2.3 セキュリティポリシーの管理

管理者は,クライアントセキュリティ管理システムを運用するに当たってセキュリティポリシーを設定します。

セキュリティポリシーには,クライアントの危険レベルを判定する条件および危険レベルを設定する判定ポリシーと,危険レベルに応じて実施するアクションを設定するアクションポリシーがあります。

また,設定した判定ポリシーおよびアクションポリシーを,それぞれクライアントに割り当てます。判定ポリシー,アクションポリシー,およびクライアントへの割り当てについては,JP1/NETM/CSC - Managerのポリシー管理画面という画面群で管理します。ポリシー管理画面の詳細については,「6. セキュリティポリシーの管理」を参照してください。

<この節の構成>
(1) 判定ポリシー
(2) アクションポリシー
(3) クライアントへのセキュリティポリシーの割り当て

(1) 判定ポリシー

判定ポリシーには,Windowsの更新プログラムの適用状況やウィルス対策製品の有無など,クライアントの危険レベルを判定するための項目ごとに危険レベルを設定できます。このクライアントの危険レベルを判定するための項目を,判定項目といいます。

判定ポリシーの判定項目には,次の六つがあります。

まず,各判定項目について判定の対象にするかどうかを決め,判定の対象とする項目には判定条件を設定します。判定条件には,クライアントに適用されていなくてはならない更新プログラムやウィルス対策製品,ソフトウェア,または管理者が任意に定義するユーザ定義の判定項目などを定義します。判定条件を設定したら,その条件に該当したときのクライアントの危険レベルを定義します。

判定ポリシーの概要を次の図に示します。

図2-3 判定ポリシーの概要

[図データ]

判定ポリシーを設定する方法には,次の二つがあります。

ポリシー管理画面での判定ポリシーの設定については「6.2 判定ポリシーの管理」を,コマンドでの判定ポリシーの設定については「15. コマンド」の「cscpolimport(判定ポリシーの設定を更新する)」を参照してください。

判定ポリシーは,複数のパターンを定義しておくことができます。システムがあらかじめ用意しているデフォルトポリシーをカスタマイズして使用することもできます。

また,更新プログラムおよびウィルス対策製品の判定ポリシーを最新の定義に自動更新することもできます。判定ポリシーの自動更新について,次に説明します。

(a) 更新プログラムの判定ポリシーの自動更新

JP1/NETM/DMが日立Webサーバに接続して取得するパッチ情報ファイルを利用して,更新プログラムの判定ポリシーのパッチ情報を自動更新できます。パッチ情報ファイルには,Microsoft社から提供されているパッチ情報が記述されています。自動更新できるパッチ情報は,WindowsおよびMicrosoft Internet Explorerに対するパッチ情報です。

判定ポリシーを自動更新するには,更新プログラムの判定ポリシー更新コマンド(cscpatchupdate)を実行します。このコマンドを実行することで,パッチ情報ファイルの内容に応じて,更新プログラムの判定ポリシーの定義が自動更新されます。更新プログラムの判定ポリシー更新コマンド(cscpatchupdate)の詳細については,「15. コマンド」の「cscpatchupdate(更新プログラムの判定ポリシーのパッチ情報を更新する)」を参照してください。

なお,この機能を使用する場合は,JP1/NETM/DMで日立Webサーバからパッチ情報ファイルを取得する必要があります。パッチ情報ファイルの取得方法についてはマニュアル「JP1/NETM/DM 導入・設計ガイド(Windows(R)用)」を参照してください。

注意
日立Webサーバからパッチ情報ファイルを取得するには,弊社サポートサービスの契約が必要です。弊社サポートサービスの契約については,弊社担当営業にお問い合わせください。

更新プログラムの判定ポリシーの自動更新について,概要を次の図に示します。

図2-4 更新プログラムの判定ポリシーの自動更新

[図データ]

なお,更新プログラムの判定ポリシーの定義を自動更新する方法については,「6.3.3 更新プログラムの判定ポリシーを自動で更新する」を参照してください。

(b) ウィルス対策製品の判定ポリシーの自動更新

ウィルス対策製品と連携して,最新のウィルス定義ファイルおよびエンジンバージョンの更新情報を取得し,ウィルス対策製品の判定ポリシーの定義を自動更新できます。また,最新のウィルス対策製品の情報を取得後,ウィルス対策製品の判定ポリシーの定義を自動更新するまでの猶予期間を設定することもできます。

ウィルス対策製品の更新情報の取得方法には,指定したクライアントのインベントリ情報から更新情報を取得する方法と,リモート管理サーバのJP1/NETM/CSC - Manager Remote Optionと連携して更新情報を取得する方法があります。

指定したクライアントのインベントリ情報から,ウィルス対策製品の更新情報を取得する場合のシステム構成については,「3.1(2) ウィルス対策製品の判定ポリシーを自動更新する場合のシステム構成」を参照してください。リモート管理サーバのJP1/NETM/CSC - Manager Remote Optionと連携して,ウィルス対策製品の更新情報を取得する場合のシステム構成については,「3.1(3) リモート管理サーバで運用する場合のシステム構成」を参照してください。

ウィルス対策製品の判定ポリシーの自動更新について,概要を次の図に示します。

図2-5 ウィルス対策製品の判定ポリシーの自動更新

[図データ]

自動更新できるウィルス対策製品は,JP1/NETM/DMがサポートしているウィルス対策製品です。ウィルス対策製品の詳細については,「4.6 判定ポリシーの自動更新で連携するウィルス対策製品の導入」を参照してください。

なお,ウィルス対策製品の判定ポリシーの定義を自動更新する方法については,「6.4.6 ウィルス対策製品の判定ポリシーを自動・手動で更新する」を参照してください。

(2) アクションポリシー

アクションポリシーには,危険レベルごとに,クライアントに実施するアクションを定義できます。

アクションポリシーには,「危険」「警告」「注意」および「安全」の四つの危険レベルに対し,次のアクションを設定できます。

例えば,危険レベルが「警告」と判定されたクライアントの使用者に対してメッセージを通知したり,「危険」と判定されたクライアントをネットワークから切断したりなど,危険レベルごとにアクションを設定できます。

アクションポリシーの概要を次の図に示します。

図2-6 アクションポリシーの概要

[図データ]

アクションポリシーは,複数のパターンを定義しておくことができます。また,システムがあらかじめ用意しているデフォルトポリシーをカスタマイズして使用することもできます。

(3) クライアントへのセキュリティポリシーの割り当て

判定ポリシーとアクションポリシーを定義したら,各クライアントに対し,適用するポリシーを割り当てます。クライアントごとに異なるポリシーを割り当てることもできます。

クライアントへのポリシー割り当ての概要を次の図に示します。

図2-7 クライアントへのポリシーの割り当て

[図データ]

ポリシーの割り当ては,JP1/NETM/CSC - Managerのポリシー管理画面,またはポリシー割り当てコマンド(cscassign)で実行できます。

ポリシー管理画面でのポリシー割り当てについては「6.13 クライアントにセキュリティポリシーを割り当てる」を,コマンドでのポリシー割り当てについては「15. コマンド」の「cscassign(セキュリティポリシーをクライアントに割り当てる)」を参照してください。

なお,各クライアントには,判定ポリシー,アクションポリシー共に,システムが用意しているデフォルトポリシーがあらかじめ割り当てられています。

 

参考
新規に追加したクライアントには,デフォルトポリシーが割り当てられます。クライアントセキュリティ管理システムの運用開始後にクライアントを追加した場合は,必要に応じてポリシーの割り当てを行ってください。