2.8.2　ネットワーク接続を制御するための設定

ネットワークセグメントにネットワークモニタ機能を導入すると、ネットワークセグメント内の機器のネットワーク接続を制御できます。機器のネットワーク接続を制御する際は、管理者がネットワークセグメントの状況を把握する必要があります。そのため、管理用サーバごとに機器のネットワーク接続を制御します。ここでは、機器のネットワーク接続を制御する設定について説明します。

ネットワークモニタ機能の導入

ネットワークモニタ機能を導入するためには、監視したいネットワークセグメントごとにネットワークモニタを有効にします。ネットワークモニタを有効にすると、そのネットワークセグメントに対して機器のネットワーク接続を許可するかどうかを設定できるようになります。なお、ネットワークモニタを有効にできるのは、ネットワークセグメント内のエージェント導入済みのコンピュータ1台だけです。2台目は有効にできません。2台目を有効にしようとすると、エラーメッセージが表示されます。

重要

ルータ、スイッチ、ネットワークプリンタなどのネットワーク装置は、当該装置からの通信が発生しにくいため、ネットワークモニタを有効にした運用を開始した直後などは、ネットワークモニタによって検知されない場合があります。

ヒント

ネットワークモニタが有効になっていないネットワークセグメントが存在するかどうかは、ホーム画面の［通知事項］パネルで確認できます。ネットワークモニタが有効になっていないネットワークセグメントがある場合、警告メッセージが表示されます。

ネットワーク接続の制御方法の設定

ネットワークモニタを有効にしたネットワークセグメントでは、ネットワーク接続の制御について次の2つの設定ができます。

1. 新規に発見された機器のネットワーク接続を許可するかどうかの設定（ネットワークモニタ設定）

   ネットワークモニタ設定では、新規に発見された機器のネットワーク接続を許可するかどうかを設定できます。ネットワークモニタ設定は、ネットワークモニタを有効にしたコンピュータに割り当てます。これによって、新規に発見された機器のネットワーク接続を許可するかどうかを、ネットワークセグメントごとに設定できます。割り当てるネットワークモニタ設定は、ネットワークモニタを有効化するときに選択できます。ネットワークモニタ設定の設定や割り当ては、あとから変更することもできます。

   ネットワークモニタ設定の管理については、「2.8.6　ネットワークモニタ設定による制御」を参照してください。

2. 機器ごとにネットワーク接続を許可するかどうかの設定（ネットワーク制御リスト）

   ネットワーク制御リストでは、機器ごとにネットワークへの接続を許可するかどうかを設定できます。発見された機器は自動的にネットワーク制御リストに登録されます。このとき、その機器のネットワーク接続を許可するかどうかは、ネットワークモニタ設定に依存します。各機器のネットワーク制御リストの設定を編集することで、機器ごとにネットワーク接続を制御できます。また、利用開始日時と利用終了日時を指定することで、期間を指定してネットワーク接続を制御することもできます。

   ヒント

   管理用サーバ、中継システム、およびネットワークモニタが有効になっているコンピュータは、利用期間を指定できません。

   ヒント

   発見された機器を管理対象または除外対象にすると、ネットワーク制御リストの設定が自動的にネットワーク接続を許可するように変更されます。これは、その機器が組織内の機器であることを確認できたと見なされるためです。

   重要

   ルータ、プリンタ、サーバなどの業務上重要な機器については、ネットワーク制御リストの自動更新によって機器が遮断されないよう、ネットワーク制御リストに、その機器のIPアドレスを手動で登録することを推奨します。 この際、MACアドレスを入力すると、機器情報の更新によってネットワーク制御リストから削除されるおそれがあるため、［MACアドレス］欄を空白にしてください。ネットワーク制御リストの自動更新については、「2.8.15　ネットワーク制御リストの自動更新」を参照してください。

   ヒント

   ネットワーク制御リストの機器情報を新規登録したり、編集したりすると、編集した機器の［マーク］欄にチェックが表示されます。これは、機器が意図せずに接続許可されたり、遮断されたりすることがないように注意する必要がある目印です。 管理者は［マーク］欄にチェックが表示されている機器を確認し、問題がなければチェックを解除してください。なお、チェックはいつでも解除できます。

   ネットワーク制御リストの管理については、「2.8.8　ネットワーク制御リストの管理」を参照してください。

機器のネットワーク接続の可否は、ネットワークモニタ設定とネットワーク制御リストによって管理されます。これらの設定を組み合わせることで、次のようなネットワーク制御ができます。

• 新規に接続する機器のネットワーク接続は許可するが、ネットワーク制御リストに登録した特定の機器のネットワーク接続は許可しない（ブラックリスト方式）

  ネットワークモニタの設定の［発見した機器への動作］では、［ネットワークへの接続を許可する］を選択してください。この場合、新規機器をネットワークに追加すると、ネットワークへの接続を遮断されることなく運用できます。

