2.8.6 ネットワークモニタ設定による制御
ネットワークモニタを有効にすると、そのコンピュータを含むネットワークセグメント内の機器のネットワーク接続を許可するかどうかを制御できます。ネットワークセグメントごとにネットワーク接続の制御方法を変更するには、ネットワークモニタ設定を各ネットワークセグメントに割り当てる必要があります。
ネットワークモニタ設定を複数作成して割り当てることで、セキュリティを強化したいネットワークセグメントは新規機器の接続を許可しないで、それ以外はネットワーク接続を許可するといった運用ができます。
複数サーバ構成の場合、ネットワークモニタの有効化、無効化、およびネットワークモニタ設定の割り当ては、各管理用サーバ直下のネットワークセグメント内のコンピュータだけに実施できます。
ネットワークモニタ設定の割り当ての概念を次の図に示します。
![[図データ]](GRAPHICS/ZU140002.GIF)
ネットワークセグメントごとにネットワーク接続の設定を変更したい場合は、複数のネットワークモニタ設定を作成してください。ネットワークモニタ設定は、設定画面の[ネットワーク制御]−[ネットワーク制御の設定]画面で作成できます。
作成したネットワークモニタ設定は、各ネットワークセグメントに割り当てる必要があります。ネットワークモニタ設定は、設定画面の[ネットワーク制御]−[ネットワークモニタ設定の割り当て]画面で割り当てられます。
- 重要
-
ネットワークの探索で発見した機器に自動でエージェントを配信するように設定している場合、発見されたコンピュータがネットワーク接続を許可されなくても、そのコンピュータにエージェントは配信されます。
このため、ネットワーク接続が許可されないコンピュータにエージェントが導入された場合、セキュリティポリシーのネットワーク制御の設定およびセキュリティの判定結果によっては、そのコンピュータがネットワーク接続できてしまうことがあります。
- 重要
-
複数サーバ構成の場合、同じネットワークセグメント内に管理元の異なるコンピュータを混在させないでください。それぞれの管理元が割り当てたネットワークモニタ設定が競合して、ネットワーク接続を正常に制御できなくなるおそれがあります。
- ヒント
-
ネットワークモニタ設定が許可する/許可しないのどちらの設定でも、ネットワーク接続した機器を発見できます。ネットワークモニタによって発見された機器には、自動的にネットワークの探索が実行されます。このため、ネットワークの探索で、自動的に管理対象とする、またはエージェントを自動配信するよう設定されている場合は、ネットワークモニタによって機器が発見されると、自動的に管理対象になるか、エージェントが自動配信されます。この場合、機器が管理対象になって、製品ライセンスが消費されます。
自動で管理対象にしたくない場合は、探索条件の設定で[自動的に管理対象とする]および[エージェントを自動配信する]のチェックを外して、手動で管理対象にするようにしてください。