![[目次]](FIGURE/CONTENT.GIF)
![[用語]](FIGURE/GLOSS.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
JP1/NETM/Client Security Control
管理者は,クライアントセキュリティ管理システムを運用するに当たってセキュリティポリシーを設定します。
セキュリティポリシーには,クライアントの危険レベルを判定する条件および危険レベルを設定する判定ポリシーと,危険レベルに応じて実施するアクションを設定するアクションポリシーがあります。
また,設定した判定ポリシーおよびアクションポリシーを,それぞれクライアントに割り当てます。判定ポリシー,アクションポリシー,およびクライアントへの割り当てについては,JP1/NETM/CSC - Managerのポリシー管理画面という画面群で管理します。ポリシー管理画面の詳細については,「6. セキュリティポリシーの管理」を参照してください。
- <この節の構成>
- (1) 判定ポリシー
- (2) アクションポリシー
- (3) クライアントへのセキュリティポリシーの割り当て
(1) 判定ポリシー
判定ポリシーには,Windowsの更新プログラムの適用状況やウィルス対策製品の有無など,クライアントの危険レベルを判定するための項目ごとに危険レベルを設定できます。このクライアントの危険レベルを判定するための項目を,判定項目といいます。
判定ポリシーの判定項目には,次の六つがあります。
まず,各判定項目について判定の対象にするかどうかを決め,判定の対象とする項目には判定条件を設定します。判定条件には,クライアントに適用されていなくてはならない更新プログラムやウィルス対策製品,ソフトウェア,または管理者が任意に定義するユーザ定義の判定項目などを定義します。判定条件を設定したら,その条件に該当したときのクライアントの危険レベルを定義します。
判定ポリシーの概要を次の図に示します。
図2-3 判定ポリシーの概要
判定ポリシーは,複数のパターンを定義しておくことができます。システムがあらかじめ用意しているデフォルトポリシーをカスタマイズして使用することもできます。
また,更新プログラムおよびウィルス対策製品の判定ポリシーを最新の定義に自動更新することもできます。判定ポリシーの自動更新について,次に説明します。
(a) 更新プログラムの判定ポリシーの自動更新
JP1/NETM/DMが日立Webサーバに接続して取得するパッチ情報ファイルを利用して,更新プログラムの判定ポリシーのパッチ情報を自動更新できます。パッチ情報ファイルには,Microsoft社から提供されているパッチ情報が記述されています。自動更新できるパッチ情報は,WindowsおよびMicrosoft Internet Explorerに対するパッチ情報です。
判定ポリシーを自動更新するには,更新プログラムの判定ポリシー更新コマンド(cscpatchupdate)を実行します。このコマンドを実行することで,パッチ情報ファイルの内容に応じて,更新プログラムの判定ポリシーの定義が自動更新されます。更新プログラムの判定ポリシー更新コマンド(cscpatchupdate)の詳細については,「15. コマンド」の「cscpatchupdate(更新プログラムの判定ポリシーのパッチ情報を更新する)」を参照してください。
なお,この機能を使用する場合は,JP1/NETM/DMで日立Webサーバからパッチ情報ファイルを取得する必要があります。パッチ情報ファイルの取得方法についてはマニュアル「JP1/NETM/DM 導入・設計ガイド(Windows(R)用)」を参照してください。
- 注意
- 日立Webサーバからパッチ情報ファイルを取得するには,弊社サポートサービスの契約が必要です。弊社サポートサービスの契約については,弊社担当営業にお問い合わせください。
更新プログラムの判定ポリシーの自動更新について,概要を次の図に示します。
図2-4 更新プログラムの判定ポリシーの自動更新
なお,更新プログラムの判定ポリシーの定義を自動更新する方法については,「6.3.3 更新プログラムの判定ポリシーを自動で更新する」を参照してください。
(b) ウィルス対策製品の判定ポリシーの自動更新
