4.7.3 アクションポリシーの検討

各判定項目に対する危険レベルの検討後は,それぞれの危険レベルで実施するアクションについて検討します。

<この項の構成>
(1) アクションを検討する
(2) アクションの実施方法を検討する
(3) アクションの実施条件を検討する
(4) アクションの設定例

(1) アクションを検討する

アクションポリシーには,「危険」「警告」「注意」および「安全」の各危険レベルに対し,実施するアクションを設定します。

各危険レベルに設定できるアクションは,次の四つです。

判定ポリシーに基づいた危険レベルの判定結果に対し,アクションポリシーに設定したアクションが自動的に実施されます。

なお,アクションポリシーによる自動アクションの実施のあと,何も対策を講じないクライアントがある場合,管理者はそのクライアントに対して手動で別のアクションを実施できます。クライアントを指定して手動でアクションを実施するには,AIMのクライアントセキュリティ管理画面から操作します。

(2) アクションの実施方法を検討する

アクションを実施する方法を検討します。アクションの実施方法は,次の二つです。

課単位で危険レベルの判定とアクションの実施を行う場合のアクションの実施例を次の図に示します。

図4-6 アクションの実施例

[図データ]

(3) アクションの実施条件を検討する

アクションの実施条件の設定内容は,危険レベルによって異なります。

(a) 「危険」「警告」「注意」の実施条件を検討する

「危険」「警告」「注意」の危険レベルのアクションポリシーでは,アクションの実施条件として連続日数・連続回数を設定することもできます。

●連続日数・連続回数とは

連続日数・連続回数とは,それぞれの危険レベルに対して何日または何回以上連続して判定されたときにアクションを実行させるかを設定するものです。

「注意」という危険レベルに対し,アクション実施条件を設定しない場合と,アクションの実施条件を連続回数3回以上と設定した場合の例を次の図に示します。

図4-7 アクション実施条件の設定例

[図データ]

アクション実施条件を設定していない場合は,「注意」と判定された時点でアクションが実施されます。これに対し,連続回数3回以上と設定した場合は,3回連続して「注意」と判定されたときにアクションが実施されます。

また,連続日数を3日以上と設定した場合は,回数としては2回しか連続していなくても,1回目と2回目の判定日時の間が3日以上あれば連続3日以上とみなされ,アクションが実施されます。

連続回数・連続日数は,アクションポリシー編集画面で危険レベルごとおよびアクションごとに設定できます。例えば,「警告」のアクションとして,連続回数・日数指定なしでクライアントにメッセージ通知,連続2回以上で管理者にメール通知,連続3回以上でネットワーク接続を拒否,と設定したとします。この場合,1回目の「警告」でクライアントにメッセージが,2回目の「警告」でクライアントにメッセージおよび管理者にメールが通知され,3回目の「警告」ではクライアントにメッセージ,管理者にメール通知,およびクライアントのネットワーク接続が拒否されます。

また,一つのアクションに対して連続回数と連続日数の両方を設定することもできます。例えば,「警告」のアクションとして,連続3日以上,連続5回以上でネットワーク接続を拒否とした場合,どちらかの条件が満たされたときにアクションが実施されます。

●連続日数・連続回数のカウント方法

連続日数・連続回数を設定した場合は,その日数および回数のカウント方法を指定できます。連続日数および連続回数のカウント方法には,次の二つがあります。

それぞれの方法でのカウント例を次の図に示します。

図4-8 危険レベルのカウント例

[図データ]

連続回数および連続日数のカウント方法は,[JP1/NETM/Client Security Control - Manager セットアップ]ダイアログの「基本設定」タブで設定します。[JP1/NETM/Client Security Control - Manager セットアップ]ダイアログの操作方法については,「5.4.3 JP1/NETM/CSC - Managerのセットアップ」を参照してください。

 

注意
連続日数および連続回数のカウント方法として,前回と同じかまたはそれ以上の危険レベルをカウントアップする方法を選択している場合,設定によっては意図するアクションが実施されないことがあります。
アクション実施条件として,「危険」は連続6回以上,「警告」は連続4回以上,「注意」は連続2回以上と設定した場合の,アクションの実施例を示します。
判定結果連続回数アクション実施状況
注意1実施されない。
警告2実施されない。
前回より高い危険レベルが判定され,カウントは「警告」2回となる。
「警告」のアクション実施条件(連続回数4回以上)に満たないため,アクションは実施されない。
警告3実施されない。
注意1実施されない。
判定結果が前回より低い危険レベルであるため,カウントがクリアされて1からカウントし直しとなる。
警告2実施されない。
警告3実施されない。
警告4「警告」のアクションが実施される。
注意1実施されない。
警告2実施されない。
警告3実施されない。
危険4実施されない。
前回より高い危険レベルが判定され,カウントは「危険」4回となる。
「危険」のアクション実施条件(連続回数6回以上)に満たないため,アクションは実施されない。
危険5実施されない。
危険6「危険」のアクションが実施される。
 
連続日数および連続回数のカウント方法として前回と同じかまたはそれ以上の危険レベルをカウントアップする方法を選択した場合は,それぞれの危険レベルのアクション実施条件に設定する連続回数または連続日数に同じ値を設定してください。

(b) 「安全」の実施条件を検討する

「安全」の危険レベルのアクションポリシーでは,アクションの実施条件として危険レベルが変わったときにアクションを実施するように設定できます。

アクションの実施条件を設定しない場合と,危険レベルが変わったときにアクションを実施するよう設定した場合の例を次の図に示します。

図4-9 アクション実施条件の設定例

[図データ]

アクションの実施条件を設定しない場合は,「安全」と判定された時点でアクションが実施されます。したがって,「安全」「安全」と危険レベルが推移した場合でも,アクションが実施されます。

危険レベルが変わったときにアクションを実施するよう設定した場合は,前回の判定結果と比較して,判定が異なると判断されたときにアクションが実施されます。したがって,「安全」「安全」と危険レベルが推移した場合には,アクションは実施されません。「安全」以外から「安全」へと危険レベルが推移した場合に,初めてアクションが実施されます。

(4) アクションの設定例

アクションポリシーの設定例と,アクションポリシーによる自動アクション後に,管理者が実施できるアクションの例を次の表に示します。

表4-9 アクションの設定例

項番危険
レベル
アクションポリシーの
設定例
自動アクションの内容と
アクション実施後の対応例
1危険ネットワークへの接続を拒否する。「危険」と判定されたクライアントのネットワーク接続が拒否されます。
管理者は,ネットワーク接続が拒否されたクライアントのセキュリティ対策を実施します。再判定で「安全」と判定されたらクライアントのネットワーク接続が許可されます。
2警告
  • クライアントの使用者へメッセージを通知する。
  • 管理者にメールを通知する(アクションの実施条件:連続回数2回以上)。
  • ネットワーク接続を拒否する(アクションの実施条件:連続回数3回以上)。
「警告」と判定されたクライアントにメッセージが通知されます。2回連続で「警告」と判定されると,管理者にメールが通知されます。3回連続で判定されるとクライアントのネットワーク接続が拒否されます。
管理者は,ネットワーク接続が拒否されたクライアントのセキュリティ対策を実施します。再判定で「安全」と判定されたらクライアントのネットワーク接続が許可されます。
3注意
  • 管理者にメールを通知する。
  • クライアントの使用者にメッセージを通知する。
「注意」と判定されたクライアントにメッセージが通知されます。また,管理者にもメールが通知されます。
管理者は,「注意」と判定されたクライアントのセキュリティ対策を実施します。
4安全ネットワークへの接続を許可する。対処は不要。