JP1 Version 9 JP1/IT Desktop Management 導入・設計ガイド

2.9.4 セキュリティポリシーの管理

セキュリティ画面の［セキュリティポリシー］画面で、セキュリティポリシーを作成して管理します。ここでは、セキュリティポリシーの管理について説明します。

セキュリティポリシーを作成する

組織のセキュリティ方針を基にセキュリティポリシーを作成します。セキュリティポリシーは複数作成できます。部署ごとに異なるセキュリティポリシーを作成したり、特別な管理が必要なコンピュータ用のセキュリティポリシーを作成したりできます。

セキュリティポリシーをコンピュータに割り当てる

コンピュータのセキュリティ状況を把握するためには、作成したセキュリティポリシーをコンピュータまたはグループに割り当てる必要があります。

セキュリティポリシーを編集する

セキュリティトレンドが変化したり、組織のセキュリティ方針が変更になった場合は、セキュリティポリシーを編集します。セキュリティトレンドは、コンピュータやネットワークの環境とともに変化しています。常にセキュリティトレンドを組織内に取り込み続けることで、強固なセキュリティ状況の管理を実現できます。

セキュリティポリシーを削除する

管理体制の変更やセキュリティポリシーの統合に伴って、不要になったセキュリティポリシーがある場合は削除します。

この項の構成

(1) セキュリティポリシーに設定できる項目

(2) 製品が提供するセキュリティポリシー

(3) セキュリティポリシーの割り当て

(4) セキュリティ判定時のアクション項目

(5) メッセージの通知

(6) ネットワーク接続の遮断と許可

(7) セキュリティポリシー違反の対策

(8) セキュリティポリシー違反の自動対策

(1) セキュリティポリシーに設定できる項目

セキュリティポリシーに設定できる項目を次に示します。

セキュリティ設定項目

更新プログラム　

Windows自動更新の実行および更新プログラムの適用状況が適正かどうかを判定できます。不適正だった場合に自動的に対策する設定もできます。

ウィルス対策製品　

ウィルス対策製品のインストール状況や設定状況が適正かどうかを判定できます。この項目は、判定に必要な情報をコンピュータから収集できる場合に判定されます。

使用ソフトウェア　

ソフトウェアのインストール状況が適正かどうかを判定できます。不適正だった場合に自動的に対策する設定もできます。

サービスのセキュリティ設定　

特定のサービスの稼働状況が適正かどうかを判定できます。不適正だった場合に自動的に対策する設定もできます。

OSのセキュリティ設定　

OSのユーザーアカウントやスクリーンセーバー、共有フォルダの有無などの、OSのセキュリティ設定が適正かどうかを判定できます。不適正だった場合に自動的に対策する設定もできます。

禁止操作　

印刷操作や各種デバイスの利用、ソフトウェアの利用を抑止できます。

操作ログ　

操作ログの取得対象や不審と見なす操作の条件を設定できます。

アクション項目

利用者へのメッセージ通知　

セキュリティ状況の判定結果に応じて、自動的にコンピュータにメッセージを通知できます。

ネットワーク接続制御　

セキュリティ状況の判定結果に応じて、自動的にコンピュータのネットワーク接続を制御できます。

割り当てグループ

対象の構成　

セキュリティポリシーを割り当てるグループを設定できます。個々のコンピュータにセキュリティポリシーを割り当てたい場合は、セキュリティポリシー作成後に、メニューエリアの［機器のセキュリティ状態］画面から割り当てます。

以降では、セキュリティポリシーに設定できる項目の詳細について説明します。

セキュリティ設定項目

設定項目説明自動対策

更新プログラム Windows自動更新を実行 Windows自動更新が有効になっているかどうかを判定できます。
最新の更新プログラムの適用を徹底するためには、自動更新の適用をお勧めします。Windows自動更新が有効になっているかどうかを確認することで、更新プログラムの適用を徹底できます。
○　^※1

すべての更新プログラムの適用状況更新プログラムが適用されているかを判定できます。
更新プログラムの適用状況を確認することで、OSが最新状態または適正な状態に保たれているかどうかを管理できます。
○　

指定した更新プログラムの適用状況

ウィルス対策製品インストール JP1/IT Desktop Managementがサポートするウィルス対策製品が導入されているかどうかを判定できます。セキュリティポリシーに設定した製品のうち、どれか一つがインストールされていれば導入されていると見なされます。－

エンジンバージョンウィルスを検知するためのスキャンエンジンのバージョンが最新かどうかを判定できます。
最新バージョンが検出されてから、スキャンエンジンを更新するまでの猶予期間を設定できます。猶予期間内は、古いバージョンでも適正と見なされます。

ウィルス定義ファイルのバージョンウィルス定義ファイルが最新かどうかを判定できます。
最新バージョンが検出されてから、ウィルス定義ファイルを更新するまでの猶予期間を設定できます。猶予期間内は、古いバージョンでも適正と見なされます。

自動保護（常駐設定）自動保護（常駐設定）の設定が有効かどうかを判定できます。

ウィルススキャン最終完了日時ウィルススキャン最終完了日時が指定した日数（猶予期間）以内かどうかを判定できます。

使用ソフトウェア使用必須ソフトウェア指定したソフトウェアがインストールされているかどうかを判定できます。
組織内で規定したソフトウェアのインストール状況を確認することで、環境の統制をチェックできます。使用必須ソフトウェアは複数設定できます。
○　

使用禁止ソフトウェア使用を禁止したソフトウェアがインストールされていないかどうかを判定できます。
セキュリティ上問題のあるファイル共有ソフトウェアなどがインストールされていないかを確認することで、情報漏えいを防止できます。使用禁止ソフトウェアは複数設定できます。
○　

サービスのセキュリティ設定^※2 使用を禁止したサービスが稼働していないかどうかを判定できます。組織内で規定した使用を禁止したサービスの稼働を確認することで、コンピュータの不正利用をチェックできます。
なお、サービスは複数設定できます。設定したサービスが稼働しているかどうかで判定されます。
○　^※3

