起動時のセキュリティー強化! IPSec ポリシーが適用される前の通信を保護 " IPSec 適応前は該当マシンからの outbound トラフィックは許可 " IPSec 適応前は outbound への応答 inbound トラフィックは許可 " IPSec 適応前はそれ以外のトラフィックをフィ

IPSec

IPSec

の新機能

の新機能

の新機能

の新機能

の新機能

の新機能

の新機能

の新機能

管理

管理

管理

管理

管理

管理

管理

管理

!

!

IP

_IP

セキュリティ

セキュリティ

セキュリティ

セキュリティ

セキュリティ

セキュリティ

セキュリティ

セキュリティ

モニタ

モニタ

モニタ

モニタ

モニタ

モニタ

モニタ

モニタ

!

!

Netsh

_Netsh

でのコマンド

でのコマンド

でのコマンド

でのコマンド

でのコマンド

でのコマンド

でのコマンド

でのコマンド

ライン管理

ライン管理

ライン管理

ライン管理

ライン管理

ライン管理

ライン管理

ライン管理

!

!

ローカル

ローカル

ローカル

ローカル

ローカル

ローカル

ローカル

ローカル

IP

_IP

の構成のための論理アドレス

の構成のための論理アドレス

の構成のための論理アドレス

の構成のための論理アドレス

の構成のための論理アドレス

の構成のための論理アドレス

の構成のための論理アドレス

の構成のための論理アドレス

セキュリティ

セキュリティ

セキュリティ

セキュリティ

セキュリティ

セキュリティ

セキュリティ

セキュリティ

!

!

より強固な暗号マスターキ

より強固な暗号マスターキ

より強固な暗号マスターキ

より強固な暗号マスターキ

より強固な暗号マスターキ

より強固な暗号マスターキ

より強固な暗号マスターキ

より強固な暗号マスターキ

(

₍

Diffie

Diffie

-

-

Hellman

Hellman

)

)

!

!

コンピュータ起動時セキュリティ

コンピュータ起動時セキュリティ

コンピュータ起動時セキュリティ

コンピュータ起動時セキュリティ

コンピュータ起動時セキュリティ

コンピュータ起動時セキュリティ

コンピュータ起動時セキュリティ

コンピュータ起動時セキュリティ

!

!

セキュリティ強化の継続的なポリシー

セキュリティ強化の継続的なポリシー

セキュリティ強化の継続的なポリシー

セキュリティ強化の継続的なポリシー

セキュリティ強化の継続的なポリシー

セキュリティ強化の継続的なポリシー

セキュリティ強化の継続的なポリシー

セキュリティ強化の継続的なポリシー

!

!

証明書の要求から

証明書の要求から

証明書の要求から

証明書の要求から

証明書の要求から

証明書の要求から

証明書の要求から

証明書の要求から

CA

_CA

の名前を排除する機能

の名前を排除する機能

の名前を排除する機能

の名前を排除する機能

の名前を排除する機能

の名前を排除する機能

の名前を排除する機能

の名前を排除する機能

!

!

向上した既定の例外処理

向上した既定の例外処理

向上した既定の例外処理

向上した既定の例外処理

向上した既定の例外処理

向上した既定の例外処理

向上した既定の例外処理

向上した既定の例外処理

相互運用性

相互運用性

相互運用性

相互運用性

相互運用性

相互運用性

相互運用性

相互運用性

!

!

ネットワーク

ネットワーク

ネットワーク

ネットワーク

ネットワーク

ネットワーク

ネットワーク

ネットワーク

アドレス変換

アドレス変換

アドレス変換

アドレス変換

アドレス変換

アドレス変換

アドレス変換

アドレス変換

(NAT)

₍

NAT)

の

の

の

の

の

の

の

の

IPSec

IPSec

機能

機能

機能

機能

機能

機能

機能

機能

!

起動

起動

起動

起動

起動

起動

起動

起動

時のセキュリティー強化

時のセキュリティー強化

時のセキュリティー強化

時のセキュリティー強化

時のセキュリティー強化

時のセキュリティー強化

時のセキュリティー強化

時のセキュリティー強化

!

!

IPSec

_IPSec

ポリシーが適用される前の通信を保護

ポリシーが適用される前の通信を保護

ポリシーが適用される前の通信を保護

ポリシーが適用される前の通信を保護

ポリシーが適用される前の通信を保護

ポリシーが適用される前の通信を保護

ポリシーが適用される前の通信を保護

ポリシーが適用される前の通信を保護

"

"

IPSec

IPSec

適応前は該当マシンからの

適応前は該当マシンからの

適応前は該当マシンからの

適応前は該当マシンからの

適応前は該当マシンからの

適応前は該当マシンからの

適応前は該当マシンからの

適応前は該当マシンからの

outbound

outbound

トラフィックは許可

トラフィックは許可

トラフィックは許可

トラフィックは許可

トラフィックは許可

トラフィックは許可

トラフィックは許可

トラフィックは許可

"

"

IPSec

_IPSec

適応前は

適応前は

適応前は

適応前は

適応前は

適応前は

適応前は

適応前は

outbound

outbound

への応答

への応答

への応答

への応答

への応答

への応答

への応答

への応答

inbound

inbound

トラフィッ

トラフィッ

トラフィッ

トラフィッ

トラフィッ

トラフィッ

トラフィッ

トラフィッ

クは許可

クは許可

クは許可

クは許可

クは許可

クは許可

クは許可

クは許可

"

"

IPSec

_IPSec

適応前はそれ以外のトラフィックをフィルタ

適応前はそれ以外のトラフィックをフィルタ

適応前はそれ以外のトラフィックをフィルタ

適応前はそれ以外のトラフィックをフィルタ

適応前はそれ以外のトラフィックをフィルタ

適応前はそれ以外のトラフィックをフィルタ

適応前はそれ以外のトラフィックをフィルタ

適応前はそれ以外のトラフィックをフィルタ

"

