Hitachi

JP1 Version 12 JP1/IT Desktop Management 2 導入・設計ガイド


4.6.6 ネットワークを監視するための検討

未確認の機器の持ち込みによる情報漏えいやウィルス被害を防止するためには、ネットワークモニタ機能を利用してネットワークを監視し、組織内のネットワークに未確認の機器を接続させないようにします。

ネットワークを監視するためには、ネットワークの監視方法や監視対象となるネットワーク、ネットワーク接続を許可する機器などを検討します。

ネットワークの監視方法の検討

ネットワークの監視方法には、次の2とおりがあります。どちらの監視方法にするか、あらかじめ検討しておきます。

ブラックリスト方式

ネットワーク接続を許可しない機器を指定する方式です。登録した機器のネットワーク接続を遮断できます。それ以外の機器はネットワーク接続できます。ふだんはネットワーク接続を許可しておき、不明な機器が発見された場合にネットワーク接続を許可しないようにするときは、この方法で運用してください。

ブラックリスト方式の場合、ネットワーク制御リストの自動更新の設定は、すべての自動更新を有効にすることをお勧めします。すべての自動更新を有効にすると、ネットワーク制御リストに不要な情報が残りません。一方、自動更新のうち追加だけを有効にすると、ネットワーク制御リストに不要な情報が残るため、管理者が手動でネットワーク制御リストをメンテナンスする必要があります。

自動更新を設定する方法については、マニュアル「JP1/IT Desktop Management 2 運用ガイド」のネットワーク制御リストの自動更新の設定を編集する手順の説明を参照してください。

ホワイトリスト方式

あらかじめネットワーク接続を許可する機器を指定する方式です。登録した機器はネットワーク接続できます。それ以外の機器がネットワーク接続した場合、自動的に遮断されます。機器のネットワーク接続で強固なセキュリティを確保したい場合は、この方法で運用してください。

ホワイトリスト方式の場合、ネットワーク制御リストの自動更新の設定について、すべての自動更新を有効にすると、NIC(無線LANカードを含む)の使い回しを自動で防止できます。ただし、自動更新の設定をしたタイミングによっては機器のネットワーク接続が遮断されることがあります。また、自動更新のうち追加だけを有効にすると、管理者がネットワーク制御リストをメンテナンスすることで、NICの使い回しを防止できます。

自動更新を設定する方法については、マニュアル「JP1/IT Desktop Management 2 運用ガイド」のネットワーク制御リストの自動更新の設定を編集する手順の説明を参照してください。

ヒント

監視方法は、ネットワークセグメントごとに設定できます。

監視するネットワークセグメントの検討

ネットワークモニタ機能はネットワークセグメントごとに導入します。このため、組織内のどのネットワークセグメントを監視するかを検討します。

ネットワークを監視するためには、対象となるネットワークセグメント内にネットワークモニタを有効にしたコンピュータを設置する必要があります。複数のネットワークカードを使って複数のネットワークに接続できるコンピュータであれば、ネットワークモニタを有効にしたコンピュータ1台で、複数のネットワークセグメントを監視できます。また、ネットワークの監視は、ネットワークモニタ機能が動作している間だけ有効になります。このため、ネットワークモニタを有効にするコンピュータには、24時間稼働していて、エージェントを導入できるコンピュータを選定してください。

ネットワーク接続の制御対象とする機器の検討

ネットワークの監視方法によって、検討する機器が異なります。

ブラックリスト方式の場合

ネットワーク接続を許可しない機器を検討しておきます。手動で登録するために、IPアドレスとMACアドレスを確認しておきます。

ホワイトリスト方式の場合

ネットワーク探索機能やエージェントの導入などによって、ネットワーク接続を許可する機器をすべて発見しておきます。なお、ネットワークモニタを有効にすると、そのネットワークセグメントに存在する機器は自動的に発見されます。

ヒント

ネットワーク接続の制御対象となる機器は、次の方法で登録します。

  • ネットワーク探索機能やネットワークモニタ機能を利用して発見する(自動登録される)

  • エージェント導入済みのコンピュータが接続する(自動登録される)

  • 管理者が手動で登録する

ヒント

ホワイトリスト方式で運用するためには、ネットワーク接続を許可する機器をすべて抽出する必要があるため、運用初期は難易度が高くなります。運用初期はブラックリスト方式でネットワークを監視しておき、しばらく運用して機器をすべて抽出できたらホワイトリスト方式に変更するといったこともできます。

ヒント

ネットワークモニタ機能を使用する場合、ネットワーク接続を許可するすべてのコンピュータを管理対象にしてください。コンピュータ以外の機器は、管理対象にしなくてもかまいません。

検疫通信の検討

ネットワーク接続が遮断されている機器が、例外的に通信できる機器を設定できます。組織の運用方法に応じて、対象の機器を検討してください。

例えば、セキュリティ対策用のサーバを設定します。これによって、セキュリティ対策が不十分で自動的に遮断されたコンピュータは、管理用サーバおよびセキュリティ対策用のサーバだけと接続できます。コンピュータは、セキュリティ対策用のサーバから対策ツールを実行して対策し、セキュリティ状況が安全になったら自動的にネットワーク接続できるようになるといった運用を実現できます。