OSのセキュリティ設定 Guestアカウント有効なGuestアカウントがないかどうかを判定できます。
Guestアカウントがあると、だれでもコンピュータを利用できてしまいます。Guestアカウントを使用できないことを確認することで、コンピュータの不正利用を防止できます。
○　

パスワードの安全性^※4 脆弱なパスワードが設定されたアカウントがないかどうかを判定できます。
脆弱なパスワードは、簡単に解読されてしまうおそれがあります。脆弱なパスワードが設定されていないことを確認することで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。
－　

無期限パスワード^※4 パスワードが無期限に設定されたアカウントがないかどうかを判定します。
同じパスワードが長期間使われると、その分解読されやすくなります。無期限のパスワードが設定されていないか確認することで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。
○　

パスワード更新からの経過日数^※4 パスワードの更新経過日数が、設定した日数を超えていないかどうかを判定できます。
同じパスワードが長期間使われると、その分解読されやすくなります。パスワードの使用日数をチェックすることで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。
－　

自動ログオン自動ログオンが設定されていないかどうかを判定できます。
OSの自動ログオンが設定されていると、ほかのユーザーがコンピュータを起動しただけで不正に利用できてしまいます。自動ログオンが設定されていないかどうかを確認することで、コンピュータの不正利用を防止できます。
○　

パワーオンパスワードパワーオンパスワードが設定されているかどうかを判定します。また、パワーオンパスワード機能が実装されているかどうかを判定します。
パワーオンパスワードが設定されているかどうかを確認することで、コンピュータの不正利用を防止できます。
－　

スクリーンセーバーのパスワード保護^※4 スクリーンセーバーにパスワードによる保護が設定されているかどうかを判定できます。
スクリーンセーバーのパスワード保護を設定していないと、離席時にコンピュータを不正利用されるおそれがあります。スクリーンセーバーのパスワード保護の設定を確認することで、コンピュータの不正利用を防止できます。
○　^※5

スクリーンセーバー起動までの待ち時間^※4 スクリーンセーバーの起動時間が指定した時間以内に設定されているかどうかを判定できます。
パスワード保護されたスクリーンセーバーが起動していない状態でコンピュータが放置されると、その間に不正利用されるおそれがあります。スクリーンセーバーの起動時間の設定を確認することで、コンピュータの不正利用を防止できます。
○　^※5、※6

共有フォルダ共有フォルダが設定されていないかどうかを判定できます。
不用意に共有フォルダが設定されていると、コンピュータへ不正アクセスされるおそれがあります。共有フォルダが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。
○　

管理共有管理共有が設定されていないかどうかを判定できます。
管理共有が有効になっていると、コンピュータへ不正アクセスされるおそれがあります。管理共有が無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。
○　

匿名接続制限なしの匿名接続が設定されていないかどうかを判定できます。
制限なしの匿名接続が有効になっていると、コンピュータへ不正アクセスされるおそれがあります。制限なしの匿名接続が無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。
○　

Windowsファイアウォール^※7、※8 Windowsファイアウォールが有効になっているかどうか、および実装されているかどうかを判定できます。
Windowsファイアウォールが有効になっていないと、コンピュータへ不正アクセスされるおそれがあります。Windowsファイアウォールが有効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。
○　^※1

DCOM DCOMが無効になっているかどうかを判定できます。
DCOMが有効になっていると、コンピュータへ不正アクセスされるおそれがあります。DCOMが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。
○　

リモートデスクトップ^※8、※9 リモートデスクトップが無効になっているかどうか、および実装されているかどうかを判定できます。
リモートデスクトップが有効になっていると、コンピュータへ不正アクセスされるおそれがあります。リモートデスクトップが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。
○　^※1

禁止操作^※2 印刷の抑止印刷操作を抑止できます。
印刷を許可するパスワードも設定できます。
－　

USBデバイスの読み取りと書き込みの抑止^※10 USBデバイスの書き込みと読み取りを抑止できます。－　

登録済USBデバイスの使用許可ハードウェア資産情報が登録済みのUSBデバイスだけ、書き込みと読み取りを許可できます。－　

USBデバイスの書き込みの抑止^{※10、※11} USBデバイスの書き込みだけを抑止できます。－　

内蔵CD/DVDドライブの書き込みの抑止^{※11、※12} 内蔵CD/DVDへの書き込みを抑止できます。－　

内蔵FDドライブの読み取りと書き込みの抑止内蔵FDへの書き込みと読み取りを抑止できます。－　

IEEE1394接続メディアの読み取りと書き込みの抑止^※11 IEEE1394接続メディアへの書き込みと読み取りを抑止できます。－　

内蔵SDカードの読み取りと書き込みの抑止^※11 内蔵SDカードへの書き込みと読み取りを抑止できます。－　

リムーバブルディスクの読み取りと書き込みの抑止^※11 リムーバブルディスクへの書き込みと読み取りを抑止できます。－　

ソフトウェアの起動抑止指定したソフトウェアの起動を抑止できます。起動を抑止したいソフトウェアは複数設定できます。－　

操作ログ^※2 操作ログの取得対象操作ログを取得する対象となる操作を設定できます。－　

添付ファイル付きメールの送受信添付ファイル付きのメールを送信する際に、不審な操作と見なすかどうかを設定できます。－　

Web/FTPサーバの使用 WebサーバまたはFTPサーバにファイルをアップロードする際に、不審な操作と見なすかどうかを設定できます。－　

外部メディア（リムーバブルディスク）へのファイルコピーと移動外部メディアへファイルをコピーまたは移動する際に、不審な操作と見なすかどうかを設定できます。－　

大量印刷規定値を超える大量印刷を、不審な操作と見なすかどうかを設定できます。－

（凡例）○：設定できる　－：自動対策の対象外

注※1　Active Directoryを使用している場合にグループポリシーで不適正な設定に固定されていると、コンピュータの設定変更ができないため自動対策が失敗します。

