Comments
Description
Transcript
Program Advisor
管理者ガイド Integrity Advanced Server の使用 1-0275-0650-2005-09-30_jp 編集注 : (C)2005 Check Point Software Technologies Ltd. All rights reserved. Check Point、Application Intelligence、Check Point Express、Check Point ロゴ、ClusterXL、Cooperative Enforcement、 ConnectControl、Connectra、CoSa、Cooperative Security Alliance、FireWall-1、FireWall-1 GX、FireWall-1 SecureServer、FloodGate1、Hacker ID、IMsecure、INSPECT、INSPECT XL、Integrity、InterSpect、IQ Engine、Open Security Extension、OPSEC、Policy Lifecycle Management、Provider-1、Safe@Home、Safe@Office、SecureClient、SecureKnowledge、SecurePlatform、SecuRemote、 SecurServer、SecureUpdate、SecureXL、SiteManager-1、SmartCenter、SmartCenter Pro、Smarter Security、SmartDashboard、 SmartDefense、SmartDefense Advisor、SmartLSM、SmartMap、SmartUpdate、SmartView、SmartView Monitor、SmartView Reporter、SmartView Status、SmartViewTracker、SofaWare、SSL Network Extender、TrueVector、UAM、User-to-Address Mapping、 UserAuthority、VPN-1、VPN-1 Accelerator Card、VPN-1 Edge、VPN-1 Pro、VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 VSX、Web Intelligence、ZoneAlarm、Zone Alarm Pro、Zone Labs、および Zone Labs ロゴは、Check Point Software Technologies Ltd. またはその提携会社の商標または登録商標です。ここで言及されている他のすべての製品名は、各所有 者の商標または登録商標です。本文書に記載されている製品は、U.S. Patent No. 5,606,668、5,835,726、および 6,496,935 で保 護されており、米国のその他の特許またはその他の国の特許で保護されている場合や、特許を出願中のアプリケーションの場合が あります。 目次 1章 イントロダクション ........................................................ 1 本書の内容 ............................................................... 2 グローバル管理者の方へ ..............................................2 ドメイン管理者の方へ .................................................3 各種ドキュメントの概要 ........................................... 5 2章 ドメイン、カタログ、グループの設定と管理 .................... 6 ドメインの概念 ......................................................... 7 システム ドメインの概念 .............................................7 システム ドメインにアクセスできる管理者 .................... 8 システム ドメインとその他のドメイン .......................... 9 システム ドメインで実行されるタスク ........................ 11 エンティティおよび継承 ......................................... 12 ドメイン管理者の継承のしくみ ..................................12 ポリシーの継承機能のしくみ ......................................13 ドメインの確認 ....................................................... 14 ドメインの切り替え ...................................................14 新規ドメインのセットアップ ................................... 15 ドメインの新規作成 ...................................................15 エンティティのドメインへの追加 ............................ 16 エンティティの使用 : 例 .............................................16 ユーザの認証 .............................................................17 Proxy Login および Auto Add ........................................ 18 カスタム カタログの追加 ...........................................18 ゲートウェイ カタログの追加 .....................................19 IP カタログの追加 .....................................................19 ユーザ ディレクトリ カタログの追加 ..........................20 LDAP カタログの追加 ................................................. 21 NT ドメイン カタログの追加 ....................................... 23 RADIUS カタログの追加 ............................................. 26 カスタム、IP、およびゲートウェイ カタログへの グループの追加 .........................................................27 ドメインとエンティティの名前変更と削除 ............... 29 ドメインの削除 .........................................................29 ユーザ カタログの削除 ..............................................30 ユーザ グループの削除 ..............................................30 ユーザ カタログの同期 ............................................ 32 RADIUS カタログの更新 ............................................. 33 同期のスケジューリング ............................................33 Integrity Advanced Server 管理者ガイド iii 手動同期 ...................................................................34 管理者の追加 .......................................................... 35 3章 管理者の管理 ................................................................ 37 ロール ベースの管理の概念 ..................................... 38 ドメイン アクセスの概念 ...........................................38 グローバル管理者 ....................................................... 39 ドメイン管理者 .......................................................... 40 ロール割り当ての概念 ...............................................41 権限の概要 ................................................................. 42 デフォルト ロールとカスタマイズしたロール ............... 43 ロール詳細の表示 ......................................................43 デフォルト ロールの使用 ........................................ 45 管理者のデフォルト ロール ........................................45 カスタマイズしたロールの作成 ................................ 46 使用できる権限 .........................................................46 カスタマイズしたロールの作成 ..................................47 既存のロールのコピー ................................................ 48 空のテンプレートからのロールの作成 ......................... 49 既存ロールの変更 ......................................................49 ロールの削除 .......................................................... 50 管理者アカウントの設定 ......................................... 51 管理者アカウントの新規作成 ......................................51 グローバル管理者アカウントの作成 ............................. 52 ドメイン管理者アカウントの作成 ............................... 53 管理者アカウントの編集 ............................................53 異なるロールへの管理者の割り当て ............................. 55 異なるエンティティへの管理者の割り当て ................... 56 管理者アカウントの削除 ............................................56 4章 ポリシー テンプレートの発行 ........................................ 57 ポリシー テンプレートの概念 .................................. 58 発行済みのポリシー テンプレートを識別する方法 .......58 Integrity Advanced Server 設定済みポリシー テンプレート .................................58 ポリシー テンプレートの作成と発行 ........................ 60 既存のポリシーからのポリシー テンプレートの作成 ....60 既存のポリシー テンプレートの変更 ...........................61 ポリシー テンプレートの削除 .................................. 62 ポリシー テンプレートの発行中止 ..............................62 システムからのポリシーテンプレートの削除 ...............62 前のバージョンへの復帰 ............................................63 Integrity Advanced Server 管理者ガイド iv 5章 ポリシーの管理 ............................................................. 64 セキュリティ ポリシー ............................................ 65 エンタープライズ ポリシー ........................................65 エンタープライズ ポリシー パッケージ ....................... 66 パーソナル ポリシー ..................................................67 ポリシーの調停 .........................................................67 ポリシー規則の概要 ................................................ 69 クラシック ファイアウォール規則 ..............................69 悪意のあるコードからの保護 ....................................... 70 ゾーン規則とプログラム規則 ......................................71 MailSafe 規則 ............................................................71 施行規則 ...................................................................71 施行規則に関するユーザ サポートの考慮事項 ............... 73 規則の評価と優先順 ................................................ 74 通信が評価されるしくみ ............................................74 ハードコーディングされた規則 ................................... 75 ポリシー規則 .............................................................. 76 ポリシーの管理 ....................................................... 78 新規セキュリティ ポリシーの作成 ..............................78 セキュリティ ポリシーの編集 .....................................80 セキュリティ ポリシーの削除 .....................................81 ポリシー パッケージの管理 ..................................... 83 新規ポリシー パッケージの作成 .................................83 ポリシー パッケージの編集 ........................................83 ポリシー パッケージの削除 ........................................84 モデル ポリシー ライフサイクル .............................. 85 ポリシー 1: Discovery Mode ......................................... 86 ポリシー 2: 既知のプログラム、トラスト ゾーン要素、 および初期プログラム規則を定義する ......................... 87 ポリシー 3 およびそれ以降 : トラスト ゾーンとプログラム規則を改善する ............................. 89 6章 ポリシー: クラシック ファイアウォール規則 ................... 90 クラシック ファイアウォール規則の概念 ................. 91 発信元および送信先の場所の定義 ...............................91 プロトコルとポートの定義 .........................................91 セキュリティ ポリシー内の クラシック ファイアウォール ランク ..........................91 FTP アクセスの例 ....................................................... 92 クラシック ファイアウォール規則の管理 ................. 93 新規クラシック ファイアウォール規則の作成 ..............93 クラシック ファイアウォール規則の編集 ....................94 クラシック ファイアウォール規則の削除 ....................95 セキュリティ ポリシー内の Integrity Advanced Server 管理者ガイド v クラシック ファイウォール規則の使用 ..................... 97 セキュリティ ポリシーへの クラシック ファイアウォール規則の追加 ....................97 クラシック ファイアウォール規則のランク付け ..........98 クラシック ファイアウォール規則の有効化と無効化 ....99 セキュリティ ポリシーからの クラシック ファイアウォール規則の削除 ..................100 7章 ポリシー: ゾーンベースのセキュリティ ........................ 101 アクセス ゾーンとゾーン規則の概念 ...................... 102 ゾーンについて .......................................................102 ゾーン規則が機能するしくみ ....................................102 ゾーンベースのセキュリティに関する作業フロー ......103 セキュリティ ポリシーにおけるアクセス ゾーンの 管理 ..................................................................... 104 トラスト ゾーンの設定 ............................................104 トラスト ゾーンの内容の計画 ................................... 105 信頼される要素の場所の作成 ..................................... 106 トラスト ゾーンへの場所の追加 ................................ 107 新規ネットワーク検出オプションの設定 ...................107 セキュリティ ポリシー内のゾーン規則の使用 ......... 109 グローバル パケット処理の設定 ...............................109 セキュリティ レベルの選択 ......................................110 セキュリティ レベル設定の改良 ...............................110 デフォルトのセキュリティ レベル設定 ...................... 111 8章 ポリシー: プログラム コントロール .............................. 112 プログラム コントロールの概念 ............................. 113 プログラム コントロールのツールと機能 ..................116 プログラム コントロールの作業フロー .....................118 プログラム情報の収集と整理 ................................. 120 リファレンス ソースの作成 ......................................120 リファレンス ソース ファイルの作成 ......................... 121 リファレンス スキャンのインポート .......................... 123 プログラム アクティビティの観察 ............................123 プログラム観察の有効化 ........................................... 125 プログラム観察の間隔の設定 ..................................... 126 新たに観察されるプログラムについてネットワークを チェック .................................................................. 127 プログラムを手動で追加 ..........................................127 プログラム グループの作成 ......................................128 グローバルなプログラム許可の設定 ....................... 130 プログラム規則の作成 ........................................... 131 プログラム規則の選択 .............................................131 プログラム規則の種類 .............................................. 132 Integrity Advanced Server 管理者ガイド vi プログラム許可 ........................................................ 134 その他のすべてのプログラム規則の選択 .................... 136 ポリシーへのプログラム規則の追加 ..........................138 プログラム警告の制御 .............................................140 9章 Program Advisor ........................................................... 141 Program Advisor の概念 ......................................... 141 Program Advisor サーバの概念 ................................ 142 Program Advisor プロセスの概念 ............................ 143 Integrity クライアントの Program Advisor プロセスの図 ............................................................ 144 Integrity Advanced Server Program Advisor プロセスの図 ............................................................ 147 Program Advisor の使用 ......................................... 149 Program Advisor の有効化 .........................................149 プロキシ サーバを経由した Program Advisor の使用 ...150 Integrity クライアントの Integrity サーバへの 問い合わせの有効化 .................................................150 Program Advisor の推奨設定を表示 ............................151 Program Advisor の推奨設定を上書き .........................152 認識されていないプログラムの管理 ..........................152 10 章 ポリシー: 安全でないエンドポイントの制限 .................. 154 施行規則の概念 ..................................................... 155 施行規則が作動するしくみ .......................................155 制限されたユーザの操作 ..........................................157 サポート要求の最小化 ........................................... 160 ユーザへの対策リソースの提供 ................................160 観察または警告する規則の使用 ................................162 施行規則の管理 ..................................................... 164 施行規則の作業フロー .............................................164 新規施行規則の作成 .................................................164 プログラム、ファイル、またはキー施行規則の作成 .... 165 アンチウイルス プロバイダ規則 ................................ 168 クライアント施行規則の作成 ..................................... 172 施行規則の編集 .......................................................173 施行規則の削除 .......................................................174 セキュリティ ポリシー内の施行規則の使用 ............ 175 施行規則の追加とグループ化 ....................................175 施行規則およびアンチウイルス プロバイダ規則の 追加 ......................................................................... 176 施行規則およびアンチウイルス プロバイダ規則の グループ化 ............................................................... 177 準拠チェックの設定 .................................................178 ポリシーへの制限ファイアウォール規則の追加 .........178 Integrity Advanced Server 管理者ガイド vii 施行規則警告とログの有効化 ....................................178 ハートビート間隔の設定 ( オプション ) .....................179 セキュリティ ポリシーの保存 ...................................180 11 章 ポリシー: スパイウェアからの保護 ............................... 181 Integrity Anti-Spyware の概念 ................................. 182 Anti-Spyware の設定 .............................................. 183 Anti-Spyware 保護をオンにする ................................183 グローバル Anti-Spyware 設定 ................................... 184 ポリシー レベルの Anti-Spyware 設定 ......................... 185 定期的な Anti-Spyware スキャンのセットアップ ........185 スパイウェア処理の設定の変更 ................................186 スパイウェア プログラムの実行を許可 .....................186 Anti-Spyware のスキャンと処理の施行 ......................187 Anti-Spyware のアップデート ................................. 