IPSec

IPSec

の既定の例外ルール

の既定の例外ルール

の既定の例外ルール

の既定の例外ルール

の既定の例外ルール

の既定の例外ルール

の既定の例外ルール

の既定の例外ルール

レジストリ値に保存

レジストリ値に保存

レジストリ値に保存

レジストリ値に保存

レジストリ値に保存

レジストリ値に保存

レジストリ値に保存

レジストリ値に保存

HKLM

HKLM

¥

¥

SYSTEM

SYSTEM

¥

¥

CurrentControlSet

CurrentControlSet

¥

¥

Services

Services

¥

¥

IPSEC

IPSEC

¥

¥

NoDefaultExempt

NoDefaultExempt

X

X

X

X

!

!

IKE

_IKE

!

!

Multicast

Multicast

!

!

Broadcast

Broadcast

!

!

RSVP

_RSVP

!

!

IKE

IKE

!

!

Kerberos

Kerberos

!

!

Multicast

_Multicast

!

!

Broadcast

Broadcast

!

!

IKE

IKE

!

!

RSVP

RSVP

!

!

IKE

_IKE

!

!

Kerberos

Kerberos

!

!

IKE

IKE

!

!

Multicast

_Multicast

!

!

Broadcast

Broadcast

!

!

RSVP

RSVP

!

!

IKE

_IKE

!

!

Kerberos

Kerberos

!

!

Multicast

Multicast

!

!

Broadcast

_Broadcast

3

3

2

2

1

1

0

0

NoDefaultExempt

NoDefaultExempt

values

values

IPSec

IPSec

の

の

の

の

の

の

の

の

NAT

_NAT

への対応

への対応

への対応

への対応

への対応

への対応

への対応

への対応

!

!

_{Windows .NET 2003}

_{Windows .NET 2003}

での

での

での

での

での

での

での

での

_IPSec

_IPSec

実装

実装

実装

実装

実装

実装

実装

実装

"

"

IPSec NAT Traversal

_{IPSec NAT Traversal}

#

#

ESP

_ESP

パケットを

パケットを

パケットを

パケットを

パケットを

パケットを

パケットを

パケットを

UDP

UDP

でカプセル化

でカプセル化

でカプセル化

でカプセル化

でカプセル化

でカプセル化

でカプセル化

でカプセル化

#

#

受信側、送信側とも

受信側、送信側とも

受信側、送信側とも

受信側、送信側とも

受信側、送信側とも

受信側、送信側とも

受信側、送信側とも

受信側、送信側とも

IPSec

_IPSec

機器の対応が必要

機器の対応が必要

機器の対応が必要

機器の対応が必要

機器の対応が必要

機器の対応が必要

機器の対応が必要

機器の対応が必要

IPv4 ヘッダ

TCP ヘッダ

データ

オリジナルのパケット

IPv4 ヘッダ

TCP ヘッダ

データ

トランスポートモード ESP パケット

ESP 認証データ

ESP トレーラ

ESP ヘッダ

認証の範囲

暗号化の範囲

IPv4 ヘッダ

TCP ヘッダ

データ

IPSec NAT-Traversal 適応済み トランスポートモード ESP パケット

ESP 認証データ

ESP トレーラ

ESP ヘッダ

Non-IKE マーカ

マーカ

マーカ

マーカ

UDP ヘッダ

ヘッダ

ヘッダ

ヘッダ

認証の範囲

暗号化の範囲

RRAS

ネットワーク

ネットワーク

ネットワーク

ネットワーク

ネットワーク

ネットワーク

ネットワーク

ネットワーク

アクセスの隔離とは

アクセスの隔離とは

アクセスの隔離とは

アクセスの隔離とは

_{アクセスの隔離とは}

_{アクセスの隔離とは}

_{アクセスの隔離とは}

_{アクセスの隔離とは}

_?

_?

RAS

RAS

クライアントが隔

クライアントが隔

クライアントが隔

クライアントが隔

クライアントが隔

クライアントが隔

クライアントが隔

クライアントが隔

離ポリシーを満たす

離ポリシーを満たす

離ポリシーを満たす

離ポリシーを満たす

離ポリシーを満たす

離ポリシーを満たす

離ポリシーを満たす

離ポリシーを満たす

RAS

RAS

クライア

クライア

クライア

クライア

クライア

クライア

クライア

クライア

ントがネットワー

ントがネットワー

ントがネットワー

ントがネットワー

ントがネットワー

ントがネットワー

ントがネットワー

ントがネットワー

クへの完全ア

クへの完全ア

クへの完全ア

クへの完全ア

クへの完全ア

クへの完全ア

クへの完全ア

クへの完全ア

クセス権を取

クセス権を取

クセス権を取

クセス権を取

クセス権を取

クセス権を取

クセス権を取

クセス権を取

得

得

得

得

得

得

得

得

RAS

RAS

クライア

クライア

クライア

クライア

クライア

クライア

クライア

クライア

ント接続

ント接続

ント接続

ント接続

ント接続

ント接続

ント接続

ント接続

1.

1.

RAS

RAS

クライアントでポリ

クライアントでポリ

クライアントでポリ

クライアントでポリ

クライアントでポリ

クライアントでポリ

クライアントでポリ

クライアントでポリ

シーチェックが行われな

シーチェックが行われな

シーチェックが行われな

シーチェックが行われな

シーチェックが行われな

シーチェックが行われな

シーチェックが行われな

シーチェックが行われな

い

い

い

い

い

い

い

い

2.

2.

