ネットワークモニタが有効になっている場合、セキュリティポリシーの判定結果やハードウェア資産情報の登録などのタイミングで、ネットワーク接続を自動で制御できます。例えば、セキュリティポリシーに違反したコンピュータのネットワーク接続を自動で遮断して、対策が完了したあとで自動でネットワーク接続を許可するといった制御ができます。
ネットワーク接続の制御には優先度があります。ネットワーク接続を許可しないように、手動で設定しておくと、自動的にネットワーク接続が許可される契機でも、許可されません。そのため、ネットワークに接続してはいけないコンピュータがある場合は、自動的にネットワーク接続が許可されないように、手動で「許可しない」に設定してください。ネットワーク接続を手動で制御する方法については、「2.8.14 手動によるネットワーク接続の制御」を参照してください。
各種機能によってネットワーク接続が自動で変更される契機を次の表に示します。
ネットワーク接続が制御される契機 | 制御内容 |
---|---|
セキュリティポリシーに違反したとき | セキュリティポリシーの[アクション項目]-[ネットワーク接続制御]で、特定の危険レベルの機器はネットワーク接続を許可しないように設定しておくと、セキュリティ状況の判定時に自動でネットワーク接続を遮断できます。なお、ネットワーク接続が遮断されていたコンピュータのセキュリティ状況が改善された場合は、セキュリティポリシーに遵守していると判断されて、ネットワーク接続が自動で許可されます。 |
ハードウェア資産を追加、または編集したとき | 資産画面の[ハードウェア資産]画面で、IPアドレスまたはMACアドレスを含むハードウェア資産を追加すると、ネットワーク制御リストにその機器が登録されます。また、資産情報のIPアドレスとMACアドレスを編集すると、変更内容がネットワーク制御リストに反映されます。ハードウェア資産情報をインポートした場合も同様にネットワーク接続が許可されます。 ハードウェア資産と機器が関連づいている場合、IPアドレスおよびMACアドレスは機器から収集されるため、ハードウェア資産情報を編集してもネットワーク制御リストには反映されません。 なお、ハードウェア資産の資産状態を「滅却」にするか、ハードウェア資産情報を削除すると、対応するネットワーク制御リストの設定は削除されます。 |
ネットワーク接続の利用期間内になったとき | ネットワーク制御リストで、期間を指定してネットワーク接続を許可した場合、利用開始日時になると、対象のコンピュータのネットワーク接続が自動的に許可されます。なお、利用終了日時になると、その機器はネットワーク接続が自動的に許可されなくなります。 |
発見されたコンピュータを「管理対象」または「除外対象」に設定したとき | 新規に発見されたコンピュータを管理対象または除外対象にすると、ネットワーク接続が自動的に許可されます。ネットワークセグメントへの接続が許可されていない場合でも、発見された機器を管理対象または除外対象にすることで、接続を許可できます。 ただし、探索で発見した機器を自動的に管理対象にする場合は、ネットワークモニタ設定に応じてネットワーク接続が制御されます。 |
新規機器がネットワークに接続されたとき | ネットワークセグメントにネットワークモニタ設定を割り当てておくと、新規機器がネットワークに接続されたときに、ネットワークモニタ設定の設定内容に従って自動でネットワーク接続が制御されます。 |
関連リンク