機器のネットワーク接続の管理

無線LANやモバイルコンピュータの普及に伴い利便性が向上してきたことで、組織の従業員また は組織外の人によって個人が使用するコンピュータが意図的に持ち込まれ、容易に組織内のネット ワークに接続されるおそれがあります。セキュリティ対策がされていない機器がネットワーク接続 することによるウィルス感染や、機密情報の不正持ち出しといった被害を防ぐためには、ネットワー ク接続されている機器を把握して管理する必要があります。

ネットワークモニタ機能を利用して未許可の機器のネットワーク接続を遮断するように管理するこ とで、企業のネットワークを保護できます。また、ネットワークを監視することで、未確認の機器 がネットワーク接続されたことをリアルタイムに検知できるようになります。

なお、管理用サーバ、サイトサーバ、またはネットワークモニタエージェントをインストールして いるコンピュータは、ネットワーク接続を遮断できません。

2.8.1 ネットワーク監視機能による機器の検知

機器画面の［機器情報］－［機器一覧（ネットワーク）］画面に表示される各ネットワークセグメン トのグループで、ネットワークモニタを有効にすると、新規にネットワークに接続しようとした機 器を検知できます。検知された機器には、自動的にネットワークの探索が実行されます。発見され た機器は、ネットワークモニタ設定に従って、ネットワーク接続が制御されます。

注意 ネットワークモニタ機能は、ネットワーク接続を許可する機器、および許可しない機器を十分に確認して から使用してください。ネットワークへの接続を制御する方法を誤ると、業務に使用している機器の接続が遮断 されるなど、トラブルにつながるおそれがあります。

参考 機器を検知するためには、一つのネットワークセグメントに対して1台のエージェント導入済みコン ピュータのネットワークモニタを有効にしてください。複数のネットワークカードを使って複数のネットワー クに接続できるコンピュータであれば、ネットワークモニタを有効にしたエージェント導入済みコンピュータ1 台で、複数のネットワークセグメントを監視できます。また、ネットワークセグメントの範囲の探索範囲を設定 し、認証情報を対応づけてください。なお、探索範囲に含まれないネットワークアドレスで機器が検知された場 合、認証情報を使用しない探索が実行されるため、MACアドレスとIPアドレスの情報だけ取得されます。

ネットワークに接続した機器を検知し、JP1/IT Desktop Managementに登録する仕組みについて 次の図に示します。

1^. 機器がネットワークに接続しようとすると、ネットワークモニタが有効になったエージェント導 入済みのコンピュータが、その機器を検知します。

2^. ネットワークモニタが有効になったエージェント導入済みのコンピュータから機器を検知した ことが管理用サーバに通知されます。

3^. 通知された情報を基に、その機器に対してネットワークの探索を実行します。

参考 発見時にエージェントレスの認証をしたい場合は、ネットワークモニタによって監視されるIPアドレ スを含む探索範囲と認証情報をあらかじめ設定してください。

4^. 探索の結果、発見された機器は、探索条件によって自動的に管理対象になったりエージェントが 自動配信されたりします。

注意 NATを経由したネットワークなど、管理用サーバから直接通信できないネットワークセグメントは、ネッ トワークモニタ機能を利用しても機器を検知できません。

注意 ネットワークの探索で発見した機器に、自動でエージェントを配信するように設定している場合、発見さ れたコンピュータがネットワーク接続を許可されなくても、そのコンピュータにエージェントは配信されます。

このため、ネットワーク接続が許可されないコンピュータにエージェントが導入された場合、セキュリティポリ シーのネットワーク制御の設定およびセキュリティの判定結果によっては、そのコンピュータがネットワーク接 続できてしまうことがあります。

参考 ネットワークモニタ設定が許可する/許可しないのどちらの設定でも、ネットワーク接続した機器を発見で きます。ネットワークモニタによって発見された機器には、自動的にネットワークの探索が実行されます。この ため、ネットワークの探索で、自動的に管理対象とする、またはエージェントを自動配信するよう設定されてい る場合は、ネットワークモニタによって機器が発見されると、自動的に管理対象になるか、エージェントが自動 配信されます。この場合、機器が管理対象になって、製品ライセンスが消費されます。

