1.6.1 個人所有PCのネットワーク接続を禁止する流れ
組織内のネットワークに個人所有のコンピュータが自由に接続できるようになっていると、接続されたコンピュータによってウィルスの感染や情報漏えいが発生するおそれがあります。そこで、個人所有のコンピュータを組織内のネットワークに接続できないようにするために、ネットワーク接続を許可する機器を登録して、登録された機器だけが接続できるようにします。
ネットワーク制御リストに登録されていない機器をネットワークに接続できないようにすることで、個人所有のコンピュータの接続によるセキュリティのリスクを回避できます。
個人所有のコンピュータのネットワーク接続を禁止する流れを次に示します。
- 1.機器をネットワーク制御リストに登録する
-
ネットワーク接続を許可する機器をネットワーク制御リストに登録します。
- 2.未登録の機器のネットワーク接続を禁止する
-
ネットワーク制御リストに登録されていない機器がネットワーク接続できないように設定します。
- 3.ネットワーク接続した機器を確認する
-
新規に接続された機器を確認します。
- 〈この項の構成〉
(1) 機器をネットワーク制御リストに登録する
組織内のネットワークに接続されている機器をネットワーク制御リストに登録します。ネットワーク制御リストは、設定画面の[ネットワーク制御リストの設定]画面で確認できます。組織内の機器のうち、ネットワーク接続を許可するすべての機器をネットワーク制御リストに登録してください。
- 注意事項
-
ルータやスイッチなどのネットワーク装置もネットワーク接続が制御されます。ネットワーク装置のネットワーク接続が遮断されてしまうと、機器のネットワーク接続ができなくなります。このため、ネットワーク制御リストにはネットワーク制御をする範囲のネットワーク装置を登録してください。
- ポイント
-
設定画面の[ネットワーク制御リストの設定]画面では、ネットワーク接続を許可するかどうかを機器ごとに設定できます。デフォルトでは、表示されている機器のネットワーク接続は許可に設定されています。
- ポイント
-
ネットワークモニタを有効にすると、定期的に探索しなくても、電源がONにされている機器を発見できます。
- JP1/IT Desktop Management 2で管理している機器
-
機器が管理対象または除外対象になると、自動的にネットワーク制御リストに登録されます。このため、すでに管理対象または除外対象の機器はネットワーク接続が許可されています。ネットワーク制御リストへの追加作業は不要です。
- JP1/IT Desktop Management 2で管理していない機器
-
すべての機器を登録するために、定期的にネットワークの探索を実行してください。定期的に探索することで、電源がOFFだった機器の電源がONになったタイミングや、出張で持ち出されているノートPCがネットワークに接続されたタイミングなどで機器を発見できます。
また、各ネットワークセグメントに対してネットワークモニタを有効にすると、ネットワーク接続されている機器や新規に接続した機器を発見できます。このとき、ネットワークモニタの設定はデフォルトのまま(新規に発見された機器を接続許可する)にしておきます。
管理対象または除外対象にすることで自動的にネットワーク制御リストに登録されます。
- 注意事項
-
ルータなどのネットワーク機器をリプレースすると、MACアドレスが変更されるため、リプレース後はネットワーク接続を遮断されます。リプレース後もネットワーク接続を許可されるようにするためには、リプレースするネットワーク機器のMACアドレスを先に登録するか、機器のIPアドレスを固定にしてネットワーク制御リストに登録してください。
関連リンク
(2) 未登録の機器のネットワーク接続を禁止する流れ
組織内の機器をすべてネットワーク制御リストに登録したら、ネットワーク制御リストに登録されていない機器がネットワーク接続できないように設定します。
- ポイント
-
組織内の機器がすべてネットワーク制御リストに登録されたかどうかは、ネットワーク探索やネットワークモニタによって機器が発見されなくなり、発見された機器がすべて管理対象か除外対象になっているかどうかで判断します。
未登録の機器のネットワーク接続を禁止する流れを次に示します。
- 1.ネットワークモニタを有効にする
-
ネットワーク制御をする範囲のネットワークセグメントに対して、ネットワークモニタを有効にします。
- 2.ネットワークモニタ設定を変更する
-
デフォルトでは、ネットワークモニタを有効にしても、未許可の機器がネットワーク接続できるようになっています。ネットワーク制御リストに登録されていない機器がネットワーク接続できないようにするには、ネットワークモニタ設定を[ネットワークへの接続を許可しない]に設定して、すべてのネットワークセグメントに割り当ててください。
- ポイント
-
あらかじめ、すべてのネットワークセグメントに割り当てるネットワークモニタ設定を統一しておくと、そのネットワークモニタ設定を変更することでネットワーク制御の設定を一括で変更できます。
ネットワーク制御リストに登録されていない機器がネットワーク接続できなくなります。
関連リンク
(3) ネットワーク接続した機器を確認する
ネットワークモニタ設定によって新規接続の機器のネットワーク接続を許可しない環境でも、新規にネットワーク接続した機器を管理者が確認できます。
機器がネットワーク接続したタイミングで新規機器として発見されます。発見された機器は、ホーム画面の[システムサマリ]パネルや、設定画面の[発見した機器]画面から確認できます。このとき、機器のネットワーク接続は自動的に遮断されます。機器がネットワーク接続を遮断されたかどうかは、イベントで確認できます。
個人所有のコンピュータなどが接続されたことを確認したら、発見された機器の情報を基に利用者に接続理由を確認します。業務に不要な理由だった場合は、個人所有の機器を持ち込まないように利用者を指導します。
(4) 機器のネットワーク接続状況をリアルタイムに監視する
ネットワークモニタを有効にして機器のネットワーク接続を管理している場合、ネットワークに新規に機器が接続されたことをリアルタイムに発見できます。さらに、発見された機器に対してはエージェントを自動的に配信してインストールできます。この機能を利用することで、組織内のネットワークに接続されている機器の現状を把握できます。
ネットワークの探索で機器を発見するには、探索のタイミングで機器が次の条件を満たしている必要があります。
-
ネットワークに接続されている
-
電源がONになっている
そのため、長期間ネットワークに接続されていなかったり、ネットワークに接続されているが長期間電源がOFFになっていたりする場合は、機器を発見できません。
ネットワークモニタを有効にしておくと、機器がネットワークに接続されたり、電源がONになったりしたタイミングで、自動的に機器を発見できます。また、発見された機器に対しては、ネットワーク探索の探索設定に基づいて、自動的に管理対象にしたりエージェントを配信したりできます。
- 注意事項
-
ネットワークモニタの設定で未登録機器のネットワーク接続を禁止している場合でも、機器は発見されてエージェントも配信されます。エージェント配信後の機器のネットワーク接続可否は、セキュリティポリシーなどの設定に依存します。機器画面の機器一覧などでネットワークの接続設定を確認してください。
組織内の機器のネットワーク接続状況をリアルタイムに監視するためには、各ネットワークセグメントで次の条件をすべて満たすコンピュータを1台用意してください。
-
エージェントをインストールしている
-
ネットワークモニタを有効にしている
-
24時間稼働している