各判定項目に対する危険レベルの検討後は,それぞれの危険レベルで実施するアクションについて検討します。
(1) アクションを検討する
アクションポリシーには,「危険」「警告」「注意」および「安全」の各危険レベルに対し,実施するアクションを設定します。
各危険レベルに設定できるアクションは,次の四つです。
判定ポリシーに基づいた危険レベルの判定結果に対し,アクションポリシーに設定したアクションが自動的に実施されます。
なお,アクションポリシーによる自動アクションの実施のあと,何も対策を講じないクライアントがある場合,管理者はそのクライアントに対して手動で別のアクションを実施できます。クライアントを指定して手動でアクションを実施するには,AIMのクライアントセキュリティ管理画面から操作します。
(2) アクションの実施方法を検討する
アクションを実施する方法を検討します。アクションの実施方法は,次の二つです。
課単位で危険レベルの判定とアクションの実施を行う場合のアクションの実施例を次の図に示します。
図4-6 アクションの実施例
(3) アクションの実施条件を検討する
アクションの実施条件の設定内容は,危険レベルによって異なります。
(a) 「危険」「警告」「注意」の実施条件を検討する
「危険」「警告」「注意」の危険レベルのアクションポリシーでは,アクションの実施条件として連続日数・連続回数を設定することもできます。
●連続日数・連続回数とは
連続日数・連続回数とは,それぞれの危険レベルに対して何日または何回以上連続して判定されたときにアクションを実行させるかを設定するものです。
「注意」という危険レベルに対し,アクション実施条件を設定しない場合と,アクションの実施条件を連続回数3回以上と設定した場合の例を次の図に示します。
図4-7 アクション実施条件の設定例
アクション実施条件を設定していない場合は,「注意」と判定された時点でアクションが実施されます。これに対し,連続回数3回以上と設定した場合は,3回連続して「注意」と判定されたときにアクションが実施されます。
また,連続日数を3日以上と設定した場合は,回数としては2回しか連続していなくても,1回目と2回目の判定日時の間が3日以上あれば連続3日以上とみなされ,アクションが実施されます。
連続回数・連続日数は,アクションポリシー編集画面で危険レベルごとおよびアクションごとに設定できます。例えば,「警告」のアクションとして,連続回数・日数指定なしでクライアントにメッセージ通知,連続2回以上で管理者にメール通知,連続3回以上でネットワーク接続を拒否,と設定したとします。この場合,1回目の「警告」でクライアントにメッセージが,2回目の「警告」でクライアントにメッセージおよび管理者にメールが通知され,3回目の「警告」ではクライアントにメッセージ,管理者にメール通知,およびクライアントのネットワーク接続が拒否されます。
また,一つのアクションに対して連続回数と連続日数の両方を設定することもできます。例えば,「警告」のアクションとして,連続3日以上,連続5回以上でネットワーク接続を拒否とした場合,どちらかの条件が満たされたときにアクションが実施されます。
●連続日数・連続回数のカウント方法
連続日数・連続回数を設定した場合は,その日数および回数のカウント方法を指定できます。連続日数および連続回数のカウント方法には,次の二つがあります。
それぞれの方法でのカウント例を次の図に示します。
図4-8 危険レベルのカウント例
連続回数および連続日数のカウント方法は,[JP1/NETM/Client Security Control - Manager セットアップ]ダイアログの「基本設定」タブで設定します。[JP1/NETM/Client Security Control - Manager セットアップ]ダイアログの操作方法については,「5.4.3 JP1/NETM/CSC - Managerのセットアップ」を参照してください。
判定結果 | 連続回数 | アクション実施状況 |
---|---|---|
注意 | 1 | 実施されない。 |
警告 | 2 | 実施されない。 前回より高い危険レベルが判定され,カウントは「警告」2回となる。 「警告」のアクション実施条件(連続回数4回以上)に満たないため,アクションは実施されない。 |
警告 | 3 | 実施されない。 |
注意 | 1 | 実施されない。 判定結果が前回より低い危険レベルであるため,カウントがクリアされて1からカウントし直しとなる。 |
警告 | 2 | 実施されない。 |
警告 | 3 | 実施されない。 |
警告 | 4 | 「警告」のアクションが実施される。 |
注意 | 1 | 実施されない。 |
警告 | 2 | 実施されない。 |
警告 | 3 | 実施されない。 |
危険 | 4 | 実施されない。 前回より高い危険レベルが判定され,カウントは「危険」4回となる。 「危険」のアクション実施条件(連続回数6回以上)に満たないため,アクションは実施されない。 |
危険 | 5 | 実施されない。 |
危険 | 6 | 「危険」のアクションが実施される。 |
(b) 「安全」の実施条件を検討する
「安全」の危険レベルのアクションポリシーでは,アクションの実施条件として危険レベルが変わったときにアクションを実施するように設定できます。
アクションの実施条件を設定しない場合と,危険レベルが変わったときにアクションを実施するよう設定した場合の例を次の図に示します。
図4-9 アクション実施条件の設定例
アクションの実施条件を設定しない場合は,「安全」と判定された時点でアクションが実施されます。したがって,「安全」「安全」と危険レベルが推移した場合でも,アクションが実施されます。
危険レベルが変わったときにアクションを実施するよう設定した場合は,前回の判定結果と比較して,判定が異なると判断されたときにアクションが実施されます。したがって,「安全」「安全」と危険レベルが推移した場合には,アクションは実施されません。「安全」以外から「安全」へと危険レベルが推移した場合に,初めてアクションが実施されます。
(4) アクションの設定例
アクションポリシーの設定例と,アクションポリシーによる自動アクション後に,管理者が実施できるアクションの例を次の表に示します。
表4-9 アクションの設定例
項番 | 危険 レベル | アクションポリシーの 設定例 | 自動アクションの内容と アクション実施後の対応例 |
---|---|---|---|
1 | 危険 | ネットワークへの接続を拒否する。 | 「危険」と判定されたクライアントのネットワーク接続が拒否されます。 管理者は,ネットワーク接続が拒否されたクライアントのセキュリティ対策を実施します。再判定で「安全」と判定されたらクライアントのネットワーク接続が許可されます。 |
2 | 警告 |
| 「警告」と判定されたクライアントにメッセージが通知されます。2回連続で「警告」と判定されると,管理者にメールが通知されます。3回連続で判定されるとクライアントのネットワーク接続が拒否されます。 管理者は,ネットワーク接続が拒否されたクライアントのセキュリティ対策を実施します。再判定で「安全」と判定されたらクライアントのネットワーク接続が許可されます。 |
3 | 注意 |
| 「注意」と判定されたクライアントにメッセージが通知されます。また,管理者にもメールが通知されます。 管理者は,「注意」と判定されたクライアントのセキュリティ対策を実施します。 |
4 | 安全 | ネットワークへの接続を許可する。 | 対処は不要。 |