189 Anti-Spyware 保護のモニタリング .......................... 190 Anti-Spyware スキャンの確認 ....................................190 スパイウェア インシデントの確認 ............................190 12 章 ポリシー: メール攻撃の阻止 ......................................... 192 インバウンド メール保護 ...................................... 193 インバウンド メール保護の概念 ...............................193 ユーザの操作 ............................................................ 194 拡張子隔離表 ............................................................ 195 MailSafe メール保護の制約 ....................................... 196 MailSafe 拡張子の管理 .............................................196 MailSafe 拡張子の新規作成 ....................................... 197 MailSafe 拡張子の編集 .............................................. 198 MailSafe 拡張子の削除 .............................................. 199 セキュリティ ポリシーでのインバウンド メール保護の 使用 ........................................................................199 セキュリティ ポリシーへのメール保護の追加 ............. 200 拡張子の隔離設定の有効化と無効化 ........................... 201 セキュリティ ポリシーからの MailSafe 拡張子の削除 . 202 アウトバウンド メール保護 ................................... 203 外部への保護の概念 .................................................203 外部への保護の設定 .................................................203 13 章 ポリシー: インスタント メッセージングの保護 ............. 205 IM IM IM IM セキュリティの基本 ......................................... 206 セキュリティの設定 ......................................... 207 セキュリティの設定 ......................................... 208 セキュリティ イベントのモニタリング .............. 209 Integrity Advanced Server 管理者ガイド viii 14 章 ゲートウェイと協調施行 .............................................. 210 イントロダクション .............................................. 210 協調施行機能の概念 .................................................211 サポート対象のゲートウェイおよびクライアント ......211 協調施行の設定 .......................................................211 15 章 ポリシーとポリシー パッケージの クライアントへの配布 ................................................. 213 ポリシー配布の概念 .............................................. 214 ポリシー継承について .............................................214 ポリシー バージョンの管理 ................................... 216 ポリシーの配備 ..................................................... 218 割り当てのシナリオ .............................................. 219 ポリシーのエンティティへの割り当て ......................219 ユーザへのポリシーの割り当て ( オプション ) ...........220 セキュリティ モデルの設定 ......................................220 ポリシー割り当ての継承設定 ....................................221 割り当てられたポリシーの削除 ................................221 16 章 Integrity クライアント インストール パッケージ ........... 222 Integrity クライアント インストール パッケージの 概念 ..................................................................... 223 Integrity クライアント実行可能ファイル ...................223 設定情報 .................................................................223 XML 設定ファイル .................................................... 225 切断されたエンドポイントのセキュリティ ................225 Integrity クライアント パッケージの作成 ................ 226 クライアントの設定方法と設定の選択 ......................226 セキュリティ ポリシーの作成 ...................................226 クライアント パッケージの 作成とクライアント パッケージ情報の追加 ...............227 クライアント パッケージの設定 ...............................228 クライアント インストール パラメータの設定 ...........231 Integrity クライアント パッケージの編集 ............... 233 Integrity クライアント パッケージのコピー ............ 234 Integrity クライアント パッケージの配備 ................ 235 クライアント パッケージ ファイルの配布 .................235 クライアント パッケージの自動更新 ...................... 237 17 章 クライアント セキュリティのモニタリング ................... 238 ログ アップロード パラメータの設定 ..................... 239 エンドポイントの概要の入手 ................................. 240 クライアント接続レポート .......................................240 Integrity Advanced Server 管理者ガイド ix クライアント バージョン レポート ...........................241 ポリシー割り当てレポート .......................................241 個別のエンドポイントの詳細情報の検索 ................ 242 施行規則への準拠の追跡 ....................................... 243 現在の準拠の表示 ....................................................243 準拠の履歴の表示 ....................................................244 クライアント セキュリティ イベントの追跡 ........... 246 ネットワーク上のプログラムのモニタリング .......... 248 プログラム イベントの追跡 ......................................248 プログラムの観察 ....................................................249 Integrity Advanced Server 管理者ガイド x 1章 イントロダクション この 章で は、この『Integrity Advanced Server 管 理者 ガイ ド』、およ び Integrity Advanced Server のドキュメントについて、概要を説明します。 Integrity Advanced Server 管理者ガイド 1 本書の内容 この管理者ガイドは、Integrity Advanced Server のグローバル管理またはドメインの セットアップについて責任を負うグローバル管理者と、ポリシー管理やユーザ サ ポートなど、単一エンタープライズ ドメインの日常のセキュリティ管理タスクに責 任を負うドメイン管理者という、Integrity Advanced Server の 2 種類の管理者向けに 作成されています。 グローバル管理者の方へ このガイドの以下の章には、グローバル管理者向けの情報が記載されています。 システム レベルで Integrity Advanced Server をインストールして構成する方法、 およびシステムの健全性を監視する方法の詳細については、『Integrity Advanced Server インストール ガイド』を参照してください。 章 2 タイトル ドメイン、カタロ グ、グループの設 定と管理 説明 システム ドメインとその他のドメイン間の関係 の概要 新規ドメインをセットアップする方法 ユーザ カタログとグループをドメインに追加す る方法 3 管理者の管理 ロール ベースの管理、権限、および許可の概要 システム ドメインおよびその他のドメインの管 理者アカウントを設定する方法 ロールの割り当て方法、デフォルト ロールの使 用方法、およびカスタマイズしたロールの作成方 法 4 ポリ シー テ ンプ レートの発行 ポリシー テンプレートがドメインに配布される しくみ ポリシー テンプレートを作成および変更する方 法 表 1-1: グローバル管理者向けの章 Integrity Advanced Server 管理者ガイド 2 ドメイン管理者の方へ このガイドの以下の章には、ドメイン管理者向けの情報が記載されています。 章 タイトル 説明 5 6 7 8 9 10 ポリシーの管理 ポ リシ ー: クラ シ ック ファ イア ウォール規則 ポリシー: ゾーン ベースのセキュリ ティ ポリシー: プログ ラ ム コ ント ロー ル Program Advisor ポリシー: 安全で ないエンドポイン トの制限 エンタープライズ ポリシーとパーソナル ポリ シーの概要 規則の評価と優先順 効果的なポリシーを作成するためのヒント モデル ポリシー ライフサイクル クラシック ファイアウォール規則の概要 ファイアウォール規則で使用する再利用可能 なポートとプロトコルの定義、および発信元 と送信先の場所の作成 再利用可能なファイアウォール規則の作成 ファイアウォール規則のポリシーへの追加 ゾーンおよびゾーン規則の概要 トラスト ゾーンおよびブロック ゾーンへのコ ンピュータとネットワークの追加 各ゾーンに適用されるセキュリティ レベルの 設定 / 変更 ネットワーク上のプログラムの “ 観察 ” リファレンス ソースの作成と使用 プログラム グループの作成と管理 プログラム規則の作成 Program Advisor が動作するしくみ Program Advisor のセットアップと管理 施行規則の概要 制限を受けた場合のユーザの操作 施行規則によるユーザ サポートへの影響の最 小化 再利用可能な施行規則の作成 施行規則のポリシーへの追加 表 1-2: ドメイン管理者向けの章 Integrity Advanced Server 管理者ガイド 3 章 11 12 13 14 15 タイトル ポリシー: スパイ ウェアからの保護 説明 Anti-Spyware の概要 Anti-Spyware 保護の設定 Anti-Spyware 保護のモニタリング ポリシー: メール 攻撃の阻止 MailSafe が作動するしくみ 拡張子の管理 ( 添付ファイルの種類の定義 ) ポリシー: インス タ ント メッ セー ジングの保護 IM セキュリティの概要 IM セキュリティの設定 IM セキュリティのモニタリング ゲートウェイと協 調施行 ゲートウェイの設定方法 協調施行の設定方法 ポリシーとポリ シ ー パ ッケ ージ のクライアントへ の配布 ポリシーの割り当てと配備 ポリシーの継承、直接割り当てと間接割り当 て バージョンの管理と前バージョンへのロール バック 16 Integrity クライア ン ト イ ンス トー ル パッケージ Integrity クライアント パッケージの作成およ び設定の方法 17 Monitoring Client Security ログ アップロード パラメータの設定 エンドポイントの概要の確認 個別のエンドポイントの詳細情報の検索 施行規則への準拠状況の追跡 クライアント セキュリティ イベントの追跡 ネットワーク上のプログラムのモニタリング 表 1-2: ドメイン管理者向けの章 Integrity Advanced Server 管理者ガイド 4 各種ドキュメントの概要 Integrity Advanced Server には、以下のドキュメントが付属しています。 タイトル 説明 Integrity Advanced Server イン ス Integrity Advanced Server のインストール、設 トール ガイド 定、および保守のための詳細な操作手順が記 載されています。このドキュメントはグロー バル管理者向けです。 Integrity Advanced Server 管理 者 ユーザ インターフェイスについて画面別に説 コンソール リファレンス 明しており、管理者ガイドの関連する章への クロスリファレンスがあります。このドキュ メントには、ヘルプ システムの使用方法な ど、管理コンソール ナビゲーションの概要が 記載されています。 Integrity Advanced Server 管理 者 Integrity Advanced Server によるドメイン、管 ガイド 理者、およびエンドポイント セキュリティの 管理に関する詳細が記載されています。この ドキュメントはグローバル管理者およびドメ イン管理者向けです。 Integrity Advanced Server ゲー ト 仮想プライベート ネットワーク ゲートウェイ ウェイ インテグレーション ガイ 装置を Integrity Advanced Server に統合するた め の 情 報 が 記 載 さ れ て い ま す。統 合 さ れ た ド SecureClient/Integrity クライアント パッケー ジの配備に関する情報も記載されています。 Integrity Advanced Server シス テ クライアントとサーバの要件に関する情報が ム要件 記載されています。 Integrity Agent for Linux イン ス Integrity Agent for Linux のインストールおよ トールおよび設定ガイド び設定の方法が記載されています。 Integrity XML ポリシー リファレ Integrity クライアント XML ポリシー ファイル ンス ガイド の内容に関する情報が記載されています。 Integrity クライアント管理ガイド Integrity クライアント インストーラの動作と インストール後の動作を制御するコマンド ラ イン パラメータの詳細情報が記載されていま す。 Integrity クライアント サポート クライアント ログ アップロード ユーティリ ユーティリティ ガイド テ ィ を 使 用 す る と、ユ ー ザ が 既 定 の 場 所 に Integrity クラ イア ント の診 断情 報を アッ プ ロードすることで、テクニカル サポート担当 者の作業に役立てることができます。 表 1-3: Integrity Advanced Server のドキュメント Integrity Advanced Server 管理者ガイド 5 2章 ドメイン、カタログ、グループの設定と管理 この章では、新規ドメインのセットアップと設定、カタログとグループのドメイン への追加、およびドメイン、カタログ、またはグループへの管理者の割り当ての各 手順について説明します。 これらの説明は、ドメインのセットアップや保守を担当するグローバル管理者を主 な対象にしています。 Integrity Advanced Server 管理者ガイド 6 ドメインの概念 Integrity Advanced Server は、ネットワーク ユーザやポリシーのほか、それらに関連 するデータをドメインにまとめます。ドメインには、特別なシステム ドメインとそ れ以外のドメインの 2 種類があります。Administrator Console にログオンしていると きは、常にある特定のドメイン内の操作しか実行できません。そして、管理のため にどの操作を実行できるかは、どのドメイン内にいるかによって異なります。一般 に、Integrity Advanced Server のシステム全体、またはシステム内の複数のドメイン に影響を与える操作を実行するには、システム ドメインの中にいる必要がありま す。 システム ドメインの概念 システム ドメインは、Integrity Advanced Server 内に 1 つしかありません。システ ム ドメイン は、次の目的のために使用します。 グローバル管理者用のマスター ドメイン。グローバル管理者は、システム ドメ インを使用して、Integrity Advanced Server 内に新規ドメインをセットアップす るほか、Integrity Advanced Server システム全体に影響を与えるグローバルな設 定を管理します。 エンドポイント ユーザ用のデフォルト ドメイン。ネットワーク上で認証された エンドポイント ユーザが、ドメイン内のユーザ カタログのメンバではない場 合、そのエンドポイント ユーザには、システム ドメインのデフォルト ポリシー が適用されます。そのエンドポイント ユーザが非準拠の場合は、システム ドメ インの対策エリア ( サンドボックス ) に限定されます。こうすることで、認証を 受けたすべてのエンドポイント ユーザが保護されます。 初期のセットアップ中に、システム ドメインを未承認エンドポイント ユーザのデ フォルト ドメインとして設定する場合と、Integrity Advanced Server が未承認 ユーザのセッションを終了するように設定する場合とがあります。一般には、 Integrity Advanced Server が未承認ユーザのセッションを終了するように設定され ます。 Integrity Advanced Server 管理者ガイド 7 システム ドメインにアクセスできる管理者 システム ドメインで作成されたアカウントを持つ管理者は、システム ドメインのほ か、Integrity Advanced Server 上のすべてのドメインにアクセスできます。このよう な管理者を、グローバル管理者と呼びます。 詳細については、第 3 章 「管理者の管理」を参照してください。 Integrity Advanced Server 管理者ガイド 8 システム ドメインとその他のドメイン システム ドメインとその他のすべてのドメインは、一方向の信頼関係にあります。 その他のドメインは、デフォルト ポリシー、ポリシー テンプレート、対策 ( サンド ボックス ) テンプレートなど、システム ドメインの特定のアイテムをコピーして使 用します。 システム ドメインのデフォルト ポリシー システム ドメインのデフォルト ポリシーは、Integrity Advanced Server 全体のセ キュリティ ベースラインの役目を果たします。デフォルト ポリシーでは、ユーザの 作業の中断を最小限に抑えつつ、セキュリティを実現します。デフォルト ポリシー には次の 2 つの目的があります。 新規ドメイン用の初期のデフォルト ポリシー。ドメインを新規作成すると、シ ステム ドメインのデフォルト ポリシーがその新規ドメインにコピーされ、“ デ フォルト ドメイン名ポリシー” という名前が付けられます。これにより、その新規 ドメインにそれ以上のポリシーが割り当てられない場合でも、セキュリティ ベースラインが確保されます。デフォルト ポリシーは継承ではなくコピーされ るので、システム ドメインのデフォルト ポリシーを変更しても、すでに作成し たドメインのデフォルト ポリシーは変更されないことに注意してください。 未 承 認 ユ ー ザ の ポ リ シ ー。認 証 サ ー ビ ス に よ り 認 証 さ れ て も、Integrity Advanced Server 上のドメインで定義されていないユーザには、システム ドメイ ンのデフォルト ポリシーが適用されます。 システム ドメインのデフォルト ポリシーは変更しないことをお勧めします。 システム ドメインのポリシー テンプレート ポリシー テンプレートには新規ポリシー用のベースラインがあらかじめ設定されて いるため、ドメイン管理者がポリシーをすばやく簡単に作成するのに役立ちます。 ポリシー テンプレートはすべてのドメインで利用できます。ポリシー テンプレート の設定は、システム ドメインで管理されます。デフォルト ポリシーとは異なり、シ ステム ドメインでポリシー テンプレートを更新すると、その変更はすべてのドメイ ン内のテンプレートに影響を与えます。グローバル管理者は、システム ドメインで 新たなポリシー テンプレートを作成し、既存のテンプレートを変更または削除でき ます。 手順の詳細については、第 4 章 「ポリシー テンプレートの発行」を参照してくだ さい。 システム ドメインおよび対策リソース ( サンドボックス ) ドメインを新規作成すると、Integrity Advanced Server に格納されているテンプレー トに基づいて、あらかじめ設定された対策リソースが自動的にそのドメインに設定 されます。デフォルト ポリシーと同様に、サンドボックス テンプレートを更新した Integrity Advanced Server 管理者ガイド 9 場合、新規ドメインだけが影響を受けます。テンプレートを変更しても、既存のド メインのサンドボックス対策リソースは影響を受けません。 Integrity Advanced Server 管理者ガイド 10 システム ドメインで実行されるタスク 管理者は、システム ドメインで以下のタスクを実行します。 他のグローバル管理者のアカウントを作成します。 詳細については、第 3 章 「管理者の管理」の「管理者アカウントの新規作成」 (51 ページ ) を参照してく ださい。 Integrity Advanced Server に新規ドメインをセットアップします。この章の 15 ページの「新規ドメインのセットアップ」を参照してください。 ポリシー テンプレートを作成して、すべてのドメインに発行します。60 ページ の「ポリシー テンプレートの作成と発行」を参照してください。 対策リソース ( サンドボックス ) テンプレートを作成して発行します。 Data Manager でグローバル定義を作成して発行します。たとえば、システム ド メインで Location Manager に追加された場所の定義は、すべてのドメインで利 用できます。 システム ドメインのデフォルト ポリシーを編集します。 システム ドメインの対策リソース ( サンドボックス ) を編集します。 上記のタスクはすべて、IAS 管理コンソールで実行されます。 Integrity Advanced Server 管理者ガイド 11 エンティティおよび継承 Integrity Advanced Server の各ドメインには、任意の数のユーザ カタログを含めるこ とができます。そして、各ユーザ カタログに含めることのできるユーザ グループの 数にも制限はありません。カタログおよびグループは、まとめてエンティティと呼 ばれます。 継承構造のトップ レベルはドメインです。デフォルトでは、エンティティはその親 エンティティのセキュリティ ポリシーおよび管理者を継承します。 ドメイン管理者の継承のしくみ いつでも、任意の数のドメイン管理者をエンティティに割り当てることができま す。したがって、あるエンティティに管理者を割り当てても、そのエンティティへ の別の管理者の割り当ては上書きされません。 以下のように管理者を割り当てます。 ドメインに割り当てると、その管理者はそのドメインのすべてのエンティティに アクセスできます。 ユーザ カタログに割り当てると、その管理者はそのユーザ カタログ、およびそ のユーザ カタログに含まれるすべてのユーザ グループにアクセスできます。 ユーザ グループに割り当てると、その管理者はそのユーザ グループのみにアク セスできます。 管理者に関するドメインとエンティティの継承構造を下の図に示します。 グローバル管理者は、Integrity Advanced Server のすべてのドメインおよびエン ティティにアクセスできます。 . ドメイン 1 管理者 カタログ A 管理者 グループ 1 管理者 グループ 1 ドメイン 1 ユーザ カタログ A ユーザ カタログ B グル ープ 1 グループ 2 グループ 3 ( エンティティ) 図 2-1: 管理者の継承 Integrity Advanced Server 管理者ガイド 12 例 : 管理者の継承 図 2-1 の例では、以下のようになります。 ドメイン 1 管理者は、ドメイン 1 に割り当てられています。この管理者はドメ イン 1 のすべてのエンティティ ( ユーザ カタログ A、ユーザ カタログ B、およ びすべてのグループ ) にアクセスできます。 カタログ A 管理者は、ユーザ カタログ A に割り当てられています。この管理者 は、ユーザ カタログ A およびユーザ カタログ A のグループ 1 ~ 3 にアクセス できます。 グループ 1 管理者は、ユーザ カタログ A のグループ 1 に割り当てられていま す。この管理者がアクセスできるのは、ユーザ カタログ A のグループ 1 だけで す。 ポリシーの継承機能のしくみ ドメインまたはエンティティに同時に割り当てることができるポリシーは 1 つだけ です。トップ レベルであるドメインには、常に特定のポリシーが割り当てられてい ます。ユーザ カタログおよびユーザ グループには、親からポリシーを継承させるこ ともできますし、固有のポリシーを割り当てることもできます。エンティティに固 有のポリシーを割り当てると、そのエンティティの子はそのポリシーを継承しま す。エンティティにポリシーを割り当てると、その親から継承されたポリシーは上 書きされます。 ドメインとポリシーに関するエンティティの継承構造を下の図に示します。 . デフォルト ドメイン 1 ポリシー 継承 ( デフォルト ドメイン 1 ポリシー) ポリシー Z グル ープ 1 継承 グル ープ 2 ( デフォルト ドメイン 1 ポリシー) グル 継承 ープ 3 ドメイン 1 ユーザ カタログ A ユーザ カタログ B ポリシー Y グル ープ 1 継承 ( ポリシー Y) ( エンティティ) ( デフォルト ドメイン 1 ポリシー) 図 2-2: ポリシーの継承 Integrity Advanced Server 管理者ガイド 13 ドメインの確認 ドメインで何か変更 ( 管理者やエンティティの追加など ) をする前に、自分が正しい ドメインにいることを確認してください。 ドメインを確認するには、次のようにします。 ° [Session Status ( セッション ステータス )] エリアの [Domain ( ドメイン )] の下にド メイン名が表示されます。 この例では、管理者はシステム ドメイン内で操作しています。 図 2-1: [Session Status ( セッション ステータス )] エリア ドメインの切り替え グローバル管理者が Administrator Console にログインすると、[Domain Selection ( ド メイン選択 )] ページが表示されます。操作するドメインを一覧から選択します。選 択したドメインのホーム ページが表示されます。 図 2-2: [Domain Selection ( ドメイン選択 )] ページ ドメイン管理者は、アカウントが作成されたドメインにしかアクセスできず、ドメ インを切り替えることはできません。ドメイン管理者が Integrity Advanced Server に ログインすると、そのドメインのホーム ページが自動的に表示されます。 ドメインを切り替えるには、次のようにします。 ° 上部のメニュー バーで [Domain Selection ( ドメイン選択 )] をクリックし、ドメイ ンの名前をクリックします。 そのドメインのホーム ページが表示されます。[Session Status ( セッション ス テータス )] エリアにドメイン名が表示されます。 