Varonisの仕組み

Varonisデータセキュリティプラットフォームを支える特許技術—メタデータフレームワークを詳しくご紹介します。

データが存在する重要なシステムに接続します。

database2-1

オンプレミスのデータリソース

  • Logo_Windows_Dark Navy
  • Icon_UNIX_Dark Navy
  • Icon_NetApp_Dark Navy
  • Logo_Dell EMC_Dark Navy
cloud-2

クラウドのデータリソース

  • Icon_OneDrive
  • Icon_SharePoint_Dark Navy Copy
  • Icon_Nasuni_Dark Navy-1
  • Icon_Nutanix_Dark Navy
play-1

アプリケーション

  • Icon_M365_Dark Navy
  • Icon_SharePoint_Dark Navy Copy
  • Icon_Teams_Dark Navy
  • Icon_Exchange_Dark Navy Copy
activedirectory

ディレクトリ サービス

  • Icon_Windows AD_Dark Navy
  • Logo_Azure AD_Dark Navy
  • LDAP-1
  • centrify-seeklogo.com
database

ネットワークデバイス

  • Shape
  • PaloAltoNetworks_2020_Logo
  • Combined Shape-1
  • Cisco_logo-1

エンドポイントエージェントを使用せずに、メタデータを収集、強化、正規化します。

restricted_access-1

ファイルの内容やプロパティをスキャンして分類し、インデックスを作成します。

file-1

データストアからファイルやフォルダーの構造やアクセス許可を収集します。

database-2

データストアからローカルユーザー、グループ、関係を収集します。

user_group2-2

ディレクトリサービスからドメインユーザー、グループ、関係を収集します。

dot_grid_4-1

アクセスイベントをリアルタイムで集約、正規化、強化します。

3つの主要な次元でメタデータを組み合わせ、相互に関連付け、分析します。


機密性

Varonisの分類エンジンは、前回のスキャン以降に変更または作成されたことがVaronisの監査機能で判明しているファイルのみをスキャンします。本物の増分スキャンにより、ペタバイト規模に対応します。

正規表現を超え、近接マッチング、除外キーワード、OCR、およびアルゴリズムに基づく検証を使用することにより、ピンポイントの精度を実現します。

一般的な分類技術とは異なり、Varonisはコンテンツ以外の要素(アクセス許可など)を利用して、精度をさらに高めています。


アクセス許可

Windows、Box、SharePoint、Exchange、UNIXなどのアクセス制御の実装はそれぞれ独自のものです—それぞれに独自の特異性や問題点があります。特定のオブジェクトまたはユーザーの実効権限の計算は非常に複雑になることがあり、システムによって大きく異なります。

Varonisは、特許取得済みのデータ構造とアルゴリズムにより、ユーザー、グループ、データ間の何十億もの機能的な関係性を事前に計算して正規化し、実効アクセス許可を即座に正確に判断します。

これにより、誰がどのオブジェクトにアクセスできるか、また逆に-- どのユーザーやグループがどのオブジェクトにアクセスできるかを可視化する双方向のアクセス許可マップを作成します。


アクティビティ

アクセス許可と同様に、アクセスイベントの形式と構造はテクノロジーによって大きく異なります。ある従業員が特定の日にアクセスした対象を把握することは、単純なクエリーであるはずなのに、データサイエンスの一大プロジェクトとなることがあります。

Varonisは、数十の異なるベンダーの多種多様なシステムからのデータアクセスイベント、アクセス制御/設定変更、認証イベント、ネットワークイベントを集約し、正規化し、強化します。

あらゆるデータセキュリティの質問に対する記録システムとなる、一元化された、人間が読むことのできる形式の監査証跡を作成します。これらの強化されたイベントをリアルタイムのアラートエンジンに供給し、高い信号対雑音比を実現します。


人間の介入なしに振る舞いをプロファイル化し、リスクに関する知見を明らかにします。


双方向クラスター分析

Varonisは、各ユーザーの権限をマッピングし、アクティビティを分析して、本当にアクセス権を必要としているかを判断します。Varonisの分析は、同様のアクセス許可を持つユーザーのクラスターを作成することにより、さらに一歩進んで、データの使用状況からみた有意な逸脱を探します。


この分析により、精度の高いアクセス許可削除の推奨事項が得られ、人間の介入なしに適用したり、エンタイトルメントレビューの一環として事業部門のユーザーに自動的に送信することができます。


セキュリティ分析と脅威のモデリング

Varonisは、各ユーザーやデバイス毎に、数時間、数日、数週間にわたるベースライン、つまり「平時のプロファイル」を自動的に構築し、ユーザーに異常な振る舞いがあると、それを通知します。

 

これにより、次のようなセキュリティ知見が得られます:

 

  • どんな種類のアカウントがあり、それらは誰のものなのか?

  • 誰がどのデバイスを使い、どのデータを使っているのか?