隔離タイムアウト

隔離タイムアウト

隔離タイムアウト

隔離タイムアウト

隔離タイムアウト

隔離タイムアウト

隔離タイムアウト

隔離タイムアウト

隔離された

隔離された

隔離された

隔離された

隔離された

隔離された

隔離された

隔離された

RAS

_RAS

クライ

クライ

クライ

クライ

クライ

クライ

クライ

クライ

アント

アント

アント

アント

アント

アント

アント

アント

リモート

リモート

リモート

リモート

リモート

リモート

リモート

リモート

アクセス

アクセス

アクセス

アクセス

アクセス

アクセス

アクセス

アクセス

クライ

クライ

クライ

クライ

クライ

クライ

クライ

クライ

アント認証

アント認証

アント認証

アント認証

アント認証

アント認証

アント認証

アント認証

ポリシールールとは

ポリシールールとは

ポリシールールとは

ポリシールールとは

ポリシールールとは

ポリシールールとは

ポリシールールとは

ポリシールールとは

_?

_?

隔離ポリシールールは、設定が可能で、通常のポリシールールには

隔離ポリシールールは、設定が可能で、通常のポリシールールには

以下のものが含まれる場合があります

以下のものが含まれる場合があります

!

!

サービスパックまたは最新の修正プログラムのインストール

サービスパックまたは最新の修正プログラムのインストール

!

!

アンチウイルスソフトウェアのインストール

アンチウイルスソフトウェアのインストール

!

!

アンチウイルス署名ファイルのアップデート

アンチウイルス署名ファイルのアップデート

!

!

RAS

_RAS

クライアントのルーティングの無効

クライアントのルーティングの無効

!

!

インターネット接続ファイアウォールの設定

インターネット接続ファイアウォールの設定

!

!

パスワード保護のスクリーンセーバーの設定

パスワード保護のスクリーンセーバーの設定

隔離アーキテクチャ

隔離アーキテクチャ

隔離アーキテクチャ

隔離アーキテクチャ

隔離アーキテクチャ

隔離アーキテクチャ

隔離アーキテクチャ

隔離アーキテクチャ

CM

CM

プロファイル

プロファイル

プロファイル

プロファイル

プロファイル

プロファイル

プロファイル

プロファイル

•

•

カスタマイズ可能なポ

カスタマイズ可能なポ

カスタマイズ可能なポ

カスタマイズ可能なポ

カスタマイズ可能なポ

カスタマイズ可能なポ

カスタマイズ可能なポ

カスタマイズ可能なポ

スト接続スクリプト

スト接続スクリプト

スト接続スクリプト

スト接続スクリプト

スト接続スクリプト

スト接続スクリプト

スト接続スクリプト

スト接続スクリプト

•

•

スクリプトの”結果文字

スクリプトの”結果文字

スクリプトの”結果文字

スクリプトの”結果文字

スクリプトの”結果文字

スクリプトの”結果文字

スクリプトの”結果文字

スクリプトの”結果文字

列”を

列”を

列”を

列”を

列”を

列”を

列”を

列”を

RQC

_RQC

notifier

notifier

で

で

で

で

で

で

で

で

送信

送信

送信

送信

送信

送信

送信

送信

リスナ

リスナ

リスナ

リスナ

リスナ

リスナ

リスナ

リスナ

•

•

RQS

RQS

が

が

が

が

が

が

が

が

Notifier

_Notifier

の

の

の

の

の

の

の

の

“

“

結果文字列

結果文字列

結果文字列

結果文字列

結果文字列

結果文字列

結果文字列

結果文字列

”

_”