注※2　エージェントレスのコンピュータは対象外です。

注※3　SERVICE_STOP 権のないサービス、または依存しているサービスが稼働中のサービスは停止できないため、自動対策が失敗します。

注※4　OSに複数のユーザーアカウントがある場合、ユーザーアカウントごとに判定されます。

注※5　OSにログオン中のユーザーアカウントだけ自動対策されます。

注※6　スクリーンセーバーのデータがWindowsの「System32」フォルダ配下に存在しない場合、自動対策が失敗します。

注※7　エージェントのOSがWindows Server 2003 Service Packなし、またはWindows 2000の場合は判定されません。また、自動対策もできません。OSがWindows Server 2008 R2またはWindows 7で複数のネットワークカードを利用している場合、すべてのネットワークプロファイルに対して自動対策が実行されます。

注※8　エージェントレスのOSがWindows Server 2003 Service Packなし、Windows XP Service Pack 1、Windows XP Service Pack なし、またはWindows 2000の場合は、判定されません。

注※9　エージェントのOSがWindows 2000の場合は判定されません。また、自動対策もできません。

注※10　USB接続のFDドライブ、CD/DVDドライブ、ハードディスク、フラッシュメモリなどの使用を抑止する場合は、USBデバイスの抑止を設定してください。

注※11　抑止対象のコンピュータのOSによって、抑止の可否が異なります。

注※12　抑止できるかどうかは、書き込みソフトウェアに依存します。WindowsのIMAPIに対応したソフトウェアだけを抑止できます。

注意

エージェントレスのコンピュータは自動対策できません。

アクション項目

項目説明

利用者へのメッセージ通知セキュリティの判定結果が危険、警告、または注意だった場合に、自動的にコンピュータにメッセージを通知できます。
通知メッセージは、任意に作成できます。利用者には、作成したメッセージに加えて違反内容が通知されます。

ネットワーク接続制御セキュリティの判定結果に応じて、コンピュータのネットワーク接続を許可したり遮断したりできます。

割り当てグループ

項目説明

対象の構成セキュリティポリシーを割り当てるグループの構成（OS、ネットワーク、部署、設置場所）を指定できます。
指定したグループ構成に対して、どのグループにセキュリティポリシーを割り当てるかを設定できます。