ウィルス対策製品と連携して,最新のウィルス定義ファイルおよびエンジンバージョンの定義情報を取得し,ウィルス対策製品の判定ポリシーの定義を自動更新できます。また,最新のウィルス対策製品の情報を取得後,ウィルス対策製品の判定ポリシーの定義を自動更新するまでの猶予期間を設定することもできます。
自動更新できるウィルス対策製品は,JP1/NETM/DMがサポートしているウィルス対策製品です。なお,この機能を使用する場合は,ウィルス対策製品と連携するためのリモート管理サーバの構築が必要です。リモート管理サーバの構築については,「3.1(2) リモート管理サーバで運用する場合のシステム構成」を参照してください。
ウィルス対策製品の判定ポリシーの自動更新について,概要を次の図に示します。
図2-5 ウィルス対策製品の判定ポリシーの自動更新
なお,ウィルス対策製品の判定ポリシーの定義を自動更新する方法については,「6.4.6 ウィルス対策製品の判定ポリシーを自動・手動で更新する」を参照してください。
(2) アクションポリシー
アクションポリシーには,危険レベルごとに,クライアントに実施するアクションを定義できます。
アクションポリシーには,「危険」「警告」「注意」および「安全」の四つの危険レベルに対し,次のアクションを設定できます。
- 管理者に通知
メールを管理者に通知します。
JP1/IMと連携する場合は,JP1/IMに危険レベルの判定結果やアクション結果などを通知します。
- クライアントの使用者に通知
ポップアップの警告メッセージを,クライアントの使用者に通知します。
- ネットワーク接続の拒否または許可
ネットワーク制御製品と連携して,クライアントのネットワーク接続を拒否または許可します。このアクションは,検疫システムを構築・運用する場合に使用します。検疫システム運用の詳細については「第5編 検疫システム編」を参照してください。
- ユーザ定義アクションの実行
管理者が任意に定義したコマンド(*.exeまたは*.bat)を実行します。
例えば,危険レベルが「警告」と判定されたクライアントの使用者に対してメッセージを通知したり,「危険」と判定されたクライアントをネットワークから切断したりなど,危険レベルごとにアクションを設定できます。
アクションポリシーの概要を次の図に示します。
図2-6 アクションポリシーの概要
アクションポリシーは,複数のパターンを定義しておくことができます。また,システムがあらかじめ用意しているデフォルトポリシーをカスタマイズして使用することもできます。
(3) クライアントへのセキュリティポリシーの割り当て
判定ポリシーとアクションポリシーを定義したら,各クライアントに対し,適用するポリシーを割り当てます。クライアントごとに異なるポリシーを割り当てることもできます。
クライアントへのポリシー割り当ての概要を次の図に示します。
図2-7 クライアントへのポリシーの割り当て
ポリシーの割り当ては,JP1/NETM/CSC - Managerのポリシー管理画面,またはポリシー割り当てコマンド(cscassign)で実行できます。
ポリシー管理画面でのポリシー割り当てについては「6.13 クライアントにセキュリティポリシーを割り当てる」を,コマンドでのポリシー割り当てについては「15. コマンド」の「cscassign(セキュリティポリシーをクライアントに割り当てる)」を参照してください。
なお,各クライアントには,判定ポリシー,アクションポリシー共に,システムが用意しているデフォルトポリシーがあらかじめ割り当てられています。
- 参考
- 新規に追加したクライアントには,デフォルトポリシーが割り当てられます。クライアントセキュリティ管理システムの運用開始後にクライアントを追加した場合は,必要に応じてポリシーの割り当てを行ってください。
All Rights Reserved. Copyright (C) 2006, 2008, Hitachi, Ltd.
(C) 1998-2004 Trend Micro Incorporated. All rights reserved.
![[図データ]](FIGURE/ZU010410.GIF)
![[図データ]](FIGURE/ZU010450.GIF)
![[図データ]](FIGURE/ZU010440.GIF)
![[図データ]](FIGURE/ZU010420.GIF)
![[図データ]](FIGURE/ZU010430.GIF)