統合管理装置上で，統合管理ツールから登録を行います。

統合管理ツールでは，機器の管理が階層化（全体，グループ，サブグループ，ネットワーク）でき，階層ごとに登録したネットワーク接続を許可する機器の一覧を各監視装置に配布します。これにより，細かいアクセス制御が可能になります。登録には，次に示す二つの方法があります。

• CSVファイルを作成してアップロード
• 機器一覧画面から選択，または，手入力して登録
  

  図3-1　統合管理ツールからの登録

  

【登録方法】

ネットワーク接続機器の登録方法の詳細は，本書の下記部分を参照してください。

「JP1/NETM/Network Monitor - Manager」 「4.6　アップロード」 「4.20　機器一覧の登録，削除」

また，登録する許可機器一覧，固定機器一覧のフォーマットの詳細は，下記マニュアルを参照してください。

「JP1/NETM/Network Monitor」 「6.18　アップロード」 「JP1/NETM/Network Monitor - Manager」 「14.15　アップロード」

【設定】

設定の詳細は，本書の下記部分を参照してください。

「JP1/NETM/Network Monitor - Manager」 「4.7　オプション」

機器一覧画面から登録／削除する場合には，

「データ」タブの「機器一覧の管理単位」の選択が必須になります。機器一覧を管理する単位（階層）を選択します。管理単位が「なし」の場合には，機器一覧画面からの登録は出来ません。

CSVファイルを作成してアップロードする場合には，必須ではありません。管理単位が「なし」の場合には，優先順位にしたがい，CSVファイルが選択されます。

また，初期ログイン画面の機器一覧フィールドでは，「統合管理装置」を選択してください。詳細は，下記マニュアルを参照してください。

「JP1/NETM/Network Monitor - Manager」 「4.2　ユーザ管理」

【運用例1】

社内の機器の管理は，システム管理部署が行っている。

社内ネットワークに接続してもよい機器は，システム管理部署から配布された機器だけのため，配布前に機器のMACアドレスを確認することができる。システム管理部署から配布された機器なので，全ネットワークに接続しても問題ないため，

「機器一覧の管理単位」を「全体」

と設定し，統合管理ツールから，MACアドレスを登録後，機器を配布する運用とした。

【運用例2】

社内の機器の管理は，システム管理部署が行っている。

社内ネットワークに接続してもよい機器は，システム管理部署から配布された機器だけのため，配布前に機器のMACアドレスを確認することができる。社内には複数の拠点があり，それぞれ異なる業務を行っているため，他の拠点への出入りは禁止している。そのため，拠点ごとにグループ化して，

「機器一覧の管理単位」を「グループ」

と設定し，統合管理ツールから，接続できる範囲を限定してMACアドレスを登録後，機器を配布する運用とした。

【注意事項】

ネットワーク接続を許可する機器の情報は，統合管理装置での集中管理になります。監視装置側での変更は一時的なもので，統合管理装置から配布される情報で上書きされます。

また，階層化の単位を運用中に変更すると，機器情報が不整合となり，ネットワーク接続機器の意図しない遮断が行われる可能性があります。

Webブラウザから，WebConsoleにログインして，登録を行います。

WebConsoleでは，単純に，次の二つが登録できます。

• 許可機器（全ネットワークに接続できる機器）
• 固定機器（特定ネットワークだけ接続できる機器）
  

  図3-2　WebConsoleからの登録

  

【登録方法】

ネットワーク機器情報の登録方法の詳細は，本書の下記部分を参照してください。

「JP1/NETM/Network Monitor - Manager」 「19.8　許可機器と固定機器の登録」

【設定】

設定の詳細は，本書の下記部分を参照してください。

「JP1/NETM/Network Monitor - Manager」 「18.2.1　IISのインストール」 「18.2.2　WebConsoleの設定」

また，初期ログイン画面の機器一覧フィールドでは，「統合管理装置」を選択してください。詳細は，下記マニュアルを参照してください。

「JP1/NETM/Network Monitor - Manager」 「4.2　ユーザ管理」

【運用例】

会議等で，資料をプロジェクタに表示して説明したり，議事録をとったりするため，クライアントPCを移動することが頻繁にある。また，ルータやスイッチなどのネットワーク機器，特殊な装置など，ネットワークを移動させない機器もある。そのため，WebConsoleから，クライアントPCを「許可機器」，ネットワークを移動させない機器を「固定機器」として登録することにした。