Integrity Advanced Server 管理者ガイド 14 新規ドメインのセットアップ Integrity Advanced Server で新規ドメインをセットアップするには、次の 3 つのタス クが必要です。 1. 15 ページの「ドメインの新規作成」 2. 16 ページの「エンティティのドメインへの追加」 3. 35 ページの「管理者の追加」 ドメインの新規作成 作成した新規ドメインには、あらかじめ設定された管理者ロール、そのドメインに 割り当てられたデフォルトのドメイン ポリシー、ポリシー テンプレート、およびカ スタマイズ可能なドメイン サンドボックス ページが存在します。新規ドメインを作 成するには、システム ドメイン内で作業する必要があります。 ドメインを新規作成するには、次のようにします。 1. [Domains ( ドメイン )] に移動します。 [Domain Manager (Domain Manager)] ページが表示されます。 2. [New Domain ( 新規ドメイン )] をクリックします。 [New Domain ( 新規ドメイン )] ページが表示されます。 3. 必要なドメイン情報を入力します。 a. [Domain Name ( ドメイン名 )] ボックスに、ドメインの固有の名前を入力しま す。 名前は 128 文字までで、大文字小文字を区別しません。 b. [Description ( 説明 )] ボックスに、ドメインの説明を入力します。 この説明は、ページにのみ表示されます。説明は 250 文字までです。 4. [Save ( 保存 )] または [Save and Create Entities ( 保存してエンティティを作成 )] をクリックします。 これで、ドメインが作成されます。次のセクションに進んで、ドメインにエンティ ティ ( ユーザ カタログとグループ ) を追加する方法を参照してください。 Integrity Advanced Server 管理者ガイド 15 エンティティのドメインへの追加 Integrity Advanced Server 内の各ドメイン には、任意の数のユーザ カタログを含め ることができます。各ユーザ カタログに含めることのできるユーザ グループの数に も制限はありません。カタログおよびグループは、まとめて “ エンティティ” と呼ば れます。 ドメインをエンティティに区分することで、ユーザのグループごとに異なるポリ シーや管理者を割り当てることができます。( ユーザとは、Integrity クライアントが インストールされているエンドポイント コンピュータの 1 人ののユーザのことで、 ID が Integrity Advanced Server に登録されています。) エンティティの定義には、IP アドレス範囲、VPN ゲートウェイ、ユーザ ディレクトリ、またはカスタム設定を使 用できます。 Integrity Advanced Server は、エンドポイントをその認証情報によって識別します。 Integrity Advanced Server 上の各カタログは一意でなければなりません。異なるドメ イン上にある場合でも、複数のカタログに同じ名前を付けることはできません。 ドメイン構造の詳細については、12 ページの「エンティティおよび継承」を参照し てください。 ユーザ カタログおよびグループを設定するときは、そのカタログまたはグループ の名前が、認証サーバ上のカタログまたはグループの名前と正確に一致する必要 があります。 エンティティの使用 : 例 このセクションでは、ネットワーク内の IP アドレス範囲に基づいて異なるポリシー を割り当てるためにエンティティを使用する方法の例を示します。この例では IP カ タログ (IP アドレスに基づくカタログ ) を取り上げますが、ここで説明するステップ は、カスタム カタログやゲートウェイ カタログにも同様に妥当します。 多数のプリンタを使用するデスクトップ パブリッシング会社を念頭に置いてくださ い。この会社では、ある部門のホスト IP ごとに異なるポリシーを割り当てたいと考 えています。エンドポイント デスクトップ用のポリシーと、プリンタ用のポリシー です。このために、管理者は以下の作業を行います。 1. 該当する IP アドレス範囲 ( たとえば 172.00.00.00 ~ 172.00.00.250) の IP カ タログを作成します。(IP カタログ作成の詳細については、19 ページの「IP カ タログの追加」を参照してください。) 2. このカタログに、デスクトップ専用のポリシーを割り当てます。( 詳細について は、219 ページの「ポリシーのエンティティへの割り当て」を参照してくださ い。) 3. 新しい IP カタログ下に、プリンタの IP グループを作成します。このグループ は、コンマ区切りのプリンタ IP アドレスまたはホスト名で構成します ( たとえ ば 172.00.00.47, 172.00.00.63, 以下同様)。(グループ作成の詳細については、 Integrity Advanced Server 管理者ガイド 16 27 ページの「カスタム、IP、およびゲートウェイ カタログへのグループの追 加」を参照してください。) 4. このプリンタ グループに、プリンタ専用のポリシーを割り当てます。 プリンタとエンドポイント コンピュータがそれぞれ異なるポリシーで保護され、こ れによりプリンタをデスクトップのポリシーから隔離できます。 ユーザの認証 Integrity Advanced Server は、LDAP、NT ドメイン、および RADIUS サーバからユー ザ ディレクトリ情報をインポートして、ユーザがこれらのディレクトリに対して認 証されるようにします。Integrity はネイティブ認証システムとして NT ドメインまた は特定の LDAP ディレクトリ ( 下記参照 ) を使用するので、これらのディレクトリを 通して認証されたユーザは Integrity によって自動的に認識されます。組織でこれ以 外の認証システム (RADIUS など ) を使用している場合、そのシステムをプロキシ ロ グインに使用するように Integrity を設定できます。Integrity のプロキシ ログインで は、ユーザに対して認証用のログイン ウィンドウが表示されます。 Integrity Advanced Server の認証は、以下の手順で行われます。 NT ドメイン、Microsoft Active Directory および Novell NDS LDAP のネイティブ 認証。ユーザが NT ドメイン、Novell NDS、または Microsoft Active Directory 経 由で認証されると、Integrity は自動的にそのユーザを認識します。 NT ドメイン、RADIUS、および LDAP ディレクトリ ユーザのプロキシ ログイ ン。認証 シス テム とし て RADIUS ま たは LDAP (Novell NDS およ び Microsoft Active Directory 以外) を使用している場合は、プロキシ ログインを使用してくだ さい。( プロキシ ログインを設定するには、関連するカタログを追加する際に [Proxy Login Server (Proxy Login Server)] チェックボックスをオンにします。) プロキシ ログインを使用すると、エンドポイントがエンタープライズ ネット ワークに接続するときに Integrity が以下のことを行います。 a. プロキシ ログイン ウィンドウを表示して、ユーザに認証を要求します。 b. 入力されたユーザ ID とパスワードを使用して外部ユーザ ディレクトリ (NT ドメイン、RADIUS、または LDAP) に対する認証を行い、成功した場合は適 切なセキュリティ ポリシーを割り当てます。 プロキシ ログインに指定できるカタログ (NT ドメイン、RADIUS、または LDAP) は 1 つだけです。 Integrity がサポートするゲートウェイを利用して企業ネットワークに接続してい るユーザが、関連するグループ内にはまだ存在していない場合の協調施行。この 方法で追加されたユーザはゲートウェイ カタログに入れられます。 Integrity Advanced Server 管理者ガイド 17 Proxy Login および Auto Add Integrity Advanced Server の Auto Add 機能では、プロキシ ログインで認証された ユーザがユーザ ディレクトリに追加されます。ユーザ ディレクトリのインポート プロセス中に Auto Add オプションが選択されていて、ユーザがプロキシ ログイン 経由でネットワークにアクセスする必要がある場合、そのユーザは適切なグループ に入れられます。ユーザが自動的に追加されるためには、あらかじめ LAN 上で認証 されていなければいけません。ユーザの自動追加に際し、Integrity Advanced Server はエンドポイントに対して最新のポリシーを配備します。 ドメイン構造の詳細については、12 ページの「エンティティおよび継承」を参照し てください。 ユーザ カタログおよびグループを設定するときは、そのカタログまたはグループ の名前が、認証サーバ上のカタログまたはグループの名前と正確に一致する必要 があります。 カスタム カタログの追加 Administrator Console を使用して、Integrity Advanced Server にカスタム カタログを 追加します。 新規カスタム カタログを追加するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] をクリックします。 2. カタログを作成するドメインを選択します。 そのドメインのホーム ページが表示され、[Session Status ( セッション ステータ ス )] にドメイン名が表示されます。 3. [Entities ( エンティティ)] に移動します。 4. [New Entity ( 新規エンティティ)] をクリックして、[Custom ( カスタム )] を選択 します。 5. 必要なカタログ情報を入力します。 a. [Catalog Name ( カタログ名 )] ボックスに、カタログの名前を入力します。 カタログ名は 128 文字までで、大文字小文字を区別しません。 b. [Catalog Description ( カタログの説明 )] ボックスに、カタログの説明を入力 します。 この説明は、[View Domain ( ドメインの表示 )] ページおよび [Edit Domain ( ドメインの編集 )] ページにのみ表示され、入力できる説明は 250 文字以内 です。 6. [Save ( 保存 )] をクリックします。 カタログがドメインに追加されます。 Integrity Advanced Server 管理者ガイド 18 カタログを追加したら、そのカタログにグループを追加できます。27 ページの「カ スタム、IP、およびゲートウェイ カタログへのグループの追加」を参照してくださ い。 ゲートウェイ カタログの追加 管理コンソールを使用して、Integrity Advanced Server にゲートウェイ カタログを追 加します。協調施行機能を使用することで、Integrity はサポートされているゲート ウェイとともに作動します。これにより、リモートのエンドポイント コンピュータ でエンドポイントのセキュリティを確保できます。新規ユーザが Integrity Advanced Server に最初にアクセスしたとき、そのユーザは動的にゲートウェイ カタログまた はグループに追加されます。 新規ゲートウェイ カタログを追加するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] をクリックします。 2. カタログを作成するドメインを選択します。 そのドメインのホーム ページが表示され、[Session Status ( セッション ステータ ス )] にドメイン名が表示されます。 3. [Entities ( エンティティ)] に移動します。 4. [New Entity ( 新規エンティティ)] をクリックして、[Gateway ( ゲートウェイ )] を 選択します。 5. [Catalog SubTypes ( カタログのサブタイプ )] フィールドで、使用するゲートウェ イの種類を選択します。 6. 使用するゲートウェイについて、適切な情報をフィールドに記入します。 各フィールドの説明については、オンライン ヘルプを参照してください。詳細 に つ い て は、210 ペ ー ジ の「ゲ ー ト ウ ェ イ と 協 調 施 行」お よ び『Integrity Advanced Server ゲートウェイ インテグレーション ガイド』を参照してくださ い。 7. [Save ( 保存 )] をクリックします。 カタログがドメインに追加されます。 カタログを追加したら、そのカタログにグループを追加できます。27 ページの「カ スタム、IP、およびゲートウェイ カタログへのグループの追加」を参照してくださ い。Check Point InterSpect ゲートウェイ カタログにはグループを追加できません。 IP カタログの追加 管理コンソールを使用して、Integrity Advanced Server に IP カタログを追加しま す。エンドポイント ユーザではなく IP アドレス範囲に基づいてポリシーを割り当 てることができます。 Integrity Advanced Server 管理者ガイド 19 IP カタログを追加するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] をクリックします。 2. カタログを作成するドメインを選択します。 そのドメインのホーム ページが表示され、[Session Status ( セッション ステータ ス )] にドメイン名が表示されます。 3. [Entities ( エンティティ)] に移動します。 4. [New Entity ( 新規エンティティ)] をクリックして、[IP Catalog (IP カタログ )] を 選択します。 5. 必要なカタログ情報を入力します。 a. [IP Catalog Name (IP カタログ名 )] ボックスに、カタログの名前を入力しま す。 カタログ名は 128 文字までで、大文字小文字を区別しません。 b. [Address Range ( アドレス範囲 )] ボックスに、このカタログの IP アドレスの 範囲を入力します。 c. [Subnet Mask ( サブネット マスク )] ボックスに、このカタログのサブネット を入力します ( ある場合 )。 6. [Save ( 保存 )] をクリックします。 カタログがドメインに追加されます。 カタログを追加したら、そのカタログにグループを追加できます。27 ページの「カ スタム、IP、およびゲートウェイ カタログへのグループの追加」を参照してくださ い。IP カタログとグループを組み合わせて使用する方法の例については、16 ペー ジの「エンティティの使用 : 例」を参照してください。 ユーザ ディレクトリ カタログの追加 管理コンソールを使用して、Integrity Advanced Server に LDAP、NT ドメイン、また は RADIUS カタログを追加します。後で、カタログとユーザ ディレクトリを同期し て更新できます。 RADIUS ディレクトリについては、子ディレクトリは使用できません。すべての ユーザが、ディレクトリ サーバの名前が付いたグループに配置されます。 LDAP または NT ドメインのディレクトリの場合は、ディレクトリ内のすべてのユー ザを 1 つのカタログ内にインポートするか、特定のディレクトリ グループのみをカ タログにインポートできます。 Integrity Advanced Server 管理者ガイド 20 LDAP カタログの追加 RFC 1777 準拠の LDAP (Lightweight Directory Access Protocol) サーバ バージョン 2 およ び 3 が サポ ート され ます。Integrity に は、Novell eDirectory for Windows、 Netscape Directory Server for Windows 2000、および Windows Active Directory サー ビス ( ネイティブ / ミックス モード ) 用の設定フィルタが用意されています。その他 の LDAP サーバを使用している場合、Integrity のデータベースにディレクトリをイ ンポートするためのユーザおよびグループ フィルタ情報が必要になります。この情 報は、通常は LDAP プロバイダのドキュメントに記載されています。 新規 LDAP カタログを追加するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] をクリックします。 2. カタログを作成するドメインを選択します。 そのドメインのホーム ページが表示され、[Session Status ( セッション ステータ ス )] にドメイン名が表示されます。 3. [Entities ( エンティティ)] に移動します。 4. [New Entity ( 新規エンティティ)] をクリックして、[LDAP (LDAP)] を選択しま す。 5. [Catalog Subtypes ( カタログ サブタイプ )] フィールドで、LDAP の種類を [Custom ( カ スタ ム )]、[Microsoft ActiveDirectory (Microsoft ActiveDirectory)]、 [Novell eDirectory (Novell eDirectory)]、また は [Netscape iPlanet (Netscape iPlanet)] の中から選択します。 組み込みタイプではない LDAP ディレクトリを使用する場合は、[Custom ( カス タム )] を選択して、[User Filter ( ユーザ フィルタ )] および [Group Filter ( グルー プ フィルタ )] に適切な値を入力します。LDAP 2.0 以降の仕様を満たしている サーバは、[Custom ( カスタム )] カタログ サブタイプを使用してインポートでき ます。フィルタリング構文の詳細については、通常は LDAP プロバイダのドキュ メントに記載されています。 6. プロキシ ログインや Auto Add の選択など、使用する LDAP ディレクトリについ て適切な情報をフィールドに記入します。( フィールドの説明については、関連 するオンライン ヘルプを参照してください。) 7. [Import Groups (グループのインポート)] をクリックして、インポートする LDAP グループのリストを表示します。 LDAP グループをインポートするには、左側のパネルからグループを選択し、右 向きの矢印を使用して LDAP ユーザ グループを右側のパネルに移動します。上 下のボタンを使用して、追加するグループの順序と優先順位を設定します。 8. [Save ( 保存 )] をクリックします。 カタログがドメインに追加されます。 終了したら 35 ページの「管理者の追加」に進んで、ドメインまたはカタログに管 理者を割り当てます。 Integrity Advanced Server 管理者ガイド 21 LDAP インポート問題のトラブルシューティング LDAP ディレクトリ サーバでは、クエリから返される結果のサイズを制限すること ができます。アクティブ ディレクトリの LDAP インプリメンテーションでは、デ フォルトで 1000 ユーザに制限されます。現在、制限よりも多くのユーザを LDAP ディレクトリにインポートすると、ユーザ ディレクトリのインポートに失敗しま す。制限の値を大きくすることで、この問題を回避できます。 クエリ結果のサイズ制限を変更するには、次のようにします。 1. ntdsutil.exe を実行します (WINNT\SYSTEM32 にあります )。 2. プロンプトで、「LDAP policies」と入力します。 3. “ldap policy:” プロンプトで、「connection」と入力します。 4. “server connections:” プロンプトで、「connect to server [ サーバ名 ]」と入力し ます ([ サーバ名 ] は LDAP サーバの名前です )。 ローカルにログインしているユーザの認証情報を使用して、アクセスが許可また はブロックされます。 5. 「q」と入力して、メニューに戻ります。 6. “ldap policy:” メニューで「show values」と入力して、ポリシー設定を確認しま す。 7. 「set [ 属性 ] to [ 値 ]」と入力して、これらの値を設定することができます。たと えば、ここで設定が必要なのは “MaxPageSize” なので、「set MaxPageSize to 5000」と入力して、一度に 5000 ユーザをインポートできるようにします。 8. 「show values」と再度入力して、変更を確認します。 未決定の変更は、カッコの中に表示されます。 9. 終了したら、「commit changes」と入力します。 Integrity Advanced Server 管理者ガイド 22 NT ドメイン カタログの追加 Integrity Advanced Server は、TCP ポート 137-139 を使用して、NetBIOS プロトコ ル経由でドメイン コントローラと通信します。NT または Active Directory ドメイン から Integrity Advanced Server にカタログをインポートするには、NetBIOS over TCP を有効にした WINS サーバが必要です。Integrity Advanced Server を実行している Windows 2000 Server プラットフォーム上では、以下のステップでこの設定を確認 できます。 サーバ設定を確認するには、次のようにします。 1. [Network Neighborhood ( マイ ネットワーク )] を右クリックします。 2. [Properties ( プロパティ)] を選択します。 3. [Local Area Connection ( ローカル エリア接続 )] を右クリックします。 4. [Properties ( プロパティ)] を選択します。 5. [Internet Protocol (TCP/IP) ( インターネット プロトコル (TCP/IP))] を選択しま す。 6. [Properties ( プロパティ)] を選択します。 7. [Advanced ( 詳細設定 )] をクリックします。 8. [WINS (WINS)] タブを選択します。 9. [Enable NetBIOS over TCP/IP (NetBIOS over TCP/IP を有効にする )] ラジオ ボタ ンが選択されていることを確認します。 10. [OK (OK)] をクリックします。 Integrity Server とドメイン コントローラが通信するときに転送されるのは、ユー ザ ID のみです。パスワードは送信されません。 アクティブ ディレクトリの互換性 Integrity では、アクティブ ディレクトリがネイティブおよびミックス モードでサ ポートされます。 プライマリ ドメイン コントローラまたはバックアップ ドメイン コントローラに Windows NT Server 4.0 (SP6a) を使用している場合、Integrity Advanced Server がド メインをインポートおよび同期できるようにするために、これらのマシン上に Microsoft の ADSI (Active Directory(TM) サービス インターフェイス ) ライブラリをイ ンストールする必要があります。ADSI エクステンションは、次の Microsoft サイト (http://www.microsoft.com/ntworkstation/downloads/Other/adclient.asp) か らダ ウン ロードできます。Integrity Advanced Server 上に ADSI ライブラリをインストールし て設定する方法の詳細については、Microsoft の各種ドキュメントを参照してくださ い。 Integrity Advanced Server 管理者ガイド 23 NT ドメイン インポート前の考察 Integrity Advanced Server に NT ドメインをインポートするプロセスには、すべての NT ドメイン ユーザを 1 つのグループにインポートする方法と、インポート先の 個々の NT グループを選択してインポートする方法があります。 NT ドメイン カタ ログをインポートするには、NT ドメインの管理権限が必要です。 Integrity Advanced Server のログイン認証情報を変更するには、次のように します。 1. [Administrative Tools (管理ツール)] の [Services (サービス)] から、サービス ツー ルを開きます。 2. Integrity サービスを右クリックして、[Properties ( プロパティ)] を選択します。 3. [Log On ( ログオン )] タブを開きます。 4. “ログオン” のデフォルト認証情報がローカル システム アカウントになります。 [This account ( アカウント )] ラジオ ボタンをクリックします。 5. [Browse... ( 参照 ...)] ボタンをクリックします。ホスト上の Windows Server イン ストールの [Local Users and Groups (Local Users and Groups)] が開きます。 6. 複数のドメインがある環境では、ドメイン間で信頼される関係を確立する必要が あります。Integrity Advanced Server を実行しているコンピュータにログインし ている管理者が各ドメインにアクセスするには、適切な権限が必要です。信頼さ れた関係を作成することはお勧めしません。 7. [Integrity service properties/Log On (Integrity サービスのプロパティ/ ログオン )] ウィンドウにドメイン用の適切な認証情報とパスワードを入力して、[OK (OK)] をクリックします。 新規 NT カタログを追加するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] をクリックします。 2. カタログを作成するドメインを選択します。 そのドメインのホーム ページが表示され、[Session Status ( セッション ステータ ス )] にドメイン名が表示されます。 3. [Entities ( エンティティ)] に移動します。 4. [New Entity ( 新規エンティティ)] をクリックして、[NTDomain (NT ドメイン )] を 選択します。 5. [Catalog SubTypes ( カタログ サブタイプ )] フィールドで、NT ドメインを構成す る方法として [Import all users into one group ( すべてのユーザを 1 つのグループ Integrity Advanced Server 管理者ガイド 24 にインポート )] または [Select groups to import ( インポートするグループを選択 )] を選択します。 [Import all users into one group ( すべてのユーザを 1 つのグループにインポート )] を選択した場合、[Domain Name (ドメイン名)] フィールドに入力した NT ドメ イン全体が新しいカタログにインポートされます。 a. プロキシ ログインや Auto Add の選択など、使用する NT ドメインについて 適切な情報をフィールドに記入します。( フィールドの説明については、関 連するオンライン ヘルプを参照してください。) [Select groups to import ( インポートするグループを選択 )] を選択すると、 [Import Groups ( インポートするグループ )] ボタンが表示されます。 a. プロキシ ログインや Auto Add の選択など、使用する NT ドメインについて 適切な情報をフィールドに記入します。( フィールドの説明については、関 連するオンライン ヘルプを参照してください。) b. [Import Groups ( グループのインポート )] をクリックして、インポートする NT ドメインのリストを表示します。 c. NT ドメイン グループをインポートするには、左側のパネルからグループを 選択し、右向きの矢印を使用して NT ドメイン ユーザ グループを右側のパ ネルに移動します。上下のボタンを使用して、追加するグループの順序と優 先順位を設定します。 ユーザは NT ドメイン内の複数のグループ内に存在することができますが、 複数の Integrity Advanced Server グループ内に存在することはできません。 したがって、Integrity Advanced Server は、NT ドメインから特定のグループ をインポートするときに優先順位を設定します。あるユーザが複数の NT グ ループ内に存在する場合、Integrity Advanced Server はそのユーザを優先順 位が最も高いグループにのみ入れます。ユーザ名がいずれの NT グループに も存在しない場合、そのユーザはインポート時にトップ レベル ドメイン グ ループに追加されます。 6. [Save ( 保存 )] をクリックします。 カタログがドメインに追加されます。 終了したら 35 ページの「管理者の追加」に進んで、ドメインまたはカタログに管 理者を割り当てます。 Integrity Advanced Server 管理者ガイド 25 RADIUS カタログの追加 Integrity Advanced Server では、RADIUS ユーザをインポートして、ユーザ レベルで 適切 なポ リシ ーを 割り 当て るこ とが でき ます。個 々の ユ ーザ レ ベル では なく RADIUS ディレクトリ レベルにのみポリシーを割り当てるのであれば、RADIUS カ タログをインポートする必要はありません。