セキュリティ画面の[セキュリティポリシー]画面で、セキュリティポリシーを作成して管理します。ここでは、セキュリティポリシーの管理について説明します。
(1) セキュリティポリシーに設定できる項目
セキュリティポリシーに設定できる項目を次に示します。
以降では、セキュリティポリシーに設定できる項目の詳細について説明します。
セキュリティ設定項目
設定項目 | 説明 | 自動対策 | |
---|---|---|---|
更新プログラム | Windows自動更新を実行 | Windows自動更新が有効になっているかどうかを判定できます。 最新の更新プログラムの適用を徹底するためには、自動更新の適用をお勧めします。Windows自動更新が有効になっているかどうかを確認することで、更新プログラムの適用を徹底できます。 | ○ ※1 |
すべての更新プログラムの適用状況 | 更新プログラムが適用されているかを判定できます。 更新プログラムの適用状況を確認することで、OSが最新状態または適正な状態に保たれているかどうかを管理できます。 | ○ | |
指定した更新プログラムの適用状況 | |||
ウィルス対策製品 | インストール | JP1/IT Desktop Managementがサポートするウィルス対策製品が導入されているかどうかを判定できます。セキュリティポリシーに設定した製品のうち、どれか一つがインストールされていれば導入されていると見なされます。 | - |
エンジンバージョン | ウィルスを検知するためのスキャンエンジンのバージョンが最新かどうかを判定できます。 最新バージョンが検出されてから、スキャンエンジンを更新するまでの猶予期間を設定できます。猶予期間内は、古いバージョンでも適正と見なされます。 | ||
ウィルス定義ファイルのバージョン | ウィルス定義ファイルが最新かどうかを判定できます。 最新バージョンが検出されてから、ウィルス定義ファイルを更新するまでの猶予期間を設定できます。猶予期間内は、古いバージョンでも適正と見なされます。 | ||
自動保護(常駐設定) | 自動保護(常駐設定)の設定が有効かどうかを判定できます。 | ||
ウィルススキャン最終完了日時 | ウィルススキャン最終完了日時が指定した日数(猶予期間)以内かどうかを判定できます。 | ||
使用ソフトウェア | 使用必須ソフトウェア | 指定したソフトウェアがインストールされているかどうかを判定できます。 組織内で規定したソフトウェアのインストール状況を確認することで、環境の統制をチェックできます。使用必須ソフトウェアは複数設定できます。 | ○ |
使用禁止ソフトウェア | 使用を禁止したソフトウェアがインストールされていないかどうかを判定できます。 セキュリティ上問題のあるファイル共有ソフトウェアなどがインストールされていないかを確認することで、情報漏えいを防止できます。使用禁止ソフトウェアは複数設定できます。 | ○ | |
サービスのセキュリティ設定※2 | 使用を禁止したサービスが稼働していないかどうかを判定できます。組織内で規定した使用を禁止したサービスの稼働を確認することで、コンピュータの不正利用をチェックできます。 なお、サービスは複数設定できます。設定したサービスが稼働しているかどうかで判定されます。 | ○ ※3 | |
OSのセキュリティ設定 | Guestアカウント | 有効なGuestアカウントがないかどうかを判定できます。 Guestアカウントがあると、だれでもコンピュータを利用できてしまいます。Guestアカウントを使用できないことを確認することで、コンピュータの不正利用を防止できます。 | ○ |
パスワードの安全性※4 | 脆弱なパスワードが設定されたアカウントがないかどうかを判定できます。 脆弱なパスワードは、簡単に解読されてしまうおそれがあります。脆弱なパスワードが設定されていないことを確認することで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。 | - | |
無期限パスワード※4 | パスワードが無期限に設定されたアカウントがないかどうかを判定します。 同じパスワードが長期間使われると、その分解読されやすくなります。無期限のパスワードが設定されていないか確認することで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。 | ○ | |
パスワード更新からの経過日数※4 | パスワードの更新経過日数が、設定した日数を超えていないかどうかを判定できます。 同じパスワードが長期間使われると、その分解読されやすくなります。パスワードの使用日数をチェックすることで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。 | - | |
自動ログオン | 自動ログオンが設定されていないかどうかを判定できます。 OSの自動ログオンが設定されていると、ほかのユーザーがコンピュータを起動しただけで不正に利用できてしまいます。自動ログオンが設定されていないかどうかを確認することで、コンピュータの不正利用を防止できます。 | ○ | |
