2.8.10　ホワイトリスト方式を利用した機器のネットワーク接続の管理

ネットワーク接続を許可する機器を一覧に登録して、それ以外の機器のネットワーク接続を許可しない「ホワイトリスト方式」で、ネットワーク接続を管理できます。より強固なネットワークセキュリティを実現したい場合は、ホワイトリスト方式で管理することをお勧めします。

ホワイトリスト方式の管理について、次の図に示します。

[図データ]

1.接続を許可する機器を登録する: 設定画面の［ネットワーク制御］−［ネットワーク制御リストの設定］画面で、接続を許可する機器を登録します。管理用サーバ、ネットワークモニタエージェントをインストールしているコンピュータなど、常にネットワークに接続させておく必要がある機器は必ず登録してください。なお、機器を発見すると、ネットワーク制御リストに自動的に登録されます。ネットワーク制御リストの設定の詳細については、「2.8.8　ネットワーク制御リストの管理」を参照してください。
2.ネットワーク制御リストに登録していない機器のネットワーク接続を遮断する: 設定画面の［ネットワーク制御］−［ネットワークモニタ設定の割り当て］画面で、すべてのネットワークセグメントに対して、ネットワーク接続を許可しない設定のネットワークモニタ設定を割り当てます。これによって、ネットワーク制御リストに登録していない機器がネットワーク接続しようとすると、遮断されます。ネットワークモニタ設定の詳細については、「2.8.7　ネットワークモニタ設定の管理」を参照してください。

許可した機器だけがネットワークに接続できるようになります。未許可の機器がネットワーク接続すると自動的に遮断され、遮断したイベントが出力されます。

ヒント: 設定画面の［ネットワーク制御］画面で、新規機器の接続を許可しない設定になっている場合、新規機器がネットワークへ接続しようとすると、遮断されます。この場合に、新規のコンピュータを自動的にネットワーク接続させるためには、コンピュータにエージェントを導入して、セキュリティポリシーの［アクション項目］−［ネットワーク接続制御］で接続を許可する危険レベルを設定してください。エージェント導入済みコンピュータがネットワークに接続されると、セキュリティ状況の判定結果に応じてネットワーク接続が制御されます。このとき、接続が許可されると、自動的にネットワーク制御リストに登録されます。

重要: ホワイトリスト方式でネットワーク接続を管理する場合、ルータ、スイッチ、ネットワークプリンタなど、JP1/IT Desktop Management 2が管理対象としない機器に対しても、ネットワーク接続を許可するように登録してください。特に、ルータやスイッチなどのネットワーク装置が接続を許可するよう設定されていないと、その配下に接続された機器もネットワークに接続できないため、注意してください。

ホワイトリスト方式でネットワーク接続を管理する場合は、必要に応じてネットワーク制御リストの自動更新の設定を変更してください。デフォルトでは、自動更新のうち追加だけを有効にする設定になっています。

ネットワーク接続デバイス（NICなど）の使い回しを自動で防止したい場合は、すべての自動更新を有効にしてください。ただし、次に示すときは、ネットワーク接続デバイス（NICなど）を外したと見なされ、ネットワーク制御リストから該当する機器が削除されるため、ネットワークに接続できなくなります。