4.6.3 管理対象の検討
JP1/IT Desktop Management 2では、機器管理、セキュリティ管理、および資産管理ができます。目的とする管理方法によって、対象にできる機器の範囲が異なります。運用を始める前に、組織内のどの機器を管理するかを検討しておきます。
また、ネットワークに接続できるコンピュータはオンライン管理で、接続できないコンピュータはオフライン管理で管理します。オンライン管理とオフライン管理での機能差異については、「(1) 管理形態による機能差異」を参照してください。
機器管理の対象とする機器
機器管理では、ネットワークに接続された機器から情報を収集して、機器の状態や各種情報を把握できます。組織内の現状を把握したい機器を検討します。
OSを持つコンピュータやネットワークプリンタやルータなどのIPアドレスを持つ機器を機器管理の対象にできます。機器管理するためには、機器をJP1/IT Desktop Management 2の管理対象として登録する必要があります。機器を管理対象にすると、1台につき1ライセンスを使用します。
IPアドレスを持つ機器であれば、ネットワークを探索して情報を自動収集できます。このため、部署内の機器が不明の場合でも、JP1/IT Desktop Management 2を使用して組織内の機器の情報を収集し、管理対象にできます。なお、オフライン状態のコンピュータなどのIPアドレスを持たない機器は、オフライン管理とするか、資産として管理します。
マウスやキーボードなどのコンピュータに付帯する周辺機器は、追加機器情報として入力することで、機器情報の一部として管理できます。このため、周辺機器の管理にはライセンスは使いません。
組織内の機器のうちJP1/IT Desktop Management 2で管理したくない機器は、除外対象に登録します。例えば、セキュリティ管理する機器以外は管理しない場合、ネットワークプリンタやルータなどの機器を除外対象として登録します。このようにすることで、管理対象の機器だけから情報を収集できます。
機器管理の対象は次のように判断します。
-
情報を収集して管理する機器
管理対象にします。1台につき1ライセンスを使用します。
-
管理しない機器
除外対象にします。ライセンスは使用しません。
セキュリティ管理の対象とする機器
セキュリティ管理では、管理対象の機器から収集した情報を基に、機器のセキュリティ状況を把握し対策できます。セキュリティ状況を安全に保ちたい機器を検討します。
セキュリティ管理の対象になるのは、OSがWindowsの管理対象のコンピュータだけです。
コンピュータにエージェントを導入することで、セキュリティ状況の判定や診断、対策を実行できます。
エージェントレスのコンピュータもセキュリティ管理の対象にできます。エージェントレスのコンピュータをセキュリティ管理の対象にする場合は、管理共有が有効かつAdministrator権限でログオン認証できる必要があります。ただし、エージェントレスのコンピュータでは、セキュリティ状況の判定、診断はできますが、取得できる機器情報の範囲内での判定と診断になります。一部の情報については、判定と診断は実施できません。また、自動対策機能やソフトウェアの起動抑止機能が使用できないなど、一部の機能に制限があります。
セキュリティ管理の対象は次のように判断します。
-
セキュリティ対策も自動的に実施したい
エージェント導入済みのコンピュータが対象となります。
-
セキュリティ状況の判定、診断までできればよい
OSがWindowsの管理対象のコンピュータが対象となります。エージェントレスのコンピュータの場合、一部制限があります。
資産管理の対象とする機器
資産管理では、組織内で所有する機器(ハードウェア資産)の状態を管理できます。ネットワーク接続の有無は関係ありません。組織内の資産として管理したい機器を検討します。なお、ハードウェア資産の管理にライセンスは使用しません。
資産管理の対象になるのは、組織内で所有しているすべての機器です。資産情報は、任意に登録できるためIPアドレスを持たない機器や周辺機器も管理できます。
組織内で所有している機器のうち、資産番号を付与してハードウェア資産として管理したい機器を登録します。ハードウェア資産として登録することで、資産番号以外に、運用中や在庫などの資産の状態や、利用者名や連絡先、関連する契約情報なども管理できるようになります。
JP1/IT Desktop Management 2の管理対象にした機器は、自動的にハードウェア資産情報が登録されます。管理対象にしない機器を資産として管理する場合は、手動で登録する必要があります。
(1) オンライン管理のコンピュータの機器情報を管理するための検討
日々増減する組織内の機器情報を正確に管理するためには、定期的に探索を実行して、管理対象とする機器をすべて登録する必要があります。また、管理している機器情報は最新に保つ必要があります。
機器情報を管理するためには、探索の範囲やスケジュール、探索で発見したコンピュータにエージェントを配信するかどうかなどを検討します。また、コンピュータの機器情報を収集および更新するための運用スケジュールを検討します。