パワーオンパスワード | パワーオンパスワードが設定されているかどうかを判定します。また、パワーオンパスワード機能が実装されているかどうかを判定します。 パワーオンパスワードが設定されているかどうかを確認することで、コンピュータの不正利用を防止できます。 | - | |
スクリーンセーバーのパスワード保護※4 | スクリーンセーバーにパスワードによる保護が設定されているかどうかを判定できます。 スクリーンセーバーのパスワード保護を設定していないと、離席時にコンピュータを不正利用されるおそれがあります。スクリーンセーバーのパスワード保護の設定を確認することで、コンピュータの不正利用を防止できます。 | ○ ※5 | |
スクリーンセーバー起動までの待ち時間※4 | スクリーンセーバーの起動時間が指定した時間以内に設定されているかどうかを判定できます。 パスワード保護されたスクリーンセーバーが起動していない状態でコンピュータが放置されると、その間に不正利用されるおそれがあります。スクリーンセーバーの起動時間の設定を確認することで、コンピュータの不正利用を防止できます。 | ○ ※5、※6 | |
共有フォルダ | 共有フォルダが設定されていないかどうかを判定できます。 不用意に共有フォルダが設定されていると、コンピュータへ不正アクセスされるおそれがあります。共有フォルダが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 | ○ | |
管理共有 | 管理共有が設定されていないかどうかを判定できます。 管理共有が有効になっていると、コンピュータへ不正アクセスされるおそれがあります。管理共有が無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 | ○ | |
匿名接続 | 制限なしの匿名接続が設定されていないかどうかを判定できます。 制限なしの匿名接続が有効になっていると、コンピュータへ不正アクセスされるおそれがあります。制限なしの匿名接続が無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 | ○ | |
Windowsファイアウォール※7、※8 | Windowsファイアウォールが有効になっているかどうか、および実装されているかどうかを判定できます。 Windowsファイアウォールが有効になっていないと、コンピュータへ不正アクセスされるおそれがあります。Windowsファイアウォールが有効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 | ○ ※1 | |
DCOM | DCOMが無効になっているかどうかを判定できます。 DCOMが有効になっていると、コンピュータへ不正アクセスされるおそれがあります。DCOMが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 | ○ | |
リモートデスクトップ※8、※9 | リモートデスクトップが無効になっているかどうか、および実装されているかどうかを判定できます。 リモートデスクトップが有効になっていると、コンピュータへ不正アクセスされるおそれがあります。リモートデスクトップが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 | ○ ※1 | |
禁止操作※2 | 印刷の抑止 | 印刷操作を抑止できます。 印刷を許可するパスワードも設定できます。 | - |
USBデバイスの読み取りと書き込みの抑止※10 | USBデバイスの書き込みと読み取りを抑止できます。 | - | |
登録済USBデバイスの使用許可 | ハードウェア資産情報が登録済みのUSBデバイスだけ、書き込みと読み取りを許可できます。 | - | |
USBデバイスの書き込みの抑止※10、※11 | USBデバイスの書き込みだけを抑止できます。 | - | |
内蔵CD/DVDドライブの書き込みの抑止※11、※12 | 内蔵CD/DVDへの書き込みを抑止できます。 | - | |
内蔵FDドライブの読み取りと書き込みの抑止 | 内蔵FDへの書き込みと読み取りを抑止できます。 | - | |
IEEE1394接続メディアの読み取りと書き込みの抑止※11 | IEEE1394接続メディアへの書き込みと読み取りを抑止できます。 | - | |
内蔵SDカードの読み取りと書き込みの抑止※11 | 内蔵SDカードへの書き込みと読み取りを抑止できます。 | - | |
リムーバブルディスクの読み取りと書き込みの抑止※11 | リムーバブルディスクへの書き込みと読み取りを抑止できます。 | - | |
ソフトウェアの起動抑止 | 指定したソフトウェアの起動を抑止できます。起動を抑止したいソフトウェアは複数設定できます。 | - | |
操作ログ※2 | 操作ログの取得対象 | 操作ログを取得する対象となる操作を設定できます。 | - |
添付ファイル付きメールの送受信 | 添付ファイル付きのメールを送信する際に、不審な操作と見なすかどうかを設定できます。 | - | |