【注意事項】

ネットワーク接続を許可する機器の情報は，統合管理装置での集中管理になります。監視装置側での変更は，一時的なもので，統合管理装置から配布される情報で上書きされます。

また，JP1クライアントセキュリティ管理製品を使用する場合には，許可機器一覧は，JP1クライアントセキュリティ管理製品により更新されるため，WebConsoleからは登録できません。固定機器だけ登録できます。

Webブラウザから，監視装置にログインして，直接，ネットワークに接続できる機器の情報を登録します。

図3-3　監視装置のWeb画面からの登録

【登録方法】

ネットワーク接続機器の登録方法の詳細は，下記マニュアルを参照してください。

「JP1/NETM/Network Monitor」 「6.11　接続機器一覧の表示」 「6.17　ダウンロード」 「6.18　アップロード」 「6.19　ブラウザからの直接編集機能」

　

「JP1/NETM/Network Monitor - Manager」 「4.20　機器一覧の登録，削除」

【設定】

設定は，特に必要ありません。

ただし，初期ログイン画面の機器一覧フィールドでは，「監視装置」を選択してください。詳細は，下記マニュアルを参照してください。

「JP1/NETM/Network Monitor - Manager」 「4.2　ユーザ管理」

【運用例】

営業所などの小規模な拠点が多いため，機器の管理は，全社的な管理を行っていない。管理は，各拠点の管理者に任せている。そのため，拠点の管理者が，Webブラウザで，直接，監視装置に接続して許可機器の登録を行うようにした。

【注意事項】

中央（統合管理装置）には管理情報は持たず，拠点（監視装置）ごとに管理者を配置する分散管理となります。統合管理装置は，定期的に，監視装置から情報をダウンロードすることにより，監視装置のバックアップという位置付けになります。監視装置に障害が発生した場合には，このバックアップを元に，復旧します。

機器の管理が階層化（全体，グループ，サブグループ，ネットワーク）でき，階層ごとに作成した許可機器一覧，固定機器一覧（CSVファイル）を配布します。他システムから機器情報を抽出して，各階層用の許可機器一覧を作成することにより，細かいアクセス制御が可能になります。

図3-4　nxnmopeコマンド -uオプションでの登録

【登録方法】

資産管理システムから抽出したMACアドレスの一覧(C:\list\permit.csv)を全ネットワークに配信する場合，下記を実行します。

nxnmope -u permit c:\list\permit.csv

コマンドの詳細は，本書の下記部分を参照してください。

「JP1/NETM/Network Monitor - Manager」 「8.2　監視ネットワークの操作コマンド」のnxnmope -u

また，登録する許可機器一覧，固定機器一覧のフォーマットの詳細は，下記マニュアルを参照してください。

「JP1/NETM/Network Monitor」 「6.18　アップロード」の許可機器，固定機器 「JP1/NETM/Network Monitor - Manager」 「14.15　アップロード」の許可機器，固定機器

【設定】

設定は，特に必要ありません。

【運用例】

工場など，大規模な拠点が多くあり，それぞれ，独自の資産管理システムを使用して機器の管理を行っている。

本社の人は，各工場に行くことがよくあるため，すべてのネットワークに接続できるようにしたい。工場の人は，他工場に行くことはほとんどないため，工場内のネットワークだけ接続できるようにしたい。そのため，本社と各工場の階層（グループ）を作成し，