ユーザがプロキシ ログインで正常に認 証されると、Integrity Advanced Server はそのユーザをデータベースに追加します。 そして、[Auto Add (Auto Add)] ボックスがオンになっていれば、RADIUS カタログ レベ ル ポリ シー を自 動的 に割 り当 てま す。Integrity Advanced Server では、RFC 2865 準拠の RADIUS ソフトウェアがすべてサポートされます。 RADIUS カタログを Integrity Advanced Server にインポートするには、RADIUS ユー ザ ファイルを Integrity Advanced Server にコピーする必要があります。このユーザ デー タ フ ァイ ルは、フ ォー マッ トし て 使い やす い場 所に 配置 して おき ます。 RADIUS カタログのエンコード方法は、ASCII フォーマットにする必要があります。 ユーザ データ ファイルをフォーマットするには、次のようにします。 1. RADIUS サーバからエクスポートした RADIUS カタログをメモ帳で開きます。 エンコーディング ドロップダウン メニューから適切なフォーマットを選択し て、ASCII フォーマットでファイルを保存します。保存されたファイルがユーザ データ ファイルになります。 2. ユーザ データ ファイルを開いて、最初のカラムで始まる文字列にユーザ ID が 含まれていることを確認してください。ユーザ データ ファイルに唯一要求され ることは、各ユーザ名がキャリッジリターン、スペースまたはコンマで終了する ということです。このため、各行はユーザ ID で開始され、最小 1 スペース文字 で終了します。Integrity Advanced Server は、“ コメント ” 文字を一切認識しませ ん。 正しいフォーマットが要求されるのは最初のカラムだけなので、残りのカラムは Integrity Advanced Server によって利用されません。 3. ユーザ データ ファイルを RADIUS サーバから Integrity Advanced Server に移動 します。次のセクションでこのユーザ データ ファイルを Integrity Advanced Server にインポートする必要がありますので、FTP やフロッピー ディスク等、 都合の良い方法で行ってください。 新規 RADIUS カタログを追加するには、次のようにします。 新規 RADIUS カタ ログ を追 加す る際 に、RADIUS サー バが Integrity Advanced Server と同じコンピュータ上に存在する場合は、“localhost” ではなく IP アドレ スを使用して Integrity にログインしてください。このためには、ブラウザを開 き、( 文字列 “localhost” ではなく ) IP アドレスを使用して Integrity Advanced Server のログイン ページにアクセスし、そこで通常どおりにログインします。 1. [Domain Selection ( ドメイン選択 )] をクリックします。 Integrity Advanced Server 管理者ガイド 26 2. カタログを作成するドメインを選択します。 そのドメインのホーム ページが表示され、[Session Status ( セッション ステータ ス )] にドメイン名が表示されます。 3. [Entities ( エンティティ)] に移動します。 4. [New Entity ( 新規エンティティ)] をクリックして、[RADIUS (RADIUS)] を選択し ます。 まず、RADIUS ユーザをテキスト ファイルにエクスポートします。[User Data File ( ユーザ データ ファイル )] フィールドに、エクスポートする RADIUS ユーザ を含むテキスト ファイルの場所と名前を入力します。 5. RADIUS ユーザ ディレクトリについて、適切な情報をフィールドに記入しま す。( フィールドの説明については、関連するオンライン ヘルプを参照してくだ さい。) [Shared Secret ( 共有シークレット )] フィールドで、PAP (Password Authentication Protocol) 共有シークレット アカウントのパスワードを使用します。 6. [Save ( 保存 )] をクリックします。 カタログがドメインに追加されます。 複数の Integrity Advanced Server をクラスタリングしている場合、各サーバに ローカルで RADIUS カタログを保存する必要があります。 終了したら 35 ページの「管理者の追加」に進んで、ドメイン、カタログ、または グループに管理者を割り当てます。 カスタム、IP、およびゲートウェイ カタログへのグループの追加 カスタム、IP、およびゲートウェイの各カタログにユーザ グループを追加できます (Check Point InterSpect ゲートウェイ カタログを除く )。グループを追加すると、カ タログ内のユーザのサブセットごとに異なるポリシーや管理者を割り当てることが できます。カタログ内のすべてのユーザに同じポリシーを適用し、同じ管理者に管 理させる場合、この時点でグループを追加しなくてもかまいません。( カタログとグ ループを組み合わせて使用する方法の例については、16 ページの「エンティティの 使用 : 例」を参照してください。) ユーザ グループを追加するには、次のようにします。 1. システム ドメイン内で作業している場合は、[Domain Manager (Domain Manager)] を選択します。適切なドメインのチェックボックスをオンにして、 [Entities ( エンティティ)] をクリックします。 システム ドメイン以外のドメインで作業している場合は、[Entities ( エンティ ティ)] を選択します。 Integrity Advanced Server 管理者ガイド 27 2. エンティティのリンクをクリックするか、または検索機能を使用して、適切なカ タログを見つけます。関連するカタログがこのページの [Current Entity ( 現在の エンティティ)] エリア内にある場合は、[New Group ( 新規グループ )] をクリック します。 [New Group ( 新規 グループ )] ページが表示されます。 3. [Group Name ( グループ名 )] ボックスに、グループの名前を入力します。同一の カタログ内では、すべてのグループが一意の名前を持っている必要があります。 ただし、同じドメイン内の別のカタログ内にあるユーザ グループ同士は同じ名 前でもかまいません。 カタログのユーザ グループに名前を付ける場合、以下の規則に従って ください ( すべての名前で大文字小文字が区別されます ): ゲートウェイ Check Point Firewall-1 および VPN-1 SecureClient については、グループ名 を “checkpoint” とする必要があります。 Cisco VPN 3000 シリーズ コンセントレータについては、コンセントレータ に定義された名前とグループの名前とが一致する必要があります。 Nortel Contivity VPN スイッチについては、グループ名を “nortel” とする必要 があります。 4. IP グループを作成する場合、関連する IP アドレスまたはホスト名 ( コンマ区切 り ) を [Hosts ( ホスト )] フィールドに入力します。グループ内の各 IP アドレス は、対応するカタログの IP アドレス範囲内に収まっている必要があります。( ホ スト名を解決するには、Integrity Advanced Server が DNS サーバにアクセスでき る必要があります。) 5. [Save ( 保存 )] をクリックします。 終了したら 35 ページの「管理者の追加」に進んで、ドメイン、カタログ、または グループに管理者を割り当てます。 Integrity Advanced Server 管理者ガイド 28 ドメインとエンティティの名前変更と削除 このセクションでは、Integrity Advanced Server からドメインとエンティティを削除 する場合の影響および削除の方法について、順を追って説明します。 Integrity Advanced Server 上の ドメ イ ンお よび エン ティ ティ の名 前変 更は、 15 ページの「新規ドメインのセットアップ」のステップで行います。 ドメインの削除 ドメインを削除すると、次のローカル情報はすべて、システムから完全に削除され ます。 エンティティ 管理者情報 サンドボックス ページ ポリシーおよび Data Manager のアイテム ポリシーを保存するには、そのポリシーを XML ファイルにエクスポートします。 エクスポートされたポリシーを、別のドメインにインポートすることができま す。 ドメインを削除するには、次のようにします。 1. [System ( システム )] メニューから、[Domain Manager (Domain Manager)] を選択 します。 2. ドメインを選択し、[Delete ( 削除 )] をクリックします。 確認のためのダイアログが表示されます。 3. [Yes ( はい )] をクリックします。 そのドメインと、そのすべてのコンポーネントが Integrity Advanced Server から 削除されます。 ドメインが削除されるときに、そのドメインのエンドポイント ユーザがログオン している場合、そのユーザ セッションは次のハートビートで制限されるか終了し ます。ドメイン管理者がログオンしているときに、そのドメインが削除される と、その管理者は自動的にログオフします。 Integrity Advanced Server 管理者ガイド 29 ユーザ カタログの削除 ユーザ カタログを削除すると、そのカタログ、およびそのすべてのグループが削除 されます。削除されたカタログに割り当てられていたポリシーも、[Policy Manager (Policy Manager)] ではそのまま利用できます。 削除されたユーザは Integrity Advanced Server から削除されますが、ユーザのコン ピュータ上のクライアント ソフトウェアとポリシーは機能し続けます。パーソナル ポリシーは施行されたままとなり、ユーザが Integrity Advanced Server から切断され たときに施行されるように設定されている場合は、エンタープライズ ポリシーも同 様です。ディレクトリ内の削除された認証済みユーザは Integrity Advanced Server の メモリにもキャッシュされているため、サーバが再起動されるまではポリシー スタ ジオの割り当てパネルにこれらのユーザが表示され続けます。 ユーザ カタログを削除するには、次のようにします。 1. [System ( システム )] メニューから、[Domain Manager (Domain Manager)] を選択 します。 2. ドメインを選択し、[Entities ( エンティティ)] をクリックします。 3. エンティティのリンクをクリックするか、または検索機能を使用して、適切なエ ンティティを見つけます。 4. 関連するカタログがこのページの [Current Entity ( 現在のエンティティ)] エリア 内に表示されたら、 アイコンをクリックします。 確認のために、そのユーザ カタログを表示したダイアログが表示されます。 5. [Yes ( はい )] をクリックします。 そのカタログ、およびそのすべてのグループが Integrity Advanced Server から削 除されます。 削除されたカタログ内のユーザは、ログオンできなくなります。カタログが削除 されるときに、そのカタログのユーザがログオンしている場合、そのユーザ セッ ションは次のハートビートで制限されるか終了します。そのカタログ、またはそ のカタログ内のグループに割り当てられていた管理者は、自動的にログオフしま す。 ユーザ グループの削除 グループをシステムから削除すると、エンドポイント ユーザは再度、親カタログの みに自動的に関連づけられます。グループを削除すると、Integrity Advanced Server はそのグループのユーザに対して、自動的に親カタログのポリシーを割り当て直し ます。そのグループに属していたすべてのエンドポイント ユーザはそのままシステ ムにアクセスできます。グループが削除されるときに、そのグループのエンドポイ ント ユーザがログオンしている場合、そのユーザには次のハートビートで親カタロ グのポリシーが適用されます。 Integrity Advanced Server 管理者ガイド 30 ユーザ グループを削除するには、次のようにします。 1. [System ( システム )] メニューから、[Domain Manager (Domain Manager)] を選択 します。 2. ドメインを選択し、[Entities ( エンティティ)] をクリックします。 3. エンティティのリンクをクリックするか、または検索機能を使用して、適切なグ ループを見つけます。 4. 関連するグループがこのページの [Current Entity ( 現在のエンティティ)] エリア 内に表示されたら、 アイコンをクリックします。 確認のために、そのユーザ グループを表示したダイアログが表示されます。 5. [Yes ( はい )] をクリックします。 そのグループが Integrity Advanced Server から削除されます。 Integrity Advanced Server 管理者ガイド 31 ユーザ カタログの同期 同期を実行すると、Integrity Advanced Server のユーザ カタログとグループが、使用 している LDAP または NT ドメインのユーザ ディレクトリ サーバ上のデータに合わ せて更新されます。 同期すると、以下が実行されます。 新規レコードが Integrity に追加されます。新規ユーザには親グループのポリ シーが適用されます。新規グループには、特定のグループ ポリシーが割り当て られるまで、デフォルト ポリシーが適用されます。 外部ユーザ ディレクトリに存在しなくなったユーザやグループ レコードは Integrity Advanced Server から 削除 され ます。削 除さ れた ユー ザは Integrity Advanced Server には通知されませんが、ユーザのコンピュータのエージェント ソフトウェアおよびポリシーはそのまま残ります。“ パーソナル ポリシー” は施 行されたままとなり、ユーザが Integrity Advanced Server から切断されたときに 施行されるように設定されている場合は、エンタープライズ ポリシーも同様で す。 グループの名前変更は、グループの削除と再追加として扱われます。この場合、 ポリシー割り当ては失われるため、新しいグループ名に再割り当てする必要があ ります。 変更されなかったレコードはそのまま残ります。割り当てられたポリシーは有効 なままです。 Integrity Advanced Server 管理者ガイド 32 RADIUS カタログの更新 RADIUS カタログ内のユーザ データ情報を更新するには、ユーザ データ ファイルを 更新済みのユーザ データ ファイルに置き換える必要があります。更新されたユーザ データ ファイルのエクスポートおよびフォーマットの方法については、26 ページ の「ユーザ データ ファイルをフォーマットするには、次のようにします。」を参照 してください。 ユーザ データ ファイルの名前と場所がそのままであれば、Integrity Advanced Server は自動的に RADIUS カタログを更新します。しかし、ファイルの名前または場所を 変更している場合は、[Edit RADIUS Catalog (RADIUS カタログの編集 )] ページを使 用して RADIUS カタログを更新する必要があります。このページは、RADIUS カタ ログのその他の設定の更新にも使用します。 複数の Integrity Advanced Server をクラスタリングしている場合、各サーバ上に あるローカルな RADIUS カタログを更新する必要があります。 RADIUS カタログを編集するには、次のようにします。 RADIUS サーバを Integrity Advanced Server と同じマシン上で使用している場合、 新規 RADIUS カタログを追加するためには、“localhost” ではなく IP アドレスを 使用して Integrity Server にログインするようにしてください。 1. [Domain Selection ( ドメイン選択 )] を選択します。 2. 適切なドメインを選択します。 そのドメインのホーム ページが表示され、[Session Status ( セッション ステータ ス )] にドメイン名が表示されます。 3. [Entities ( エンティティ)] を選択します。 4. エンティティのリンクをクリックするか、または検索機能を使用して、適切な RADIUS カタログを見つけます。 5. カタログがこのページの [Current Entity ( 現在のエンティティ)] エリア内に表示 されたら、 アイコンをクリックします。 6. 使用する RADIUS ユーザ ディレクトリについて、適切な情報をフィールドに記 入します。( フィールドの説明については、関連するオンライン ヘルプを参照し てください。) 7. ユーザ データ ファイルの名前や場所を変更した場合は、[User Data File ( ユーザ データ ファイル )] フィールドに入力します。 8. [Save ( 保存 )] をクリックします。 同期のスケジューリング 同期可能な全カタログを毎日または 1 週間ごとに自動的に同期するように Integrity Advanced Server を設定できます。 Integrity Advanced Server 管理者ガイド 33 自動同期スケジュールを設定するには、次のようにします。 1. [System ( システム )] メニューから、[Domain Manager (Domain Manager)] を選択 します。 2. ドメインを選択し、[Entities ( エンティティ)] をクリックします。 3. [Synchronize ( 同期 )] ドロップダウン リストから、同期を行う頻度 ( 手動、毎 日、または特定の曜日 ) と時刻を選択します。 4. [Update ( 更新 )] をクリックします。 手動同期 Entity Manager を使用して、手動でエンティティを同期します。 手動でエンティティを同期するには、次のようにします。 1. [Entities ( エンティティ)] に移動します。 2. エンティティのリンクをクリックするか、または検索機能を使用して、適切なカ タログを見つけます。カタログがこのページの [Current Entity ( 現在のエンティ ティ)] エリア内に表示されたら、 アイコンをクリックします。 Integrity Advanced Server 管理者ガイド 34 管理者の追加 新規ドメインのエンティティのセットアップが完了したら、次の設定手順では、ド メイン、カタログ、またはグループを管理するドメイン管理者アカウントを作成し ます。このセクションで作成した管理者アカウントには、以下のタスクを実行する 権限が与えられます。 管理者アカウントの管理 管理者アカウントの追加および削除 ロールの作成および割り当て エンティティへの管理者の割り当て ポリシーの管理 Data Manager のアイテムの作成および削除 エンタープライズ セキュリティ ポリシーの作成、割り当て、および削除 旧バージョンのポリシーへのロール バック ドメインに関するすべてのレポートの実行 管理者アカウントを追加するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] リンクをクリックして、ドメインを選択しま す。 そのドメインのホーム ページが表示されます。[Session Status ( セッション ス テータス )] エリアの [Domain ( ドメイン )] の下にドメイン名が表示されます。 2. [System Configuration (システム設定)] | [Administrators (管理者)] を選択します。 [Administrator Manager (Administrator Manager)] ページが表示されます。 3. [New(新規作成 )] をクリックします。 4. 必要な管理者情報を入力します。 a. [Administrator ID ( 管理者 ID)] ボックスに、管理者のログオン ID を入力しま す。 Integrity Advanced Server の管理者が外部データベースの認証を受ける場合は、管 理者 ID がその外部データベース内のユーザ名と一致している必要があります。 b. [Title ( タイトル )] ボックスに、管理者のタイトルを入力します。 c. [Real Name ( 本名 )] ボックスに、管理者の氏名を入力します。 d. [E-mail ( 電子メール )] ボックスに、管理者の電子メール アドレスを入力しま す。 Integrity Advanced Server 管理者ガイド 35 5. アカウント管理者ロールを割り当てます。 a. [Assigned Role ( 割り当てロール )] リストで、[Edit ( 編集 )] をクリックしま す。 [Assign Role ( ロールの割り当て )] ページが表示されます。 b. [Account Administrator ( アカウント管理者 )] ロールを選択して、[Save ( 保存 )] をクリックします。 管理者の現在のロール リストに、管理者ロールが表示されます。 [Account Administrator ( アカウント管理者 )] ロールを選択すると、[Domain ( ドメ イン )] メニュー エリアのすべての機能にアクセスできます。 6. ドメイン全体に対するアクセス許可を与えます。 a. [Current Entities ( 現在のエンティティ)] リストで、[Edit ( 編集 )] をクリック します。 [Assign Entities ( エンティティの割り当て )] ページが表示されます。 b. ドメインを選択し、[Assign ( 割り当て )] をクリックします。 [Current Entities ( 現在のエンティティ)] リストに、その新規ドメインが表示され ます。 7. [New Administrator ( 新規管理者 )] ページで、[Save ( 保存 )] をクリックします。 Integrity Advanced Server 管理者ガイド 36 3章 管理者の管理 この章では、Integrity Advanced Server でロール ベースの管理者アカウントを作成お よび管理する手順について説明します。管理者アカウントを作成する前に、そのア カウントに割り当てるロールを作成する必要があります。 Integrity Advanced Server 管理者ガイド 37 ロール ベースの管理の概念 Integrity Advanced Server には、とても柔軟なロール ベースの管理機能が備わってい ます。管理者アカウントについて、指定したドメインまたはエンティティにのみア クセスできるように、また、Integrity Advanced Server の一部の機能だけを使用でき るように設定できます。そうすることで、組織内の責任分担に応じて管理者アカウ ントを設定することができます。 ドメイン アクセスの概念 システム ドメインで作成された管理者アカウントは、Integrity Advanced Server のす べてのドメインにアクセスできます。このようなアカウントを、グローバル管理者 アカウントと呼びます。その他のドメイン アカウントはすべて、自分が作成された ドメインにしかアクセスできません。このようなアカウントを、ドメイン管理者ア カウントと呼びます。 Integrity Advanced Server 管理者ガイド 38 グローバル管理者 グローバル管理者は通常、次のようなタスクを担当します。 ドメインおよびエンティティの作成と管理 グローバル ポリシー データおよびポリシー テンプレートの作成と管理 Integrity Advanced Server システムの運用の管理 管理者にロールを割り当てることで、個々のグローバル管理者が実行できるタスク が決まります。詳細については、41 ページの「ロール割り当ての概念」を参照して ください。 グローバル管理者アカウントの作成は、システム ドメイン内で行う必要がありま す。52 ページの「グローバル管理者アカウントの作成」を参照してください。 制限および回避策 グローバル管理者がアクセスするドメインまたはエンティティを制限することはで きません。ある管理者に対し、すべてのドメインではなく一部のドメインへのアク セスだけを許可する場合は、ドメインごとに別個の管理者アカウントを作成しま す。 Integrity Advanced Server 管理者ガイド 39 ドメイン管理者 ドメイン管理者は通常、以下のようなタスクを担当します。 ドメイン内のセキュリティ ポリシーの作成と割り当て ドメイン内のクライアント レポートの実行 ドメイン内のエンドポイント ング アクティビティに関する接続のモニタリングおよび ユーザの接続に関する問題のトラブルシューティ ドメイン内の個別のエンティティ ( ユーザ カタログまたはグループ ) にドメイン管理 者を割り当てることができます。カタログに割り当てられた管理者は、そのカタロ グ内のすべてのグループにアクセスできます。ドメインに割り当てられた管理者 は、そのドメイン内のすべてのカタログ、およびそのすべてのカタログ内のすべて のグループにアクセスできます。 ドメイン 1 管理者 Smith 管理者 Baker ユーザ カタログ ユーザ カタログ A B グループ グループ グループ 管理者 Jones グループ ( エンティティ) 図 3-1: 管理者の割り当て 上の図の各管理者のアクセス権は次の通りです。 管理者 Smith には、ドメイン I およびその中のすべてのエンティティに対する アクセス権があります。後で新規エンティティが追加されると、Smith には自動 的にそのエンティティに対するアクセス権が与えられます。 管理者 Baker には、ユーザ カタログ B およびその中のすべてのグループに対す るアクセス権があります。後で新規グループが追加されると、Baker には自動的 にアクセス権が与えられます。Baker はユーザ カタログ A にはアクセスできま せん。 管理者 Jones には、ユーザ カタログ A に含まれる特定のグループに対するアク セス権があります。Jones は他のどのグループにもアクセスできません。 ロールの割り当てによって、割り当てられたエンティティについて管理者が実行で きるタスクが制限されます。詳細については、41 ページの「ロール割り当ての概 念」を参照してください。 Integrity Advanced Server 管理者ガイド 40 ドメイン管理者アカウントの作成については、53 ページの「ドメイン管理者アカウ ントの作成」を参照してください。 制限および回避策 ドメイン管理者アカウントをあるドメインから別のドメインに移動することはでき ません。ただし、ドメイン管理者を同じドメイン内の別のエンティティに再度割り 当てることはできます。 1 人の管理者に複数のドメインを管理させる場合は、各ドメイン内にその管理者の アカウントを作成します。 ロール割り当ての概念 ドメイン管理者およびグローバル管理者のそれぞれに、ロールを割り当てる必要が あります。ロールは、その管理者が使用できる Integrity Advanced Server の機能を決 定するための複数の権限から構成されます。 IAS 管理コンソールの特定の機能が見つからない場合、その機能を使用できない ロールが割り当てられている可能性があります。 Integrity Advanced Server 管理者ガイド 41 権限の概要 ロールの作成は、権限に適用する許可設定を選択して行います。権限は、管理コン ソールの機能に対応します。 各権限について、次の 3 種類の許可設定が可能です。 [No access (アクセス権限なし)]。管理者は当該機能にアクセスできません。この 機能へのリンクはすべて表示されなくなります。 [Read (読み取り)]。管理者は当該機能を表示できますが、設定の変更や操作の実 行はできません。チェック ボックスやコマンド ボタンのようなコントロールは 表示されず、ナビゲーション ボタンだけが表示されます。 [Read/Write ( 読み取り / 書き込み )]。管理者は当該機能の設定を変更できます。 Integrity Advanced Server 管理者ガイド 42 デフォルト ロールとカスタマイズしたロール Integrity Advanced Server には、あらかじめ設定された 6 つのロールがあります。こ れらのロールは、一般的に考えられる管理タスクの区分に対応するように設計され ています。 これらのデフォルト ロールの区分と実際の管理者の役割分担とが一致する場合は、 Integrity Advanced Server の各管理者にデフォルト ロールのいずれかをそのまま割り 当てます。 デフォルト ロールの区分と実際の管理者の役割分担とが一致しない場合は、デフォ ルト ロールの権限や許可を編集したり、カスタマイズしたロールを作成したりでき ます。 デフォルト ロールの詳細については、45 ページの「デフォルト ロールの使用」を 参照してください。 カスタマイズしたロールの作成の詳細については、46 ページの「カスタマイズした ロールの作成」を参照してください。 制限および回避策 各管理者にはロールが 1 つ割り当てられます。 グローバル管理者は、Integrity Advanced Server のすべてのドメイン内で同じロール を持ちます。