設定項目	説明	自動対策
更新プログラム	Windows自動更新を実行	Windows自動更新が有効になっているかどうかを判定できます。最新の更新プログラムの適用を徹底するためには、自動更新の適用をお勧めします。Windows自動更新が有効になっているかどうかを確認することで、更新プログラムの適用を徹底できます。	○　^※1
すべての更新プログラムの適用状況	更新プログラムが適用されているかを判定できます。更新プログラムの適用状況を確認することで、OSが最新状態または適正な状態に保たれているかどうかを管理できます。	○
指定した更新プログラムの適用状況
ウィルス対策製品	インストール	JP1/IT Desktop Managementがサポートするウィルス対策製品が導入されているかどうかを判定できます。セキュリティポリシーに設定した製品のうち、どれか一つがインストールされていれば導入されていると見なされます。	－
エンジンバージョン	ウィルスを検知するためのスキャンエンジンのバージョンが最新かどうかを判定できます。最新バージョンが検出されてから、スキャンエンジンを更新するまでの猶予期間を設定できます。猶予期間内は、古いバージョンでも適正と見なされます。
ウィルス定義ファイルのバージョン	ウィルス定義ファイルが最新かどうかを判定できます。最新バージョンが検出されてから、ウィルス定義ファイルを更新するまでの猶予期間を設定できます。猶予期間内は、古いバージョンでも適正と見なされます。
自動保護（常駐設定）	自動保護（常駐設定）の設定が有効かどうかを判定できます。
ウィルススキャン最終完了日時	ウィルススキャン最終完了日時が指定した日数（猶予期間）以内かどうかを判定できます。
使用ソフトウェア	使用必須ソフトウェア	指定したソフトウェアがインストールされているかどうかを判定できます。組織内で規定したソフトウェアのインストール状況を確認することで、環境の統制をチェックできます。使用必須ソフトウェアは複数設定できます。	○
使用禁止ソフトウェア	使用を禁止したソフトウェアがインストールされていないかどうかを判定できます。セキュリティ上問題のあるファイル共有ソフトウェアなどがインストールされていないかを確認することで、情報漏えいを防止できます。使用禁止ソフトウェアは複数設定できます。	○
サービスのセキュリティ設定^※2	使用を禁止したサービスが稼働していないかどうかを判定できます。組織内で規定した使用を禁止したサービスの稼働を確認することで、コンピュータの不正利用をチェックできます。なお、サービスは複数設定できます。設定したサービスが稼働しているかどうかで判定されます。	○　^※3
OSのセキュリティ設定	Guestアカウント	有効なGuestアカウントがないかどうかを判定できます。 Guestアカウントがあると、だれでもコンピュータを利用できてしまいます。Guestアカウントを使用できないことを確認することで、コンピュータの不正利用を防止できます。	○
パスワードの安全性^※4	脆弱なパスワードが設定されたアカウントがないかどうかを判定できます。脆弱なパスワードは、簡単に解読されてしまうおそれがあります。脆弱なパスワードが設定されていないことを確認することで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。	－
無期限パスワード^※4	パスワードが無期限に設定されたアカウントがないかどうかを判定します。同じパスワードが長期間使われると、その分解読されやすくなります。無期限のパスワードが設定されていないか確認することで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。	○
パスワード更新からの経過日数^※4	パスワードの更新経過日数が、設定した日数を超えていないかどうかを判定できます。同じパスワードが長期間使われると、その分解読されやすくなります。パスワードの使用日数をチェックすることで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。	－
自動ログオン	自動ログオンが設定されていないかどうかを判定できます。 OSの自動ログオンが設定されていると、ほかのユーザーがコンピュータを起動しただけで不正に利用できてしまいます。自動ログオンが設定されていないかどうかを確認することで、コンピュータの不正利用を防止できます。	○
パワーオンパスワード	パワーオンパスワードが設定されているかどうかを判定します。また、パワーオンパスワード機能が実装されているかどうかを判定します。パワーオンパスワードが設定されているかどうかを確認することで、コンピュータの不正利用を防止できます。	－
スクリーンセーバーのパスワード保護^※4	スクリーンセーバーにパスワードによる保護が設定されているかどうかを判定できます。スクリーンセーバーのパスワード保護を設定していないと、離席時にコンピュータを不正利用されるおそれがあります。スクリーンセーバーのパスワード保護の設定を確認することで、コンピュータの不正利用を防止できます。	○　^※5
スクリーンセーバー起動までの待ち時間^※4	スクリーンセーバーの起動時間が指定した時間以内に設定されているかどうかを判定できます。パスワード保護されたスクリーンセーバーが起動していない状態でコンピュータが放置されると、その間に不正利用されるおそれがあります。スクリーンセーバーの起動時間の設定を確認することで、コンピュータの不正利用を防止できます。	○　^※5、※6
共有フォルダ	共有フォルダが設定されていないかどうかを判定できます。不用意に共有フォルダが設定されていると、コンピュータへ不正アクセスされるおそれがあります。共有フォルダが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。	○
管理共有	管理共有が設定されていないかどうかを判定できます。管理共有が有効になっていると、コンピュータへ不正アクセスされるおそれがあります。管理共有が無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。	○
匿名接続	制限なしの匿名接続が設定されていないかどうかを判定できます。制限なしの匿名接続が有効になっていると、コンピュータへ不正アクセスされるおそれがあります。制限なしの匿名接続が無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。	○
Windowsファイアウォール^※7、※8	Windowsファイアウォールが有効になっているかどうか、および実装されているかどうかを判定できます。 Windowsファイアウォールが有効になっていないと、コンピュータへ不正アクセスされるおそれがあります。Windowsファイアウォールが有効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。	○　^※1
DCOM	DCOMが無効になっているかどうかを判定できます。 DCOMが有効になっていると、コンピュータへ不正アクセスされるおそれがあります。DCOMが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。	○
リモートデスクトップ^※8、※9	リモートデスクトップが無効になっているかどうか、および実装されているかどうかを判定できます。リモートデスクトップが有効になっていると、コンピュータへ不正アクセスされるおそれがあります。リモートデスクトップが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。	○　^※1
禁止操作^※2	印刷の抑止	印刷操作を抑止できます。印刷を許可するパスワードも設定できます。	－
USBデバイスの読み取りと書き込みの抑止^※10	USBデバイスの書き込みと読み取りを抑止できます。	－
登録済USBデバイスの使用許可	ハードウェア資産情報が登録済みのUSBデバイスだけ、書き込みと読み取りを許可できます。	－
USBデバイスの書き込みの抑止^{※10、※11}	USBデバイスの書き込みだけを抑止できます。	－
内蔵CD/DVDドライブの書き込みの抑止^{※11、※12}	内蔵CD/DVDへの書き込みを抑止できます。	－
内蔵FDドライブの読み取りと書き込みの抑止	内蔵FDへの書き込みと読み取りを抑止できます。	－
IEEE1394接続メディアの読み取りと書き込みの抑止^※11	IEEE1394接続メディアへの書き込みと読み取りを抑止できます。	－
内蔵SDカードの読み取りと書き込みの抑止^※11	内蔵SDカードへの書き込みと読み取りを抑止できます。	－
リムーバブルディスクの読み取りと書き込みの抑止^※11	リムーバブルディスクへの書き込みと読み取りを抑止できます。	－
ソフトウェアの起動抑止	指定したソフトウェアの起動を抑止できます。起動を抑止したいソフトウェアは複数設定できます。	－
操作ログ^※2	操作ログの取得対象	操作ログを取得する対象となる操作を設定できます。	－
添付ファイル付きメールの送受信	添付ファイル付きのメールを送信する際に、不審な操作と見なすかどうかを設定できます。	－
Web/FTPサーバの使用	WebサーバまたはFTPサーバにファイルをアップロードする際に、不審な操作と見なすかどうかを設定できます。	－
外部メディア（リムーバブルディスク）へのファイルコピーと移動	外部メディアへファイルをコピーまたは移動する際に、不審な操作と見なすかどうかを設定できます。	－
大量印刷	規定値を超える大量印刷を、不審な操作と見なすかどうかを設定できます。	－

項目	説明
利用者へのメッセージ通知	セキュリティの判定結果が危険、警告、または注意だった場合に、自動的にコンピュータにメッセージを通知できます。通知メッセージは、任意に作成できます。利用者には、作成したメッセージに加えて違反内容が通知されます。
ネットワーク接続制御	セキュリティの判定結果に応じて、コンピュータのネットワーク接続を許可したり遮断したりできます。

項目	説明
対象の構成	セキュリティポリシーを割り当てるグループの構成（OS、ネットワーク、部署、設置場所）を指定できます。指定したグループ構成に対して、どのグループにセキュリティポリシーを割り当てるかを設定できます。

(2) 製品が提供するセキュリティポリシー

JP1/IT Desktop Managementは、次に示すポリシーを提供します。

デフォルトポリシー　

管理対象のコンピュータにセキュリティポリシーが割り当てられていない場合に、自動で割り当てられるセキュリティポリシーです。デフォルトポリシーは、サポートサービス契約をしていることを前提としています。

推奨セキュリティポリシー　

エージェントを導入しているコンピュータのセキュリティを強固にするためのセキュリティポリシーです。推奨セキュリティポリシーには、JP1/IT Desktop Managementが推奨するセキュリティ設定項目およびアクション項目が設定されています。推奨セキュリティポリシーは、サポートサービス契約をしていることを前提としています。