それぞれに，許可機器一覧を作成し，

各階層ごとに，配信するようにした。

• 「本社」グループへの配信
  

  nxnmope -u permit c:\list\permit.csv -pgrp本社

• 「東京工場」グループへの配信
  

  nxnmope -u permit c:\list\permitT.csv -pgrp東京工場

• 「大阪工場」グループへの配信
  

  nxnmope -u permit c:\list\permitO.csv -pgrp大阪工場

• 「名古屋工場」グループへの配信
  

  nxnmope -u permit c:\list\permitN.csv -pgrp名古屋工場

【注意事項】

ネットワーク接続を許可する機器の情報は，統合管理装置で管理されている情報が配布されます。監視装置での変更は，一時的なもので，統合管理装置から配布される情報で上書きされます。

他システムから機器情報をエクスポートし，それを監視装置のネットワーク接続を許可する機器の一覧（CSVファイル）として配布することにより，監視装置に許可機器一覧をインポートする処理を自動化できます。

図3-5　nxnmcmdsコマンド -pオプションでの登録

【登録方法】

資産管理システムからエクスポートしたMACアドレスの一覧（c:\list\permit.csv）を，各ネットワークを監視する監視装置へ配布する場合，下記を実行します。

nxnmcmds -p c:\list\permit.csv

ネットワーク接続機器の登録方法の詳細は，本書の下記部分を参照してください。

「JP1/NETM/Network Monitor - Manager」 「8.1　連携コマンド」のnxnmcmds -p 「8.4　資産管理連携コマンド」のnxnmlist

また，登録する許可機器一覧，固定機器一覧のフォーマットの詳細は，下記マニュアルを参照してください。

「JP1/NETM/Network Monitor」 「6.18　アップロード」の許可機器，固定機器 「JP1/NETM/Network Monitor - Manager」 「14.15　アップロード」の許可機器，固定機器

【設定】

設定の詳細は，本書の下記部分を参照してください。

「JP1/NETM/Network Monitor - Manager」 「4.7　オプション」の「機器一覧」タブ

「更新」フィールドを下記の通り設定します。

• 「連携機能にて，許可機器一覧／排除機器一覧を更新する。」をチェック
• データベースディレクトリを指定
• 更新方法：「コマンド」を選択
• ファイル作成方法：「全ネットワーク共通」を選択

「更新タイミング」フィールドは，必要に応じて設定してください。

【運用例1】

資産管理システムに，MACアドレスの一覧をCSV形式でエクスポートするコマンド（exportmac1.exe）があるので，これを利用して，連携させたい。

エクスポートされるCSVファイルのフォーマットは，下記の通りで，2列目にMACアドレスがあり，3列目にある使用者名の部分を許可機器一覧のコメントとして出力したい。

1,00:00:00:00:00:01,使用者名1,設置場所1,備考1 2,00:00:00:00:00:02,使用者名2,設置場所2,備考2

資産管理システムから，MACアドレスの情報をエクスポートし，nxnmlistコマンドにより許可機器一覧のフォーマットに変換したものを，各ネットワークの監視装置に配布するバッチファイルを作成した。

set EXPORT_FILE=c:\list\export.csv set IMPORT_FILE=c:\list\import.csv @rem エクスポート exportmac1 %EXPORT_FILE% @rem フォーマット変換 nxnmlist -p %EXPORT_FILE% %IMPORT_FILE% 2 -cc 3 @rem 念のため，内容を確認 notepad %IMPORT_FILE% pause @rem 配布 nxnmcmds -p %IMPORT_FILE%

【運用例2】

資産管理システムは，データベースにMACアドレスの情報が格納されているので，SQLを使用して，許可機器一覧のフォーマットに出力するコマンドを作成した（exportmac2.exe）。これを利用して，連携させたい。

資産管理システムから，MACアドレスの情報をエクスポートし，各ネットワークの監視装置に配布するバッチファイルを作成した。

set EXPORT_FILE=c:\list\export.csv @rem エクスポート exportmac2 %EXPORT_FILE% @rem 念のため，内容を確認 notepad %EXPORT_FILE% pause @rem 配布 nxnmcmds -p %EXPORT_FILE%