1 人の管理者に、複数のドメインで異なるロールを持たせる場合は、 それぞれのドメインでその管理者のドメイン管理者アカウントを作成する必要があ ります。 自分のロールを上回る許可を持つロールを別の管理者に割り当てることはできませ ん。別の管理者に割り当てようとしている許可と同等以上の許可を、自分が受けて いることを確認してください。 他の管理者のロールに追加できるのは、自分のロールに含まれている許可だけで す。 ロール詳細の表示 既存のロールを表示する場合や、特定のロールに与えられている権限や許可を表示 する場合は、次のステップに従います。 ロールの詳細を表示するには、次のようにします。 1. ロールを削除するドメインにアクセスし、[System Configuration (システム設定)] | [Administrators ( 管理者 )] を選択し、[Manage Roles ( ロールの管理 )] をクリッ クします。 [Role Manager (Role Manager)] ページが表示され、利用可能なすべてのロールが 表示されます。この一覧には、デフォルト ロールおよびカスタマイズしたロー ルが含まれます。 Integrity Advanced Server 管理者ガイド 43 2. 特定のロールの権限および許可を表示するには、そのロール名をクリックしま す。 各権限の説明については、46 ページの「使用できる権限」を参照してください。 Integrity Advanced Server 管理者ガイド 44 デフォルト ロールの使用 このセクションの内容をもとに、Integrity Advanced Server のデフォルト ロールが自 分の組織の管理構造に合致しているかどうか判断し、どのロールを管理者に割り当 てるかを決定してください。 管理者のデフォルト ロール デフォルト ロールは、そのまま管理者に割り当てることもできますし、複製してカ スタム ロールの基礎として使用することもできます。テンプレートをドメイン レベ ルの管理者に割り当てることはできませんが、システム レベルでテンプレートを変 更すると、すべてのドメインのテンプレートが変更されます。以下のデフォルト ロールおよびテンプレートが使用できます。 マスター管理者ロール: すべての権限について読み取り / 書き込みアクセスがで きます。 システム管理者ロール: エンティティ、システム、および管理者に関連する権 限の読み取り / 書き込みができます。レポート権限の読み取りもできます。 カスタマ管理者ロール: エンティティ、割り当て、および管理者に関連する権 限の読み取り / 書き込みができます。ポリシーおよびレポート権限の読み取りも できます。 ポリシー管理者ロール: ポリシーに関連するすべての権限について読み取り / 書 き込みアクセスができます。 アカウント管理者テンプレート: ドメイン内のすべての権限について読み取り/書 き込みアクセスができます。 ポリシー管理者テンプレート : ドメイン内のすべてのポリシー関連の権限につい て読み取り / 書き込みアクセスができます。 サポート管理者テンプレート : ドメイン内のすべてのポリシー構成およびレポー ト権限について読み取りアクセスができます。 Integrity Advanced Server 管理者ガイド 45 カスタマイズしたロールの作成 デフォルト ロールの区分と実際の管理者の役割分担とが一致していない場合は、カ スタマイズしたロールを作成して、Integrity Advanced Server の各機能に対する管理 者のアクセス権を制御することができます。 使用できる権限 ロールの作成時に許可を設定できる権限の一覧を以下に示します。各権限につい て、[No access ( アクセス権なし )]、[Read-only ( 読み取り専用 )] アクセス、または [Read/Write ( 読み取り / 書き込み )] アクセスを選択できます。 権限 下の表は、使用できる権限のリストです。 アクセス権限 読み取り / 書き込み許可のある管理者が、アクセスでき るすべてのドメインで実行できる操作 システム Domain Manager Integrity Advanced Server でのエンティティおよびドメイ ンの追加、編集、削除。 Admin Manager 管理者アカウントの作成、および管理者ロールの作成、編 集、削除。 イベント通知 システム イベント ログおよびセットアップ イベント ログ に関する管理者への通知の設定 ( システム ドメイン内のみ )。 System Configuration データベース、クライアントの設定 ( システム ドメイン内 (システム設定) のみ )。 Program Advisor Program Advisor のライセンス設定やその他の設定。 Security Model セキュリティ モデルの設定 ( システム ドメイン内のみ )。 Certificates ( 証明書 ) 証明書の作成または削除。 クライアント設定 サンドボックス ドメインの対策リソースのカスタマイズ、および、新規ド メインの作成時に自動的に対策リソースを作成するために 使用されるテンプレートのカスタマイズ。 Client Packager エンドポイント コンピュータに配備するクライアント パッケージの作成。 ポリシー設定 Policy Manager セキュリティ ポリシーの編集と作成。 表 3-1: すべての管理者のロールの作成に使用される権限 Integrity Advanced Server 管理者ガイド 46 アクセス権限 読み取り / 書き込み許可のある管理者が、アクセスでき るすべてのドメインで実行できる操作 Firewall Rule クラシック ファイアウォール規則、ソースおよび送信先ア Management ( ファイ ドレス プロファイル、ならびにセキュリティ ポリシーで アウォール規則管理 ) 使用するプロトコルおよびポート プロファイルの作成、編 集、削除。 Enforcement Manager Rule セキュリティ ポリシーに使用する施行規則の作成、編集、 削除ネットワークに施行するためのアンチウイルス ソフト ウェアを実行しているリファレンス クライアントの設定。 ファイル拡張子 ポリシー メール保護規則および IM セキュリティ設定に使 用するファイル名拡張子定義の編集と作成。 Program Management セキュリティ ポリシー プログラム コントロール規則に使 用するプログラム グループの編集と作成。SmartSum リ ( プログラム管理 ) ファレンス ソース ファイルのインポート、編集、および 削除 Anti-Spyware グローバルおよびポリシー レベルの Anti-Spyware 設定の 編集と作成。定期的な Anti-Spyware スキャンの施行。スパ イウ ェア 定義 を更 新す るた めの SmartDefense Anti-Spyware サービスへの接続。 ポリシーのアクショ ン テンプレート発行 ポリシー テンプレートの作成と変更、およびすべてのドメ インへのそのテンプレートの発行 ( システム ドメイン内の み )。 ポリシー割り当て ドメインおよびエンティティへのセキュリティ ポリシーの 割り当て。 ポリシー配備 ポリシー サーバへのセキュリティ ポリシーの配備。 レポート レポート レポートの実行。 表 3-1: すべての管理者のロールの作成に使用される権限 カスタマイズしたロールの作成 ロールの新規作成には、2 通りの方法があります。既存のロールをコピーしてその 設定を変更するか、または全く新しいロールを作成できます。 Integrity Advanced Server 管理者ガイド 47 既存のロールのコピー 既存のロールの許可をもとにロールを新規作成するには、次のステップに従いま す。 既存のロールをコピーしてロールを新規作成するには、次のようにしま す。 1. ロールを削除するドメインにアクセスし、[System Configuration (システム設定)] | [Administrators ( 管理者 )] を選択し、[Manage Roles ( ロールの管理 )] をクリッ クします。 2. コピーするロールを選択し、[Duplicate ( 複製 )] をクリックします。 [Edit Role ( ロールの編集 )] ページが表示されます。 3. 権限の行で、[No Access ( アクセス権なし )]、[Read ( 読み取り )]、または [Read/ Write ( 読み取り / 書き込み )] を選択します。 変更できるのは [Read/Write ( 読み取り / 書き込み )] 許可を受けている権限だけで す。十分な許可を受けていない権限 ( 機能 ) は表示されません。 4. [Save ( 保存 )] をクリックします。 ロールが新規作成されました。これで、このロールに管理者を割り当てることがで きます。 Integrity Advanced Server 管理者ガイド 48 空のテンプレートからのロールの作成 空のテンプレートからロールを新規作成するには、次のステップに従います。 空のテンプレートからロールを新規作成するには、次のようにします。 1. ロールを削除するドメインにアクセスし、[System Configuration (システム設定)] | [Administrators ( 管理者 )] を選択し、[Manage Roles ( ロールの管理 )] をクリッ クします。 2. [New(新規作成 )] をクリックします。 3. 権限の行で、[Read ( 読み取り )]、または [Read/Write ( 読み取り / 書き込み )] を 選択して、許可を割り当てます。 変更できるのは [Read/Write ( 読み取り / 書き込み )] 許可を受けている権限だけで す。十分な許可を受けていない権限 ( 機能 ) は表示されません。 4. [Save ( 保存 )] をクリックします。 これで、このロールを 1 人または複数の管理者に割り当てることができます。 既存ロールの変更 ロールを変更するには、そのロールと同等以上の権限を与えられている必要があり ます。自分自身のロールを変更することはできません。 ロールを変更するには、次のようにします。 1. ロールを削除するドメインにアクセスし、[System Configuration (システム設定)] | [Administrators ( 管理者 )] を選択し、[Manage Roles ( ロールの管理 )] をクリッ クします。 2. 変更するロールを選択し、[Edit ( 編集 )] をクリックします。 3. 権限の行で、[No Access ( アクセス権なし )]、[Read ( 読み取り )]、または [Read/ Write ( 読み取り / 書き込み )] のいずれかの許可を選択します。 変更できるのは、[Read/Write ( 読み取り / 書き込み )] 許可を受けている権限だけで す。十分な許可を受けていない権限 ( 機能 ) は表示されません。 4. [Save ( 保存 )] をクリックします。 Integrity Advanced Server では、そのロールを割り当てられた管理者が次にログオン したときに、変更が適用されます。該当する管理者がすでにログオンしている場 合、変更されたロールの割り当てを受けるために一度ログオフしてログオンし直す 必要があります。 Integrity Advanced Server 管理者ガイド 49 ロールの削除 現在管理者に割り当てられているロールを削除することはできません。そのロール を削除する前に、その管理者に新規ロールを割り当てる必要があります。 Integrity Advanced Server では、そのロールを割り当てられた管理者が次にログオン したときに、変更が適用されます。該当する管理者がすでにログオンしている場 合、変更されたロールの割り当てを受けるために一度ログオフしてログオンし直す 必要があります。 ロールを削除するには、次のようにします。 1. ロールを削除するドメインにアクセスし、[System Configuration (システム設定)] | [Administrators ( 管理者 )] を選択し、[Manage Roles ( ロールの管理 )] をクリッ クします。 2. 削除するロールを選択して、[Delete ( 削除 )] をクリックします。 削除しようとしているロールの一覧を表示した確認ボックスが表示されます。 3. ロールを正しく選択していることを確認して、[Yes ( はい )] をクリックします。 割り当てられているロールを削除しようとすると、エラー メッセージが表示され ます。そのロールを削除する前に、管理者に新規ロールを割り当てる必要があり ます。55 ページの「異なるロールへの管理者の割り当て」を参照してください。 [Role Manager (Role Manager)] ページの一覧に、そのロールが表示されなくなりま す。 Integrity Advanced Server 管理者ガイド 50 管理者アカウントの設定 このセクションでは、管理者アカウントの新規作成、既存のアカウントの編集、お よび管理者に対するロールとエンティティの割り当ての方法について説明します。 管理者アカウントの新規作成 管理者アカウントを新規作成する前に、次の情報を確認しておく必要があります。 アカウントをどこに作成するか グローバル管理者アカウントはシステム ドメインに作成し、ドメイン管理者ア カウントはある特定のドメインのに作成します。 管理者のログイン ID およびメール アドレス Integrity Advanced Server の管理者が外部データベースの認証を受ける場合は、 管理者 ID がその外部データベース内のユーザ名と一致している必要がありま す。さらに、複数の外部管理者アカウントが異なるカタログ内にあり、それらの 管理者が同じ名前を持っている可能性がある場合には、次のように、ユーザ名の 前にカタログ名を追加します。カタログ名 . ユーザ名 管理者に割り当てるロール アカウントを作成するときに、ロールを割り当てる必要があります。アカウント を作成する前に、使用するロールを設定しておきます。 管理者に管理させるエンティティ 管理者を、ドメイン全体または特定のエンティティに対して割り当てることがで きます。 Integrity Advanced Server 管理者ガイド 51 グローバル管理者アカウントの作成 グローバル管理者アカウントを作成するには、システム ドメインにアクセスする必 要があります。 グローバル管理者アカウントを新規作成するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] リンクをクリックし、[System Domain ( シス テム ドメイン )] をクリックします。 2. [System Configuration (システム設定)] | [Administrators (管理者)] を選択します。 3. [New(新規作成 )] をクリックします。 4. [Administrator ID ( 管理者 ID)] フィールドに、管理者のログオン ID を入力しま す。 5. 残りのフィールドに入力します。 6. [Assigned Role ( 割り当てロール )] リストで、[Edit ( 編集 )] をクリックします。 [Assign Role ( ロールの割り当て )] ページが表示されます。 7. ロールを選択し、[Save ( 保存 )] をクリックします。 8. [Save ( 保存 )] をクリックします。 システム ドメインにアカウントが追加されます。 Integrity Advanced Server 管理者ガイド 52 ドメイン管理者アカウントの作成 ドメイン管理者アカウントの作成は、その管理者にアクセス権限を与える当該ドメ イン内で行う必要があります。また、作成しようとする管理者アカウントと同等以 上の管理権限を持っている必要があります。 ドメイン管理者アカウントを新規作成するには、次のようにします。 1. [Domain Selection (ドメイン選択)] リンクをクリックし、ドメイン エントリをク リックします。 2. [System Configuration (システム設定)] | [Administrators (管理者)] を選択します。 3. [New(新規作成 )] をクリックします。 4. [Administrator ID ( 管理者 ID)] フィールドに、管理者のログオン ID を入力しま す。 5. 残りのフィールドに入力します。 6. [Assigned Role ( 割り当てロール )] リストで、[Edit ( 編集 )] をクリックします。 [Assign Role ( ロールの割り当て )] ページが表示されます。 7. ロールを選択し、[Save ( 保存 )] をクリックします。 管理者の現在のロール リストに、そのロールが表示されます。 8. 管理者をあるエンティティに制限したい場合は、[Assigned Entity ( 割り当てエン ティティ)] リストで [Edit ( 編集 )] をクリックします。 [Assign Entities ( エンティティの割り当て )] ページが表示されます。 9. ドメインを選択して、そのドメイン全体を管理者に割り当てます。または、任意 の数のエンティティを選択して、その管理者のアクセスを特定のユーザ カタロ グまたはグループに限定します。 特定のエンティティに割り当てられた管理者は、それらのエンティティにのみポ リシーを割り当てることができます。 10. [Save ( 保存 )] をクリックします。 そのドメインまたはエンティティの一覧が [Current Entities ( 現在のエンティ ティ)] リストに表示されます。 11. [Save ( 保存 )] をクリックします。 管理者アカウントがドメインに追加されます。 管理者アカウントの編集 管理者アカウントを変更するには、変更しようとするアカウントのロールと同等以 上の権限が自分のロールに与えられている必要があります。 Integrity Advanced Server 管理者ガイド 53 管理者アカウントを編集するには、次のようにします。 1. 管理者が格納されているドメインにログオンします。 管理者がグローバル管理者の場合は、システム ドメインにログオンします。 2. [System Configuration (システム設定)] | [Administrators (管理者)] を選択します。 3. 編集する管理者アカウントを管理者の一覧から選択して、[Edit ( 編集 )] ボタンを クリックします。 4. 編集して、[Save ( 保存 )] をクリックします。 複数の管理者を選択していると、[Edit ( 編集 )] ボタンを使用できません。管理者 を 1 人だけ選択していることを確認してください。 Integrity Advanced Server 管理者ガイド 54 異なるロールへの管理者の割り当て このセクションでは、管理者のロールの変更方法について説明します。 異なるロールに管理者を割り当てるには、次のようにします。 1. 上記のように、[Administrator Manager (Administrator Manager)] ページを開きま す。 2. 管理者を選択して、[Assign Role ( ロールの割り当て )] をクリックします。 3. 新規ロールを選択し、[Save ( 保存 )] をクリックします。 Integrity Advanced Server では、そのロールを割り当てられた管理者が次にログオン したときに、変更が適用されます。該当する管理者がすでにログオンしている場 合、変更されたロールの割り当てを受けるために一度ログオフしてログオンし直す 必要があります。 Integrity Advanced Server 管理者ガイド 55 異なるエンティティへの管理者の割り当て 管理者アカウントを編集することにより、管理者がアクセスできるユーザ カタログ およびグループを変更できます。 管理者アカウントを変更しても、ドメイン管理者のアクセスできるドメインを増 やすことはできません。1 人の管理者に複数のドメインを管理させたい場合は、 それぞれのドメインについて別個のドメイン管理者アカウントを与えるか、また はグローバル管理者アカウントを与えます。 異なるエンティティに管理者を割り当てるには、次のようにします。 1. 上記のように、[Edit Administrator ( 管理者の編集 )] ページを開きます。 2. [Assigned Entities ( 割り当てエンティティ)] の下の [Edit ( 編集 )] ボタンをクリッ クします。 3. 新規エンティティを選択し、[Assign ( 割り当て )] をクリックします。 4. [Save ( 保存 )] をクリックします。 管理者アカウントの削除 管理者がログオンしているときにそのアカウントを削除すると、その管理者は自動 的にログオフします。 管理者アカウントを削除するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] リンクをクリックし、削除する管理者アカウ ントを含むドメインをクリックします。 2. [System Configuration (システム設定)] | [Administrators (管理者)] を選択します。 3. 削除する管理者アカウントを選択し、[Delete ( 削除 )] をクリックします。 そのアカウントがシステムから削除されます。 Integrity Advanced Server 管理者ガイド 56 4章 ポリシー テンプレートの発行 この章では、ドメイン管理者が企業セキュリティ ポリシーを作成するために使用す るポリシー テンプレートを、グローバル管理者が作成および発行する方法について 説明します。 Integrity Advanced Server 管理者ガイド 57 ポリシー テンプレートの概念 すべての新規セキュリティ ポリシーはポリシー テンプレートから作成されます。ポ リシー テンプレートにはポリシーの種類ごとに基本的な設定が用意されているた め、ドメイン管理者はこれを使用して新規のポリシーを簡単に作成することができ ます。ポリシー テンプレートが発行されると、すべてのドメインで共有されます。 たとえば、ドメイン x 内の Connected Pilot ポリシー テンプレートとドメイン y 内の Connected Pilot ポリシー テンプレートの設定は同じになります。 発行済みのポリシー テンプレートを識別する方法 システム ドメインの [Policy Manager (Policy Manager)] ページには、発行されていな いポリシ ー テ ンプレート と発行済み のポリシー テン プレートの両 方、および Integrity Advanced Server のデフォルト ポリシーが一覧表示されます。 テンプレートとして発行済みのポリシーを確認するには、次のようにしま す。 ° [System Domain ( システム ドメイン )] で、[Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。次の表のように、ポ リシーのアイコンが表示されます。 アイコン アイコンなし 説明 ポリシーはテンプレートとして発行されていません。 発行済みのポリシー テンプレート。 ロックされているポリシー。 ロックされている発行済みポリシー テンプレートについ ては、両方のアイコンが表示されます。 表 4-1: システム ドメインのポリシー アイコン Integrity Advanced Server 設定済みポリシー テンプレート Integrity Advanced Server には、設定済みのポリシー テンプレートが用意されていま す。グローバル管理者は、これらの設定済みテンプレートの設定を変更できます。 このセクションでは、初期設定およびその確認方法について説明します。 Integrity Advanced Server には、以下の設定済みポリシー テンプレートが用意されて います。 Observation は、エンドポイントの動作を観察して Integrity クライアントの配備 状況をテストするように設計されています。このポリシーでは、トラスト ゾー ンおよびインターネット ゾーンのセキュリティ レベルが「低」に設定され、通 信を制限せずに最大限の機能性を実現できます。未知のプログラムはクライアン Integrity Advanced Server 管理者ガイド 58 トまたはサーバとしてネットワークにアクセスできます。接続警告により、管理 者はサーバに対する接続を確認できます。全体的な配備の前には、接続警告をオ フにすることが推奨されます。 Medium Security では、エンド ユーザの作業の中断を最小限に抑えつつ、中程度 のセキュリティを実現します。最大限の機能性を実現するために、このポリシー では新たに検出されたネットワークの場所がトラスト ゾーンに追加されます。 Flex のユーザは自分のトラスト ゾーンに場所を追加できます。未知のプログラ ムはクライアントとしてネットワークにアクセスできますが、サーバとしての動 作はできません。このポリシーでは、プログラムを定義するか、または Program Advisor を使用することが推奨されます。 High Security では高いセキュリティが実現され、デフォルトで多数のエンド ユーザ警告が表示されます。このポリシーでは、新たに検出されたネットワーク の場所はインターネット ゾーンに追加され、そのゾーンのセキュリティ レベル が「高」に設定されます。この設定では正当な発信元からの通信もブロックされ る可能性があるため、ポリシーを配備する前に正当な発信元をトラスト ゾーン に追加しておく必要があります。Flex のユーザは自分のトラスト ゾーンに場所 を追加できます。このような追加権限を与えるべきでないユーザには Integrity Agent を配備することが推奨されます。未知のプログラムがネットワークにアク セスするのをブロックするために、プログラム コントロールが設定されます。 この ため、こ のポ リシ ーで は、プロ グラ ムを 定義 す るか、ま たは Program Advisor を使用することが重要です。このポリシーでは、評価のために多数の警 告が表示されます。ユーザの作業の中断を最小限にするためには、全体的な配備 の前に施行警告以外のすべての警告を無効にしてください。 初期設定を表示するには、次のようにします。 1. [System Domain ( システム ドメイン )] で、[Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 2. ポリシーを選択して、[History ( 履歴 )] をクリックします。 3. [Version 1 ( バージョン 1)] 行で、[Date Saved ( 保存日 )] リンクをクリックしま す。 [View Policy ( ポリシーの確認 )] ページが表示されます。 テンプレートの過去のバージョンにロールバックするには、216 ページの 第 15 章 「ポリシーとポリシー パッケージのクライアントへの配布」のステップを 使用します。 Integrity Advanced Server 管理者ガイド 59 ポリシー テンプレートの作成と発行 ポリシーをポリシー テンプレートとして設定すると、そのポリシーがすべてのドメ インに発行されます。発行されたテンプレートを変更すると、すべてのドメイン内 のポリシー テンプレートの設定が変更されます。 グローバル管理者はポリシー テンプレート設定をシステム ドメイン内で管理しま す。 既存のポリシーからのポリシー テンプレートの作成 ポリシー テンプレートを発行する前に、このガイドの「ポリシー」の章の説明に 従って、システム ドメイン内にポリシーを作成してください。その上で、このセク ションの手順を使用してテンプレートとしてポリシーを発行します。 ポリシー テンプレートを発行するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] リンクをクリックします。 2. [System Domain ( システム ドメイン )] をクリックします。 3. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 4. テンプレートとして発行するポリシーを選択し、[Edit ( 編集 )] をクリックします。 [Edit Policy ( ポリシーの編集 )] ページが表示されます。 5. [Publish this policy as a template to all domains ( このポリシーをテンプレートと してすべてのドメインに発行 )] を選択します。 警告メッセージが表示されます。 z 他の管理者がポリシー テンプレート設定を変更できないようにする場合は、 [Lock this policy ( このポリシーをロック )] を選択します。なお、この設定は発行 されません。したがって、このテンプレートから作成されたポリシーは自動的に ロックされません。 6. [Description ( 説明 )] ボックスにポリシー設定の説明を入力します。 説明は [Create New Policy ( 新規ポリシーの作成 )] ページの [Policy Template ( ポ リシー テンプレート )] リストに表示され、ユーザが使用すべきテンプレートを 識別する際に役立ちます。 7. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 Integrity Advanced Server 管理者ガイド 60 8. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 Integrity Advanced Server はバージョン コメントを発行しません。この情報はポ リシー履歴に表示され、ポリシーの異なるバージョンを識別する際に役立ちま す。 ポリシーがシステム上のすべてのドメインにコピーされます。ドメイン内で [New Policy ( 新規ポリシー)] を選択すると、このポリシー テンプレートが [Create Policy ( ポリシーの作成 )] ページ上のリストに表示されます。 既存のポリシー テンプレートの変更 ポリシー テンプレート設定を変更すると、そのテンプレートから新たに作成される ポリシーの設定も新しいバージョンのものになります。