これらのポリシーは、新たにセキュリティポリシーを作成するときのサンプルとして、コピーして利用できます。

デフォルトポリシーと推奨セキュリティポリシーの設定値を次の表に示します。

設定項目危険レベルデフォルトポリシー推奨セキュリティポリシー

設定自動対策設定自動対策

更新プログラム Windows自動更新の実行の判定警告 ○　 ×　 ○　 ○　

すべての更新プログラムの適用状況の判定警告 ○　 ×　 ○　 ○　

指定した更新プログラムの適用状況の判定警告 ×　 ×　 ×　 ×　

ウィルス対策製品インストールの判定危険 △　－　 △　－　

エンジンバージョンの判定危険 △　－　 △　－　

ウィルス定義ファイルのバージョンの判定危険 △（1日）－　 △（1日）－　

自動保護（常駐設定）の判定危険 △（1日）－　 △（1日）－　

ウィルススキャン最終完了日時の判定危険 △（7日）－　 △（7日）－　

使用ソフトウェア使用必須ソフトウェアの判定危険 ×　 ×　 ×　 ×　

使用禁止ソフトウェアの判定危険 ×　 ×　 ×　 ×　

サービスのセキュリティ設定注意 ×　 ×　 ×　 ×　

OSのセキュリティ設定 Guestアカウントの判定警告 ○　 ×　 ○　 ○　

パスワードの安全性の判定注意 ○　－　 ○　－　

無期限パスワードの判定注意 ○　 ×　 ○　 ○　

パスワード更新からの経過日数の判定注意 ○（180日）－　 ○（180日）－　

自動ログオンの判定注意 ○　 ×　 ○　 ○　

パワーオンパスワードの判定注意 ○　－　 ○　－　

スクリーンセーバーのパスワード保護の判定注意 ○　 ×　 ○　 ○　

スクリーンセーバー起動までの待ち時間の判定注意 ○（10分） ×　 ○（10分） ○　

共有フォルダの判定警告 ○　 ×　 ○　 ○　

管理共有の判定警告 ○　 ×　 ○　 ○　

匿名接続の判定警告 ○　 ×　 ○　 ○　

Windowsファイアウォールの判定警告 ○　 ×　 ○　 ○　

DCOMの判定警告 ○　 ×　 ○　 ○　

リモートデスクトップの判定警告 ○　 ×　 ○　 ○　

禁止操作印刷の抑止－ ×　－　 ×　－　

USBデバイスの読み取りと書き込みの抑止－ ×　－　 ○　－　

登録済USBデバイスの使用許可－　 ×　－　 ○　－　

USBデバイスの書き込みの抑止－　 ×　－　 × －　

内蔵CD/DVDドライブの書き込みの抑止－　 ×　－　 ○　－　

内蔵FDドライブの読み取りと書き込みの抑止－　 ×　－　 ○　－　

IEEE1394接続メディアの読み取りと書き込みの抑止－　 ×　－　 ○　－

内蔵SDカードの読み取りと書き込みの抑止－　 ×　－　 ○　－　

リムーバブルディスクの読み取りと書き込みの抑止－　 ×　－　 ×　－　

ソフトウェアの起動抑止－　 ×　－　 ×　－　

操作ログ操作ログの取得対象－　 ×　－　 ×　－　

添付ファイル付きメールの送受信－　 ×　－　 ×　－　

Web/FTPサーバの使用－ ×　－　 ×　－　

外部メディア（リムーバブルディスク）へのファイルコピーと移動－　 ×　－　 ×　－　

大量印刷－　 ×　－　 ×　－　

アクション項目利用者へのメッセージ通知－　 ×　－　 ○（危険、警告、注意）－　

（凡例）　○：有効　△：情報を収集できるウィルス対策製品で有効　×：無効　－：設定の対象外

関連リンク

(1) セキュリティポリシーに設定できる項目

設定項目	危険レベル	デフォルトポリシー	推奨セキュリティポリシー
設定	自動対策	設定	自動対策
更新プログラム	Windows自動更新の実行の判定	警告	○	×	○	○
すべての更新プログラムの適用状況の判定	警告	○	×	○	○
指定した更新プログラムの適用状況の判定	警告	×	×	×	×
ウィルス対策製品	インストールの判定	危険	△	－	△	－
エンジンバージョンの判定	危険	△	－	△	－
ウィルス定義ファイルのバージョンの判定	危険	△（1日）	－	△（1日）	－
自動保護（常駐設定）の判定	危険	△（1日）	－	△（1日）	－
ウィルススキャン最終完了日時の判定	危険	△（7日）	－	△（7日）	－
使用ソフトウェア	使用必須ソフトウェアの判定	危険	×	×	×	×
使用禁止ソフトウェアの判定	危険	×	×	×	×
サービスのセキュリティ設定	注意	×	×	×	×
OSのセキュリティ設定	Guestアカウントの判定	警告	○	×	○	○
パスワードの安全性の判定	注意	○	－	○	－
無期限パスワードの判定	注意	○	×	○	○
パスワード更新からの経過日数の判定	注意	○（180日）	－	○（180日）	－
自動ログオンの判定	注意	○	×	○	○
パワーオンパスワードの判定	注意	○	－	○	－
スクリーンセーバーのパスワード保護の判定	注意	○	×	○	○
スクリーンセーバー起動までの待ち時間の判定	注意	○（10分）	×	○（10分）	○
共有フォルダの判定	警告	○	×	○	○
管理共有の判定	警告	○	×	○	○
匿名接続の判定	警告	○	×	○	○
Windowsファイアウォールの判定	警告	○	×	○	○
DCOMの判定	警告	○	×	○	○
リモートデスクトップの判定	警告	○	×	○	○
禁止操作	印刷の抑止	－	×	－	×	－
USBデバイスの読み取りと書き込みの抑止	－	×	－	○	－
登録済USBデバイスの使用許可	－	×	－	○	－
USBデバイスの書き込みの抑止	－	×	－	×	－
内蔵CD/DVDドライブの書き込みの抑止	－	×	－	○	－
内蔵FDドライブの読み取りと書き込みの抑止	－	×	－	○	－
IEEE1394接続メディアの読み取りと書き込みの抑止	－	×	－	○	－
内蔵SDカードの読み取りと書き込みの抑止	－	×	－	○	－
リムーバブルディスクの読み取りと書き込みの抑止	－	×	－	×	－
ソフトウェアの起動抑止	－	×	－	×	－
操作ログ	操作ログの取得対象	－	×	－	×	－
添付ファイル付きメールの送受信	－	×	－	×	－
Web/FTPサーバの使用	－	×	－	×	－
外部メディア（リムーバブルディスク）へのファイルコピーと移動	－	×	－	×	－
大量印刷	－	×	－	×	－
アクション項目	利用者へのメッセージ通知	－	×	－	○（危険、警告、注意）	－