【注意事項】

ネットワーク接続を許可する機器の情報は，統合管理装置で管理されている情報が配布されます。監視装置側での変更は，一時的なもので，統合管理装置から配布される情報で上書きされます。

また，【設定】のデータベースディレクトリを運用中に変更すると，機器情報が不整合となり，ネットワーク接続機器の意図しない遮断が行われる可能性があります。

他システムで機器情報が更新されたタイミングで，起動することにより，ネットワーク接続を許可する機器情報の登録と削除を自動化できます。登録した情報は，統合管理装置内の簡易データベースに格納され，それが，監視装置側の許可機器一覧に反映されます。

図3-6　nxnmcmdsコマンド -fオプションでの登録

【登録方法】

MACアドレス 00:00:00:00:00:01 を，ネットワーク接続許可する場合には，下記を実行します。

nxnmcmds -f -p 00:00:00:00:00:01

MACアドレス 00:00:00:00:00:01 を，ネットワーク接続拒否する場合には，下記を実行します。

nxnmcmds -f -r 00:00:00:00:00:01

現在の登録内容を，今すぐに，監視装置へ反映する場合には，下記を実行します。

nxnmcmds -r

ネットワーク接続機器の登録方法の詳細は，本書の下記部分を参照してください。

「JP1/NETM/Network Monitor - Manager」 「8.1　連携コマンド」nxnmcmds -f

【設定】

設定の詳細は，本書の下記部分を参照してください。

「JP1/NETM/Network Monitor - Manager」 「4.7　オプション」の「機器一覧」タブ

「更新」フィールドを下記の通り設定します。

• 「連携機能にて，許可機器一覧／排除機器一覧を更新する。」をチェック
• データベースディレクトリを指定
• 更新方法：「関数」を選択
• ファイル作成方法：「全ネットワーク共通」を選択

「更新タイミング」フィールドは，必要に応じて設定してください。

【運用例】

資産管理システムは，自社で開発したもので，機器情報の編集時に処理を組み込むことができる。これを利用し，資産管理システムと連携させることにより，許可機器登録の手間を省きたい。

機器情報登録時に，

nxnmcmds -f -p MACアドレス

機器情報削除時に，

nxnmcmds -f -r MACアドレス

を組み込んだ。

【注意事項】

ネットワーク接続を許可する機器の情報は，統合管理装置で管理されている情報が配布されます。監視装置側での変更は，一時的なもので，統合管理装置から配布される情報で上書きされます。

また，【設定】のデータベースディレクトリを運用中に変更すると，機器情報が不整合となり，ネットワーク接続機器の意図しない遮断が行われる可能性があります。

JP1クライアントセキュリティ管理製品により，ネットワーク接続機器情報の更新を自動化できます。ネットワーク接続機器情報は，統合管理装置内の簡易データベースに格納され，それが，監視装置側の許可機器一覧に反映されます。

なお，連携製品の機能については，連携製品のマニュアルを参照してください。

【設定】

設定の詳細は，本書の下記部分を参照してください。

「JP1/NETM/Network Monitor - Manager」 「4.9　各種情報の編集」の「(3)ネットワーク制御連携情報」

「更新」フィールドを下記の通り設定します。

• 「連携機能にて，許可機器一覧／排除機器一覧を更新する。」をチェック
• データベースディレクトリを指定

「更新タイミング」フィールドは，下記を設定し，その他の項目は，必要に応じて設定してください。

• 「API呼び出しにより，即時，更新する。」をチェック

【注意事項】

ネットワーク接続を許可する機器の情報は，統合管理装置で管理されている情報が配布されます。監視装置側での変更は，一時的なもので，統合管理装置から配布される情報で上書きされます。

また，【設定】のデータベースディレクトリを運用中に変更すると，機器情報が不整合となり，ネットワーク接続機器の意図しない遮断が行われる可能性があります。