テンプレートの過去のバー ジョンから作成された既存のポリシーは影響を受けません。 ポリシー テンプレートを変更するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] リンクをクリックします。 2. [System Domain ( システム ドメイン )] をクリックします。 3. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 4. ポリシー テンプレートを選択して、[Edit ( 編集 )] をクリックします。 [Edit Policy ( ポリシーの編集 )] ページが表示されます。 5. 設定を変更して、[Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 6. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 ポリシー テンプレートの新規バージョンがシステム上のすべてのドメインに発行さ れます。管理者が [New Policy ( 新規ポリシー)] を選択すると、ポリシーの新しい バージョンが使用されます。 Integrity Advanced Server 管理者ガイド 61 ポリシー テンプレートの削除 ポリシーをシステムから削除すると、それがポリシー テンプレートかどうかにかか わらず、そのポリシーの履歴も永久に削除されます。ポリシー テンプレートを削除 しても、そのテンプレートを基に作成されたポリシーには影響ありません。 ポリシー テンプレートの発行中止 このセクションでは、システムからポリシーを完全に削除することなく、[Create New Policy ( 新規ポリシーの作成 )] ページに表示されるポリシー テンプレート リス トからポリシー テンプレートを削除する方法について説明します。ポリシーとその 履歴を保存するには、次の手順を使用します。 ポリシー テンプレートを発行中止するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] をクリックします。 2. [System Domain ( システム ドメイン )] をクリックします。 3. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 4. ポリシー テンプレートを選択して、[Edit ( 編集 )] をクリックします。 [Edit Policy ( ポリシーの編集 )] ページが表示されます。 5. [Publish this policy as a template to all domains ( このポリシーをテンプレートと してすべてのドメインに発行 )] をオフにします。 警告メッセージが表示されます。 6. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 7. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 システムからのポリシーテンプレートの削除 ポリシー テンプレートとその履歴を Integrity Advanced Server から永久に削除する には、次の手順を使用します。 ポリシー テンプレートを削除するには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] をクリックします。 Integrity Advanced Server 管理者ガイド 62 2. [System Domain ( システム ドメイン )] をクリックします。 3. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 4. ポリシー テンプレートを選択して、[Delete ( 削除 )] をクリックします。 これで、ポリシー テンプレートがシステムから完全に削除されます。 前のバージョンへの復帰 エンドポイントのセキュリティ ポリシーと同様に、ポリシー テンプレートのバー ジョン履歴は Integrity Advanced Server によって追跡されています。ポリシー バー ジョンは、サーバ上で保存された任意のバージョンにロールバックできます ( ポリ シーのバージョン管理の詳細については、216 ページの 第 15 章 「ポリシーとポ リシー パッケージのクライアントへの配布」を参照してください )。 ポリシー テンプレートをロールバックするには、次のようにします。 1. [Domain Selection ( ドメイン選択 )] | [System Domain ( システム ドメイン )] | [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 2. ポリシー テンプレートを選択して、[History ( 履歴 )] をクリックします。 [Policy History (ポリシー履歴)] ページの上部にポリシーの現在のバージョンが表 示され、下部に保存された最も古いバージョンが表示されます。 サーバのインストール時に、Integrity Advanced Server 上に保存可能なポリシー バージョンの最大数を設定します。ご使用のシステム上の最大数については、グ ローバル管理者に問い合わせてください。 3. 元に戻すバージョンを選択し、[Roll Back ( ロールバック )] をクリックします。 確認のための警告メッセージが表示されます。 4. [Yes ( はい )] をクリックします。 選択したポリシーのバージョンが現在のバージョンになります。[Policy Manager (Policy Manager)] ページが表示されます。 ポリシー テンプレートの現在のバージョンがシステム上のすべてのドメインに発行 されます。 Integrity Advanced Server 管理者ガイド 63 5章 ポリシーの管理 セキュリティ ポリシーの作成と配布は、Integrity Advanced Server によるセキュリ ティ実装の中心的な作業です。この章では、セキュリティ ポリシーが作用するしく みと、効果的なポリシーを作成するためのガイドラインについて説明します。 この章にはポリシー ライフサイクルのサンプルが記載されています。このサンプル を、自分の会社向けに修正して使用したり、ポリシー作成プロセスの主要なステッ プを理解するための教材としたりできます。 Integrity Advanced Server 管理者ガイド 64 セキュリティ ポリシー Integrity Advanced Server のセキュリティ ポリシーは、企業ネットワークに接続され ているコンピュータ上にインストールされた Integrity クライアントの動作を管理す るための、一連の規則や設定です。Integrity クライアントが施行できるポリシー タ イプには、エンタープライズとパーソナルの 2 つがあります。(2 つのエンタープラ イズ ポリシーをパッケージ化することで、エンタープライズ ポリシーをさらに接続 と切断の 2 つのサブタイプに分類できます。) 各タイプには ( いくつかの例外があり ますが ) 同じ種類のセキュリティ規則が含まれ、Integrity クライアントによって施行 されると、それぞれの設定が調停されます。 エンタープライズ ポリシー エンタープライズ ポリシーはエンドポイント セキュリティの集中管理を可能にしま す。エンタープライズ ポリシーは Policy Manager 内で管理者によって定義され、ド メインまたはエンティティに割り当てられます。エンタープライズ ポリシーは、保 護対象のコンピュータが企業ネットワークに接続されると施行されます。エンター プライズ ポリシー自体について管理者が選択した設定によっては、コンピュータが 企業ネットワークに接続されていない場合に施行することもできます。 エンタープライズ ポリシーは Integrity Agent と Integrity Flex のいずれでも施行され ます。 Integrity Advanced Server 管理者ガイド 65 エンタープライズ ポリシー パッケージ コンピュータがエンタープライズ ネットワークに接続しているか切断されているか によって異なるエンタープライズ ポリシーを使用して、エンドポイント セキュリ ティを集中的に管理する場合は、ポリシー パッケージを作成します。 配備されている 2 つのエンタープライズ ポリシーを 1 つにパッケージ化して、ポリ シー パッケージを作成できます。各エンタープライズ ポリシーには、パッケージ内 で接続ポリシーまたは切断ポリシーのいずれかの役割が割り当てられます。ポリ シー パッケージは Policy Manager 内で管理者によって定義され、ドメインまたはエ ンティティに割り当てられます。 ポリシー パッケージのポリシー調停規則は、パッケージ化されていないエンタープ ライズ ポリシーに関するポリシー調停規則と同じです。ただし、ポリシー調停規則 は、接続状態によってどちらのエンタープライズ ポリシーが施行されるかが決定し た後に施行されます。次に、施行されたエンタープライズ ポリシーとパーソナル ポ リシーが調停されます。 2 つのエンタープライズ ポリシーを 1 つにパッケージ化してから一方または他方の ポリシーが再配備された場合は、そのポリシー パッケージは変更され自動的に再配 備されます。ポリシー パッケージの自動再配備によって、割り当てられているエン ティティは更新されたポリシー パッケージをダウンロードします。 接続エンタープライズ ポリシー 接続エンタープライズ ポリシーは、保護対象のコンピュータがエンタープライズ ネットワークに接続されると施行されます。接続ポリシーは、エンドポイント パー ソナル ポリシーとの調停を行います。Integrity クライアントがネットワークから切 断されると、ポリシーで [Enforce this policy when client is disconnected ( クライアン トの切断時にこのポリシーを施行 )] オプションが選択されている場合であっても、 接続エンタープライズ ポリシーは施行されなくなります。 接続エンタープライズ ポリシーは Integrity Agent と Integrity Flex のいずれでも施行 されます。 切断エンタープライズ ポリシー 切断エンタープライズ ポリシーは、保護対象のコンピュータがエンタープライズ ネットワークから切断されると施行されます。切断ポリシーは、エンドポイント パーソナル ポリシーとの調停を行います。Integrity クライアントがネットワークに 接続されると、切断エンタープライズ ポリシーは施行されなくなります。 切断エンタープライズ ポリシーは Integrity Agent と Integrity Flex のいずれでも施行 されます。Integrity Agent for Linux にポリシー パッケージを配備する場合、ポリ シー パッケージ内の切断ポリシーは無視されます。Integrity Agent for Linux は、接 続エンタープライズ ポリシーのみを施行します。Integrity Agent for Linux で切断ポ リシーを設定するには、RPM パッケージ ビルダを使用してください。詳細について は、『Integrity Agent for Linux インストレールおよび管理ガイド』を参照してくだ さい。 Integrity Advanced Server 管理者ガイド 66 パーソナル ポリシー パーソナル ポリシーを使用すると、保護対象コンピュータのユーザがセキュリティ の一部を管理できるようになります。ポリシーの管理は、Integrity Flex コントロー ル センタ ( ユーザ インターフェイス ) で行います。 パーソナル ポリシーは、Integrity クライアントとともにデフォルトでインストール されます。パーソナル ポリシーの設定は、-config コマンド ライン パラメータを 使用して行います。 管理者がエンタープライズ ポリシーでパーソナル ポリシーを上書きするように設定 した場合を除き、クライアントではパーソナル ポリシーが常に施行されます。 Integrity Agent ユーザはパーソナル ポリシーを設定できません。ただし、Integrity Agent には ‘ 空 ’ のパーソナル ポリシーが含まれていて、設定ファイルからのみア クセスできます。 ポリシーの調停 Integrity Flex はパーソナル ポリシーとエンタープライズ ポリシーとを調停し、その 中で最も厳格な規則を施行します。たとえば、エンタープライズ ポリシーではポー ト 135 で外部からの通信を許可するように設定されていて、パーソナル ポリシーで はその通信をブロックするように設定されている場合、通信はブロックされます。 逆に、パーソナル ポリシーでは許可するように設定されていて、エンタープライズ ポリシーではブロックするように設定されている場合も、通信はブロックされま す。 調停オプション Integrity Flex を保護対象のコンピュータに配備する場合、エンタープライズ ポリ シーとパーソナル ポリシーの調停方法を制御するためのさまざまなオプションが用 意されています。こうしたオプションはエンタープライズ ポリシー自体の中で設定 されます。次の処理を行うことができます。 エンタープライズ ポリシーのトラスト ゾーン定義のみを使用し、その他のすべ ての設定を調停する。このようにすると、どのネットワーク エンティティを信 頼するかについて絶対的な権限を行使することができます。 クライアントがエンタープライズ ネットワークから切断された場合に、エン タープライズ ポリシーを施行する。エンタープライズ ポリシー設定は、パーソ ナル ポリシー設定と調停されます。 [Enforce this policy when client is disconnected ( クライアントの切断時にこのポリ シーを施行 )] オプションは、ポリシー パッケージでは使用できません。 エンタープライズ ポリシーが施行されている場合、または施行されていない場 合に、ユーザが Integrity クライアントをシャットダウンできるように、または できないようにする。 Integrity Advanced Server 管理者ガイド 67 エンタープライズ ポリシーが施行されているときは、パーソナル ポリシー設定 を無視してエンタープライズ ポリシーのみを施行する。 ポリシー調停のオプションは、Policy Manager の [Client Settings ( クライアント設 定 )] タブで設定します。 Integrity Advanced Server 管理者ガイド 68 ポリシー規則の概要 エンタープライズ ポリシーとパーソナル ポリシーは、それぞれ異なる種類の規則で 構成されています。セキュリティ ポリシーを設定する前に、規則がどのようなもの であるのか、そして、規則が Integrity クライアントによってどのように評価および 施行されるのかを理解しておく必要があります。 このセクションでは、エンタープライズ ポリシーとパーソナル ポリシーを構成する セキュリティ規則の種類について説明します。後続のセクションでは、さまざまな 規則が Integrity クライアントでどのように評価されるか、また、さまざまな状況で どの規則が優先されるかについて説明します。 クラシック ファイアウォール規則 クラシック ファイアウォール規則は従来の境界ファイアウォールの手法を用いてエ ンドポイントのセキュリティを確保するもので、セッション情報やプログラム規則 とは別個に作用します。クラシック ファイアウォール規則は外部からの通信に適用 される最初の規則であり、外部への通信に適用される最後の規則です。つまり、イ ンターネット上の脅威に対する防御の最前線となります。 クラシック ファイアウォール規則 (Integrity Flex のユーザ インターフェイスおよび ユーザ マニュアルでは “ エキスパート ルール ” と呼ばれます ) は、発信元 / 送信先ア ドレス、ポート、プロトコル、メッセージ タイプ、または時間帯によって通信をブ ロックまたは許可できます。 クラシック ファイアウォール規則にランクを付けて規則の “ スタック ” を作成する ことができます。クライアントはスタック内の順序に従って規則を評価し、当該通 信に一致する最初の規則を実行します。 Integrity Advanced Server 管理者ガイド 69 悪意のあるコードからの保護 Integrity クライアントの悪意のあるコードからの保護 (MCP) 機能によって、エンド ポイント コンピュータはネットワーク通信で受信した悪意のあるコードから保護さ れます。MCP は、表 5-1: MCP でモニタリングされるポートとプロトコル で指定さ れたポート上のプロトコルについてのみ、インバウンド、アウトバウンド、または 双方向のネットワーク通信をモニタリングできます。 プロトコル 説明 ポート FTP File transfer protocol 21 HTTP Hyper Text Transfer Protocol 8 0 、5 9 1 、 8 0 0 8 、 8080、お よ び 11523 IMAP4 Internet Messaging Access Protocol 4 143 NNTP Network News Transfer Protocol 119 POP3 Post Office Protocol 3 110 SMTP Simple Mail Transfer Protocol 25 表 5-1: MCP でモニタリングされるポートとプロトコル MCP は、たとえばバッファ オーバーフローを悪用するような、ネットワーク通信経 由で送信される悪意のあるコードから保護するために設計されています。MCP は、 攻撃を認識するのに既知の攻撃の署名を必要としません。 悪意のあるコードによる攻撃のネットワーク データには、ほとんどの場合、標的の コンピュータ上で実行される実行可能コードが含まれています。実行可能なコード については通常、ネットワーク上の転送が許可されません。ただ、実行可能 (.exe) ファイルの FTP 転送などの既知のごく少数のケースでは、例外的に許可されます。 逆アセンブルされた実行可能コード ( 機械アセンブリ言語 ) を実際に検査してみるこ とで、実行可能コードをより効率的に識別して特徴を把握できます。MCP はデータ の流れを監視して、機械アセンブリ言語に変換できるバイナリを見つけ出します。 つまり、実行可能コードを含んでいないネットワーク通信のように見せかけて、悪 意のあるコードがネットワーク上を転送される可能性が存在するということです。 MCP は、ネットワーク通信に含まれるデータのうち、アセンブリのように見えるだ けのデータのランダムな “ノイズ” と、本当の実行可能データとを識別できます。も ちろん、実行可能コードが存在していても、そのすべてが悪意のあるコードという わけではありません。MCP では、見つかった実行可能コードについて、管理者が処 理を選択できます。 MCP 機能の利用 MCP 機能は、セキュリティ ポリシーによって実装します。MCP の設定用ユーザ イ ンタ ーフ ェイ スは、[Edit Policy ( ポリ シー の編 集 )] ペー ジの [SmartDefense (SmartDefense)] タブにあります。セキュリティ ポリシーを作成するとき、MCP 機 能のオンまたはオフを切り替えることができます。MCP をオンにする場合は、MCP イベント発生時の MCP アクション ( 観察またはアクションの実行 ) を選択する必要 Integrity Advanced Server 管理者ガイド 70 があります。MCP を設定して、サポートされているネットワーク プロトコルごとに インバウンド、アウトバウンド、または双方向のネットワーク通信をモニタリング できます。ただし、モニタリングできるのは特定のポートを通過する通信だけで す。70 ページの「MCP でモニタリングされるポートとプロトコル」 ( 表 5-1) を参 照してください。 [Edit Policy ( ポリシーの編集 )] ページの [Client Setting ( クライアント設定 )] タブ で、MCP イベントを記録して Integrity サーバにアップロードするかどうかを設定し ます。このように設定すると、クライアント イベント レポート、イベント詳細レ ポート、およびユーザ詳細レポートに MCP イベントが表示されます。 ゾーン規則とプログラム規則 クラシック ファイアウォール規則とは異なり、ゾーン規則とプログラム規則はセッ ション情報を考慮し、互いに連携して作動します。通信は、その発信元または送信 先のゾーン ( トラスト、インターネット、ブロック )、および、通信を送受信するプ ログラムに応じてブロックまたは許可されます。 ゾーンの詳細については、102 ページの「ゾーンについて」を参照してください。 MailSafe 規則 Integrity クライアントの MailSafe 機能は、インバウンドおよびアウトバウンドの メールを保護します。外部からの保護は、有害な可能性のあるメールの添付ファイ ルを承認が済むまで隔離することで、エンドポイント コンピュータに影響が及ぶこ とを 防ぎ ます。こ の機 能は、MailSafe Extensions Manager とポ リシ ーご との MailSafe 規則から構成されています。外部への保護は、送信されるメールを制限し て、メール ワームやその他の悪意のあるコードがエンドポイント コンピュータを悪 用してメッセージを送信することを防止します。 アウトバウンド MailSafe 保護は SMTP プロトコルでのみ動作するのに対し、インバ ウンド MailSafe 保護は POP3 および IMAP4 プロトコルで動作することに注意して ください。 施行規則 施行規則とは、保護対象コンピュータ上に安全な環境を確保するための要件を定め るものです。保護対象コンピュータがこの要件に準拠していない場合、準拠するま ではクライアントの活動がサンドボックス内に制限されます。 以下の条件に基づいて、施行規則を作成できます。 レジストリ キーおよび値。保護対象のコンピュータが準拠するための要件とし て、特定のレジストリ キーと値が存在すること ( または存在しないこと ) を要求 できます。 ファイルとプロパティ。保護対象のコンピュータ上に特定のファイルが存在する こと ( または存在しないこと ) を要求できます。また、バージョン番号などの特 定のファイル プロパティを必須 ( 禁止 ) とすることもできます。実行可能ファイ Integrity Advanced Server 管理者ガイド 71 ルの場合は、あるプログラムが常時実行されていることを要求したり、または、 好ましくないプログラムが起動されるとすぐにユーザを制限したりできます。 アンチウイルス プロバイダ情報。エンドポイントで特定のタイプのアンチウイ ルス ソフトウェアが実行されていることを要求し、また、最新のウイルス定義 ファイルとアンチウイルス エンジンが確実に使用されるように条件を指定でき ます。 Integrity Advanced Server 管理者ガイド 72 施行規則に関するユーザ サポートの考慮事項 施行規則の特徴として、保護対象のコンピュータが規則に準拠しない場合、ユーザ のセッションがサンドボックス内に制限されるという点があります。エンドポイン トが準拠するまで、ユーザは他のすべての保護対象ネットワーク リソースにアクセ スできなくなります。準拠して制限を解除するための適切な対策リソースにユーザ がアクセスできるようにしておく必要があります。 詳細については、 154 ページの「ポリシー: 安全でないエンドポイントの制限」を 参照してください。 Integrity Advanced Server 管理者ガイド 73 規則の評価と優先順 単一のポリシーに競合する規則を含めることも可能です。たとえば、同じポリシー に、ポート 135 への外部からの通信をブロックするクラシック ファイアウォール規 則と、同じポート 135 への外部からの通信を許可するゾーン規則の両方を含めるこ とができます。したがって、異なる規則が Integrity クライアントで評価および施行 されるしくみと、競合がある場合にどの規則が優先されるかを理解しておく必要が あります。 通信が評価されるしくみ Integrity クライアントは、エンタープライズ ポリシーまたはパーソナル ポリシーの 規則に対して通信を評価する前に、ハードコーディングされたファイアウォール規 則をチェックします。ネットワーク通信は、受信と送信のいずれであっても同じ方 法で評価されます。 Integrity Advanced Server 管理者ガイド 74 ハードコーディングされた規則 Integrity Advanced Server の設定ファイルに、ハードコーディングされた以下の規則 を設定できます。 Integrity Advanced Server ポート 6054 への、またはそのポートからの UDP (User Datagram Protocol) パケットを許可 Integrity Advanced Server ポート 443 への、またはそのポートからの UDP パ ケットを許可 ローカル マシンから任意のコンピュータのポート 53 への通信を許可 この規則は、ドメイン名サービスへのアクセスを許可するためのものです。 ローカル マシンへの ICMP (Internet Control Message Protocol) タイプ 9 を許可 この規則は、ルータ広告を許可するためのものです。 トラスト ゾーンまたはインターネット ゾーンに含まれない発信元からのすべて の通信をブロック この規則は ‘ クリーンアップ規則 ’ であり、処理されないすべての通信をブロッ クします。 Integrity Advanced Server 管理者ガイド 75 ポリシー規則 下の図は、Integrity クライアントがネットワーク通信のセキュリティ規則を評価す る方法を示したものです。 図 5-1: 外部からの通信、および外部への通信に関する規則の評価 Integrity クライアントは、エンタープライズ ポリシーまたはパーソナル ポリシーの 規則に対して通信を評価する前に、ハードコーディングされたファイアウォール規 則をチェックします。システム管理者は Integrity Advanced Server の設定ファイル内 に、以下のハードコーディング規則を設定できます。 Integrity Advanced Server 管理者ガイド 76 Integrity Advanced Server ポート 6054 への、またはそのポートからの UDP (User Datagram Protocol) パケットを許可 Integrity Advanced Server ポート 443 への、またはそのポートからの UDP パ ケットを許可 ローカル マシンから任意のコンピュータのポート 53 への通信を許可 ( ドメイン 名サービス ) ローカル マシンへの ICMP (Internet Control Message Protocol) タイプ 9 を許可 ( ルータ広告 ) トラスト ゾーンまたはインターネット ゾーンに含まれない発信元または送信先 とのすべての通信をブロック これらの規則で通信が許可される場合、Integrity クライアントは次の順序で通信に ポリシーを適用します。 1. Integrity クライアントは [Stop ( 停止 )] ボタンをチェックします。 エンドポイント コンピュータが Integrity Flex を使用しており、すべての通 信を停止する [Stop (停止)] ボタンが有効になっている場合は、通信はブロッ クされます。 [Stop ( 停止 )] ボタンが有効になっていない場合、評価プロセスは次のステッ プに進みます。 2. Integrity クライアントは、一致するクラシック ファイアウォール規則をチェッ クします。 ポリシーのクラシック ファイアウォール規則でこの通信をブロックするよう に指示されている場合は、通信はブロックされます。 この通信をブロックするクラシック ファイアウォール規則がない場合は、評 価プロセスは次のステップに進みます。 3. Integrity クライアントは、制限されたゾーンを相手とした通信かどうかをチェッ クします。 制限されたゾーンを相手とする通信の場合は、通信はブロックされます。 制限されたゾーンを相手とする通信ではない場合、評価プロセスは次のス テップに進みます。 4. Integrity クライアントは、適用されるプログラム規則の有無をチェックします。 a. 通信がポリシーのいずれかのプログラム規則に合致する場合、Integrity クラ イアントはそのプログラム規則を適用します。 b. 通信がどのプログラム規則にも合致しない場合、Integrity ゾーン規則を適用します。 Integrity Advanced Server 管理者ガイド クライアントは 77 ポリシーの管理 このセクションでは、Policy Manager を使用してセキュリティ ポリシーを作成、編 集、および削除する方法について説明します。 以下のトピックについて説明します。 78 ページの「新規セキュリティ ポリシーの作成」 80 ページの「セキュリティ ポリシーの編集」 81 ページの「セキュリティ ポリシーの削除」 新規セキュリティ ポリシーの作成 新しいセキュリティ ポリシーを作成する前に、まずセキュリティ ポリシーに含める 新しいセキュリティ規則を作成することができます。これらのセキュリティ規則 を、後でポリシーに追加することもできます。 80 ページの「セキュリティ ポリ シーの編集」を参照してください。 テンプレートから新規セキュリティ ポリシーを作成するには、次のよう にします。 1. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 2. [New ( 新規 )] をクリックして、[From Template ( テンプレートから )] を選択しま す。 [Create New Policy ( 新規ポリシーの作成 )] ページが表示されます。 