を受信

を受信

を受信

を受信

を受信

を受信

を受信

を受信

•

•

ルールと結果を比較

ルールと結果を比較

ルールと結果を比較

ルールと結果を比較

ルールと結果を比較

ルールと結果を比較

ルールと結果を比較

ルールと結果を比較

•

•

応答が受け取れたが、

応答が受け取れたが、

応答が受け取れたが、

応答が受け取れたが、

応答が受け取れたが、

応答が受け取れたが、

応答が受け取れたが、

応答が受け取れたが、

クライアントが最新でない

クライアントが最新でない

クライアントが最新でない

クライアントが最新でない

クライアントが最新でない

クライアントが最新でない

クライアントが最新でない

クライアントが最新でない

場合、タイムアウトを解除

場合、タイムアウトを解除

場合、タイムアウトを解除

場合、タイムアウトを解除

場合、タイムアウトを解除

場合、タイムアウトを解除

場合、タイムアウトを解除

場合、タイムアウトを解除

•

•

クライアントが最新の状態

クライアントが最新の状態

クライアントが最新の状態

クライアントが最新の状態

クライアントが最新の状態

クライアントが最新の状態

クライアントが最新の状態

クライアントが最新の状態

である場合、隔離フィルタ

である場合、隔離フィルタ

である場合、隔離フィルタ

である場合、隔離フィルタ

である場合、隔離フィルタ

である場合、隔離フィルタ

である場合、隔離フィルタ

である場合、隔離フィルタ

を解除

を解除

を解除

を解除

を解除

を解除

を解除

を解除

隔離

隔離

隔離

隔離

隔離

隔離

隔離

隔離

VSA

VSA

•

•

タイマーが時間ウイン

タイマーが時間ウイン

タイマーが時間ウイン

タイマーが時間ウイン

タイマーが時間ウイン

タイマーが時間ウイン

タイマーが時間ウイン

タイマーが時間ウイン

ドウを制限し、自動切

ドウを制限し、自動切

ドウを制限し、自動切

ドウを制限し、自動切

ドウを制限し、自動切

ドウを制限し、自動切

ドウを制限し、自動切

ドウを制限し、自動切

断の前に通知を受け

断の前に通知を受け

断の前に通知を受け

断の前に通知を受け

断の前に通知を受け

断の前に通知を受け

断の前に通知を受け

断の前に通知を受け

取る

取る

取る

取る

取る

取る

取る

取る

•

•

隔離フィルタが一時ル

隔離フィルタが一時ル

隔離フィルタが一時ル

隔離フィルタが一時ル

隔離フィルタが一時ル

隔離フィルタが一時ル

隔離フィルタが一時ル

隔離フィルタが一時ル

ート

ート

ート

ート

ート

ート

ート

ート

フィルタを設定し、

フィルタを設定し、

フィルタを設定し、

フィルタを設定し、

フィルタを設定し、

フィルタを設定し、

フィルタを設定し、

フィルタを設定し、

アクセスを制限

アクセスを制限

アクセスを制限

アクセスを制限

アクセスを制限

アクセスを制限

アクセスを制限

アクセスを制限

Internet

RAS Client

RAS Client

RRAS Server

RRAS Server

IAS

IAS

Server

Server

Quarantine

Quarantine

RQC.exe

RQC.exe

および

および

および

および

および

および

および

および

RQS.exe

RQS.exe

は

は

は

は

は

は

は

は

Windows Server 2003

Windows Server 2003

Resource Kit

隔離プロセスの詳細

隔離プロセスの詳細

隔離プロセスの詳細

隔離プロセスの詳細

隔離プロセスの詳細

隔離プロセスの詳細

隔離プロセスの詳細

隔離プロセスの詳細

接続

接続

接続

接続

接続

接続

接続

接続

認証

認証

認証

認証

認証

認証

認証

認証

許可

許可

許可

許可

許可

許可

許可

許可

隔離

隔離

隔離

隔離

隔離

隔離

隔離

隔離

VSA

VSA

および

および

および

および

および

および

および

および

一般のフィルタ

一般のフィルタ

一般のフィルタ

一般のフィルタ

一般のフィルタ

一般のフィルタ

一般のフィルタ

一般のフィルタ

ポリシー

ポリシー

ポリシー

ポリシー

ポリシー

ポリシー

ポリシー

ポリシー

チェックの結果

チェックの結果

チェックの結果

チェックの結果

チェックの結果

チェックの結果

チェックの結果

チェックの結果

隔離の停止

隔離の停止

隔離の停止

隔離の停止

隔離の停止

隔離の停止

隔離の停止

隔離の停止

アクセスの隔離

アクセスの隔離

アクセスの隔離

アクセスの隔離

アクセスの隔離

アクセスの隔離

アクセスの隔離

アクセスの隔離

フル

フル

フル

フル

フル

フル

フル

フル

アクセス

アクセス

アクセス

アクセス

アクセス

アクセス

アクセス

アクセス

Internet

RAS Client

RAS Client

RRAS Server

RRAS Server

_{IAS Server}

_{IAS Server}

Quarantine

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

ソフトウェア制限ポリシー

!

!

2

₂

つのモード

つのモード

つのモード

つのモード

つのモード

つのモード

つのモード

つのモード

:

_:

無効、無制限

無効、無制限

無効、無制限

無効、無制限

無効、無制限

無効、無制限

無効、無制限

無効、無制限

!

!

実行可能コードの管理

実行可能コードの管理

実行可能コードの管理

実行可能コードの管理

実行可能コードの管理

実行可能コードの管理

実行可能コードの管理

実行可能コードの管理

!

!

.

_.

ADE

ADE

!

!

.ADP

_.ADP

!

!

.BAS

_.BAS

!

!

.BAT

_.BAT

!

!

.CHM

_.CHM

!

!

.CMD

_.CMD

!

!

.CPL

_.CPL

!

!

.CRT

.CRT

!

!

.EXE

_.EXE

!

!

.HLP

_.HLP

!

!

.HTA

_.HTA

!

!

.INF

_.INF

!

!

.

_.

INS

INS

!

!

.ISP

_.ISP

!

!

.JS

_.JS

!

!

.JSE

_.JSE

!

!

.LNK

_.LNK

!

!

.MDB

_.MDB

!

!

.MDE

_.MDE

!

!

.MSC

.MSC

!

!

.MSI

_.MSI

!

!

.MSP

_.MSP

!

!

.MST

_.MST

!

!

.PCD

_.PCD

!

!

.

_.

PIF

PIF

!

!

.REG

_.REG

!

!

.SCR

_.SCR

!

!

.SCT

_.SCT

!

!

.SHS

_.SHS

!

!

.URL

_.URL

!

!

.VB

_.VB

!

!

.VBE

.VBE

!

!

.VBS

_.VBS

!

!

.WSC

_.WSC

!

!

.WSF

_.WSF

!

!

.WSH

_.WSH

SRP

SRP

が保護されない場合

が保護されない場合

が保護されない場合

が保護されない場合

が保護されない場合

が保護されない場合

が保護されない場合

が保護されない場合

!

!

ドライバまたはカーネル

ドライバまたはカーネル

ドライバまたはカーネル

ドライバまたはカーネル

ドライバまたはカーネル

ドライバまたはカーネル

ドライバまたはカーネル

ドライバまたはカーネル

モードのソフトウェア

モードのソフトウェア

モードのソフトウェア

モードのソフトウェア

モードのソフトウェア

モードのソフトウェア

モードのソフトウェア

モードのソフトウェア

"

"

SYSTEM

SYSTEM

から保護されない

から保護されない

から保護されない

から保護されない

から保護されない

から保護されない

から保護されない

から保護されない

!

!

SYSTEM

_SYSTEM

アカウントによって実行されるプログラム

アカウントによって実行されるプログラム

アカウントによって実行されるプログラム

アカウントによって実行されるプログラム

アカウントによって実行されるプログラム

アカウントによって実行されるプログラム

アカウントによって実行されるプログラム

アカウントによって実行されるプログラム

"

"

SYSTEM

SYSTEM

からは保護されない

からは保護されない

からは保護されない

からは保護されない

からは保護されない

からは保護されない

からは保護されない

からは保護されない

!