自動で管理対象にしたくない場合は、探索条件の設定で［自動的に管理対象とする］のチェックを外して、手動 で管理対象にするようにしてください。

2.8.2 ネットワーク接続を制御するための設定

ネットワークセグメントにネットワークモニタ機能を導入すると、ネットワークセグメント内の機 器のネットワーク接続を制御できます。ここでは、機器のネットワーク接続を制御する設定につい て説明します。

170 機能の紹介

ネットワークモニタ機能の導入

ネットワークモニタ機能を導入するためには、監視したいネットワークセグメントごとにネット ワークモニタを有効にします。ネットワークモニタを有効にすると、そのネットワークセグメント に対して機器のネットワーク接続を許可するかどうかを設定できるようになります。なお、ネット ワークモニタを有効にできるのは、ネットワークセグメント内のエージェント導入済みのコン ピュータ1台だけです。2台目は有効にできません。2台目を有効にしようとすると、エラーメッ セージが表示されます。

参考 ネットワークモニタが有効になっていないネットワークセグメントが存在するかどうかは、ホーム画面の

［通知事項］パネルで確認できます。ネットワークモニタが有効になっていないネットワークセグメントがある 場合、警告メッセージが表示されます。

ネットワーク接続の制御方法の設定

ネットワークモニタを有効にしたネットワークセグメントでは、ネットワーク接続の制御について 次の二つの設定ができます。

1^. 新規に発見された機器のネットワーク接続を許可するかどうかの設定（ネットワークモニタ設 定）

ネットワークモニタ設定では、新規に発見された機器のネットワーク接続を許可するかどうかを 設定できます。ネットワークモニタ設定は、ネットワークモニタを有効にしたコンピュータに割 り当てます。これによって、新規に発見された機器のネットワーク接続を許可するかどうかを、

ネットワークセグメントごとに設定できます。割り当てるネットワークモニタ設定は、ネット ワークモニタを有効化するときに選択できます。ネットワークモニタ設定の設定や割り当ては、

あとから変更することもできます。

ネットワークモニタ設定の管理については、「2.8.6 ネットワークモニタ設定による制御」を参照 してください。

2. 機器ごとにネットワーク接続を許可するかどうかの設定（ネットワーク制御リスト）

ネットワーク制御リストでは、機器ごとにネットワークへの接続を許可するかどうかを設定でき ます。発見された機器は自動的にネットワーク制御リストに登録されます。このとき、その機器 のネットワーク接続を許可するかどうかは、ネットワークモニタ設定に依存します。各機器の ネットワーク制御リストの設定を編集することで、機器ごとにネットワーク接続を制御できま す。また、利用開始日時と利用終了日時を指定することで、期間を指定してネットワーク接続を 制御することもできます。

参考 管理用サーバ、サイトサーバおよびネットワークモニタが有効になっているコンピュータは、利用期 間を指定できません。

参考 発見された機器を管理対象または除外対象にすると、ネットワーク制御リストの設定が自動的にネッ トワーク接続を許可するように変更されます。これは、その機器が組織内の機器であることを確認できたと 見なされるためです。

ネットワーク制御リストの管理については、「2.8.8 ネットワーク制御リストの管理」を参照して ください。

機器のネットワーク接続の可否は、ネットワークモニタ設定とネットワーク制御リストによって管 理されます。これらの設定を組み合わせることで、次のようなネットワーク制御ができます。

• 新規に接続する機器のネットワーク接続は許可するが、ネットワーク制御リストに登録した特定 の機器のネットワーク接続は許可しない（ブラックリスト方式）

• ネットワーク制御リストに登録した機器だけネットワーク接続を許可して、それ以外で新規に接 続する機器のネットワーク接続を許可しない（ホワイトリスト方式）