(3) セキュリティポリシーの割り当て

セキュリティ状況を判定するためには、セキュリティポリシーをグループまたはコンピュータに対して割り当てる必要があります。ここでは、セキュリティポリシーが割り当たる範囲について説明します。

参考

コンピュータを管理対象にした直後は、自動的にデフォルトポリシーが割り当てられます。

セキュリティポリシーを割り当てる場合

セキュリティポリシーをコンピュータに割り当てた場合、対象のコンピュータにセキュリティポリシーが適用されます。セキュリティポリシーをグループに割り当てた場合、下位のグループを含めそのグループに属するすべてのコンピュータにセキュリティポリシーが適用されます。

コンピュータへの割り当てとグループへの割り当てが重複する場合は、コンピュータに割り当てられたセキュリティポリシーが適用されます。また、セキュリティポリシーが直接割り当てられているグループは、上位のグループにセキュリティポリシーを割り当てても、そのセキュリティポリシーは適用されません。

注意

複数のネットワークインターフェースカードを利用している場合など、コンピュータが複数のIPアドレスのグループに登録されてしまうことがあります。コンピュータが複数のグループに登録されている場合、各登録先のグループに異なるセキュリティポリシーが割り当てられているときは、そのコンピュータにはデフォルトポリシーが適用されます。

セキュリティポリシーを割り当てた場合の、割り当て範囲の例を次の図に示します。

上記の図では、セキュリティポリシーAをコンピュータPC01とグループBに割り当てています。ただし、グループBのコンピュータPC03には個別にセキュリティポリシーBが割り当てられているため、セキュリティポリシーBが優先されます。

セキュリティポリシーを解除する場合

割り当てたセキュリティポリシーは解除できます。セキュリティポリシーを解除すると、上位のグループに割り当てられているセキュリティポリシーが適用されます。上位のグループにセキュリティポリシーが割り当てられていない場合は、デフォルトポリシーが適用されます。

セキュリティポリシーを解除した場合の、割り当て範囲の例を次の図に示します。

上記の図では、コンピュータPC01とPC03に割り当てられたセキュリティポリシーを解除しています。PC01は上位のグループAにセキュリティポリシーが割り当てられていないため、デフォルトポリシーが適用されます。PC03は上位のグループBに割り当てられているセキュリティポリシーAが適用されます。

(4) セキュリティ判定時のアクション項目

管理対象のコンピュータにセキュリティポリシーを割り当てておくと、セキュリティ状況が判定されます。このとき、セキュリティの判定結果によって、対象のコンピュータに対して、メッセージを通知したり、ネットワークを制御したりといったアクションを自動的に実行できます。

セキュリティの判定結果によって実行されるアクション項目を次に示します。

メッセージの通知

セキュリティポリシーの判定結果を通知するメッセージを設定できます。通知する危険レベルや通知条件を設定すると、危険レベルが「危険」（）のときだけメッセージを通知したり、設定した日数以上セキュリティ状況が危険な状態が続いたときにメッセージを通知したりできます。なお、メッセージを通知できるのは、エージェントがインストールされているコンピュータだけです。

メッセージの通知方法については、「(5) メッセージの通知」を参照してください。

ネットワーク接続の制御

セキュリティポリシーの判定結果によって、コンピュータのネットワーク接続の状態をどのように変更するかを設定できます。接続制御の対象とする危険レベルや接続拒否の条件を設定すると、危険レベルが「警告」（）のコンピュータのネットワーク接続を遮断したり、設定した日数以上セキュリティ状況が危険な状態が続いたときにネットワーク接続を制御したりできます。

ネットワーク接続の制御方法については、「(6) ネットワーク接続の遮断と許可」を参照してください。

(5) メッセージの通知

セキュリティ状況に問題のあるコンピュータに対して、メッセージを通知できます。メッセージを通知できるのは、エージェントがインストールされているコンピュータだけです。次のどちらかの方法でメッセージを通知できます。

セキュリティ画面の［機器のセキュリティ状態］－［機器一覧］画面から、任意のタイミングで任意のメッセージを個別に通知する

セキュリティポリシーの判定結果に応じて、あらかじめ設定したメッセージを自動的に通知する

参考

機器画面の［機器情報］－［機器一覧］画面からメッセージを通知することもできます。

管理用サーバから対象のコンピュータにメッセージが通知されると、利用者の画面にポップアップ画面が表示され、メッセージを参照できます。なお、参照できるのは最新のメッセージだけです。