• ネットワーク制御リストに登録した機器だけネットワーク接続を許可して、それ以外で新規に接続する機器のネットワーク接続を許可しない（ホワイトリスト方式）

  ネットワークモニタの設定の［発見した機器への動作］では、［ネットワークへの接続を許可しない］を選択してください。

  この場合で、新規機器のネットワーク接続を自動的に許可させたいときは、セキュリティポリシーの［アクション項目］−［ネットワーク接続制御］で、危険レベルが「安全」と判定された機器の接続を許可するように設定してください。新規機器は、管理用サーバに接続した時点ではネットワーク接続が遮断された状態になりますが、セキュリティ判定が実施されて危険レベルが「安全」と判定されると、ネットワークに接続できるようになります。

遮断された機器の特例接続

ネットワークモニタの機能によってネットワークから遮断された機器は、そのネットワークセグメントでネットワークモニタが有効なコンピュータ、および［ネットワークへの接続を許可しない機器の特例接続］に登録されたコンピュータとだけ通信できます。遮断中の機器の通信については、「2.8.13　遮断中に接続できる機器の登録」を参照してください。

なお、組織内のネットワーク環境によっては、特例接続の設定が必須となる場合があります。特例接続の設定が必須となる場合と、それに対応する［ネットワークへの接続を許可しない機器の特例接続］の設定例を次に示します。

特例接続の設定が必須となる場合	説明	［ネットワークへの接続を許可しない機器の特例接続］の設定例
DNSサーバを使用して組織内の機器の名前解決をしている	DNSサーバを使用して組織内の機器の名前解決をしている場合は、DNSサーバのIPアドレスを［ネットワークへの接続を許可しない機器の特例接続］に設定してください。DNSサーバのIPアドレスが設定がされていないと、［ネットワークへの接続を許可しない機器の特例接続］にほかのIPアドレスが設定されていても、機器の名前解決に失敗するため、ネットワークから遮断された機器が特例接続する際にホスト名によるネットワーク接続ができなくなります。	接続先IPアドレス：DNSサーバのIPアドレス プロトコル：指定なし 接続先ポート番号：指定なし 接続元IPアドレス：指定なし 接続元ポート番号：指定なし
組織内にNetBiosブロードキャストで名前解決をしている機器がある	組織内にNetBiosブロードキャストで名前解決をしている機器がある場合は、ブロードキャストアドレスを［ネットワークへの接続を許可しない機器の特例接続］に設定してください。ブロードキャストアドレスが設定がされていないと、機器の名前解決に失敗するため、ネットワークモニタを有効にしている機器とホスト名によるネットワーク接続ができなくなります。	接続先IPアドレス：ブロードキャストアドレス（例：192.168.1.255） プロトコル：UDP 接続先ポート番号：137 接続元IPアドレス：指定なし 接続元ポート番号：指定なし
ネットワークモニタを有効にしている機器がDHCPサーバである※	ネットワークモニタを有効にしている機器がDHCPサーバである場合は、IPアドレス「0.0.0.0」を［ネットワークへの接続を許可しない機器の特例接続］に設定してください。「0.0.0.0」が設定されていないと、IPアドレスの割り当てに失敗するため、IPアドレスが割り当てられていない機器のネットワーク接続ができなくなります。	接続先IPアドレス：0.0.0.0 プロトコル：UDP 接続先ポート番号：68 接続元IPアドレス：サブネットマスクをCIDR形式で指定する（例：255.255.255.0/24） 接続元ポート番号：67

注※　DHCPサーバがIPアドレスを自動的に割り当てることができます。ただし、Windows 環境にネットワークモニタを導入した場合、ネットワークモニタの導入時に有効になっているサービス「Routing and RemoteAccess Service」の、RemoteAccess 機能（着信接続）がIPアドレス10個分を確保してしまうため、割り当てできるIPアドレスが10個分少なくなってしまいます。次のOSの場合、この現象は、RemoteAccess機能を停止することで回避できます。

• Windows Server 2019

• Windows Server 2016

• Windows 8.1

• Windows 8

• Windows Server 2012

• Windows 7

• Windows Server 2008 R2

RemoteAccess機能を停止する手順を次に示します。

1. 管理者権限でコマンドプロンプトを開きます。

2. コマンドプロンプトでnetsh ras show typeコマンドを実行します。

3. コマンドプロンプトで「IPv4リモートアクセスサーバー」が「有効」と表示されることを確認します。

4. RemoteAccess機能を停止させるため、コマンドプロンプトで次のコマンドを実行します。

   netsh ras set type ipv4rtrtype = lanonly ipv6rtrtype = none rastype = none

5. サービス「Routing and RemoteAccess Service」を再起動します。

6. コマンドプロンプトでnetsh ras show typeコマンドを実行します。

7. コマンドプロンプトで「IPv4リモートアクセスサーバー」が「無効」と表示されることを確認します。

関連リンク

• 2.8.10　ホワイトリスト方式を利用した機器のネットワーク接続の管理

• 2.8.9　ブラックリスト方式を利用した機器のネットワーク接続の管理

ページの先頭へ