!

Microsoft Office

_{Microsoft Office}

の文書内のマクロ

の文書内のマクロ

の文書内のマクロ

の文書内のマクロ

の文書内のマクロ

の文書内のマクロ

の文書内のマクロ

の文書内のマクロ

"

"

マクロセキュリティ設定を使用

マクロセキュリティ設定を使用

マクロセキュリティ設定を使用

マクロセキュリティ設定を使用

マクロセキュリティ設定を使用

マクロセキュリティ設定を使用

マクロセキュリティ設定を使用

マクロセキュリティ設定を使用

!

!

共通言語

共通言語

共通言語

共通言語

共通言語

共通言語

共通言語

共通言語

ランタイム

ランタイム

ランタイム

ランタイム

ランタイム

ランタイム

ランタイム

ランタイム

用に記述されたプログラム

用に記述されたプログラム

用に記述されたプログラム

用に記述されたプログラム

用に記述されたプログラム

用に記述されたプログラム

用に記述されたプログラム

用に記述されたプログラム

"

"

コード

コード

コード

コード

コード

コード

コード

コード

アクセス

アクセス

アクセス

アクセス

アクセス

アクセス

アクセス

アクセス

セキュリティを使用

セキュリティを使用

セキュリティを使用

セキュリティを使用

セキュリティを使用

セキュリティを使用

セキュリティを使用

セキュリティを使用

SRP

SRP

ルールの種類

ルールの種類

ルールの種類

ルールの種類

ルールの種類

ルールの種類

ルールの種類

ルールの種類

パス

パス

パス

パス

パス

パス

パス

パス

ルール

ルール

ルール

ルール

ルール

ルール

ルール

ルール

$

$

実行されるファイルのパスと有効な

実行されるファイルのパスと有効な

実行されるファイルのパスと有効な

実行されるファイルのパスと有効な

実行されるファイルのパスと有効な

実行されるファイルのパスと有効な

実行されるファイルのパスと有効な

実行されるファイルのパスと有効な

パスのリストを比較

パスのリストを比較

パスのリストを比較

パスのリストを比較

パスのリストを比較

パスのリストを比較

パスのリストを比較

パスのリストを比較

$

$

同じアプリケーションで多くのフォル

同じアプリケーションで多くのフォル

同じアプリケーションで多くのフォル

同じアプリケーションで多くのフォル

同じアプリケーションで多くのフォル

同じアプリケーションで多くのフォル

同じアプリケーションで多くのフォル

同じアプリケーションで多くのフォル

ダを使用する場合にこのルールを

ダを使用する場合にこのルールを

ダを使用する場合にこのルールを

ダを使用する場合にこのルールを

ダを使用する場合にこのルールを

ダを使用する場合にこのルールを

ダを使用する場合にこのルールを

ダを使用する場合にこのルールを

使用

使用

使用

使用

使用

使用

使用

使用

$

$

SRP

SRP

の対象が厳密な場合に必要

の対象が厳密な場合に必要

の対象が厳密な場合に必要

の対象が厳密な場合に必要

の対象が厳密な場合に必要

の対象が厳密な場合に必要

の対象が厳密な場合に必要

の対象が厳密な場合に必要

ハッシュ

ハッシュ

ハッシュ

ハッシュ

ハッシュ

ハッシュ

ハッシュ

ハッシュ

ルール

ルール

ルール

ルール

ルール

ルール

ルール

ルール

$

$

ファイルの

ファイルの

ファイルの

ファイルの

ファイルの

ファイルの

ファイルの

ファイルの

MD5

MD5

ハッシュまたは

ハッシュまたは

ハッシュまたは

ハッシュまたは

ハッシュまたは

ハッシュまたは

ハッシュまたは

ハッシュまたは

SHA1

SHA1

ハッシュと実行しようとしたファ

ハッシュと実行しようとしたファ

ハッシュと実行しようとしたファ

ハッシュと実行しようとしたファ

ハッシュと実行しようとしたファ

ハッシュと実行しようとしたファ

ハッシュと実行しようとしたファ

ハッシュと実行しようとしたファ

イルを比較

イルを比較

イルを比較

イルを比較

イルを比較

イルを比較

イルを比較

イルを比較

$

$

ファイルの特定のバージョンが実行

ファイルの特定のバージョンが実行

ファイルの特定のバージョンが実行

ファイルの特定のバージョンが実行

ファイルの特定のバージョンが実行

ファイルの特定のバージョンが実行

ファイルの特定のバージョンが実行

ファイルの特定のバージョンが実行

する許可

する許可

する許可

する許可

する許可

する許可

する許可

する許可

/

_/

禁止する必要がある場合

禁止する必要がある場合

禁止する必要がある場合

禁止する必要がある場合

禁止する必要がある場合

禁止する必要がある場合

禁止する必要がある場合

禁止する必要がある場合

に使用

に使用

に使用

に使用

に使用

に使用

に使用

に使用

証明書ルール

証明書ルール

証明書ルール

証明書ルール

証明書ルール

証明書ルール

証明書ルール

証明書ルール

$

$

アプリケーション

アプリケーション

アプリケーション

アプリケーション

アプリケーション

アプリケーション

アプリケーション

アプリケーション

例

例

例

例

例

例

例

例

:

_:

Authenticode

Authenticode

のデジタル署名

のデジタル署名

のデジタル署名

のデジタル署名

のデジタル署名

のデジタル署名

のデジタル署名

のデジタル署名

をチェック

をチェック

をチェック

をチェック

をチェック

をチェック

をチェック

をチェック

$

$

win32

_win32

アプリケーションおよび

アプリケーションおよび

アプリケーションおよび

アプリケーションおよび

アプリケーションおよび

アプリケーションおよび

アプリケーションおよび

アプリケーションおよび

ActiveX

ActiveX

コンテンツの両方を制限

コンテンツの両方を制限

コンテンツの両方を制限

コンテンツの両方を制限

コンテンツの両方を制限

コンテンツの両方を制限

コンテンツの両方を制限

コンテンツの両方を制限

する場合に使用

する場合に使用

する場合に使用

する場合に使用

する場合に使用

する場合に使用

する場合に使用

する場合に使用

インターネット

インターネット

インターネット

インターネット

インターネット

インターネット

インターネット

インターネット

ゾーン

ゾーン

ゾーン

ゾーン

ゾーン

ゾーン

ゾーン

ゾーン

ルール

ルール

ルール

ルール

ルール

ルール

ルール

ルール

$

$

インターネットゾーンにアクセスする

インターネットゾーンにアクセスする

インターネットゾーンにアクセスする

インターネットゾーンにアクセスする

インターネットゾーンにアクセスする

インターネットゾーンにアクセスする

インターネットゾーンにアクセスする

インターネットゾーンにアクセスする

方法を制御

方法を制御

方法を制御

方法を制御

方法を制御

方法を制御

方法を制御

方法を制御

$

$

高度なセキュリティ環境で、

高度なセキュリティ環境で、

高度なセキュリティ環境で、

高度なセキュリティ環境で、

高度なセキュリティ環境で、

高度なセキュリティ環境で、

高度なセキュリティ環境で、

高度なセキュリティ環境で、

Web

_Web

ア

ア

ア

ア

ア

ア

ア

ア

プリケーションへのアクセスを管理

プリケーションへのアクセスを管理

プリケーションへのアクセスを管理

プリケーションへのアクセスを管理

プリケーションへのアクセスを管理

プリケーションへのアクセスを管理

プリケーションへのアクセスを管理

プリケーションへのアクセスを管理

する際に使用

する際に使用

する際に使用

する際に使用

する際に使用

する際に使用

する際に使用

する際に使用

ルールの優先順位

ルールの優先順位

ルールの優先順位

ルールの優先順位

ルールの優先順位

ルールの優先順位

ルールの優先順位

ルールの優先順位

!

!

複数のルールが設定されている場合

複数のルールが設定されている場合

複数のルールが設定されている場合

複数のルールが設定されている場合

複数のルールが設定されている場合

複数のルールが設定されている場合

複数のルールが設定されている場合

複数のルールが設定されている場合

"

"

Windows Calculator

_{Windows Calculator}

の実行

の実行

の実行

の実行

の実行

の実行

の実行

の実行

Disallowed

Disallowed

c:

c:

¥

¥

winnt

winnt

¥

¥

system32

system32

¥

¥

calc.exe

calc.exe

Unrestricted

Unrestricted

c:

c:

¥

¥

winnt

winnt

Disallowed

Disallowed

A6A44A0E8A76C7B2174DE68C5B0F724D:114688:32771

A6A44A0E8A76C7B2174DE68C5B0F724D:114688:32771

!

!

より限定された一致ルールを優先

より限定された一致ルールを優先

より限定された一致ルールを優先

より限定された一致ルールを優先

より限定された一致ルールを優先

より限定された一致ルールを優先

より限定された一致ルールを優先

より限定された一致ルールを優先

1.

1.

ハッシュルール

ハッシュルール

ハッシュルール

ハッシュルール

ハッシュルール

ハッシュルール

ハッシュルール

ハッシュルール

2.

2.

証明書ルール

証明書ルール

証明書ルール

証明書ルール

証明書ルール

証明書ルール

証明書ルール

証明書ルール

3.

3.

パスルール

パスルール

パスルール

パスルール

パスルール

パスルール

パスルール

パスルール

4.

4.

ゾーンルール

ゾーンルール

ゾーンルール

ゾーンルール

ゾーンルール

ゾーンルール

ゾーンルール

ゾーンルール

ポリシーの作成方法

ポリシーの作成方法

ポリシーの作成方法

ポリシーの作成方法

ポリシーの作成方法

ポリシーの作成方法

ポリシーの作成方法

ポリシーの作成方法

!

!

有効なアプリケーションのリストの作成

有効なアプリケーションのリストの作成

有効なアプリケーションのリストの作成

有効なアプリケーションのリストの作成

有効なアプリケーションのリストの作成

有効なアプリケーションのリストの作成

有効なアプリケーションのリストの作成

有効なアプリケーションのリストの作成

"

"

アプリケーションの起動

アプリケーションの起動

アプリケーションの起動

アプリケーションの起動

アプリケーションの起動

アプリケーションの起動

アプリケーションの起動

アプリケーションの起動

"

"

システム情報を確認

システム情報を確認

システム情報を確認

システム情報を確認

システム情報を確認

システム情報を確認

システム情報を確認

システム情報を確認

((((

((((

msinfo32.exe)

msinfo32.exe)

msinfo32.exe)

msinfo32.exe)

msinfo32.exe)

msinfo32.exe)

msinfo32.exe)

msinfo32.exe)

#

#

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

→

→

→

→

→

→

→

→

実行中のタスク

実行中のタスク

実行中のタスク

実行中のタスク

実行中のタスク

実行中のタスク

実行中のタスク

実行中のタスク

#

#

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

→

→

→

→

→

→

→

→

読み込み済みのモジュール

読み込み済みのモジュール

読み込み済みのモジュール

読み込み済みのモジュール

読み込み済みのモジュール

読み込み済みのモジュール

読み込み済みのモジュール

読み込み済みのモジュール

#

#

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

ソフトウェア環境

→

→

→

→

→

→

→

→

スタートアップ

スタートアップ

スタートアップ

スタートアップ

スタートアップ

スタートアップ

スタートアップ

スタートアップ

プログラム

プログラム

プログラム

プログラム

プログラム

プログラム

プログラム

プログラム

"