3. [Policy Name ( ポリシー名 )] ボックスに、新規ポリシーの名前を入力します。 4. 使用するポリシー テンプレートを選択して、[Create (作成)] をクリックします。 新しいポリシーが作成されたことを示すメッセージと共に、[Edit Policy ( ポリ シーの編集 )] ページが表示されます。 5. 各種のタブを使用して、セキュリティ規則と設定を編集または追加します。 a. このセキュリティ ポリシーを変更できる管理者を自分だけにしたい場合は、 [Lock this policy ( このポリシーをロック )] チェックボックスをオンにしま す。 b. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 6. [Comment ( コメント )] ボックスに、ポリシーのこのバージョンに加えた変更内 容を示すコメントを入力します。コメントを入力しておくと、ロール バックが Integrity Advanced Server 管理者ガイド 78 将来必要になった場合に、大きな変更を特定するのに役立ちます。コメントの 150 文字を超える部分は切り捨てられます。 7. 新しいポリシーについて、保存だけするか、または保存して配備します。 ポリシーの保存だけ行い、後で作業を継続する場合は、[Save ( 保存 )] をク リックします。 新しいポリシーを保存してポリシー サーバに配備する場合は、[Save & Deploy ( 保存して配備 )] をクリックします。新しいポリシーを配備すると、 エンティティへの割り当てができるようになります。 ポリシーが正常に保存されたことを示すメッセージと共に、[Policy Manager (Policy Manager)] ページが表示されます。 ファイルから新規セキュリティ ポリシーを作成するには、次のようにし ます。 1. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 2. [New ( 新規 )] をクリックし、[From File ( ファイルから )] を選択します。 [Import Policy ( ポリシーのインポート )] ページが表示されます。 3. [Policy Name ( ポリシー名 )] ボックスに、新規ポリシーの名前を入力します。 4. [Browse ( 参照 )] をクリックしてインポートする XML ポリシー ファイルを選択 し、[Import ( インポート )] をクリックします。 新しいポリシーが正常に作成されたことを示すメッセージと共に、[Edit Policy ( ポリシーの編集 )] 設定ページが表示されます。 5. 各種のタブを使用して、セキュリティ規則と設定を編集または追加します。 a. このセキュリティ ポリシーを変更できる管理者を自分だけにしたい場合は、 [Lock this policy ( このポリシーをロック )] チェックボックスをオンにしま す。 b. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 6. [Comment ( コメント )] ボックスに、ポリシーのこのバージョンに加えた変更内 容を示すコメントを入力します。コメントを入力しておくと、ロール バックが 将来必要になった場合に、大きな変更を特定するのに役立ちます。コメントの 150 文字を超える部分は切り捨てられます。 7. 新しいポリシーについて、保存だけするか、または保存して配備します。 ポリシーの保存だけ行い、後で作業を継続する場合は、[Save ( 保存 )] をク リックします。 Integrity Advanced Server 管理者ガイド 79 新しいポリシーを保存してポリシー サーバに配備する場合は、[Save & Deploy ( 保存して配備 )] をクリックします。新しいポリシーを配備すると、 エンティティへの割り当てができるようになります。 ポリシーが正常に保存されたことを示すメッセージと共に、[Policy Manager (Policy Manager)] ページが表示されます。 ゲートウェイの場所や送信先、および Integrity Advanced Server 管理者コンソー ルで設定できない属性など、いくつかの属性はインポートされません。また、い くつかの属性は上書きされます。 セキュリティ ポリシーの編集 セキュリティ ポリシーを編集する前に、セキュリティ ポリシーの利用状況をチェッ クします。ポリシーは、1 つ以上のエンティティに割り当てることができ、また、1 つ以上のポリシー パッケージまたはクライアント パッケージに含めることができま す。 セキュリティ ポリシーを編集するには、次のようにします。 1. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 2. 編集するポリシーを選択して、[Edit ( 編集 )] をクリックします。 [Edit Policy ( ポリシーの編集 )] ページが表示されます。 3. [Edit Policy ( ポリシーの編集 )] 設定ページで、以下を設定します。 a. 各種のタブを使用して、以下の規則と設定を編集または追加します。 ファイアウォール規則 ゾーン規則 プログラム規則 SmartDefense MailSafe 規則 施行設定 クライアント設定 これらの規則や設定の作成とセキュリティ ポリシーへの追加の詳細について は、6 ~ 12 の各章を参照してください。 b. このセキュリティ ポリシーを編集できる管理者を自分だけにしたい場合は、 [Lock this policy ( このポリシーをロック )] チェックボックスをオンにしま す。 Integrity Advanced Server 管理者ガイド 80 4. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 5. [Comment ( コメント )] ボックスに、ポリシーのこのバージョンに加えた変更内 容を示すコメントを入力します。コメントを入力しておくと、ロール バックが 将来必要になった場合に、大きな変更を特定するのに役立ちます。コメントの 150 文字を超える部分は切り捨てられます。 6. 新しいポリシーを保存するか、保存して配備します。 ポリシーの保存だけ行い、後で作業を継続する場合は、[Save ( 保存 )] をク リックします。 新しいポリシーを保存してポリシー サーバに配備する場合は、[Save & Deploy ( 保存して配備 )] をクリックします。新しいポリシーを配備すると、 エンティティへの割り当てができるようになります。 ポリシーが正常に保存されたことを示すメッセージと共に、[Policy Manager (Policy Manager)] ページが表示されます。 セキュリティ ポリシーの削除 エンティティに割り当てられているポリシー、またはクライアント パッケージに含 まれているポリシーは削除できません。ポリシーを削除する前に、そのポリシーが 割り当てられているエンティティを検索して、これらのエンティティに別のポリ シーを割り当てます ( またはこれらのエンティティが親のポリシーを継承するように 設定します )。ポリシーの割り当てを変更したら、古いポリシーを削除します。 ドメイン自体に親から継承を割り当てることはできません。ドメインに割り当て られたポリシーを削除するには、まずドメインに異なるポリシーを割り当てる必 要があります。 ポリシーを削除するには、次のようにします。 1. ポリシーがどのエンティティにも割り当てられていないのが確実であれば、ス テップ 7 に進みます。 ポリシーがいずれかのエンティティに割り当てられていれば ( またはその可能性 があれば )、対応するドメインに移動して、[Entities ( エンティティ)] を選択しま す。 [Entity Manager (Entity Manager)] ページが表示されます。 2. をクリックして検索ボックスを表示します。 3. 検索ボックスで、[With assigned policy ( 割り当てられたポリシーを含める )] ド ロップダウン リストから関連するポリシーを選択して、[Search ( 検索 )] をク リックします。 そのポリシーが割り当てられているエンティティの一覧が表示されます。 Integrity Advanced Server 管理者ガイド 81 4. 一覧のすべてのエンティティを選択して、[Assign Policy ( ポリシーの割り当て )] をクリックします。 [Policy Assignment ( ポリシー割り当て )] スクリーンが表示されます。 5. [Policy ( ポリシー)] ドロップダウン リストで、新たなポリシーを選択します ( ま たは [Inherit from parent ( 親から承継 )] を選択します )。 6. [Assign ( 割り当て )] をクリックします。 1 ページに表示しきれない数のエンティティがある場合、エンティティの各ペー ジでステップ 4 ~ 6 を繰り返してください。 7. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 8. 削除するポリシーを選択して、[Delete ( 削除 )] をクリックします。 確認メッセージが表示されます。 9. [Yes ( はい )] をクリックします。 Integrity Advanced Server 管理者ガイド 82 ポリシー パッケージの管理 このセクションでは、Policy Manager を使用してポリシー パッケージを作成、編 集、および削除する方法について説明します。 新規ポリシー パッケージの作成 新しいポリシー パッケージを作成する前に、ポリシー パッケージに含めるエンター プライズ セキュリティ ポリシーを作成して配備する必要があります。 78 ページの 「新規セキュリティ ポリシーの作成」を参照してください。 新規ポリシー パッケージを作成するには、次のようにします。 1. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 2. [New ( 新規 )] をクリックして、[Policy Package ( ポリシー パッケージ )] を選択 します。 [New Policy Package ( 新規ポリシー パッケージ )] ページが表示されます。 3. [Name ( 名前 )] ボックスに、新しいポリシー パッケージの名前を入力します。 4. [Connected Enterprise Policy ( 接続エンタープライズ ポリシー)] ドロップダウン リストで、エンドポイント コンピュータがエンタープライズ ネットワークに接 続したときに使用するポリシーを選択します。 5. [Disconnected Enterprise Policy ( 切断エンタープライズ ポリシー)] ドロップダウ ン リストで、エンドポイント コンピュータがエンタープライズ ネットワークか ら切断したときに使用するポリシーを選択します。 6. [Save ( 保存 )] をクリックします。 ポリシー パッケージが正常に保存されたことを示すメッセージと共に、[Policy Manager (Policy Manager)] ページが表示されます。 ポリシー パッケージの編集 ポリシー パッケージを編集する前に、ポリシー パッケージの利用状況をチェックし ます。ポリシー パッケージは、1 つ以上のエンティティに割り当てることができ、 また、1 つ以上のクライアント パッケージに含めることができます。 ポリシー パッケージを編集するには、次のようにします。 1. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 Integrity Advanced Server 管理者ガイド 83 2. 編集するポリシー パッケージを選択して、[Edit ( 編集 )] をクリックします。 [Edit Policy Package ( ポリシー パッケージの編集 )] ページが表示されます。 3. [Name ( 名前 )] ボックスで、ポリシー パッケージ名を編集して変更します。 4. [Connected Enterprise Policy ( 接続エンタープライズ ポリシー)] ドロップダウン リストで、エンドポイント コンピュータがエンタープライズ ネットワークに接 続したときに使用する別のポリシーを選択します。 5. [Disconnected Enterprise Policy ( 切断エンタープライズ ポリシー)] ドロップダウ ン リストで、エンドポイント コンピュータがエンタープライズ ネットワークか ら切断したときに使用する別のポリシーを選択します。 6. [Save ( 保存 )] をクリックします。 ポリシー パッケージが正常に更新されたことを示すメッセージと共に、[Policy Manager (Policy Manager)] ページが表示されます。 ポリシー パッケージの削除 ポリシー パッケージを削除する前に、ポリシー パッケージがエンティティに割り当 てられていないことを確認します。エンティティに割り当てられているポリシー パッケージ、またはクライアント パッケージに含まれているポリシー パッケージは 削除できません。 ポリシー パッケージを削除するには、次のようにします。 1. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 2. 削除するポリシー パッケージを選択して、[Delete ( 削除 )] をクリックします。 このポリシー パッケージを本当に削除するかどうかを確認するメッセージが表 示されます。 3. [Yes ( はい )] をクリックします。 ポリシー パッケージが正常に削除されたことを示すメッセージと共に、[Policy Manager (Policy Manager)] ページが表示されます。 Integrity Advanced Server 管理者ガイド 84 モデル ポリシー ライフサイクル このモデル ライフサイクルは、ただちに非常に厳しいセキュリティ規則を課さなけ ればならないような緊急性がないことを前提にしています。未知の攻撃からの保 護、ユーザに対する制限、およびポリシー保守要件とのトレードオフを考慮して、 最初は低レベルの制限と低レベルの保守性に重点を置き、徐々に未知の攻撃からの 保護とユーザ制限を高レベルにしていきます。 Integrity Advanced Server 管理者ガイド 85 ポリシー 1: Discovery Mode ポリシー配備当初は、クラシック ファイアウォール規則を使用して、攻撃を受けや すいことが判明している特定のポートのみをブロックします。最初のポリシーの主 目的は、プログラム規則、ゾーン規則、または追加のクラシック ファイアウォール 規則を確立するための情報を収集することです。 最初のポリシーを作成し、配備するには、次のようにします。 1. Observation ポリシー テンプレートからポリシーを作成します。 2. クラシック ファイアウォール規則を追加します。 a. 攻撃を受けやすいことが分かっている特定のポートをブロックします。 b. その他のすべてのポートを明示的に許可および追跡する規則を作成します。 この規則により、ファイアウォール イベント レポートの中に、各エンドポ イントのネットワーク通信を詳細に示すエントリが生成されます。この情報 を使用して、トラスト ゾーンに入れるべき IP アドレス、範囲、ホスト、お よびサブネットを決定することができます。 3. 最初のポリシーを配備します。 Integrity Advanced Server 管理者ガイド 86 ポリシー 2: 既知のプログラム、トラスト ゾーン要素、および初期プロ グラム規則を定義する トラスト ゾーンを完全に ( もしくはほとんど ) 設定するために十分な情報が得られた と判断したら、2 番目のポリシーを作成し、配備します。 2 番目のポリシーは、プログラム規則の作成とトラスト ゾーンの定義から始めま す。プログラム リファレンス スキャンを使用して、特定のアプリケーションを選択 的にブロックおよび許可し、未知のアプリケーションがインターネット上でサーバ として機能することを禁止します。 2 番目のポリシーを作成し、配備するには、次のようにします。 1. 厳重に管理されたディスク イメージを持っている場合、またはプログラム リ ファレンス ソースを作成するために使用する安全でクリーンなコンピュータが ある場合は、リファレンス ソースを作成してインポートします。 2. Policy Manager の [Program Rules ( プログラム規則 )] タブで、参照されるプログ ラムの規則を作成します。一般に、リファレンス マシンをより安全にすること で、参照されるプログラムのアクセス権限またはサーバ権限をより安全に付与す ることができます。 3. 厳重に管理されたディスク イメージがない場合、またはその他の理由で、ネッ トワーク上で使用中のプログラムを発見して許可またはブロックする必要がある 場合は、プログラム詳細レポートと Program Manager を使用して、プログラム 観察で見つかったアプリケーションを確認します。次の 2 種類のプログラムを 識別することに重点を置きます。 a. アクセス権限またはサーバ権限を付与したいが、リファレンス コンピュータ 上に存在しないプログラム。 b. 攻撃を受けやすいことが分かっているために、アクセス権限またはサーバ権 限を拒否したいプログラム。 4. 規則の割り当てを簡略化するために、同様の許可を付与したい類似のプログラム についてプログラム グループを作成します。たとえば、ネットワーク上で使用 されるすべての一般的なブラウザを許可したい場合、ブラウザ プログラム グ ループを作成します。同様に、インスタント メッセージング プログラムをブ ロックしたい場合、観察されたすべてのインスタント メッセージング プログラ ムを含むグループを作成します。 5. 作成したプログラム グループまたは個別のプログラムを許可またはブロックす る規 則を 作成 しま す。[Program Rules ( プ ログ ラ ム規 則 )] タ ブの [Specific Programs and Program Groups ( 特定プログラムおよびプログラム グループ )] エ リアを使用します。 6. [Program Rules ( プログラム規則 )] タブの [All Other Programs ( 他のすべてのプ ログラム)] エリアを使用して、未知のプログラムに対する規則を作成します。未 Integrity Advanced Server 管理者ガイド 87 知のプログラム用の規則を作成するためのガイドについては、 136 ページの 「その他のすべてのプログラム規則の選択」を参照してください。 7. Integrity Advanced Server の Reporting モジュールのファイアウォール イベント レポート、またはネットワーク構成に関する自分自身の知識を利用して、トラス ト ゾーンに必要なネットワーク要素を追加します。簡単な方法は、まずローカ ル ネットワーク全体を追加し、その後徐々にゾーンの管理を強化していく ( つま り、信頼する要素の範囲を減らす ) ことです。 8. トラスト ゾーンとインターネット ゾーンのセキュリティ レベルを設定しま す。 a. 「低」/「低」から「中」/「中」に移行します。 b. フラグメント パケットをブロックします。 “フラグメント パケットをブロックする” 設定が推奨されるのは、内部で接続され たマシンのみです。VPN やダイヤルアップ接続ではかなり頻繁にパケットのフラ グメント化が発生するため、これらの接続を利用するユーザに割り当てられたポ リシーでフラグメントをブロックすると、問題が発生する可能性があります。 9. 必要があればさらにクラシック ファイアウォール規則を追加します。 10. ポリシーを配備します。 Integrity Advanced Server 管理者ガイド 88 ポリシー 3 およびそれ以降 : トラスト ゾーンとプログラム規則を改善する 3 番目のポリシーおよびそれ以降のポリシーでは、プログラム規則の練り直しから 始めます。2 番目のポリシーで、特定の既知のアプリケーションをブロックまたは 許可すると同時に、未知のプログラムによる通信のほとんどを許可しました。3 番 目のポリシー ( および将来のポリシー) では、未知のアプリケーションに対する制限 を強化するとともに、必要に応じて許可アプリケーションのリストへの追加を継続 します。 3 番目のポリシーを作成し、配備するには、次のようにします。 1. 継続してファイアウォール レポートを使用し、トラスト ゾーンに入れる必要の あるネットワーク要素を特定し、それらの要素をゾーンに追加します。これは、 この段階において非常に重要な処理です。なぜなら、インターネット ゾーンの セキュリティ レベルを「高」に上げる ( 次のステップ 4) ことにより、エンドポ イントがインターネット ゾーン内のホストから受信できる通信の種類が大幅に 制限されてしまうからです。最初の段階でローカル ネットワーク全体を信頼す るように設定した場合は、信頼する必要がないと思われる範囲またはサブネット を削除することで、ゾーンの管理を強化していくことを検討してください。 2. Program Manager を使用して、許可したい追加の非参照プログラムを特定しま す。それらを 2 番目のポリシーで作成したグループに追加するか、または個別 に許可を割り当てます。 3. リファレンス ソースとプログラム観察の一方または両方を使用して、許可した いプログラムを十分に網羅したリストを作成し、それらのプログラムについて規 則をセットアップしたら、未知のプログラム用の規則をより厳しくします。ここ でも 136 ページの「その他のすべてのプログラム規則の選択」で説明されてい る基準を使用します。 プログラム コントロール規則を適切に作動させるためには、トラスト ゾーンを正 確に定義する必要があります。 4. トラスト ゾーンとインターネット ゾーンのセキュリティ レベルを調整します。 セキュリティを「高」 ( インターネット ゾーン ) と「中」 ( トラスト ゾーン ) に 設定します。 5. このポリシーを配備し、必要に応じて更新を継続します。 Integrity Advanced Server 管理者ガイド 89 6章 ポリシー : クラシック ファイアウォール規則 クラシック ファイアウォール規則を実装すると、パケットを送受信するプログラム に関係なく、IP アドレス、ポート、およびプロトコルなどの接続情報に基づいて ネットワーク アクティビティを制限または許可することにより、標準の境界ファイ アウォールと同じレベルのセキュリティが実現されます。 クラシック ファイアウォール規則を使用して次の処理を行います。 保護対象コンピュータ上に標準の境界ファイアウォールを作成します。97 ペー ジの「セキュリティ ポリシー内のクラシック ファイウォール規則の使用」を参 照してください。 プログラムまたはプログラム グループのネットワーク アクセスを制限して、プ ログラム コントロールを微調整します。8 章 ポリシー: プログラム コントロー ルを参照してください。 Integrity Advanced Server 管理者ガイド 90 クラシック ファイアウォール規則の概念 クラシック ファイアウォール規則は、通信パケットの属性に基づいてネットワーク 通信をブロックまたは許可します。クラシック ファイアウォール規則を使用して、 次の 3 つの属性に基づき、ネットワークのブロックまたは許可を行うことができま す。 発信元または送信先の場所 プロトコルまたはポート アクティビティの発生日時 発信元および送信先の場所の定義 場所によって通信を許可またはブロックするクラシック ファイアウォール規則を作 成する前に、Location Manager で場所を定義する必要があります。場所は、ドメイ ン名、IP アドレス、サブネット、またはアドレスの範囲で指定できます。 プロトコルとポートの定義 プロトコルまたはポートによって通信を許可またはブロックするクラシック ファイ アウォール規則を作成する前に、Protocol Manager および Port Manager でプロト コルまたはポートを定義する必要があります。プロトコルは、ネットワーク プロト コルとポートに基づいて通信を一致させるように、ファイアウォール規則を詳細化 するために使用されます。プロトコルには IP ネットワーク プロトコルまたは ICPM/IGM メッセージ タイプがあり、ポート番号はポート アドレス処理をサポート するプロトコルについて使用できます。 セキュリティ ポリシー内のクラシック ファイアウォール ランク セキュリティ ポリシー内のランクとは Integrity クライアントがクラシック ファイア ウォール規則を評価および実行する順序のことです。Integrity クライアントは最初 に一致する規則のみを実行するので、規則のランクは非常に重要です。 Integrity Advanced Server 管理者ガイド 91 FTP アクセスの例 このセクションの例では、次の 2 つの FTP アクセス規則を使用して、ランクがどの ようにネットワーク アクティビティに影響するかを示します。 FTP ローカル規則は、FTP クライアントがローカルのプライベート サブネット (Private Subnet) から保護対象コンピュータの FTP サーバにポート 21 で接続す ることを許可します。 FTP インターネット規則は、すべての FTP クライアントが保護対象コンピュー タの FTP サーバにポート 21 で接続することをブロックします。 例 1: ローカル通信を許可し、その他の通信をブロックする 図 6-1: FTP ローカル規則ランク 1 を使用した例 最初の例では、FTP ローカル規則がランク 1 で、FTP インターネット規則がランク 2 です。 ローカル サブネット上のクライアントからの FTP 要求は発信元アドレス (Private Subnet) と FTP ローカル規則のその他のすべての条件に一致します。 Integrity クライアントは FTP ローカル規則を実行し、通信は許可されます。 ローカル サブネット外のクライアントからの FTP 要求は FTP ローカル規則の条 件に一致しないため、Integrity クライアントは次の規則をチェックします (FTP ローカル規則は実行されません )。通信は FTP インターネット規則の条件に一致 します。Integrity クライアントは FTP インターネット規則を実行し、通信はブ ロックされます。 例 2: すべてのアクセスがブロックされる 図 6-2: FTP インターネット規則ランク 1 を使用した例 2 番目の例では、FTP インターネット規則がランク 1 で、FTP ローカル規則がラン ク 2 です。 ローカル サブネットとその他のすべての場所にあるクライアントからのすべて の FTP 要求は、最初の規則である FTP インターネット規則の条件に一致しま す。Integrity クライアントは FTP インターネット規則を実行し、すべての通信 がブロックされます。 FTP インターネット規則がランク 1 の場合、通信は常に最初の規則の条件に一致 することになります。したがって Integrity クライアントは、2 番目の規則である FTP ローカル規則を通信に適用することはありません。 Integrity Advanced Server 管理者ガイド 92 クラシック ファイアウォール規則の管理 このセクションでは、Classic Firewall Rule Manager を使用してクラシック ファイア ウォール規則を作成、編集、および削除する方法について説明します。 新規クラシック ファイアウォール規則の作成 ポリシーにクラシック ファイアウォール規則を追加する前に、追加する規則を Classic Firewall Rule Manager で作成する必要があります。 下の表は、クラシック ファイアウオール規則リストのアイコンの説明です。 アイコン 説明 規則がグローバルであることを示します。設定はグロー バル管理者によってシステム ドメイン内で管理されま す。 規則がローカルであることを示します。設定は現在のド メイン内で管理されます。 表 6-1: ローカル アイコンとグローバル アイコン 新規規則を作成するには、次のようにします。 1. [Policy Objects ( ポリシー オブジェクト )] | [Firewall Rules ( ファイアウォール規 則 )] に移動します。 [Classic Firewall Rule Manager (Classic Firewall Rule Manager)] ページが表示され ます。 2. [New(新規作成)]をクリックします。 [New/Edit Classic Firewalll Rule (新規クラシック ファイアウォール規則/クラシッ ク ファイアウォール規則の編集 )] ページが表示されます。 3. 一般情報を入力します。 a. [Name ( 名前 )] ボックスに規則の名前を入力します。 名前は一意でなければならず、最大で 128 文字です。 b. [Description ( 説明 )] ボックスに規則の説明を入力します。 説明は最大で 250 文字です。 c. [Action ( アクション )] で次のいずれかを選択します。 Å [Allow ( 許可 )] を選択すると、規則の条件が満たされた場合にアクセス を許可する規則が作成されます。 Å [Block ( ブロック )] を選択すると、規則の条件が満たされた場合にアク セスを拒否する規則が作成されます。 d. [Track ( 追跡 )] で次のいずれかを選択します。 Integrity Advanced Server 管理者ガイド 93 Å [None ( なし )] を選択すると、イベントのログは記録されず、エンドポ イント ユーザに対してアクティビティに関する警告も表示されません。 追跡なしに設定すると、規則の使用はレポートに表示されません。 Å [Log ( ログ )] を選択すると、アクティビティは記録されますが、エンド ポイント ユーザに対する警告は表示されません。 