機器の探索の検討
機器の探索について次の内容を検討します。
-
探索範囲
機器の探索範囲を検討します。設定時には探索の対象となるIPアドレスを指定するため、探索対象となる機器のIPアドレスの範囲を検討してください。
探索範囲は複数設定できます。組織内で使用しているIPアドレスの範囲だけを設定することをお勧めします。設定した範囲内のすべてのIPアドレスに接続を試みるので、使用していないIPアドレスを探索範囲に含めると、探索完了までに時間が掛かってしまいます。
-
探索スケジュール
機器の探索をいつ実施するかを検討します。定期的に機器の探索を実施する場合は、探索の開始時刻、実施する日などを検討してください。例えば、毎月第1月曜日の8:00に探索するなどのように、曜日や時間を指定してスケジュールを設定できます。
なお、電源の入っていない機器は探索で発見できません。このため、JP1/IT Desktop Management 2を導入して最初の1週間程度は、繰り返し探索を実行するように設定して、発見漏れのないようにします。一とおりの機器が登録できたら、組織への機器導入の頻度に合わせて、探索スケジュールを設定します。
-
認証情報の設定と割り当て
探索時に機器の種別やOSなどの情報を収集したい場合は、探索時に使用する認証情報を登録する必要があります。探索時には、SNMPおよびWindowsの管理共有の2種類の認証情報を使用します。
- SNMPの認証情報
-
SNMPを利用して機器に接続するためのコミュニティ名を登録します。
ネットワークにコミュニティ名を設定していない場合、コミュニティ名は「public」となります。デフォルトでは「public」が設定された認証情報が登録されているため、コミュニティ名を設定していない場合は、SNMPの認証情報は登録不要です。
- Windowsの管理共有の認証情報
-
Windowsの管理共有にアクセスするためのIDとパスワードを登録します。
登録した認証情報は、探索範囲ごとに使用する情報を設定できます。各探索範囲でコンピュータの認証情報が異なる場合は、必要な認証情報を登録し、探索範囲ごとに設定する必要があります。
なお、認証情報を登録しない場合、探索時には機器情報を収集できません。機器の存在確認だけできます。
-
発見した機器への操作
機器の探索を実行して、新しい機器を発見したときのアクションについて検討します。実施できるアクションは次のとおりです。
-
発見した機器を自動的に管理対象にする
探索で発見された機器のうち、OSがWindowsと認識されたコンピュータが自動的に管理対象になります。
-
発見した機器に自動的にエージェントを配信する
エージェントがインストールされると、そのコンピュータが自動的に管理対象となり、セキュリティ管理の対象となります。
なお、エージェントをコンピュータに配信する場合は、Windowsの管理共有の認証情報の登録および割り当てが必要です。
-
機器情報の収集・更新間隔の検討
運用時に、機器情報をどのように収集し、更新するかを検討します。機器情報の更新方法は、管理対象のコンピュータにエージェントを導入するかどうかによって異なります。
-
エージェントを導入済みのコンピュータの場合
エージェントがコンピュータの情報を収集し、定期的に管理用サーバに通知します。これによって、管理用サーバが保持しているコンピュータの情報を最新情報に自動で更新できます。
また、定期的に自動収集するほかに、コンピュータの情報を任意のタイミングで収集することもできます。
-
エージェントレスのコンピュータの場合
エージェントレスのコンピュータからは、自動的に管理用サーバに情報を通知できません。このため、エージェントレスのコンピュータの機器情報は、定期的に収集・更新されるように設定されています。デフォルトでは、1時間間隔で情報が収集されるように設定されています。
エージェントレスのコンピュータの台数が多く、情報収集によってネットワークに負荷が掛かってしまうような場合は、環境に合わせて適切な収集間隔を検討します。
なお、エージェントを導入しているコンピュータの方が、エージェントレスのコンピュータに比べて詳細な情報を収集・管理できます。機器情報をどのように更新するかとあわせて、コンピュータへのエージェントの導入も検討してください。
(2) オンライン管理のコンピュータのセキュリティ対策を実施するための検討
組織のセキュリティのルールに従って、どのようにセキュリティポリシーを設定するかを検討します。また、設定したセキュリティポリシーによる判定スケジュールや、セキュリティの診断結果として作成されるレポートの集計対象、保存期間などを検討します。
セキュリティポリシーの検討
管理対象のコンピュータには、デフォルトで「デフォルトポリシー」が適用されます。組織内のルールが1種類の場合、デフォルトポリシーを編集することで、すべてのコンピュータに対してセキュリティポリシーの設定内容を一括して変更できます。一部のコンピュータに特別なセキュリティポリシーが必要な場合、メインで使用するセキュリティポリシーはデフォルトポリシーを利用し、特別なセキュリティポリシーを新規に作成します。
