セキュリティの管理

組織内のコンピュータのセキュリティを阻害する要因には、ウィルス対策製品の未インストール、

ファイル共有ソフトウェアのインストール、OSセキュリティ設定の不備など、多くの要素がありま す。組織内のセキュリティ状況を安全に保つためには、これらの要因に対するセキュリティのルー ルを決め、それを各コンピュータの利用者に遵守させる必要があります。また、セキュリティの現 状を把握して、問題点を適宜対策することも必要です。

JP1/IT Desktop Managementでは、組織内のセキュリティのルールを「セキュリティポリシー」

として設定し、それらを各コンピュータに適用することで、問題点を発見して管理者に通知したり、

自動的に対策したりできます。

180 機能の紹介

セキュリティポリシーを利用することで、次のセキュリティ状況を把握できます。

• 更新プログラムの適用状況

• ウィルス対策製品の適用状況

• 使用を必須とするソフトウェアのインストール状況

• 使用を禁止しているソフトウェアのインストール状況

• サービスの稼働状況

• OS設定の状況

また、このほかにも、ソフトウェアやUSBデバイスなどの利用抑止、各コンピュータでの不審操作 の検知など、セキュリティ管理に関するさまざまな設定ができます。

2.9.1 セキュリティ状況を管理する仕組み

コンピュータのセキュリティ状況は、次の図に示すように管理します。

はじめに、組織のセキュリティのルールに沿ってセキュリティポリシーを設定します。JP1/IT Desktop Managementでは、管理対象のコンピュータにデフォルトポリシーが自動的に割り当たり ます。このため、運用開始直後はセキュリティポリシーを作成しなくても、デフォルトポリシーに よって判定されたセキュリティ状況を確認できます。また、セキュリティの推奨設定をした推奨セ キュリティポリシーも提供しています。デフォルトポリシーと推奨セキュリティポリシーの設定内 容については、「(2) 製品が提供するセキュリティポリシー」を参照してください。

デフォルトポリシー以外のセキュリティポリシーでセキュリティ状況を判定するためには、セキュ リティポリシーを追加して管理対象のコンピュータに割り当てる必要があります。コンピュータに

セキュリティポリシーを割り当てると、セキュリティポリシーの設定に基づいて、収集された機器 情報を基に管理用サーバでセキュリティ状況が判定されます。また、管理対象のコンピュータで禁 止操作の抑止、および操作ログの取得が実行されます。自動対策を設定している場合は、セキュリ ティポリシーに違反していた場合に対策が実行されます。セキュリティ状況の判定については、

「2.9.3 セキュリティ状況の判定」を参照してください。禁止操作の抑止については、「2.9.5 禁止操

作の抑止」を参照してください。

セキュリティ状況の判定結果、および禁止操作の抑止結果は管理用サーバに通知され、コンピュー タのセキュリティ状況が表示されます。管理者は、セキュリティ状況を確認し、問題点を対策しま す。セキュリティポリシーにメッセージの自動通知を設定していると、判定結果に応じて管理対象 のコンピュータに自動的にメッセージが通知されます。

操作ログは定期的に収集され、セキュリティポリシーの設定に従って不審操作が検知されます。検 知された操作を基に、管理者は操作ログを追跡調査して、情報漏えいが発生していないかどうかを 確認できます。操作ログの取得と不審操作の検知については、「2.10.4 操作ログに基づく不審操作の 調査」を参照してください。

注意 Active Directoryのグループポリシーで組織内のコンピュータのセキュリティ設定を規定している場合、

JP1/IT Desktop Managementのセキュリティポリシーでセキュリティ設定を自動対策しても、Active Directoryでの設定が優先されます。

注意 仮想コンピュータのセキュリティ状況を管理する場合、仮想化サーバだけでなく、仮想コンピュータにも エージェントを導入してください。

関連リンク

• (1) セキュリティポリシーに設定できる項目

2.9.2 セキュリティ管理できる機器

JP1/IT Desktop Managementでは、管理対象となる機器だけセキュリティ管理できます。

なお、管理対象となる機器は、エージェントが導入されているかどうかで異なります。セキュリティ 管理できる機器について次の表に示します。

機種種別 OS種別

セキュリティ管理機能の実行可否 セキュリティ

の判定 自動対策

アクション メッセージ通

知

ネットワーク 制御 コンピュータ Windows 7 ○　^※1、※2 △　 △　 ○　

Windows Server 2008 R2

Windows Server 2008 Windows Vista Windows Server 2003 R2^※3

Windows Server 2003^※3 Windows XP

Windows 2000

Linux ×　 ×　 ×　 ○　

UNIX Mac OS 不明

182 機能の紹介

機種種別 OS種別

セキュリティ管理機能の実行可否 セキュリティ

の判定 自動対策

アクション メッセージ通

知

ネットワーク 制御

スマートデバイス iOS ×　 ×　 ×　 ○　

Android

ストレージ － ×　 ×　 ×　 ○　

ネットワーク装置 プリンタ 周辺装置 USBデバイス ディスプレイ その他

管理者が追加した 機器種別 不明な機器

（凡例）○：実行できる　△：エージェント導入済みの機器だけ実行できる　×：実行できない　

－：該当なし

注※1　エディションが「不明」の場合、対象外となります。

注※2　Active Directoryの探索、またはネットワークの探索のSNMP認証で管理対象にしたコン ピュータは、セキュリティの判定はできません（判定結果は「不明」になります）。

注※3　Windows Server 2003とWindows Server 2003 R2は、同じOSとして扱われます。例え ば、［セキュリティポリシーの編集］ダイアログのセキュリティ設定項目の「更新プログラム」で、

指定したグループにWindows Server 2003 Standard Editionが含まれる場合、Windows Server 2003 Standard EditionおよびWindows Server 2003 R2 Standard Editionが対象となります。

2.9.3 セキュリティ状況の判定

コンピュータにセキュリティポリシーを割り当てると、セキュリティポリシーの設定に基づいてセ キュリティ状況が判定されます。判定のタイミングになると、セキュリティポリシーのセキュリ ティ設定項目の条件と、管理対象のコンピュータから収集した機器情報を比較して、危険レベルを 判定します。

セキュリティ状況は次のタイミングで判定されます。

• セキュリティポリシーが割り当てられたとき

• セキュリティポリシーが更新されたとき

• 管理対象のコンピュータの機器情報が更新されたとき

• 管理対象のコンピュータが属するグループが変更されたとき

• 定期的な判定（デフォルトは毎日0：00）

なお、セキュリティポリシーのアクション項目でメッセージ通知を設定しておくと、セキュリティ 状況の判定結果に応じて、コンピュータにメッセージを自動的に通知できます。メッセージにはセ キュリティの問題点が載っているので、メッセージに従って対処するよう指示しておくことで管理 者が問題点を対処する手間が省けます。

参考 OSのコンポーネントや特定のプログラムによって、OSのユーザーアカウントが自動作成されている場 合、利用しないユーザーアカウントのセキュリティ状況まで判定されてしまうと、セキュリティ状況を正しく管 理できないおそれがあります。このような場合、利用しないユーザーアカウントを判定の対象外にすることで、

適切にセキュリティ状況が判定されるように設定できます。