1.7.2 セキュリティポリシー違反を対策する
JP1/IT Desktop Management 2では、セキュリティポリシー違反が起こった場合に備えてさまざまな設定ができます。セキュリティポリシー違反を自動的に対策したり、違反の発生を自動的にメール通知するように設定したりできます。
また、セキュリティポリシー違反が発生したあと対策するために、違反したコンピュータの設定を強制変更したり、利用者に自動的に対策依頼メッセージを通知したりする機能も備えています。
これらの機能を利用することで、セキュリティポリシー違反が発生したときにスムーズに対策できます。
- 重要
-
UNIXエージェント、Macエージェントについては次のようになります。
UNIXエージェントの場合
-
セキュリティ状況の判定をしないので、危険レベルは常に「
![[図データ]](GRAPHICS/ZU990046.GIF)
(不明)」が表示されます。
-
セキュリティ上の問題点の自動対策(OSパッチの自動配布)やメール通知はできません。
-
OSパッチの配布・適用は、リモートインストールマネージャを使用した配布で対策する必要があります。
Macエージェントの場合
-
セキュリティ状況の判定は、次の項目が対象です。対象外の項目の危険レベルは「対象外」が表示されます。
-
更新プログラム(自動更新)
-
使用ソフトウェア
-
OSのセキュリティ設定(Guestアカウント、パスワード更新からの経過日数、自動ログオン、ファイアウォール、スクリーンセーバーのパスワード保護)
-
ユーザ定義のセキュリティ設定
-
-
セキュリティ上の問題点の自動対策(OSパッチの自動配布)やメール通知はできません。
-
OSパッチの配布・適用は、リモートインストールマネージャを使用した配布で対策する必要があります。
-
- 〈この項の構成〉
(1) メールからセキュリティポリシー違反を把握する
セキュリティ状況の判定の結果、セキュリティポリシー違反があった場合に、自動的に管理者へメール通知するようにできます。メール通知を設定しておくことで、セキュリティ状況に問題が発生したことをタイムリーに把握でき、迅速な対応をとれます。
セキュリティポリシー違反があった場合、種別が「セキュリティ管理」のイベントが発生します。このイベントが発生したときに、自動的にメールが通知されるように設定します。通知されたメールを基に、セキュリティ状況を確認し、セキュリティポリシー違反を対策してください。
- 1.メール通知を設定する
-
メール通知の契機となるイベントとメールの通知先は、設定画面の[イベント]−[イベント通知の設定]画面で設定します。
セキュリティポリシー違反をメールで通知するためには、重大度が「緊急」と「警戒」、種類が「セキュリティ」のイベントをメール通知の対象に設定してください。
なお、通知するイベントの重大度とセキュリティ状況の危険レベルは次のように対応します。
重大度
危険レベル
![[図データ]](GRAPHICS/ZU030004.GIF)
(緊急)
![[図データ]](GRAPHICS/ZU990047.GIF)
(危険)
![[図データ]](GRAPHICS/ZU030005.GIF)
(警戒)
![[図データ]](GRAPHICS/ZU990048.GIF)
(警告)
![[図データ]](GRAPHICS/ZU990049.GIF)
(注意)
![[図データ]](GRAPHICS/ZU030006.GIF)
(情報)
![[図データ]](GRAPHICS/ZU990050.GIF)
(安全)
- 2.通知されたメールを確認する
-
JP1/IT Desktop Management 2から通知されるメールでは、セキュリティに関するイベントの発生状況を確認できます。緊急のイベントが発生していた場合は、メールに記載されたURLからJP1/IT Desktop Management 2の操作画面を起動して、セキュリティ状況を確認して対策してください。
メールで通知される内容を次に示します。
![[図データ]](GRAPHICS/Z070002J.GIF)
- 3.セキュリティ状況を確認する
-
JP1/IT Desktop Management 2の操作画面から、違反の内容や発生個所などの詳細情報を把握できます。ホーム画面やセキュリティ画面から、危険と判定されたコンピュータの状況を確認して対処してください。
なお、メールを通知するためには、メールの送信に利用するメールサーバを設定する必要があります。
関連リンク
(2) セキュリティポリシー違反を自動的に対策する
セキュリティポリシーに違反した項目があった場合に、自動的に適正状態に設定変更して自動対策できます。
セキュリティポリシーに自動対策を設定しておくことで、セキュリティポリシーが適用されたタイミングで、自動的に設定が適正状態に変更されます。このため、JP1/IT Desktop Management 2の管理者やコンピュータの利用者が対策する手間を省けます。組織内のセキュリティ方針や運用に応じて、セキュリティポリシーに自動対策を設定する項目を検討してください。
- ヒント
-
例えば、意図的にWindowsファイアウォールを使用しないようにしている環境では、自動対策によってWindowsファイアウォールが有効になってしまうと、運用に支障をきたすおそれがあります。このような場合は、セキュリティポリシーで自動対策されないように設定してください。
セキュリティポリシーの違反を対策できたかどうかは、セキュリティ画面で該当する項目が安全()になっているかどうかで確認できます。
関連リンク
(3) セキュリティポリシー違反を手動で対策する
セキュリティ状況を確認した結果、セキュリティポリシーに違反した項目があった場合は手動で対策します。
- 強制的に対策する
-
セキュリティの設定項目で自動対策できる項目については、セキュリティポリシー違反が発生した場合に、任意のタイミングで強制対策できます。
- 利用者に対策してもらう
-
セキュリティポリシーに違反したコンピュータの利用者に、違反内容と任意のメッセージを自動的に通知できます。自動対策と併用することで、パスワードの安全性やパワーオンパスワードなどの自動対策をしない(できない)項目の対策を利用者に促せます。メッセージの自動通知は、[セキュリティポリシーの追加]ダイアログまたは[セキュリティポリシーの編集]ダイアログの[アクション項目]で設定できます。
また、任意のタイミングでコンピュータの利用者にメッセージを通知することもできます。
セキュリティポリシーの違反を対策できたかどうかは、セキュリティ画面で該当する項目が安全()になっているかどうかで確認できます。
関連リンク
(4) オフライン管理のコンピュータのセキュリティポリシー違反を対策する
オフライン管理のコンピュータは、次に示す項目は自動対策できません。
-
更新プログラム適用の自動対策
-
使用禁止ソフトウェアの自動対策(アンインストール)
-
必須ソフトウェアの自動対策
そのため、セキュリティ状況を確認した結果、自動対策できない項目でセキュリティポリシーに違反した項目があった場合は、対象のコンピュータの利用者に、管理者が直接対策の指示をします。
対策を実施したあと、オフライン管理のコンピュータの機器情報を取得し直して、セキュリティ状況を確認します。
セキュリティポリシーの違反を対策できたかどうかは、セキュリティ画面で該当する項目が安全()になっているかどうかで確認できます。