  • いつ、どこから活動しているのか?

 

Varonisの製品には、サイバーキルチェーンを網羅する実在の攻撃手法に基づいた数百の機械学習型脅威モデルが含まれています。これらの脅威モデルは、お客様の環境を学習することで、時間の経過とともに改善されていきます。


これらの脅威モデルについては、これ以上詳しく申し上げられません。弁護士も見ています。


product-hiw-profile-1@2x

285人のユーザーが法務チームのSharePointに対し不必要なアクセス権を持っています。

Illustration_HowitWorks_StaleServiceAccount

ELS-backupは、ドメイン管理者権限を持つ古いサービスアカウントです。

product-hiw-profile-3@2x

afp-laptopはAmanda Perezの個人用デバイスです。

環境の変更をシミュレーションし、コミットし、自動化することができます。


サンドボックスでのシミュレーション

Varonisにはお客様環境全体のモデルがあるため、what-ifシナリオを簡単にシミュレートして、アクセス許可の変更による正確な影響を判断できます。

Varonisは過去のイベントを利用して、どのユーザー、サービスアカウント、アプリケーションに影響が及ぶかを確認しています。

必要な依存関係のチェックをすべて行い、変更をコミットしたときに予期しない破損が発生することがないようにします。


コミットとロールバック

Varonisプラットフォームからお客様環境に対して多くの変更をコミットすることができます:

 

  • ユーザー/グループの作成と管理

  • フォルダーやメールボックスのアクセス許可の編集

  • Active Directoryグループメンバーシップの変更

 

変更をコミットするには、変更を実施するユーザーが適切なレベルのアクセス許可を持った資格情報を使用して認証する必要があります。Varonisは神モードで動作するわけではありません。


Varonisの分散型コミットエンジンはマルチスレッドなので、週を待たずに大規模な変更を行うことができます。コミットは随時行うことも、変更作業時間内にスケジュールして行うこともでき、自動的にロールバックすることもできます。


自動化

Varonisは、データの安全性を確保するために、自動の予防および検出アクションを実行します。


たとえば、アクセス許可の自己修復を有効にすると、すべての従業員にデータを公開しているグローバルアクセスグループ(GAG)をすべて削除します。GAGを特別な目的を持ったアクセスグループに変更することにより、爆発範囲を限定することができます。これにより、ペタバイト規模の修復プロジェクトを、数年ではなく、数週間で完了させることができます。


検出側では、脅威モデルに対してカスタマイズされた自動応答をトリガーし、進行中の攻撃を阻止することができます。


globe

グローバルに公開されているデータを自己修復します。

classified

壊れたアクセス制御を自動修正します。

dot_grid_1

ならず者の機密ファイルを自動検疫します。

アーキテクチャー

Illustration_ArchitectureDiagram
Group 3@2x-1
products-hiw-arch-mobile-2

よくあるご質問


インストールの前提条件は?

DSPサーバー:Windows Server 2012以降(仮想環境も可)とSQL Server 2016以降の Standard版またはEnterprise版(Reporting Services(SSRS)を含む)。


Solrサーバー:Windows Server 2012以降(仮想環境も可)。


各サーバーには、2.3 GHz以上の8〜16コア、16〜24 GBのRAM、および250GBの専用ストレージを搭載することを推奨します。また、両方のサーバーにAmazon Corretto JDK 8と.NET Framework 3.5 SP1および4.7.2が必要です。

Varonisのサービスアカウントを作成し、Domain Usersセキュリティグループに追加します。このサービスアカウントを、上記の各VaronisサーバーのLocal Administratorsグループに追加します。


Varonisデータセキュリティプラットフォームはホスト型ソリューションですか?

いいえ。Varonisデータセキュリティプラットフォームは、自己ホスト型のソフトウェア製品です。ただし、Windowsサーバーに対応しているクラウド(Azure、AWS、Googleなど)であれば、Varonisを配備することができます。


Varonis DatAdvantage CloudはSaaSです。


Varonisにはドメイン管理者権限が必要ですか?

いいえ。インストールのためにAdmin資格情報を必要としますが、いったんインストールした後は、VaronisサービスをDomain Adminとして実行する必要はありません。実際のところ、VaronisとしてはDomain Adminとして実行することを好ましくないと考えています。Windowsサーバーを監視するためには、例えば、Backup OperatorとPower Userの権限を持ったドメインユーザーが必要です。UNIX環境では、Varonisは一般ユーザーとして実行されます。

統合

Varonisは、クラウド環境およびオンプレミス環境全体で最大かつ最も重要なデータストアとアプリケーションに保存されている企業データを保護することに重点を置いています。

サードパーティ製アプリケーション

既製のアプリケーションやAPIベースの統合を介して、Varonisをお客様のテクノロジースタックに含まれるセキュリティツールやプライバシーツールと接続しましょう。