13.2.7 運用開始までの環境構築

管理サーバ,認証サーバ,治療サーバ,ネットワーク制御機器およびクライアントの構築が完了したら,次の図に示す手順で運用開始までの環境構築をします。

図13-12 運用開始までの環境構築の流れ

[図データ]

<この項の構成>
(1) セキュリティポリシーを設定する
(2) すべてのクライアントをネットワークに接続する

(1) セキュリティポリシーを設定する

セキュリティポリシー管理画面で,判定ポリシーおよびアクションポリシーを設定します。セキュリティポリシーの設定については,「6. セキュリティポリシーの管理」を参照してください。

アクションポリシーのネットワーク接続の拒否または許可は,すべての危険レベルに設定してください。この設定によって,JP1/NETM/CSC - Agentの接続制御リストが更新されるため,クライアントの接続先の切り替えができます。

アクションによる接続制御リストの更新についての詳細は,「14.2.4(1) 接続制御リストに登録される内容」を参照してください。

(2) すべてのクライアントをネットワークに接続する

クライアントを社内のネットワークに接続するには,JP1/NETM/CSC - Agentの接続制御リストにクライアントの情報を登録する必要があります。

クライアントの初期導入時には接続制御リストにクライアントの情報がないため,未登録資産として扱われます。したがって,クライアントはJP1/NETM/CSC - Agentのセットアップで未登録資産の接続情報に設定されているネットワークに接続されます。

次に,未登録資産の接続情報に「検疫」,「拒否」,「通常」または「認証前」を設定している場合のそれぞれについて説明します。

(a) 「検疫」を設定している場合

クライアントは検疫ネットワークに接続されます。検疫ネットワークでセキュリティ対策を実施したあと,社内ネットワークに接続します。

次の手順に従ってください。

  1. クライアントの認証を開始する。
    クライアントの再起動,Windows標準サプリカントのサービスの再起動,またはクライアントのネットワーク接続を無効から有効にすることで,スイッチを経由して認証サーバに認証の要求が送られます。なお,EAPOL-STARTパケットの送出を設定していない場合は,スイッチの認証間隔の設定に基づいて,スイッチがクライアントに認証を要求します。
    未登録資産の接続情報に「検疫」が設定されているため,クライアントは検疫ネットワークに接続されます。
  2. 治療サーバと通信して,クライアントのセキュリティ対策を実施する。
    ネットワーク接続を制御されたクライアントのセキュリティ対策は,検疫ネットワークで治療サーバと通信して実施します。
    JP1/NETM/DMのソフトウェアの配布機能を使うことで,治療サーバのJP1/NETM/DM Client(中継システム)またはJP1/NETM/DM SubManagerを中継システムとして,管理者が管理サーバのJP1/NETM/DM Managerからソフトウェアを配布したり,クライアントの使用者がパッケージをインストールしたりできます。
    JP1/NETM/DMのソフトウェアの配布機能については,マニュアル「JP1/NETM/DM 運用ガイド1(Windows(R)用)」を参照してください。
    クライアントのインベントリ情報が更新されることで,最新のインベントリ情報が,治療サーバのJP1/NETM/DM Client(中継システム)またはJP1/NETM/DM SubManager経由で,管理サーバのJP1/NETM/DM Managerに通知されます。
    判定ポリシーに基づいて,管理サーバのJP1/NETM/CSC - Managerがクライアントを判定し安全と判断されれば,アクションポリシーの設定に基づいてアクション(ネットワーク接続の許可)が実行されます。これによって,クライアントの情報がJP1/NETM/CSC - Agentの接続制御リストに「許可」として登録されます。
  3. クライアントを再認証する。
    クライアントの再起動,Windows標準サプリカントのサービスの再起動,またはクライアントのネットワーク接続を無効から有効にすることで,スイッチを経由して認証サーバに認証の要求が送られます。なお,EAPOL-STARTパケットの送出を設定していない場合は,スイッチの認証間隔の設定に基づいて,スイッチがクライアントに認証を要求します。
    セキュリティ対策を完了したクライアントは,認証サーバのJP1/NETM/CSC - Agentの接続制御リストに「許可」として登録されているため,社内ネットワークに接続できるようになります。

(b) 「拒否」を設定している場合

クライアントはネットワークに接続できません。JP1/NETM/DMのオフラインマシンの管理機能を使用して,セキュリティ対策を実施したあと,社内ネットワークに接続します。

