Hitachi

JP1 Version 12 JP1/IT Desktop Management 2 導入・設計ガイド

2.8.14 各種機能によるネットワーク接続の自動制御

ネットワークモニタが有効になっている場合、セキュリティポリシーの判定結果やハードウェア資産情報の登録などのタイミングで、ネットワーク接続を自動で制御できます。例えば、セキュリティポリシーに違反したコンピュータのネットワーク接続を自動で遮断して、対策が完了したあとで自動でネットワーク接続を許可するといった制御ができます。

ネットワーク接続の制御には優先度があります。ネットワーク接続を許可しないように、手動で設定しておくと、自動的にネットワーク接続が許可される契機でも、許可されません。そのため、ネットワークに接続してはいけないコンピュータがある場合は、自動的にネットワーク接続が許可されないように、手動で「許可しない」に設定してください。ネットワーク接続を手動で制御する方法については、「2.8.17 手動によるネットワーク接続の制御」を参照してください。

各種機能によってネットワーク接続が自動で変更される契機を次の表に示します。

ネットワーク接続が制御される契機

制御内容

セキュリティポリシーに違反したとき

セキュリティポリシーの[アクション項目]−[ネットワーク接続制御]で、特定の危険レベルの機器はネットワーク接続を許可しないように設定しておくと、セキュリティ状況の判定時に自動でネットワーク接続を遮断できます。なお、ネットワーク接続が遮断されていたコンピュータのセキュリティ状況が改善された場合は、セキュリティポリシーに遵守していると判断されて、ネットワーク接続が自動で許可されます。

ハードウェア資産を追加、または編集したとき

資産画面の[ハードウェア資産]画面で、IPアドレスまたはMACアドレスを含むハードウェア資産を追加すると、ネットワーク制御リストにその機器が登録されます。また、資産情報のIPアドレスとMACアドレスを編集すると、変更内容がネットワーク制御リストに反映されます。ハードウェア資産情報をインポートした場合も同様にネットワーク接続が許可されます。

ハードウェア資産と機器が関連づいている場合、IPアドレスおよびMACアドレスは機器から収集されるため、ハードウェア資産情報を編集してもネットワーク制御リストには反映されません。

なお、ハードウェア資産の資産状態を「滅却」にするか、ハードウェア資産情報を削除すると、対応するネットワーク制御リストの設定は削除されます。

ハードウェア資産情報のMACアドレスを編集した場合、すでに同じMACアドレスのネットワーク制御の設定が存在しているときは、ネットワーク制御リストに編集内容は反映されません。

自動更新のうち追加だけを有効にした場合、変更前のネットワーク制御の設定が残ったまま新しい設定が追加されます。残ったネットワーク制御の設定には「自動更新(追加のみ有効)の影響」の項目に[確認候補]が設定されます。

自動更新を設定する方法については、マニュアル「JP1/IT Desktop Management 2 運用ガイド」のネットワーク制御リストの自動更新の設定を編集する手順の説明を参照してください。

ネットワーク接続の利用期間内になったとき

ネットワーク制御リストで、期間を指定してネットワーク接続を許可した場合、利用開始日時になると、対象のコンピュータのネットワーク接続が自動的に許可されます。なお、利用終了日時になると、その機器はネットワーク接続が自動的に許可されなくなります。

発見されたコンピュータを「管理対象」または「除外対象」に設定したとき

新規に発見されたコンピュータを管理対象または除外対象にすると、ネットワーク接続が自動的に許可されます。ネットワークセグメントへの接続が許可されていない場合でも、発見された機器を管理対象または除外対象にすることで、接続を許可できます。

ただし、探索で発見した機器を自動的に管理対象にする場合は、ネットワークモニタ設定に応じてネットワーク接続が制御されます。

新規機器がネットワークに接続されたとき

ネットワークセグメントにネットワークモニタ設定を割り当てておくと、新規機器がネットワークに接続されたときに、ネットワークモニタ設定の設定内容に従って自動でネットワーク接続が制御されます。

機器情報を更新または削除したとき

機器情報の更新によって、機器のMACアドレスやIPアドレスの情報が更新されると、自動でネットワーク制御リストが更新されます。

自動更新のうち追加だけを有効にした場合、変更前のネットワーク制御の設定が残ったまま新しい設定が追加されます。残ったネットワーク制御の設定には「自動更新(追加のみ有効)の影響」の項目に[確認候補]が設定されます。

自動更新の設定を編集する方法については、マニュアル「JP1/IT Desktop Management 2 運用ガイド」のネットワーク制御リストの自動更新の設定を編集する手順の説明を参照してください。

ネットワーク接続デバイスの情報が変更されたとき

すべての自動更新を有効にした場合、次に該当するときは、そのネットワークアダプタの情報が削除されたと判断し、そのネットワークアダプタのMACアドレスをネットワーク制御リストから削除します(ただし、「許可しない」で設定されていたときは、ネットワーク制御リストから削除しません)。

  • ネットワークの無効化(マイネットワークからローカルエリア接続などを無効化に設定する)を行ったとき

  • 機器からネットワークケーブルを外したとき

  • 無線LANカードを外したとき

自動更新のうち追加だけを有効にした場合、変更前のネットワークアダプタの情報が残ったまま新しいネットワークアダプタの情報が追加されます。残ったネットワークアダプタの情報には「自動更新(追加のみ有効)の影響」の項目に[確認候補]が設定されます。

自動更新の設定を編集する方法については、マニュアル「JP1/IT Desktop Management 2 運用ガイド」のネットワーク制御リストの自動更新の設定を編集する手順の説明を参照してください。

頻繁にネットワークアダプタを無効にする機器がある場合は、次の内容でネットワーク制御リストに登録してください。

  • 判定形式:IPアドレス

  • MACアドレス:入力しない

  • IPアドレス:対象機器のIPアドレス

  • ネットワークへの接続:許可する

そのほかの項目は任意で入力してください。

注※ ネットワーク制御リストの更新の内容については、「2.8.15 ネットワーク制御リストの自動更新」を参照してください。

重要

ネットワークモニタが無効の場合も、ネットワーク接続を許可するかどうかは変更されます。ただし、制御はされません。この場合、次にネットワークモニタが有効になったタイミングでネットワーク接続の変更が適用されます。

ヒント

ネットワーク接続が遮断または許可されると、イベントが出力されます。イベントをメール通知するように設定しておくと、ネットワーク接続が遮断または許可されたことをメールで確認できます。

関連リンク

ページの先頭へ

Copyright (C) 2019, 2022, Hitachi, Ltd.

Copyright (C) 2019, 2022, Hitachi Solutions, Ltd.

Copyright, patent, trademark, and other intellectual property rights related to the "TMEng.dll" file are owned exclusively by Trend Micro Incorporated.