注意

メッセージの通知に失敗した場合は、1回だけ再度通知されます。メッセージの通知に2回失敗した場合は、以降メッセージは通知されません。

自動で通知されるメッセージの内容

自動で通知されるメッセージの内容を次に示します。

項目説明

メッセージ本文 セキュリティポリシーの［アクション項目］－［利用者へのメッセージ通知］で「メッセージ」の「本文」に指定したメッセージが表示されます。

危険レベル 判定結果に対応した危険レベルに対応して、次のような文字列が表示されます。

安全：安全

注意：注意

警告：警告

危険：危険

情報不足：不明

判定エラー：不明

判定未実施：不明

判定対応項目なし：対象外

ＡＡＡＡ 危険と判定されたユーザーアカウント名が表示されます。

ＢＢＢＢ 危険と判定されたユーザーアカウントの「OSのセキュリティ設定」のうち、危険と判定された項目の説明が表示されます。表示内容を次に示します。

安全性に問題のあるパスワードが設定されています。

指定した日数を経過してもパスワードが更新されていません。

スクリーンセーバーにパスワード保護が設定されていません。

スクリーンセーバーの起動時間が、適切な時間に設定されていません。

ＣＣＣＣ Windowsの自動更新が無効になっている場合に、メッセージ「Windows自動更新が無効になっています。」が表示されます。

ＤＤＤＤ 「更新プログラム」の判定で、適用されていないと判定された更新プログラムが表示されます。表示形式を次に示します。

文書番号あり：セキュリティ情報ID（文書番号）

文書番号なし：セキュリティ情報ID

サービスパックあり：製品名（サービスパック名）

なお、5,000バイトを超える情報は出力されません。出力されない件数は、「その他：n件」と表示されます。

ＥＥＥＥ 「使用ソフトウェア」の判定で、インストールされていると判定された使用禁止ソフトウェアのソフトウェア名とバージョンが表示されます。表示形式を次に示します。

バージョンあり：ソフトウェア名△バージョン

バージョンなし：ソフトウェア名

なお、6,000バイトを超える情報は出力されません。出力されない件数は、「その他：n件」と表示されます。

ＦＦＦＦ 「使用ソフトウェア」の判定で、インストールされていないと判定された使用必須ソフトウェアのソフトウェア名とバージョンが表示されます。

ソフトウェア名あり、バージョンあり：ソフトウェア名△バージョン

ソフトウェア名あり、バージョンなし：ソフトウェア名

なお、6,000バイトを超える情報は出力されません。出力されない件数は、「その他：n件」と表示されます。

ＧＧＧＧ 「サービスのセキュリティ設定」の判定で、使用されていると判定されたサービス表示名が表示されます。
情報が6,000バイトを超えた場合、表示できなかった件数が「その他：n件」の形式で表示されます。

ＨＨＨＨ 「OSのセキュリティ設定」の判定で、危険と判定された項目の説明が表示されます。表示内容を次に示します。

有効なGuestアカウントがあります。

無期限パスワードが設定されたアカウントがあります。△アカウント名

安全性に問題のあるパスワードが設定されたアカウントがあります。△アカウント名

指定した日数を経過してもパスワードが更新されていないアカウントがあります。△アカウント名

自動ログオンが設定されています。

パワーオンパスワードが設定されていないか、または実装されていません。

共有フォルダが設定されています。

匿名接続が設定されています。

Windowsファイアウォールが無効になっています。

管理共有が設定されています。

DCOMが有効になっています。

リモートデスクトップが有効になっています。

スクリーンセーバーにパスワード保護が設定されていません。△アカウント名

スクリーンセーバーの起動時間が、適切な時間に設定されていません。△アカウント名

（凡例）△：半角スペース

入力できる埋め込み文字

自動で通知されるメッセージ本文には、次に示す埋め込み文字を入力できます。

埋め込み文字表示内容

%judgedate% セキュリティ判定日時

%contdays% 不適正な状態が続いた日数^※1

%refusedmsg% 「ネットワークへの接続が遮断されました。」
「あとn日で、ネットワークへの接続が遮断されます。」^※2

注※1　セキュリティポリシーの［アクション項目］－［利用者へのメッセージ通知］で［通知条件］を設定している場合に表示されます。

注※2　セキュリティポリシーの［アクション項目］－［ネットワーク接続制御］で［接続拒否の条件］を設定している場合に表示されます。

項目	説明
メッセージ本文	セキュリティポリシーの［アクション項目］－［利用者へのメッセージ通知］で「メッセージ」の「本文」に指定したメッセージが表示されます。
危険レベル	判定結果に対応した危険レベルに対応して、次のような文字列が表示されます。安全：安全注意：注意警告：警告危険：危険情報不足：不明判定エラー：不明判定未実施：不明判定対応項目なし：対象外
ＡＡＡＡ	危険と判定されたユーザーアカウント名が表示されます。
ＢＢＢＢ	危険と判定されたユーザーアカウントの「OSのセキュリティ設定」のうち、危険と判定された項目の説明が表示されます。表示内容を次に示します。安全性に問題のあるパスワードが設定されています。指定した日数を経過してもパスワードが更新されていません。スクリーンセーバーにパスワード保護が設定されていません。スクリーンセーバーの起動時間が、適切な時間に設定されていません。
ＣＣＣＣ	Windowsの自動更新が無効になっている場合に、メッセージ「Windows自動更新が無効になっています。」が表示されます。
ＤＤＤＤ	「更新プログラム」の判定で、適用されていないと判定された更新プログラムが表示されます。表示形式を次に示します。文書番号あり：セキュリティ情報ID（文書番号）文書番号なし：セキュリティ情報ID サービスパックあり：製品名（サービスパック名）なお、5,000バイトを超える情報は出力されません。出力されない件数は、「その他：n件」と表示されます。
ＥＥＥＥ	「使用ソフトウェア」の判定で、インストールされていると判定された使用禁止ソフトウェアのソフトウェア名とバージョンが表示されます。表示形式を次に示します。バージョンあり：ソフトウェア名△バージョンバージョンなし：ソフトウェア名なお、6,000バイトを超える情報は出力されません。出力されない件数は、「その他：n件」と表示されます。
ＦＦＦＦ	「使用ソフトウェア」の判定で、インストールされていないと判定された使用必須ソフトウェアのソフトウェア名とバージョンが表示されます。ソフトウェア名あり、バージョンあり：ソフトウェア名△バージョンソフトウェア名あり、バージョンなし：ソフトウェア名なお、6,000バイトを超える情報は出力されません。出力されない件数は、「その他：n件」と表示されます。
ＧＧＧＧ	「サービスのセキュリティ設定」の判定で、使用されていると判定されたサービス表示名が表示されます。情報が6,000バイトを超えた場合、表示できなかった件数が「その他：n件」の形式で表示されます。
ＨＨＨＨ	「OSのセキュリティ設定」の判定で、危険と判定された項目の説明が表示されます。表示内容を次に示します。有効なGuestアカウントがあります。無期限パスワードが設定されたアカウントがあります。△アカウント名安全性に問題のあるパスワードが設定されたアカウントがあります。△アカウント名指定した日数を経過してもパスワードが更新されていないアカウントがあります。△アカウント名自動ログオンが設定されています。パワーオンパスワードが設定されていないか、または実装されていません。共有フォルダが設定されています。匿名接続が設定されています。 Windowsファイアウォールが無効になっています。管理共有が設定されています。 DCOMが有効になっています。リモートデスクトップが有効になっています。スクリーンセーバーにパスワード保護が設定されていません。△アカウント名スクリーンセーバーの起動時間が、適切な時間に設定されていません。△アカウント名

