4.7.2 判定ポリシーの検討

判定項目ごとに判定条件および危険レベルを設定します。判定項目は判定対象外に設定することもできます。

<この項の構成>
(1) 更新プログラムの設定目安
(2) ウィルス対策製品の設定目安
(3) 不正ソフトウェアの設定目安
(4) 必須ソフトウェアの設定目安
(5) PCセキュリティの設定目安
(6) ユーザ定義の設定目安

(1) 更新プログラムの設定目安

Windowsの更新プログラム(パッチおよびサービスパック)の適用状況を判定するポリシーです。

判定条件は次の2種類があります。

(a) 「最新の更新プログラム」を選択する目安

クライアントに適用されるWindowsの更新プログラムが,常に最新の状態に保たれるように管理したい場合は,この判定条件を選択します。

この判定条件を選択した場合,MBSAまたはWUAを使用してクライアントに適用されている更新プログラムが最新かどうか判定します。

判定の結果,最新の更新プログラムを適用していないクライアントに対しては,警告メッセージを通知して,最新の更新プログラムを適用するように促す運用ができます。なお,クライアントに適用されなくても問題のない更新プログラムがある場合,判定対象から除外できます。

(b) 「更新プログラムを指定する」を選択する目安

特定のWindowsの更新プログラムが適用されていないクライアントを管理したい場合は,この判定条件を選択します。

この判定条件を選択した場合,管理者が指定した重要な更新プログラムが各クライアントに適用されているか判定します。

判定の結果,指定した更新プログラムを適用していないクライアントに対しては,ネットワーク制御製品と連携してネットワークから排除する運用ができます。

参考
更新プログラムの判定ポリシーの自動更新
JP1/NETM/DMが日立Webサーバに接続して取得するパッチ情報ファイルを利用して,更新プログラムの判定ポリシーのパッチ情報を自動更新できます。

(2) ウィルス対策製品の設定目安

ウィルス対策製品のインストール有無や,エンジンバージョンおよびウィルス定義ファイルバージョンの適用状況などを判定するポリシーです。ウィルス対策製品がクライアントに常駐しているか否かを判定条件にすることもできます。指定したウィルス対策製品ごとに,危険レベルを設定します。

判定の結果,ウィルス対策を実施していないクライアントに対しては,警告メッセージを通知して,最新のウィルス定義ファイルを適用するように促したり,ウィルス対策製品を常駐させるように促したりする運用ができます。

参考
ウィルス対策製品の判定ポリシーの自動更新
判定ポリシーの自動更新に対応しているウィルス対策製品と連携して,ウィルス対策製品の判定ポリシー(ウィルス定義ファイルおよびエンジンバージョン)を自動更新できます。

(3) 不正ソフトウェアの設定目安

業務では使用しない,またはセキュリティリスクをもたらすような不正ソフトウェアがクライアントにインストールされていないかを判定するポリシーです。指定した不正ソフトウェアごとに危険レベルを設定します。

判定の結果,不正ソフトウェアをインストールしているクライアントに対しては,警告メッセージを通知して,不正ソフトウェアをアンインストールするよう促す運用ができます。

(4) 必須ソフトウェアの設定目安

管理者が指定した必須ソフトウェアがクライアントにインストールされているかを判定するポリシーです。複数のバージョンを持つソフトウェアの場合は,ソフトウェアとバージョンをグループ化して登録し,危険レベルを設定します。なお,JP1/NETM/DM ClientとJP1/秘文がデフォルトで必須ソフトウェアに設定されています。

判定の結果,必須ソフトウェアをインストールしていないクライアントに対しては,警告メッセージを通知して,必須ソフトウェアをインストールするよう促す運用ができます。

(5) PCセキュリティの設定目安

アカウントやパスワードの設定など,PCの設定項目の中でセキュリティレベルの低下につながる設定がされていないかを判定するポリシーです。判定項目ごとに,判定条件に一致した場合の危険レベルを設定します。

PCセキュリティ設定の判定項目の判定条件を次の表に示します。

表4-8 PCセキュリティ設定の判定項目の判定条件

項番判定項目判定条件
1アカウントGuestアカウントの設定次の2種類から選択します。
  • Guestアカウントがある。
  • Guestアカウントがあり,有効になっている。
2パスワード脆弱なパスワード脆弱なパスワードのアカウントがある。
3無期限パスワード無期限パスワードのアカウントがある。
4パスワード更新経過日数※1管理者が指定した期間,パスワードが更新されていないアカウントがある。
5ログオン自動ログオン自動ログオンが設定されている。
6パワーオンパスワード次の2種類から選択します。
  • パワーオンパスワードがない。
  • パワーオンパスワードの設定がない,または未実装である。
7共有設定共有フォルダの設定共有フォルダの設定がされている。
8匿名接続匿名接続による制限匿名接続が制限なしとなっている。
9サービス不要サービス稼働状態不要なサービスが稼働している。
10ファイアウォールWindowsファイアウォールの設定次の2種類から選択します。
  • Windowsファイアウォールが無効になっている。
  • Windowsファイアウォールが無効,または例外を許可する。
11自動更新Windows自動更新の設定自動更新が無効になっている。
12スクリーンセーバー※2スクリーンセーバーの設定スクリーンセーバーが設定されていない。
13パスワードによる保護パスワードによる保護が無効になっている。
14ドライブ暗号化BitLockerによるドライブ暗号化次の2種類から選択します。
  • システムドライブを暗号化していない。
  • 暗号化していないドライブがある。
注※1
管理者は,パスワードが更新されてからの経過日数を設定します。
注※2
スクリーンセーバーの設定の有無に関係なく,パスワードによる保護が設定されているかどうかを判定します。また,パスワードによる保護が有効の場合は,スクリーンセーバーの設定が無効でも,スクリーンセーバーの判定結果は「安全」になります。

判定の結果,各判定項目の判定条件に一致したクライアントに対しては,警告メッセージを通知して,各判定項目の内容に従って,設定を変更するよう促す運用ができます。

(6) ユーザ定義の設定目安

管理者が指定したユーザ定義がクライアントに設定されているかを判定するポリシーです。ユーザ定義は,省電力対応のCPUを搭載しているかや自動ログインの設定がされているかなど,AIMの資産管理データベースに格納されている情報について任意に項目および危険レベルを設定できます。

判定の結果,ユーザ定義の設定を実施していないクライアントに対しては,警告メッセージを通知して,ユーザ定義の設定を実施するよう促す運用ができます。