ホワイトリストの作成

「ホワイトリスト」とは、機器管理画面の承認ステータスが「許可」となっている機器の一覧 です。承認ステータスが「未承認（検出）」の機器を、「許可」または「拒否」に設定して、承 認ステータスを確定することでホワイトリストを作成します。

マネージャーの導入が完了し、各ネットワークセグメントにセンサーが設置できたら、運用に 入る前にホワイトリストを作成します。ホワイトリストは、セグメントグループ単位で作成で きます。

ホワイトリストを作成するには、以下の方法があります。

• 一定期間接続される機器の情報をセンサーで収集した後、その間に接続された機器を管 理者が「許可」「拒否」を判断する方法

•

第3章 導入

注意

• セグメントグループを作成して運用する場合は、セグメントグループの作成・設定を 行った後にホワイトリストを作成してください。

以下に、それぞれのホワイトリスト作成手順を説明します。

3.6.1 接続機器の情報収集による作成

機器管理画面で一定期間接続された機器情報に対して、承認ステータスを設定し、ホワイトリ ストを作成できます。機器の承認ステータスは、セグメントグループ単位に設定できます。

セグメントグループにグループ管理者のロールが設定されたユーザーが割り当てられている場 合、そのグループ管理者がセグメントグループでの機器に対する承認ステータスを設定できま す。

ヒント

• iNetSec Patrol Cubeのセンサーが管理するセグメントは、「デフォルト」セグメントグ ループに属します。

［操作］

1. 各ネットワークセグメントにセンサーを設置します。

センサーが各ネットワークセグメントに接続された機器を検出し、マネージャーに通知 します。一定期間、接続された機器の情報がマネージャーに収集されるのを待ちます。

ヒント

• ^{センサーは毎日12:00にセグメント内の全IPアドレスに対して1秒間隔でARP}

requestを送信することで、自らARPを送信しないプリンターやWebカメラな

どの機器も検出します。ただし、この機能はセンサー設置セグメントのネットマ スクが16ビット（255.255.0.0）以上の場合のみ有効になります。

2. 機器管理画面で、収集した機器の情報を確認します。

機器管理画面の表示方法については、"4.2 接続機器の管理"を参照してください。セン サーで収集した機器は、ネットワークへの接続を許可するかどうかを表す以下の「承認 ステータス」を持っています。

− ^{未承認（検出）}

システム管理者またはグループ管理者による承認が行われていない状態を示します。

センサーが新規に機器を検出した場合は、この状態になります。

− ^許可

システム管理者またはグループ管理者が「ネットワークへの接続が許可された機器」

であると判断した状態を示します。

− ^拒否

システム管理者またはグループ管理者が「ネットワークへの接続が許可されていな い機器」であると判断した状態を示します。

第3章 導入

ヒント

• どの機器種別の承認ステータスを種別判定時に「許可」とするかは、システム設定 画面の「新規接続機器の自動許可」で指定できます。システム設定画面については、

"4.7 マネージャーのシステム設定"を参照してください。デフォルトでは、「プリン

ター」、「ネットワークスキャナ」 、「IP電話 」、「情報Kiosk端末」の機器種別は、

「許可」とする設定になります。

ただし、以下の機器は例外機器として、設定によらず自動で「許可」となります。

− ^{マネージャー}

− センサーに設定したゲートウェイ

− ^{外部利用申請サーバ}

− ^{検疫サーバ}

− ^{治癒サーバ}

− ^{遮断除外サーバ}

• 購入時の初期設定では、収集した機器の承認ステータスは、判定された機器種別に よって、以下の状態になります。

注意

• ホワイトリスト作成時には、スイッチ、ルータ、無線アクセスポイント、認証ス イッチなどの機器の承認ステータスを「許可」にしてください。「許可」以外の状態 で、センサーを遮断モードに変更すると、以下の問題が発生する場合があります。

− 機器保守時にその機器への接続（telnetなど）が遮断される

− 運用管理システム導入時にその機器の監視がエラーとなる

− 認証ネットワークで、認証スイッチのリダイレクト処理が誤動作する

3. 承認ステータスが「未承認（検出）」となっている機器に対して、承認ステータスを

「許可」（接続が許可された機器）または「拒否」（接続が許可されていない機器）に変 更します。

各ネットワークセグメントに設置されたセンサーは、承認ステータスを変更すること で、各機器のネットワーク接続を以下のように制御します。

承認ステータスを変更する方法については、"4.2 接続機器の管理"を参照してくださ

機器種別 承認ステータス

「Mac」、「Linux/UNIX」、「ルータ/スイッチ」、「NAS」、「携帯端末」、

「他のネットワーク機器」、「不明」

未承認（検出）

「プリンター」、「ネットワークスキャナ」、「IP電話」、「情報Kiosk端末」 許可

承認ステータス センサーの動作

許可 対象の機器がセグメントグループに属するネットワークに接続することを許 可します。

拒否 その機器がセグメントグループに属するネットワークに接続することを拒否 し、遮断します。

第3章 導入

ここで設定したホワイトリストの情報は、CSVファイルにエクスポートすることができ ます。エクスポートしたCSVファイルをメンテナンスし、インポートすることで機器 管理画面の機器情報に反映することもできます。エクスポートとインポートについては

"4.2.5 機器情報のファイル入力（インポート）"、"4.2.6 機器情報のファイル出力（エ クスポート）"を参照してください。

3.6.2 機器情報のインポートによる作成

すでに接続が許可された機器を把握している場合は、機器情報が記載された「機器情報ファイ ル」の「承認ステータス」を設定し、設定した機器情報ファイルをマネージャーにインポート することもできます。機器情報ファイルの形式については、"A.1 機器情報ファイルの形式"を 参照してください。

また、機器情報をインポートする方法については、"4.2.5 機器情報のファイル入力（インポー ト）"を参照してください。機器を「許可」するセグメントグループを指定した機器情報をイ ンポートすることで、特定のセグメントグループのホワイトリストを作成できます。