Web/FTPサーバの使用 | WebサーバまたはFTPサーバにファイルをアップロードする際に、不審な操作と見なすかどうかを設定できます。 | - | |
外部メディア(リムーバブルディスク)へのファイルコピーと移動 | 外部メディアへファイルをコピーまたは移動する際に、不審な操作と見なすかどうかを設定できます。 | - | |
大量印刷 | 規定値を超える大量印刷を、不審な操作と見なすかどうかを設定できます。 | - |
(凡例)○:設定できる -:自動対策の対象外
注※1 Active Directoryを使用している場合にグループポリシーで不適正な設定に固定されていると、コンピュータの設定変更ができないため自動対策が失敗します。
注※2 エージェントレスのコンピュータは対象外です。
注※3 SERVICE_STOP 権のないサービス、または依存しているサービスが稼働中のサービスは停止できないため、自動対策が失敗します。
注※4 OSに複数のユーザーアカウントがある場合、ユーザーアカウントごとに判定されます。
注※5 OSにログオン中のユーザーアカウントだけ自動対策されます。
注※6 スクリーンセーバーのデータがWindowsの「System32」フォルダ配下に存在しない場合、自動対策が失敗します。
注※7 エージェントのOSがWindows Server 2003 Service Packなし、またはWindows 2000の場合は判定されません。また、自動対策もできません。OSがWindows Server 2008 R2またはWindows 7で複数のネットワークカードを利用している場合、すべてのネットワークプロファイルに対して自動対策が実行されます。
注※8 エージェントレスのOSがWindows Server 2003 Service Packなし、Windows XP Service Pack 1、Windows XP Service Pack なし、またはWindows 2000の場合は、判定されません。
注※9 エージェントのOSがWindows 2000の場合は判定されません。また、自動対策もできません。
注※10 USB接続のFDドライブ、CD/DVDドライブ、ハードディスク、フラッシュメモリなどの使用を抑止する場合は、USBデバイスの抑止を設定してください。
注※11 抑止対象のコンピュータのOSによって、抑止の可否が異なります。
注※12 抑止できるかどうかは、書き込みソフトウェアに依存します。WindowsのIMAPIに対応したソフトウェアだけを抑止できます。
アクション項目
項目 | 説明 |
---|---|
利用者へのメッセージ通知 | セキュリティの判定結果が危険、警告、または注意だった場合に、自動的にコンピュータにメッセージを通知できます。 通知メッセージは、任意に作成できます。利用者には、作成したメッセージに加えて違反内容が通知されます。 |
ネットワーク接続制御 | セキュリティの判定結果に応じて、コンピュータのネットワーク接続を許可したり遮断したりできます。 |
割り当てグループ
項目 | 説明 |
---|---|
対象の構成 | セキュリティポリシーを割り当てるグループの構成(OS、ネットワーク、部署、設置場所)を指定できます。 指定したグループ構成に対して、どのグループにセキュリティポリシーを割り当てるかを設定できます。 |
(2) 製品が提供するセキュリティポリシー
JP1/IT Desktop Managementは、次に示すポリシーを提供します。
これらのポリシーは、新たにセキュリティポリシーを作成するときのサンプルとして、コピーして利用できます。
デフォルトポリシーと推奨セキュリティポリシーの設定値を次の表に示します。
設定項目 | 危険レベル | デフォルトポリシー | 推奨セキュリティポリシー | |||
---|---|---|---|---|---|---|
設定 | 自動対策 | 設定 | 自動対策 | |||
更新プログラム | Windows自動更新の実行の判定 | 警告 | ○ | × | ○ | ○ |
すべての更新プログラムの適用状況の判定 | 警告 | ○ | × | ○ | ○ | |
指定した更新プログラムの適用状況の判定 | 警告 | × | × | × | × | |
ウィルス対策製品 | インストールの判定 | 危険 | △ | - | △ | - |
エンジンバージョンの判定 | 危険 | △ | - | △ | - | |
ウィルス定義ファイルのバージョンの判定 | 危険 | △(1日) | - | △(1日) | - | |
自動保護(常駐設定)の判定 | 危険 | △(1日) | - | △(1日) | - | |
ウィルススキャン最終完了日時の判定 | 危険 | △(7日) | - | △(7日) | - | |
使用ソフトウェア | 使用必須ソフトウェアの判定 | 危険 | × | × | × | × |
使用禁止ソフトウェアの判定 | 危険 | × | × | × | × | |
サービスのセキュリティ設定 | 注意 | × | × | × | × | |
OSのセキュリティ設定 | Guestアカウントの判定 | 警告 | ○ | × | ○ | ○ |
