第 4 章 運用
4.7 マネージャーのシステム設定
4.7.3.4 iNetSec Inspection Center 連携
iNetSec Inspection Center連携に関する設定項目は、iNetSec Inspection Center連携機能が有 効な場合にのみ表示されます。iNetSec Inspection Center連携機能の有効化については、
"11.13 iNetSec Inspection Center連携機能有効化コマンド(pq_collaborate_ic.exe)"を参照
してください。
以下に、iNetSec Inspection Center連携に関する設定項目について説明します。
第4章 運用
表 4.20 iNetSec Inspection Center連携運用の項目
画面項目 説明
検疫設定 iNetSec Inspection Centerの検疫に関する設定を行います。「デフォルト設
定を使用」をチェックすると、デフォルトセグメントグループの設定値が表 示中の画面に反映されます。
検疫サーバ 検疫クライアントの検疫を実施する検疫サーバのアドレスを255文字以内の 英数字と「.」「-」「_」で指定します。IPアドレスまたはFQDNで指定しま す。また、通信プロトコルをhttp/httpsから選択し、通信ポート番号を1~
65535の半角数字で指定します。
検疫サーバアドレスを設定しないと、センサー管理画面でセンサーを「検疫 する」状態にできません。
治癒サーバ セキュリティパッチを適用するために、接続を許可するサーバのあて先を 255 文字以内の英数字と「.」「-」「_」で指定します。
FQDN、IPアドレス、またはネットワークアドレス指定ができます。
また、オプションとして通信ポート番号を1~65535で指定できます。ポー ト番号を指定した場合、指定したサーバの指定ポートへのTCP/UDP通信の みが対象となります。治癒サーバとして、ネットワークアドレスを指定した 場合、ポート番号は指定できません。センサーは、未検疫のマシンから登録 されたサーバへの通信は許可します。
治癒サーバは、ネットワークアドレスの形式にかかわらず、1セグメントグ ループあたり128件まで登録できます。登録内容が重複していると、エラー メッセージが表示され登録できません。
なお、「(1)検疫サーバ」で指定した検疫サーバアドレス(TCP)とDNSプロ トコルは、設定する必要はありません。
[▼登録]ボタン 指定した検疫サーバまたは治癒サーバが、リストに登録されます。検疫サー バは、1セグメントグループあたり10件まで登録できます。治癒サーバは、
1セグメントグループあたり128件まで登録できます。[▲]および[▼]ボ タンで登録順序を入れ替えることができます。
[削除]ボタン 指定した検疫サーバまたは治癒サーバがリストから削除されます。「検疫す る」状態のセンサーが存在する場合に、全件削除しようとするとエラーメッ セージが表示され、削除できません。センサー管理画面で「検疫する」状態 を解除してから、全件削除してください。
検疫クライアントとの通信設定 共有シーク
レット iNetSec Inspection Centerで指定したセンサー連携時の共有シークレットを
指定します。共有シークレットは、4~16文字以内の半角英数字と、「_」
「-」「@」「.」で指定します。デフォルトは「inetsec」です。省略できませ ん。iNetSec Inspection Centerで設定する共有シークレットについては、
『iNetSec Inspection Center ユーザーズガイド』を参照してください。
注意
• iNetSec Inspection Centerで指定した共有シークレットの値と異な る場合は、検疫ログインに成功しても遮断が解除されません。
ヒント
• 共有シークレットは、マネージャーをインストールした直後に変 更してください。その後も定期的に(1年に1回程度)変更して ください。
共有シーク レット
(再入力)
第4章 運用
仮想IPアドレ ス
検疫サーバと連携するためのセンサー仮想IPアドレスを設定します。
iNetSec Inspection Centerのセンサー連携時の環境定義ファイル
($QUARANTINE_CONF_DIR/quarantine/share/conf/INSPCSensorPlugin.conf
(*))のAuthCGIHostで設定した値を設定します。
デフォルトは1.2.3.4です。省略できません。
*) $QUARANTINE_CONF_DIRは、検疫サーバの環境ファイルの インストールディレクトリです
注意
• 仮想IPアドレスの設定を誤ると、検疫サーバへの誘導や遮断が解 除されません。iNetSec Inspection Centerのセンサー連携時の環 境定義ファイル($QUARANTINE_CONF_DIR/quarantine/share/
conf/INSPCSensorPlugin.conf)のAuthCGIHostで設定した値が 仮想IPアドレスの値として設定されているかを確認してくださ い。
自動ログアウト時間 アイドルタイ ムアウト
遮断解除後、検疫クライアントの無通信状態の時間を1~1440(分)の整数 で設定します。デフォルトは30(分)です。省略できません。設定値を超え ると、未検疫状態となり、遮断されます。
ログイン状態の検疫クライアントは、センサーに定期的にクライアント機器 が稼働していることを通知します。通知する間隔は、
