendsNow:20170826005105p:plain

  • 「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「スクリプト」 > 「ログオンスクリプトを同期的に実行する」 をダブルクリックします。

f:id:FriendsNow:20170826005125p:plain

  • 「有効」にチェックし「OK」クリックします。

f:id:FriendsNow:20170826005142p:plain

  • 「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「ログオン」 > 「コンピュータの起動およびログオンで常にネットワークを待つ」 をダブルクリックします。

f:id:FriendsNow:20170826005203p:plain

  • 「有効」にチェックし「OK」クリックします。

f:id:FriendsNow:20170826005214p:plain

  • 「gpupdate /force」を実行します。

f:id:FriendsNow:20170826005222p:plain

  • 「ファイル名を指定して実行」を起動して「rsop.msc」と入力し、「OK」をクリックします。

f:id:FriendsNow:20170826005232p:plain

  • ポリシーが正しく適用されていることを確認します。

f:id:FriendsNow:20170826005243p:plain

ファイルサーバの接続確認

  • クライアント端末で Access Pad を起動し「user01」でログインします。

f:id:FriendsNow:20170826005259p:plain

f:id:FriendsNow:20170826005316p:plain

  • 「ファイル」タブから「名前を付けて保存」をクリックします。

f:id:FriendsNow:20170826005333p:plain

  • ファイルサーバ上のフォルダがドライブマップされている事を確認します。

f:id:FriendsNow:20170826005345p:plain

ファイルサーバへのファイル保存と共有

  • 仮想ブラウザでダウンロードしたインターネット上のファイルをファイルサーバへ保存します。

f:id:FriendsNow:20170826005405p:plain

  • クライアント端末で Access Pad を起動し「user02」でログインします。

f:id:FriendsNow:20170826005415p:plain

  • ファイルサーバに保存したファイルを閲覧可能なアプリケーションをクリックします。本例では「PDF」を使用します。

f:id:FriendsNow:20170826005435p:plain

  • 対象のファイルを選択し「開く」をクリックします。

f:id:FriendsNow:20170826005450p:plain

  • ファイルが閲覧可能なことを確認します。

f:id:FriendsNow:20170826005500p:plain

*1:独立行政法人 情報処理推進機構

*2:内閣サイバーセキュリティセンター