1.6　機器のネットワーク接続の管理

組織内のネットワークに個人所有のコンピュータやセキュリティが不十分なコンピュータが接続されると、そこからウィルスの感染や情報漏えいが発生するおそれがあります。組織内の機器を管理する場合は、不正なネットワーク接続を未然に防いだり、セキュリティが不十分な機器を即座にネットワークから遮断したりするために、機器のネットワーク接続を管理する必要があります。

JP1/IT Desktop Management 2では、次に示すような機能を利用して機器のネットワーク接続を管理できます。

• 接続を許可しない機器を指定する（ブラックリスト方式）

  機器の新規接続を許可している場合、セキュリティに問題がある機器だけネットワーク接続を遮断したいときなどに利用します。指定したコンピュータのネットワーク接続を遮断できるため、個々のコンピュータのネットワーク接続を制御できます。

• 接続を許可する機器を指定する（ホワイトリスト方式）

  組織内のネットワークに、個人所有のコンピュータなどからのネットワーク接続を許可したくない場合などに利用します。指定した機器以外のネットワーク接続を遮断できるため、より強固にセキュリティを保てます。

• 任意のタイミングで機器のネットワーク接続の遮断や接続許可を実施する

  ブラックリスト方式およびホワイトリスト方式のケースで、セキュリティに問題がある機器を見つけた場合に、その機器だけネットワーク接続を遮断したい場合に利用します。

• コマンドを使用して機器のネットワーク接続の遮断や接続許可を実施する

  管理用サーバまたは管理用サーバ以外の環境からのコマンド実行で、ネットワーク接続を遮断したい場合に利用します。

重要

ネットワークモニタ機能は、接続を許可する機器、および許可しない機器を十分に確認してから使用してください。ネットワークへの接続を制御する方法を誤ると、業務に使用している機器の接続が遮断されるなど、トラブルにつながるおそれがあります。

重要

ホワイトリスト方式でネットワーク接続を管理する場合、ルータ、スイッチ、ネットワークプリンタなど、JP1/IT Desktop Management 2が管理対象としない機器に対しても、ネットワーク接続を許可するように登録してください。特に、ルータやスイッチなどのネットワーク装置が接続を許可するよう設定されていないと、その配下に接続された機器もネットワークに接続できないため、注意してください。

重要

ルータ、プリンタ、サーバなどの業務上重要な機器については、ネットワーク制御リストの自動更新によって機器が遮断されないよう、ネットワーク制御リストに、その機器のIPアドレスを手動で登録することを推奨します。 この際、MACアドレスを入力すると、機器情報の更新によってネットワーク制御リストから削除されるおそれがあるため、［MACアドレス］欄を空白にしてください。

重要

ルータ、スイッチ、ネットワークプリンタなどのネットワーク装置は、当該装置からの通信が発生しにくいため、ネットワークモニタを有効にした運用を開始した直後などは、ネットワークモニタによって検知されない場合があります。

機器のネットワーク接続の管理は、機器画面および設定画面で実行します。

機器のネットワーク接続を管理する概念を次の図に示します。

機器のネットワーク接続を管理するためには、ネットワークセグメントごとにネットワークモニタを有効にしたエージェントを配置します。そうすると、管理用サーバから割り当てられたネットワークモニタ設定に従って、ネットワークの接続可否が制御されます。また、ネットワーク制御リストでは、機器ごとのネットワーク接続の可否を設定できます。

例えば、個人所有のコンピュータのネットワーク接続を禁止する場合、あらかじめネットワーク接続を許可する組織内の機器をネットワーク制御リストに登録し、そのあとでネットワークモニタ設定で新規機器の接続を禁止します。このように設定することで、個人所有のコンピュータがネットワークに接続しても自動的に遮断され、組織内のシステムを安全に保てます。

なお、管理用サーバ、中継システム、またはネットワークモニタエージェントをインストールしているコンピュータは、ネットワーク接続を遮断できません。

ここでは、次に示す業務でのJP1/IT Desktop Management 2の利用方法を説明しています。目的の業務に応じて説明を参照してください。

個人所有のコンピュータのネットワーク接続を禁止する

許可したコンピュータだけネットワークに接続できるようにします。

ウィルス感染時に機器のネットワーク接続を遮断する

ウィルスに感染した機器のネットワーク接続を遮断します。対策が完了したらネットワーク接続を回復します。

セキュリティポリシーに違反した機器のネットワーク接続を自動制御する

セキュリティポリシーの判定結果に従って、自動的にネットワーク接続を遮断および回復します。

一時的に機器のネットワーク接続を許可する

新規機器のネットワーク接続が禁止されている場合に、指定したコンピュータだけ一時的にネットワーク接続を許可します。

コマンドを使用して機器のネットワーク接続を遮断する

管理用サーバまたは管理用サーバ以外の環境からネットワーク接続を制御するコマンドを実行することで、自動的に機器のネットワーク接続を遮断および回復します。

重要

UNIXエージェントについては、ネットワークモニタの有効化とセキュリティ判定はできないため、ネットワーク接続/遮断の自動制御はできません。オンデマンドでの接続/遮断操作となります。

関連リンク

• 1.6.1　個人所有PCのネットワーク接続を禁止する流れ

• 1.6.2　ウィルス感染時に機器のネットワーク接続を遮断する流れ

• 1.6.3　セキュリティポリシーに違反した機器のネットワーク接続を自動制御する流れ

• 1.6.4　一時的に機器のネットワーク接続を許可する流れ

〈この節の構成〉

• 1.6.1　個人所有PCのネットワーク接続を禁止する流れ

• 1.6.2　ウィルス感染時に機器のネットワーク接続を遮断する流れ

• 1.6.3　セキュリティポリシーに違反した機器のネットワーク接続を自動制御する流れ

• 1.6.4　一時的に機器のネットワーク接続を許可する流れ

• 1.6.5　コマンドを使用して機器のネットワーク接続を制御する流れ

ページの先頭へ