"

ルールの作成

ルールの作成

ルールの作成

ルールの作成

ルールの作成

ルールの作成

ルールの作成

ルールの作成

"

"

ルールの一般化

ルールの一般化

ルールの一般化

ルールの一般化

ルールの一般化

ルールの一般化

ルールの一般化

ルールの一般化

#

#

C:

C:

C:

C:

C:

C:

C:

C:

¥

¥

¥

¥

¥

¥

¥

¥

winnt

winnt

winnt

winnt

winnt

winnt

winnt

winnt

→

→

→

→

→

→

→

→

%WINDIR%

%WINDIR%

%WINDIR%

%WINDIR%

%WINDIR%

%WINDIR%

%WINDIR%

%WINDIR%

#

ポリシー作成に関する考慮点

ポリシー作成に関する考慮点

ポリシー作成に関する考慮点

ポリシー作成に関する考慮点

ポリシー作成に関する考慮点

ポリシー作成に関する考慮点

ポリシー作成に関する考慮点

ポリシー作成に関する考慮点

!

!

以下の点を必ず考慮に入れる

以下の点を必ず考慮に入れる

以下の点を必ず考慮に入れる

以下の点を必ず考慮に入れる

以下の点を必ず考慮に入れる

以下の点を必ず考慮に入れる

以下の点を必ず考慮に入れる

以下の点を必ず考慮に入れる

"

"

複数の

複数の

複数の

複数の

複数の

複数の

複数の

複数の

EXE

_EXE

で構成されるものがある

で構成されるものがある

で構成されるものがある

で構成されるものがある

で構成されるものがある

で構成されるものがある

で構成されるものがある

で構成されるものがある

#

#

Powerpnt.exe

_Powerpnt

.exe

（

（（

（

（

（（

（

クリップアートにより起動する

クリップアートにより起動する

クリップアートにより起動する

クリップアートにより起動する

クリップアートにより起動する

クリップアートにより起動する

クリップアートにより起動する

クリップアートにより起動する

mstore.exe)

_mstore

.exe)

"

"

ログインスクリプト

ログインスクリプト

ログインスクリプト

ログインスクリプト

ログインスクリプト

ログインスクリプト

ログインスクリプト

ログインスクリプト

"

"

スタートアップフォルダおよびレジストリキー

スタートアップフォルダおよびレジストリキー

スタートアップフォルダおよびレジストリキー

スタートアップフォルダおよびレジストリキー

スタートアップフォルダおよびレジストリキー

スタートアップフォルダおよびレジストリキー

スタートアップフォルダおよびレジストリキー

スタートアップフォルダおよびレジストリキー

"

"

アンチウイルス

アンチウイルス

アンチウイルス

アンチウイルス

アンチウイルス

アンチウイルス

アンチウイルス

アンチウイルス

"

"

プログラムアドイン

プログラムアドイン

プログラムアドイン

プログラムアドイン

プログラムアドイン

プログラムアドイン

プログラムアドイン

プログラムアドイン

!

!

許可しすぎていないか

許可しすぎていないか

許可しすぎていないか

許可しすぎていないか

許可しすぎていないか

許可しすぎていないか

許可しすぎていないか

許可しすぎていないか

_?

_?

!

!

ACL

_ACL

をチェック

をチェック

をチェック

をチェック

をチェック

をチェック

をチェック

をチェック

"

"

特にパスルールを使用する場合

特にパスルールを使用する場合

特にパスルールを使用する場合

特にパスルールを使用する場合

特にパスルールを使用する場合

特にパスルールを使用する場合

特にパスルールを使用する場合

特にパスルールを使用する場合

EFS: Encrypting File System

!

!

セキュリティ機能の拡張

セキュリティ機能の拡張

セキュリティ機能の拡張

セキュリティ機能の拡張

セキュリティ機能の拡張

セキュリティ機能の拡張

セキュリティ機能の拡張

セキュリティ機能の拡張

"

"

暗号化をファイルシステムレベルで実装

暗号化をファイルシステムレベルで実装

暗号化をファイルシステムレベルで実装

暗号化をファイルシステムレベルで実装

暗号化をファイルシステムレベルで実装

暗号化をファイルシステムレベルで実装

暗号化をファイルシステムレベルで実装

暗号化をファイルシステムレベルで実装

#

#

ファイルシステムのアクセス権に加えて、ファイル自身を

ファイルシステムのアクセス権に加えて、ファイル自身を

ファイルシステムのアクセス権に加えて、ファイル自身を

ファイルシステムのアクセス権に加えて、ファイル自身を

ファイルシステムのアクセス権に加えて、ファイル自身を

ファイルシステムのアクセス権に加えて、ファイル自身を

ファイルシステムのアクセス権に加えて、ファイル自身を

ファイルシステムのアクセス権に加えて、ファイル自身を

暗号化することで更に高度なセキュリティを実現

暗号化することで更に高度なセキュリティを実現

暗号化することで更に高度なセキュリティを実現

暗号化することで更に高度なセキュリティを実現

暗号化することで更に高度なセキュリティを実現

暗号化することで更に高度なセキュリティを実現

暗号化することで更に高度なセキュリティを実現

暗号化することで更に高度なセキュリティを実現

#

#

NTFS

NTFS

に統合された機能で、

に統合された機能で、

に統合された機能で、

に統合された機能で、

に統合された機能で、

に統合された機能で、

に統合された機能で、

に統合された機能で、

ユーザには特別な操作を必要としない

ユーザには特別な操作を必要としない

ユーザには特別な操作を必要としない

ユーザには特別な操作を必要としない

ユーザには特別な操作を必要としない

ユーザには特別な操作を必要としない

ユーザには特別な操作を必要としない

ユーザには特別な操作を必要としない

"