また、セキュリティポリシーの内容(セキュリティ設定項目とアクション項目)についても検討しておきます。
- セキュリティ判定項目および自動対策の検討
-
組織のルールに基づいて、セキュリティポリシーにどの判定項目を設定するかを検討します。また、違反している内容を自動的に対策する項目も検討しておきます。
- セキュリティポリシーに違反している場合のアクション項目の検討
-
セキュリティポリシーに違反している場合、どのようなアクションを実行するかについて検討します。次に示すアクションを実行できます。
-
セキュリティポリシーに違反していることを利用者に通知する。
-
セキュリティ上問題があるコンピュータのネットワーク接続を拒否する。
-
セキュリティ判定のスケジュールの検討
設定したセキュリティポリシーに従って、定期的にセキュリティ状況が判定されます。運用に応じて、設定画面で判定タイミングを設定してください。
セキュリティ診断レポートの集計についての検討
セキュリティ状況の判定結果をセキュリティ診断レポートとして集計できます。セキュリティ診断レポートを表示するために、レポートの集計期間、および保存期間などを検討してください。
-
集計期間
セキュリティ診断レポートは、現在の状況のほかに期間ごとの状況を確認できます。指定できる期間は週、月、四半期、半期、および年度です。組織の運用に合わせて、設定画面で各集計期間の起点となる日を設定できます。
-
保存期間
集計したセキュリティ診断レポートをどのくらいの期間で保存しておくかを検討します。1年から10年まで保存期間を設定できます。
(3) 資産情報を管理するための検討
組織内で所有している各種資産を管理できます。資産情報ごとに、管理する対象を検討します。
- ハードウェア資産
-
コンピュータ、サーバ、プリンタ、ネットワーク装置、USBデバイスなど、所有している機器の情報をハードウェア資産情報として管理できます。各資産の詳細情報を管理できるだけでなく、運用中、在庫、滅却済みなどのステータスも管理でき、組織内のハードウェア資産の状況を把握できます。
組織内で所有しているハードウェア資産のうち、JP1/IT Desktop Management 2で管理する資産を検討してください。また、各資産の情報を準備してください。
- ヒント
-
手もとに資産台帳がある場合は、台帳をインポートして資産情報を登録できます。
JP1/IT Desktop Management 2では、機器の情報をBIOSシリアルナンバーで関連づけて管理します。複数の機器のBIOSシリアルナンバーが同一である場合は、機器の情報が正しく関連づけられなくなります。機器の情報の関連づけをBIOSシリアルナンバー以外に変更する方法については、マニュアル「JP1/IT Desktop Management 2 運用ガイド」の機器情報の関連づけを変更する手順の説明を参照してください。
- ソフトウェアライセンス
-
所有しているソフトウェアライセンスの情報を管理できます。ソフトウェアライセンスごとに、利用を許可するコンピュータも管理できます。
ソフトウェアライセンスを管理するかどうか検討する際は、ソフトウェア種別を判断基準にできます。例えば、ソフトウェア種別が「有償ソフトウェア」のソフトウェアライセンスだけを管理することもできます。
ソフトウェアライセンスを管理する場合、ソフトウェアライセンスの証書の情報を登録します。組織内で所有しているソフトウェアライセンスの証書を準備してください。
- 管理ソフトウェア
-
ソフトウェアライセンスに対応するソフトウェアを登録して、ソフトウェアごとのライセンスの利用状況を管理できます。ライセンスの総数管理だけでなく、個々のコンピュータにライセンスを割り当てて、許可なくライセンスを利用しているコンピュータを確認することもできます。
事前に、実際に利用されているソフトウェアが、どのソフトウェアライセンスに対応しているかを把握しておきます。
- 契約
-
サポート契約やレンタル契約、リース契約など、ハードウェア資産やソフトウェアライセンスに関する契約情報を登録して、それぞれの資産情報と対応づけて管理できます。満了日が近づいている契約情報を把握できるので、今後の作業計画を予定することもできます。
契約情報を管理する場合は、契約書の情報を登録します。組織内で所有している、ハードウェア資産やソフトウェアライセンスに関する契約書を準備してください。
管理項目の検討
追加管理項目としてオリジナルの管理項目を作成できます。また、既存の管理項目に対しても、選択肢を追加できます。組織内で独自に管理したい情報がある場合は、あらかじめどのような管理項目を作成するかを検討しておきます。
- ヒント
-
資産情報をインポートして登録する場合、インポートするデータに含まれる管理項目をあらかじめ確認してください。JP1/IT Desktop Management 2にない項目を管理する場合は、インポートする前に管理項目を作成する必要があります。