パスワードの安全性の判定 | 注意 | ○ | - | ○ | - | |
無期限パスワードの判定 | 注意 | ○ | × | ○ | ○ | |
パスワード更新からの経過日数の判定 | 注意 | ○(180日) | - | ○(180日) | - | |
自動ログオンの判定 | 注意 | ○ | × | ○ | ○ | |
パワーオンパスワードの判定 | 注意 | ○ | - | ○ | - | |
スクリーンセーバーのパスワード保護の判定 | 注意 | ○ | × | ○ | ○ | |
スクリーンセーバー起動までの待ち時間の判定 | 注意 | ○(10分) | × | ○(10分) | ○ | |
共有フォルダの判定 | 警告 | ○ | × | ○ | ○ | |
管理共有の判定 | 警告 | ○ | × | ○ | ○ | |
匿名接続の判定 | 警告 | ○ | × | ○ | ○ | |
Windowsファイアウォールの判定 | 警告 | ○ | × | ○ | ○ | |
DCOMの判定 | 警告 | ○ | × | ○ | ○ | |
リモートデスクトップの判定 | 警告 | ○ | × | ○ | ○ | |
禁止操作 | 印刷の抑止 | - | × | - | × | - |
USBデバイスの読み取りと書き込みの抑止 | - | × | - | ○ | - | |
登録済USBデバイスの使用許可 | - | × | - | ○ | - | |
USBデバイスの書き込みの抑止 | - | × | - | × | - | |
内蔵CD/DVDドライブの書き込みの抑止 | - | × | - | ○ | - | |
内蔵FDドライブの読み取りと書き込みの抑止 | - | × | - | ○ | - | |
IEEE1394接続メディアの読み取りと書き込みの抑止 | - | × | - | ○ | - | |
内蔵SDカードの読み取りと書き込みの抑止 | - | × | - | ○ | - | |
リムーバブルディスクの読み取りと書き込みの抑止 | - | × | - | × | - | |
ソフトウェアの起動抑止 | - | × | - | × | - | |
操作ログ | 操作ログの取得対象 | - | × | - | × | - |
添付ファイル付きメールの送受信 | - | × | - | × | - | |
Web/FTPサーバの使用 | - | × | - | × | - | |
外部メディア(リムーバブルディスク)へのファイルコピーと移動 | - | × | - | × | - | |
大量印刷 | - | × | - | × | - | |
アクション項目 | 利用者へのメッセージ通知 | - | × | - | ○(危険、警告、注意) | - |
(凡例) ○:有効 △:情報を収集できるウィルス対策製品で有効 ×:無効 -:設定の対象外
関連リンク
(3) セキュリティポリシーの割り当て
セキュリティ状況を判定するためには、セキュリティポリシーをグループまたはコンピュータに対して割り当てる必要があります。ここでは、セキュリティポリシーが割り当たる範囲について説明します。
セキュリティポリシーを割り当てる場合
セキュリティポリシーをコンピュータに割り当てた場合、対象のコンピュータにセキュリティポリシーが適用されます。セキュリティポリシーをグループに割り当てた場合、下位のグループを含めそのグループに属するすべてのコンピュータにセキュリティポリシーが適用されます。
コンピュータへの割り当てとグループへの割り当てが重複する場合は、コンピュータに割り当てられたセキュリティポリシーが適用されます。また、セキュリティポリシーが直接割り当てられているグループは、上位のグループにセキュリティポリシーを割り当てても、そのセキュリティポリシーは適用されません。
セキュリティポリシーを割り当てた場合の、割り当て範囲の例を次の図に示します。
上記の図では、セキュリティポリシーAをコンピュータPC01とグループBに割り当てています。ただし、グループBのコンピュータPC03には個別にセキュリティポリシーBが割り当てられているため、セキュリティポリシーBが優先されます。
セキュリティポリシーを解除する場合
割り当てたセキュリティポリシーは解除できます。セキュリティポリシーを解除すると、上位のグループに割り当てられているセキュリティポリシーが適用されます。上位のグループにセキュリティポリシーが割り当てられていない場合は、デフォルトポリシーが適用されます。
セキュリティポリシーを解除した場合の、割り当て範囲の例を次の図に示します。
上記の図では、コンピュータPC01とPC03に割り当てられたセキュリティポリシーを解除しています。PC01は上位のグループAにセキュリティポリシーが割り当てられていないため、デフォルトポリシーが適用されます。PC03は上位のグループBに割り当てられているセキュリティポリシーAが適用されます。
(4) セキュリティ判定時のアクション項目
管理対象のコンピュータにセキュリティポリシーを割り当てておくと、セキュリティ状況が判定されます。このとき、セキュリティの判定結果によって、対象のコンピュータに対して、メッセージを通知したり、ネットワークを制御したりといったアクションを自動的に実行できます。