次の手順に従ってください。

  1. クライアントの認証を開始する。
    クライアントの再起動,Windows標準サプリカントのサービスの再起動,またはクライアントのネットワーク接続を無効から有効にすることで,スイッチを経由して認証サーバに認証の要求が送られます。なお,EAPOL-STARTパケットの送出を設定していない場合は,スイッチの認証間隔の設定に基づいて,スイッチがクライアントに認証を要求します。
    未登録資産の接続情報に「拒否」が設定されているため,クライアントはネットワークに接続できません。
  2. JP1/NETM/DMのオフラインマシンの管理機能を使用して,クライアントのセキュリティ対策を実施する。
    クライアントのセキュリティ対策をオフライン環境で実施するには,JP1/NETM/DMのオフラインマシンの管理機能を使用します。なお,JP1/NETM/DMのオフラインマシンの管理機能とは,オフラインインストールおよびオフラインマシンからインベントリ情報を取得する機能のことです。
    JP1/NETM/DMのオフラインマシンの管理機能については,マニュアル「JP1/NETM/DM 運用ガイド1(Windows(R)用)」を参照してください。
    オフラインマシンから取得したインベントリ情報を,管理サーバのJP1/NETM/DM Managerに取り込むことによって,JP1/NETM/CSC - Managerによる判定が行われます。
    セキュリティポリシーに基づいた判定の結果,クライアントが安全と判断されれば,アクションポリシーの設定に基づいてアクション(ネットワーク接続の許可)が実行されます。これによって,クライアントの情報がJP1/NETM/CSC - Agentの接続制御リストに「許可」として登録されます。
  3. クライアントを再認証する。
    クライアントの再起動,Windows標準サプリカントのサービスの再起動,またはクライアントのネットワーク接続を無効から有効にすることで,スイッチを経由して認証サーバに認証の要求が送られます。なお,EAPOL-STARTパケットの送出を設定していない場合は,スイッチの認証間隔の設定に基づいて,スイッチがクライアントに認証を要求します。
    セキュリティ対策を完了したクライアントは,認証サーバのJP1/NETM/CSC - Agentの接続制御リストに「許可」として登録されているため,社内ネットワークに接続できるようになります。

(c) 「通常」を設定している場合

クライアントは社内ネットワークに接続されるため,特に手順は必要ありません。

ただし,この場合はクライアントをネットワークに接続する前に,クライアントのセキュリティ対策を必ず実施してください。

(d) 「認証前」を設定している場合

クライアントは認証前ネットワークに接続されます。認証前ネットワークでセキュリティ対策を実施したあと,社内ネットワークに接続します。

次の手順に従ってください。

  1. クライアントの認証を開始する。
    クライアントの再起動またはクライアントのネットワーク接続を無効から有効にすることで,スイッチを経由して認証サーバに認証の要求が送られます。なお,IEEE802.1X認証方式でEAPOL-STARTパケットの送出を設定していない場合は,スイッチの認証間隔の設定に基づいて,スイッチがクライアントに認証を要求します。MAC認証方式の場合は,スイッチの最大接続時間の設定に基づいて,スイッチがクライアントに認証を要求します。
    未登録資産の接続情報に「認証前」が設定されているため,クライアントは認証前ネットワークに接続されます。
  2. 治療サーバと通信して,クライアントのセキュリティ対策を実施する。
    ネットワーク接続を制御されたクライアントのセキュリティ対策は,認証前ネットワークで治療サーバと通信して実施します。
    JP1/NETM/DMのソフトウェアの配布機能を使うことで,治療サーバのJP1/NETM/DM Client(中継システム)またはJP1/NETM/DM SubManagerを中継システムとして,管理者が管理サーバのJP1/NETM/DM Managerからソフトウェアを配布したり,クライアントの使用者がパッケージをインストールしたりできます。
    JP1/NETM/DMのソフトウェアの配布機能については,マニュアル「JP1/NETM/DM 運用ガイド1(Windows(R)用)」を参照してください。
    クライアントのインベントリ情報が更新されることで,最新のインベントリ情報が,治療サーバのJP1/NETM/DM Client(中継システム)またはJP1/NETM/DM SubManager経由で,管理サーバのJP1/NETM/DM Managerに通知されます。
    判定ポリシーに基づいて,管理サーバのJP1/NETM/CSC - Managerがクライアントを判定し安全と判断されれば,アクションポリシーの設定に基づいてアクション(ネットワーク接続の許可)が実行されます。これによって,クライアントの情報がJP1/NETM/CSC - Agentの接続制御リストに「許可」として登録されます。
  3. クライアントを再認証する。
    クライアントの再起動またはクライアントのネットワーク接続を無効から有効にすることで,スイッチを経由して認証サーバに認証の要求が送られます。なお,IEEE802.1X認証方式でEAPOL-STARTパケットの送出を設定していない場合は,スイッチの認証間隔の設定に基づいて,スイッチがクライアントに認証を要求します。MAC認証方式の場合は,スイッチの最大接続時間の設定に基づいて,スイッチがクライアントに認証を要求します。
    セキュリティ対策を完了したクライアントは,認証サーバのJP1/NETM/CSC - Agentの接続制御リストに「許可」として登録されているため,社内ネットワークに接続できるようになります。