iNetSec Inspection Centerで設定した定期接続間隔となります。
アイドルタイムアウトの時間を変更した場合、検疫ログインに成功した機器 から変更した設定値が適用されます。変更した時点で、すでに検疫ログイン に成功した機器には、変更した設定値が反映されません。
セッションタ
イムアウト iNetSec Inspection Centerで許可されてからログアウトせずに、接続し続け た場合は、再度検疫が必要になるまでの時間を0~744(時間)の整数で設 定します。
デフォルトは0(無制限)です。省略できません。
セッションタイムアウトの時間を変更した場合、検疫ログインに成功した機 器から変更した設定値が適用されます。変更した時点で、すでに検疫ログイ ンに成功している機器には、変更した設定値が反映されません。
検疫サーバの稼働監視
緊急時対処 1 つのセグメントに設定されている全検疫サーバの監視に失敗した場合に、
検疫未実施の機器を接続するか遮断するかについて、以下のいずれかを選択 します。
• 検疫未実施機器を接続させる
• 検疫未実施機器を遮断する
緊急時対処後も、「切り戻し時間」の間隔で稼働監視を継続し、検疫サーバが 復旧次第、緊急時対処を解除します。
ヒント
• 「検疫未実施機器を接続させる」を選択した場合は、緊急対処モー ドになった場合、センサーが管理している未検疫機器はログイン したとみなされ、検疫サーバが復旧してもクライアント機器がタ イムアウトするまでは接続できます。
画面項目 説明
第4章 運用
注意
• 検疫サーバとして設定しているアドレスを外部利用申請サーバや遮断除外サーバ、治癒 サーバに設定しないでください。
• 外部利用申請サーバは遮断除外サーバや治癒サーバに設定しないでください。
• 遮断除外サーバに設定しているアドレスは治癒サーバに設定しないでください。
監視間隔 各センサーが検疫サーバを稼働監視する監視間隔を30~3600(秒)の整数 で設定します。
監視間隔を変更した場合は、変更後に監視した監視間隔から変更値が有効に なります。
前回の監視が完了してから、指定された時間後に再度監視します。
デフォルトは30(秒)です。省略できません。
監視リトライ 回数
各センサーが検疫サーバを稼働監視するときのリトライ回数を0~30(回)
の整数で設定します。
0を指定した場合は、リトライしません。
デフォルトは10(回)です。省略できません。
監視タイムア ウト
各センサーが検疫サーバを稼働監視するときのタイムアウト値を1~30
(秒)の整数で設定します。
変更した場合は、変更後に監視した監視間隔から設定値が有効になります。
デフォルトは5(秒)です。省略できません。
切り戻し時間 検疫サーバの稼働監視で、優先度の低い検疫サーバに切り替わった後、再び 優先度の高い検疫サーバへ切り戻すまでの時間を1~1440(分)の整数で指 定します。
デフォルトは30(分)です。省略できません。
切り戻し時間は、「監視タイムアウト×監視リトライ回数×検疫サーバ台数」
よりも十分に長い時間を設定してください。
この設定は、全検疫サーバダウン時の緊急時対処からの切り戻し時間と共通 となります。
検疫ログイン状態表示(センサー)
パスワード センサーの検疫ログイン状態表示画面へのログイン時に使用するパスワード を8~32文字までの英数字、および以下の記号で設定します。
! # $ % ( ) _ - ~ ^¥[ ]:+,
検疫ログイン状態表示画面については、"3.7 iNetSec Inspection Center連携 運用の設定"を参照してください。
デフォルトは、「iNetSecSF」です。パスワードを変更する場合のみ入力して ください。
パスワード
(再入力)
画面項目 説明
第4章 運用
4.7.4 システム設定画面[システム全体設定]タブ
以下に、システム設定画面[システム全体設定]タブの項目について説明します。
表 4.21 システム設定画面[システム全体設定]タブの項目
画面項目 説明
機器種別
機器識別辞書 機器識別情報が集約された機器識別辞書を更新する場合に設定します。
[設定]ボタン 機器識別辞書設定画面が表示されます。
高度な設定 機器識別用
SNMPコミュニ
ティー名
機器種別の識別およびプリンターの情報収集のために使用するSNMP コ ミュニティー名を、1 ~ 64 文字以内の空白およびカンマを除く半角英数字 と記号で指定します。複数のSNMPコミュニティー名(最大10件)を指定 するには、カンマで区切ります。この項目の指定に加えて、SNMP コミュ ニティー名には「public」も使用されます。
動作設定
マネージャーの動作設定
イベント保存期間 イベント参照画面で表示するイベント情報の保存期間を30/60/90(日)か ら選択します。デフォルトは 30(日)です。保存期間を超えたイベント情 報はマネージャーの定期処理時に自動削除されます。また、イベント情報が 10 万件を超えた場合は、保存期間内でも定期処理時に古いイベントから自 動削除されます。
マネージャー定期 処理時刻
マネージャー上で1日1回実行する、イベント削除や長期未接続機器情報 削除などの定期処理時刻を、00:00~23:59の範囲で、「hh:mm」形式、
「hh:m」形式、「h:mm」形式、「h:m」形式のいずれかで設定します。デフォ ルトは 02:00 です。省略できません。
定期処理時刻を変更する場合は、すでにその時刻を過ぎていれば、翌日より 変更後の時刻で動作します。