セキュリティの判定結果によって実行されるアクション項目を次に示します。
(5) メッセージの通知
セキュリティ状況に問題のあるコンピュータに対して、メッセージを通知できます。メッセージを通知できるのは、エージェントがインストールされているコンピュータだけです。次のどちらかの方法でメッセージを通知できます。
管理用サーバから対象のコンピュータにメッセージが通知されると、利用者の画面にポップアップ画面が表示され、メッセージを参照できます。なお、参照できるのは最新のメッセージだけです。
自動で通知されるメッセージの内容
自動で通知されるメッセージの内容を次に示します。
項目 | 説明 |
---|---|
メッセージ本文 | セキュリティポリシーの[アクション項目]-[利用者へのメッセージ通知]で「メッセージ」の「本文」に指定したメッセージが表示されます。 |
危険レベル | 判定結果に対応した危険レベルに対応して、次のような文字列が表示されます。
|
AAAA | 危険と判定されたユーザーアカウント名が表示されます。 |
BBBB | 危険と判定されたユーザーアカウントの「OSのセキュリティ設定」のうち、危険と判定された項目の説明が表示されます。表示内容を次に示します。
|
CCCC | Windowsの自動更新が無効になっている場合に、メッセージ「Windows自動更新が無効になっています。」が表示されます。 |
DDDD | 「更新プログラム」の判定で、適用されていないと判定された更新プログラムが表示されます。表示形式を次に示します。
|
EEEE | 「使用ソフトウェア」の判定で、インストールされていると判定された使用禁止ソフトウェアのソフトウェア名とバージョンが表示されます。表示形式を次に示します。
|
FFFF | 「使用ソフトウェア」の判定で、インストールされていないと判定された使用必須ソフトウェアのソフトウェア名とバージョンが表示されます。
|
GGGG | 「サービスのセキュリティ設定」の判定で、使用されていると判定されたサービス表示名が表示されます。 情報が6,000バイトを超えた場合、表示できなかった件数が「その他:n件」の形式で表示されます。 |
HHHH | 「OSのセキュリティ設定」の判定で、危険と判定された項目の説明が表示されます。表示内容を次に示します。
|
(凡例)△:半角スペース
入力できる埋め込み文字
自動で通知されるメッセージ本文には、次に示す埋め込み文字を入力できます。
埋め込み文字 | 表示内容 |
---|---|
%judgedate% | セキュリティ判定日時 |
%contdays% | 不適正な状態が続いた日数※1 |
%refusedmsg% | 「ネットワークへの接続が遮断されました。」 「あとn日で、ネットワークへの接続が遮断されます。」※2 |
注※1 セキュリティポリシーの[アクション項目]-[利用者へのメッセージ通知]で[通知条件]を設定している場合に表示されます。
注※2 セキュリティポリシーの[アクション項目]-[ネットワーク接続制御]で[接続拒否の条件]を設定している場合に表示されます。
(6) ネットワーク接続の遮断と許可
セキュリティポリシーの判定結果が設定した危険レベルを超えた場合、対象のコンピュータのネットワーク接続を遮断できます。判定結果が設定した危険レベルを下回った状態になると、遮断したネットワーク接続は自動的に許可されます。ネットワーク接続を遮断および許可するためには、対象のコンピュータが所属するネットワークセグメントが監視されている必要があります。
ネットワーク接続の制御の優先度
ネットワーク接続の制御は、手動で設定した内容が優先されます。
ネットワークに接続してはいけないコンピュータがある場合は、手動で、許可しない設定にしてください。
(7) セキュリティポリシー違反の対策
コンピュータがセキュリティポリシーに違反している場合は、そのコンピュータの設定が適正な状態になるように対策します。JP1/IT Desktop Managementでは、セキュリティポリシー違反を自動対策、または強制対策できます。
(8) セキュリティポリシー違反の自動対策
コンピュータがセキュリティポリシーに違反している場合、そのコンピュータの設定を確認して適正な状態になるよう設定変更する必要があります。このような作業を繰り返すのは非常に手間が掛かります。
セキュリティポリシーに自動対策を設定すると、セキュリティポリシーに違反していた場合に、自動的に適正状態となるように対策されるようになります。これによって、管理者が個々のコンピュータの設定状況を意識することなく、組織内のコンピュータのセキュリティ状況を安全に保てます。
セキュリティポリシーに設定できる自動対策
自動対策が実行されるタイミング
これらのタイミングで、セキュリティポリシーの設定に応じて自動対策が実行されます。セキュリティ設定とサービスの自動対策は、管理対象のコンピュータで実行されます。使用必須ソフトウェアのインストールと使用禁止ソフトウェアのアンインストールは、管理用サーバから配布機能が実行されます。
関連リンク