埋め込み文字	表示内容
%judgedate%	セキュリティ判定日時
%contdays%	不適正な状態が続いた日数^※1
%refusedmsg%	「ネットワークへの接続が遮断されました。」「あとn日で、ネットワークへの接続が遮断されます。」^※2

(6) ネットワーク接続の遮断と許可

セキュリティポリシーの判定結果が設定した危険レベルを超えた場合、対象のコンピュータのネットワーク接続を遮断できます。判定結果が設定した危険レベルを下回った状態になると、遮断したネットワーク接続は自動的に許可されます。ネットワーク接続を遮断および許可するためには、対象のコンピュータが所属するネットワークセグメントが監視されている必要があります。

参考

機器画面の［機器情報］－［機器一覧］画面で対象のコンピュータを選択して、［操作メニュー］からネットワーク接続を遮断または許可することもできます。詳細については、「2.8.14 手動によるネットワーク接続の制御」を参照してください。

ネットワーク接続の制御の優先度

ネットワーク接続の制御は、手動で設定した内容が優先されます。

手動で、ネットワーク接続を許可する設定にしている場合
自動的にネットワーク接続が遮断される契機になっても、遮断されません。

手動で、ネットワーク接続を許可しない設定にしている場合
自動的にネットワーク接続が許可される契機になっても、許可されません。

ネットワークに接続してはいけないコンピュータがある場合は、手動で、許可しない設定にしてください。

(7) セキュリティポリシー違反の対策

コンピュータがセキュリティポリシーに違反している場合は、そのコンピュータの設定が適正な状態になるように対策します。JP1/IT Desktop Managementでは、セキュリティポリシー違反を自動対策、または強制対策できます。

自動対策

セキュリティポリシーに自動対策を設定すると、セキュリティポリシーに違反したコンピュータの設定を自動的に適正状態にできます。詳細については、「(8) セキュリティポリシー違反の自動対策」を参照してください。

強制対策

セキュリティポリシーに違反したコンピュータを、任意のタイミングで個別に強制対策できます。なお、セキュリティポリシーに違反したコンピュータを強制対策するには、対象のコンピュータにエージェントがインストールされている必要があります。

(8) セキュリティポリシー違反の自動対策

コンピュータがセキュリティポリシーに違反している場合、そのコンピュータの設定を確認して適正な状態になるよう設定変更する必要があります。このような作業を繰り返すのは非常に手間が掛かります。

セキュリティポリシーに自動対策を設定すると、セキュリティポリシーに違反していた場合に、自動的に適正状態となるように対策されるようになります。これによって、管理者が個々のコンピュータの設定状況を意識することなく、組織内のコンピュータのセキュリティ状況を安全に保てます。

セキュリティポリシーに設定できる自動対策

Windows自動更新の実行が無効だった場合に有効にする

必須とする更新プログラムグループに含まれる更新プログラムが適用されていない場合に、Windows自動更新を強制実行、または更新プログラムを自動的に配布する

使用必須ソフトウェアがインストールされていなかった場合に、ソフトウェアをインストールする

使用禁止ソフトウェアがインストールされていた場合に、ソフトウェアの起動を抑止する

使用禁止ソフトウェアがインストールされていた場合に、ソフトウェアをアンインストールする

使用禁止サービスが稼働している場合に、サービスを停止して無効化する

Guestアカウントが有効な場合に無効にする

無期限パスワードが設定されている場合に解除する

自動ログオンが設定されている場合に解除する

スクリーンセーバーのパスワード保護が設定されていない場合に設定する

スクリーンセーバーの待ち時間が規定値を超えている場合に、待ち時間を変更する

共有フォルダが設定されている場合に解除する

制限なしの匿名接続が設定されている場合に解除する

Windowsファイアウォールが無効な場合に有効にする

管理共有が設定されている場合に解除する

DCOMが有効な場合に無効にする

リモートデスクトップが有効な場合に無効にする

自動対策が実行されるタイミング

セキュリティポリシーが割り当てられたとき

セキュリティポリシーが更新されたとき

管理対象のコンピュータの属するグループが変更されたとき

管理対象のコンピュータの機器情報が更新されたとき

これらのタイミングで、セキュリティポリシーの設定に応じて自動対策が実行されます。セキュリティ設定とサービスの自動対策は、管理対象のコンピュータで実行されます。使用必須ソフトウェアのインストールと使用禁止ソフトウェアのアンインストールは、管理用サーバから配布機能が実行されます。

注意

次に示す項目は、セキュリティポリシーが割り当てられているコンピュータが再起動したあとで自動対策されます。コンピュータにセキュリティポリシーが適用されると、再起動を促すバルーンヒントが定期的に表示されます。

Windows自動更新を実行

匿名接続

Windowsファイアウォール^※

管理共有

DCOM

リモートデスクトップ

注※　コンピュータのOSがWindows Server 2008またはWindows Vistaの場合に限ります。

関連リンク

(1) セキュリティポリシーに設定できる項目

[目次] [前へ] [次へ]

All Rights Reserved. Copyright (C) 2011, 2012, Hitachi, Ltd.
Copyright, patent, trademark, and other intellectual property rights related to the "TMEng.dll" file are owned exclusively by Trend Micro Incorporated.