"

デスクトップ及びラップトップでの使用が効果的

デスクトップ及びラップトップでの使用が効果的

デスクトップ及びラップトップでの使用が効果的

デスクトップ及びラップトップでの使用が効果的

デスクトップ及びラップトップでの使用が効果的

デスクトップ及びラップトップでの使用が効果的

デスクトップ及びラップトップでの使用が効果的

デスクトップ及びラップトップでの使用が効果的

#

#

記憶媒体が

記憶媒体が

記憶媒体が

記憶媒体が

記憶媒体が

記憶媒体が

記憶媒体が

記憶媒体が

PC

PC

PC

PC

PC

PC

PC

PC

本体

本体

本体

本体

本体

本体

本体

本体

から外された場合の保護

から外された場合の保護

から外された場合の保護

から外された場合の保護

から外された場合の保護

から外された場合の保護

から外された場合の保護

から外された場合の保護

!

!

ACL

_ACL

(Access Control List)

(Access Control List)

との違いは

との違いは

との違いは

との違いは

との違いは

との違いは

との違いは

との違いは

"

"

OS

OS

が

が

が

が

が

が

が

が

ACE

ACE

を用いて管理するセキュリティー制御

を用いて管理するセキュリティー制御

を用いて管理するセキュリティー制御

を用いて管理するセキュリティー制御

を用いて管理するセキュリティー制御

を用いて管理するセキュリティー制御

を用いて管理するセキュリティー制御

を用いて管理するセキュリティー制御

"

"

EFS

_EFS

は削除からファイルを保護はしない

は削除からファイルを保護はしない

は削除からファイルを保護はしない

は削除からファイルを保護はしない

は削除からファイルを保護はしない

は削除からファイルを保護はしない

は削除からファイルを保護はしない

は削除からファイルを保護はしない

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

(

!

!

暗号化はファイル

暗号化はファイル

暗号化はファイル

暗号化はファイル

暗号化はファイル

暗号化はファイル

暗号化はファイル

暗号化はファイル

_/

_/

フォルダ単位で設定

フォルダ単位で設定

フォルダ単位で設定

フォルダ単位で設定

フォルダ単位で設定

フォルダ単位で設定

フォルダ単位で設定

フォルダ単位で設定

"

"

暗号キー：

暗号キー：

暗号キー：

暗号キー：

暗号キー：

暗号キー：

暗号キー：

暗号キー：

ドメイン

ドメイン

ドメイン

ドメイン

ドメイン

ドメイン

ドメイン

ドメイン

ユーザーごとに実装

ユーザーごとに実装

ユーザーごとに実装

ユーザーごとに実装

ユーザーごとに実装

ユーザーごとに実装

ユーザーごとに実装

ユーザーごとに実装

"

"

回復キー：

回復キー：

回復キー：

回復キー：

回復キー：

回復キー：

回復キー：

回復キー：

管理者がパスワードを忘れた場合など、

管理者がパスワードを忘れた場合など、

管理者がパスワードを忘れた場合など、

管理者がパスワードを忘れた場合など、

管理者がパスワードを忘れた場合など、

管理者がパスワードを忘れた場合など、

管理者がパスワードを忘れた場合など、

管理者がパスワードを忘れた場合など、

暗号化データを回復できるように生成される

暗号化データを回復できるように生成される

暗号化データを回復できるように生成される

暗号化データを回復できるように生成される

暗号化データを回復できるように生成される

暗号化データを回復できるように生成される

暗号化データを回復できるように生成される

暗号化データを回復できるように生成される

（

（（

（

（

（（

（

*

**

*

**

*

*

回復キーは、ファイルとして

回復キーは、ファイルとして

回復キーは、ファイルとして

回復キーは、ファイルとして

回復キーは、ファイルとして

回復キーは、ファイルとして

回復キーは、ファイルとして

回復キーは、ファイルとして

FD

FD

FD

FD

FD

FD

FD

FD

などに別途保管可能）

などに別途保管可能）

などに別途保管可能）

などに別途保管可能）

などに別途保管可能）

などに別途保管可能）

などに別途保管可能）

などに別途保管可能）

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

暗号化ファイルシステム

(

EFS

EFS

のアーキテクチャ

のアーキテクチャ

のアーキテクチャ

のアーキテクチャ

のアーキテクチャ

のアーキテクチャ

のアーキテクチャ

のアーキテクチャ

!

!

ファイル暗号化のメカニズム

ファイル暗号化のメカニズム

ファイル暗号化のメカニズム

ファイル暗号化のメカニズム

ファイル暗号化のメカニズム

ファイル暗号化のメカニズム

ファイル暗号化のメカニズム

ファイル暗号化のメカニズム

"

"

_DESX

_DESX

がドキュメント自体の暗号化に用いられる

がドキュメント自体の暗号化に用いられる

がドキュメント自体の暗号化に用いられる

がドキュメント自体の暗号化に用いられる

がドキュメント自体の暗号化に用いられる

がドキュメント自体の暗号化に用いられる

がドキュメント自体の暗号化に用いられる

がドキュメント自体の暗号化に用いられる

"

"

RSA

_RSA

が

が

が

が

が

が

が

が

FEK

FEK

の暗号化に用いられる

の暗号化に用いられる

の暗号化に用いられる

の暗号化に用いられる

の暗号化に用いられる

の暗号化に用いられる

の暗号化に用いられる

の暗号化に用いられる

RNG

ユーザのパブリックキー

回復エージェントのパブリックキー

$2”UTF#JV99038SX

B@/kf-e^r^3waFD

DESX

平文のファイル

DDFG

DDF

DRF

512bit RSA

512bit RSA