Å [Alert and log ( 警告とログ )] を選択すると、アクティビティの発生時 にそのアクティビティが記録され、保護対象コンピュータ上にポップ アップが表示されます。 追跡 ( 警告またはロギング ) は Integrity クライアントが規則を実行したときに発生 します。 4. 発信元または送信先の場所を規則に追加します。場所を限定しない場合は、発信 元または送信先の場所を空白のままにします。 以下のステップを実行して発信元を追加します。 a. [Source ( 発信元 )] で [Add ( 追加 )] をクリックします。 [Add Sources to Firewall Rule ( ファイアウォール規則に発信元を追加 )] ペー ジが表示されます。 b. 場所を選択して、[Add ( 追加 )] をクリックします。 以下のステップを実行して送信先を追加します。 a. [Destination ( 送信先 )] で、[Add ( 追加 )] をクリックします。 [Add Destinations to Firewall Rule ( ファイアウォール規則への送信先の追加 )] ページが表示されます。 b. 送信先を選択し、[Add ( 追加 )] をクリックします。 5. プロトコルまたはポートを規則に追加します。プロトコルを限定しない場合は、 プロトコルの種類を空白のままにします。 a. [Protocol ( プロトコル )] で [Add ( 追加 )] をクリックします。 [Add Protocol to Firewall Rule ( ファイアウォール規則にプロトコルを追加 )] ページが表示されます。 b. プロトコルを選択して、[Add ( 追加 )] をクリックします。 6. [Save ( 保存 )] をクリックします。 これで、97 ページの「セキュリティ ポリシーへのクラシック ファイアウォール規 則の追加」の説明に従って、セキュリティ ポリシーにこのクラシック ファイア ウォール規則を追加することができます。 クラシック ファイアウォール規則の編集 既存の規則の設定を変更することができます。規則を変更すると、その規則を含む すべてのセキュリティ ポリシー内の規則の設定が自動的に更新されます。ただし、 Integrity Advanced Server 管理者ガイド 94 変更をエンドポイント ユーザに反映させるために、ポリシーを再配備する必要があ ります。次の手順では、規則を変更し、エンドポイント ユーザのポリシーを更新す る方法について説明します。 規則を変更し、更新されたポリシーを配布するには、次のようにします。 1. [Policy Objects ( ポリシー オブジェクト )] | [Firewall Rules ( ファイアウォール規 則 )] に移動し、規則の設定を変更します。 詳細な手順については、93 ページの「新規クラシック ファイアウォール規則の 作成」を参照してください。 2. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。ポリシー リストで、 更新されたが配備されていないポリシーの横に変更済みアイコンが表示されま す。 3. 変更したクラシック 認します。 ファイアウォール規則がポリシーに含まれていることを確 a. ポリシー リストで、ポリシー名をクリックします。 [View Policy Settings ( ポリシー設定の確認 )] ページが表示されます。 b. [Firewall Settings ( ファイアウォール設定 )] タブに移動します。 c. 規則がポリシー内に存在することを確認します。 配備されるバージョンと現在のバージョンとを比較するには、[Deployed on date ( 指定日に配備 )] ハイパーリンクをクリックして配備されるバージョンの設定を表 示します。 4. ポリシーを選択して、[Deploy ( 配備 )] をクリックします。 ポリシーの現在のバージョンがポリシー サーバに送られます。Integrity Advanced Server に接続されている Integrity クライアントは、次回のハートビートで更新され たポリシーをダウンロードします。接続されていない Integrity クライアントは、次 回ユーザがシステムにログインしたときにポリシーをダウンロードします。 クラシック ファイアウォール規則の削除 クラシック ファイアウォール規則は、セキュリティ ポリシー内で使用されている 場合でも、Integrity Advanced Server システムから削除することができます。規 則を削除すると、すべてのセキュリティ ポリシーからもその規則が自動的に削除さ れます。ただし、変更をエンドポイント ユーザに反映させるために、ポリシーを再 配備する必要があります。 Integrity Advanced Server 管理者ガイド 95 規則を削除し、更新されたポリシーを配布するには、次のようにします。 1. [Policy Objects ( ポリシー オブジェクト )] | [Firewall Rules ( ファイアウォール規 則 )] をクリックして、Classic Firewall Rule Manager を開きます。 Classic Firewall Rules Manager が表示されます。 2. 規則を選択し、[Delete ( 削除 )] をクリックします。 グローバル クラシック ファイアウォール規則はシステム ドメインからのみ削除 できます。 3. 確認のため、[Yes ( はい )] をクリックします。 クラシック ファイアウォール規則がシステムから削除されます。 4. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。ポリシー リストで、 更新されたが配備されていないポリシーの横に変更済みアイコンが表示されま す。 5. クラシック す。 ファイアウォール規則がポリシー内に存在しないことを確認しま a. ポリシー リストで、ポリシー名をクリックします。 [View Policy Settings ( ポリシー設定の確認 )] ページが表示されます。 b. [Firewall Settings ( ファイアウォール設定 )] タブに移動します。 c. 規則がポリシー内に存在しないことを確認します。 配備されるバージョンと現在のバージョンとを比較するには、[Deployed on date ( 指定日に配備 )] ハイパーリンクをクリックして配備されるバージョンの設定を表 示します。 6. ポリシーを選択して、[Deploy ( 配備 )] をクリックします。 そのポリシーに割り当てられているログオン中のエンドポイント ユーザは、次の ハートビートで更新されたポリシーを受信します。それ以外のエンドポイント ユー ザは、次にログオンしたときに更新されたポリシーを受信します。 Integrity Advanced Server 管理者ガイド 96 セキュリティ ポリシー内のクラシック ファイ ウォール規則の使用 このセクションでは、セキュリティ ポリシー内のクラシック ファイアウォール規則 を管理する方法について説明します。 セキュリティ ポリシーへのクラシック ファイアウォール規則の 追加 下のステップに従って、Classic Firewall Rule Manager で作成した規則をセキュリ ティ ポリシーに追加します。同じクラシック ファイアウォール規則を異なるセキュ リティ ポリシーに割り当てることができます。 ポリシーに既存の規則を追加するには、次のようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [Firewall Settings ( ファイアウォール設定 )] タブを選択します。 4. ファイアウォール設定の表で、[Add ( 追加 )] をクリックします。 [Add Classic Firewall Rule to Policy ( ポリシーにクラシック ファイアウォール規 則を追加 )] ページが表示されます。 既にポリシー内にある規則は表示されません。 5. 規則を選択して、[Add ( 追加 )] をクリックします。 [Classic Firewall Rule Manager (Classic Firewall Rule Manager)] ページが選択した 規則とともに表示されます。規則は自動的にランク付けされ、有効になります。 規則が正しいランクとともに追加されない場合は、98 ページの「クラシック ファイアウォール規則のランク付け」の手順に従ってください。 6. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 7. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 [Policy Manager (Policy Manager)] ページが表示されます。これで、クラシック ファイアウォール規則がセキュリティ ポリシーに追加されます。 Integrity Advanced Server 管理者ガイド 97 8. ポリシーを選択して、[Deploy ( 配備 )] をクリックします。 そのポリシーに割り当てられているログオン中のエンドポイント ユーザは、次の ハートビートで更新されたポリシーを受信します。それ以外のエンドポイント ユー ザは、次にログオンしたときに更新されたポリシーを受信します。 クラシック ファイアウォール規則のランク付け [Firewall Settings ( ファイアウォール設定 )] タブにはポリシー内のすべてのク ラシック ファイアウォール規則のリストが表示されます。これらのクラシック ファイアウォール規則は、評価と実行の優先順位 ( ランク ) に従って並べられてい ます。Integrity クライアントは、通信と一致する最初のクラシック ファイア ウォール規則のみを実行します。 規則をランク付けする前に、ランクによって Integrity クライアントの動作が決定 される例について、91 ページの「セキュリティ ポリシー内のクラシック ファイア ウォール ランク」を参照してください。 クラシック ファイアウォール規則のランクを変更するには、次のように します。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [Classic Firewall Rule ( クラシック ファイアウォール規則 )] タブを選択します。 4. 規則を選択して次のアイコンをクリックします。 規則をランク内の一番上の位置に移動します。 規則のランクを 1 つ上げます。 規則のランクを 1 つ下げます。 規則をランク内の一番下の位置に移動します。 5. クラシック ファイアウォール規則の順序を変更したら、[Save ( 保存 )] をクリッ クします。 [Version Comments ( バージョン コメント )] ページが表示されます。 6. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 [Policy Manager (Policy Manager)] ペー ジ が表 示さ れま す。これ で、セキ ュリ ティ ポリシー内のクラシック ファイアウォール規則が変更されます。 Integrity Advanced Server 管理者ガイド 98 7. ポリシーを選択して、[Deploy ( 配備 )] をクリックします。 そのポリシーに割り当てられているログオン中のエンドポイント ユーザは、次の ハートビートで更新されたポリシーを受信します。それ以外のエンドポイント ユー ザは、次にログオンしたときに更新されたポリシーを受信します。 クラシック ファイアウォール規則の有効化と無効化 ポリシーに規則を追加した後で、規則をポリシーから削除することなく、一時的に 無効にすることができます。 無効な規則は薄い色で表示されます。無効な規則はネットワーク通信に影響を与 えません。 有効な規則にはランクがあります。有効な規則はランクの順に評価および実行さ れ、ネットワーク通信に影響を与えます。 規則を有効または無効にするには、次のようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 [Policy Manager (Policy Manager)] ページが表示されます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [Classic Firewall Rule ( クラシック ファイアウォール規則 )] タブを選択します。 4. 規則を有効または無効にするには、規則を選択してから次の操作を実行します。 [Disable ( 無効 )] をクリックします。 規則のランクは無効に変更されます。 [Enabled ( 有効 )] をクリックします。 規則のランクが表示されます。 5. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 6. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 [Policy Manager (Policy Manager)] ページが表示されます。無効にしたクラシッ ク ファイアウォール規則が、セキュリティ ポリシー内で無効化されます。 7. ポリシーを選択して、[Deploy ( 配備 )] をクリックします。 ポリシーに割り当てられているログオン中のエンドポイント ユーザは、次のハート ビートで更新されたポリシーを受信します。それ以外のエンドポイント ユーザは、 次にログオンしたときに更新されたポリシーを受信します。 Integrity Advanced Server 管理者ガイド 99 セキュリティ ポリシーからのクラシック ファイアウォール規則 の削除 ポリシーから規則を削除しても、Integrity Advanced Server からは削除されませ ん。規則は引き続き Classic Firewall Rule Manager 内で使用可能で、いつでもポ リシーに追加できます。 ポリシー ランク内の残りの規則は順に番号が付け直され、相対的なランクは維持さ れます。 ポリシーから規則を削除するには、次のようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [Classic Firewall Rule ( クラシック ファイアウォール規則 )] タブを選択します。 4. 削除する規則を選択して、[Remove ( 削除 )] をクリックします。 5. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 6. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 [Policy Manager (Policy Manager)] ペー ジ が表 示さ れま す。これ で、セキ ュリ ティ ポリシー内のクラシック ファイアウォール規則が削除されます。 7. ポリシーを選択して、[Deploy ( 配備 )] をクリックします。 そのポリシーに割り当てられているログオン中のエンドポイント ユーザは、次の ハートビートで更新されたポリシーを受信します。それ以外のエンドポイント ユー ザは、次にログオンしたときに更新されたポリシーを受信します。 Integrity Advanced Server 管理者ガイド 100 7章 ポリシー : ゾーンベースのセキュリティ この章では、保護対象エンドポイント コンピュータのネットワーク アクティビティ を制御するセキュリティ規則をポリシー内に作成するために、Integrity Advanced Server のアクセス ゾーンおよびゾーン規則機能を使用する方法について説明しま す。 Integrity Advanced Server 管理者ガイド 101 アクセス ゾーンとゾーン規則の概念 ゾーン規則を使用すると、通信の発信元または送信先ゾーンに基づいて施行される 規則に従ってネットワーク アクティビティを制限または許可することで、異なるレ ベルのセキュリティを作成することができます。 ゾーンについて ゾーンとは仮想空間であり、保護対象コンピュータが通信するコンピュータおよび ネットワークを分類する方法です。 トラスト ゾーン トラスト ゾーンには、既知の信頼できる通信ソースを含めます。ポリシーを設計す る際、トラスト ゾーンを設定して、企業 LAN のプライベート サブネットや IP 範囲 など、保護対象コンピュータが通信する必要のあるネットワーク要素を含めます。 ブロックするゾーン ブロック ゾーンには、保護対象コンピュータとの通信を許可すべきでない通信ソー スを含めます。ポリシーを設計する際、ブロック ゾーンに危険なホスト、または好 ましくないホストを含めるようにしてください。ブロックされるソースに内部のホ ストまたはネットワークを含めることができます。 インターネット ゾーン インターネット ゾーンには、トラスト ゾーンにもブロック ゾーンにも含めていな いすべての通信ソースが含まれます。インターネット ゾーン ソースは、境界ファイ アウォールの外側と内側のいずれでも、ローカル ネットワークまたはインターネッ ト上の任意の場所に存在することが可能です。 デフォルトで、ネットワーク通信のすべての発信元および送信先はインターネット ゾーンに含まれています。信頼される通信ソースをトラスト ゾーンに含めること で、エンドポイント ユーザは必要なリソースにアクセスできるようになり、同時に インターネットの脅威からも保護されます。 ゾーン規則が機能するしくみ Integrity クライアントはゾーン規則を使用して、通信の発信元または送信先のゾー ンや関係するポートおよびプロトコルについて、保護対象コンピュータに対する通 信を解析します。プログラム コントロールが有効にされている場合、通信を送受信 する保護対象エンドポイント コンピュータ上のアプリケーションについても通信を 解析します。 次のいずれかの条件が満たされる場合、通信は許可されます。 ゾーン規則が、使用されるポートまたはプロトコルで、問題のゾーンとの通信を 許可している。 Integrity Advanced Server 管理者ガイド 102 プログラム規則が、そのプログラムに対して、使用されるポートまたはプロトコ ルで、問題のゾーンと通信を許可している。 クラシック ファイアウォール規則はゾーン規則よりも優先されます。詳細につい ては、74 ページの「規則の評価と優先順」を参照してください。 ゾーンベースのセキュリティに関する作業フロー ゾーンベースのセキュリティをセットアップおよび使用するためのプロセスは、以 下のステップによります。 1. トラスト ゾーンを設定します。 ネットワークの構成を調べて、信頼すべきサブネット、ホスト、その他のリソー スを確認し、場所の定義を作成して、それらをトラスト ゾーンに追加します。 104 ページの「トラスト ゾーンの設定」を参照してください。 2. 新規ネットワーク検出オプションを設定します。 Integrity クライアントが未知のネットワークを検出したときの動作を指定しま す。107 ページの「新規ネットワーク検出オプションの設定」を参照してくだ さい。 3. ゾーン規則を設定します。 ポリシーのゾーンを定義した後、ゾーンの設定を行い、トラスト ゾーンおよび インターネット ゾーンに対して許可する通信を指定します。109 ページの「セ キュリティ ポリシー内のゾーン規則の使用」を参照してください。 4. 信頼される場所とブロックされる場所を、特定した時点で追加します。 時間の経過とともに、信頼またはブロックすべき新しいコンピュータおよびネッ トワークが新たに判明します。新規の場所を作成し、適切なゾーンに追加するこ とにより、新たに判明したコンピュータやネットワークをユーザのセットアップ に組み込みます。 Integrity Advanced Server 管理者ガイド 103 セキュリティ ポリシーにおけるアクセス ゾーンの 管理 このセクションでは、セキュリティ ポリシー内にアクセス ゾーンをセットアップす る方法について説明します。ゾーンの設定により、ゾーン規則とプログラム規則の 両方をセットアップすることができます。 トラスト ゾーンの設定 Integrity ポリシーを適切に作成するためには、保護対象コンピュータが必要とする リソースを慎重にトラスト ゾーンに含めることが重要になります。 Integrity Advanced Server 管理者ガイド 104 トラスト ゾーンの内容の計画 最初の段階では、何をトラスト ゾーンに含めたらよいのかがはっきりしない場合が あります。まずは、社内ネットワークのすべてのサブネットと IP 範囲をトラスト ゾーンに追加することが考えられます。これにより、すべてのエンドポイントが社 内ネットワークのすべての要素に簡単にアクセスできるようになります。これに は、ユーザに対する影響が小さいという利点があります。ユーザは必要なすべての ネットワーク リソースに継続してアクセスできるからです。ただし、この方法では 最高レベルの保護を実現することができません。 ポリシー ライフサイクルにおいて引き続きポリシーを作成する際に、信頼すべきホ ストを追加すると共に、ユーザが簡単にアクセスする必要のないネットワーク内の サブネットまたは範囲を削除することで、トラスト ゾーンの内容を改良していきま す。最終的な目標は、エンドポイントが本当に信頼する必要のあるネットワーク要 素のみを含むトラスト ゾーンを作成することです。 ポリシーの配備後に、エンドポイント ユーザがネットワークにアクセスできなく なった場合は、まずトラスト ゾーンの内容をチェックし、必要な要素が不足して いないことを確認してください。 下の表は、通常信頼すべき要素を示したものです。 リソース 必須 説明 保護対象コンピュータに接続されているリモート ホスト コンピュータ ( 社内ネットワークのサブネット定義に含ま れていない場合 ) 保護対象コンピュータがアクセスする社内ワイド エリア ネットワーク (WAN) のサブネット 保護対象コンピュータがアクセスする社内 LAN Integrity Advanced Server おそらく必須 DNS サーバ ローカル ホスト コンピュータの NIC ループバック アド レス (Windows のバージョンによる )。127.0.0.1 のローカ ル ホスト ループバック アドレスを指定している場合は、 ローカル ホスト上でプロキシ ソフトウェアを実行しない ようにしてください。 インターネット ゲートウェイ ローカル サブネット セキ ュリ ティ サー バ (RADIUS、ACE、ま たは TACACS サーバなど ) 表 7-1: 信頼すべきリソース Integrity Advanced Server 管理者ガイド 105 信頼される要素の場所の作成 トラスト ゾーンに追加する要素を決定したら、Location Manager を使用して、それ らの要素の定義を作成します。 Integrity Advanced Server 管理者ガイド 106 トラスト ゾーンへの場所の追加 場所を作成したら、以下のステップに従って、セキュリティ ポリシーのトラスト ゾーンまたはブロック ゾーンに場所を追加します。ゾーンは各セキュリティ ポリ シーについて別々にセットアップされます。 セキュリティ ポリシーのアクセス ゾーンをセットアップするには、次の ようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [Access Zones ( アクセス ゾーン )] タブを選択します。 4. [Locations and Zones (場所とゾーン)] エリアで [Add (追加)] をクリックします。 [Add Locations to Zone ( ゾーンに場所を追加 )] ページが表示されます。 5. [Add items to ( アイテムの追加先 )] ドロップダウン リストで、場所のゾーンを選 択します。 6. 場所を選択して、[Add ( 追加 )] をクリックします。 7. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 8. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 [Policy Manager (Policy Manager)] ページが表示されます。これで、アクセス ゾーン が設定されました。 新規ネットワーク検出オプションの設定 新規ネットワーク検出オプションには、まだトラスト ゾーンまたはインターネット ゾーンに配置されていないネットワークに保護対象コンピュータを接続するとき に、Integrity クライアントが行う動作を指定します。 セキュリティ ポリシーのアクセス ゾーンをセットアップするには、次の ようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 Integrity Advanced Server 管理者ガイド 107 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [Access Zones ( アクセス ゾーン )] タブを選択します。 4. ポリシーの [Network Access Zones ( ネットワーク アクセス ゾーン )] で、以下の いずれかのオプションを選択します。 [Include the network in the Trusted Zone ( ネットワークをトラスト ゾーンに 含める )]。これを選択すると、検出されたネットワークを保護対象コン ピュータのトラスト ゾーンに自動的に追加します。 [Leave the network in the Internet Zone ( ネットワークをインターネット ゾー ンに残す )]。これを選択すると、検出されたネットワークを保護対象コン ピュータのインターネット ゾーンに自動的に追加します。 [Ask the endpoint user ( エンドポイント ユーザに確認する )]。これを選択す ると、新規ネットワークが検出されたことをユーザに警告し、ゾーンを選択 するように求めます。 5. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 6. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 [Policy Manager (Policy Manager)] ページが表示されます。これで、アクセス ゾーン が設定されました。 Integrity Advanced Server 管理者ガイド 108 セキュリティ ポリシー内のゾーン規則の使用 このセクションでは、セキュリティ ポリシー内のゾーン規則を使用する方法につい て説明します。セキュリティ ポリシーのゾーン規則を設定すると、エンドポイント ユーザのコンピュータ上でゾーンベースのファイアウォールを管理することができ ます。 グローバル パケット処理の設定 [Zone Rules ( ゾーン規則 )] タブの上部にあるグローバル パケット処理の設定は、 ゾーンに関係なく、すべての通信に適用されます。これらの規則により、パケット フラグメント攻撃から保護できます。また、「高」セキュリティが適用されている 場合に VPN プロトコルまたは一般的でないプロトコルをブロックしたり許可したり できます。 ポリシーのゾーン規則グローバル設定を行うには、次のようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [Zone Rules ( ゾーン規則 )] タブを選択します。 4. ポリシーの [Security Rules ( セキュリティ規則 )] で、ブロックするパケットの種 類と条件を選択します。 [Block fragment at all security levels ( すべてのセキュリティ レベルでフラグ メントをブロックする )]。不完全な IP パケットをブロックします。これを選 択すると、保護対象コンピュータがフラグメント攻撃から完全に保護されま す。ただし、この機能はダイヤルアップ接続のユーザには適していません。 [Block VPN protocols (ESP, AH, GRE, SKIP) at High Security ( 高いセキュリ ティで VPN プロトコル (ESP、AH、GRE、SKIP) をブロックする )]。仮想プ ライベート ネットワークで使用されるプロトコルをブロックします。ESP (Encapsulating Security Payload)、AH (Authentication Header)、GRE (Generic Route Encapsulation)、お よび SKIP (Simple Key management for Internet Protocols) がブロックされます。このオプションは企業ネットワーク上の正 当な通信に干渉する可能性があるため、Integrity クライアントではこのオプ ションを「高」セキュリティ レベルについてのみ施行します。 [Allow uncommon protocols at High Security ( 一般的でないプロトコルを高セ キュリティの場合に許可する )]。高いセキュリティ レベルで、一般的でない プロトコルの使用を許可します。ネットワーク内の保護対象コンピュータで 特殊なプロトコルが必要でなければ、このオプションはオフのままにしてく ださい。 5. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 Integrity Advanced Server 管理者ガイド 109 6. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 [Policy Manager (Policy Manager)] ペー ジ が表 示さ れま す。これ で、セキ ュリ ティ ポリシー内にゾーン規則が設定されます。 セキュリティ レベルの選択 管理を容易にするために、Integrity Advanced Server には、インターネット ゾーンま たはトラスト ゾーンにすぐに適用できる設定済みセキュリティ レベルが 3 つ用意さ れています。 低セキュリティでは、プログラム コントロールを除いてエンドポイントが保護 されません。このレベルは、脅威または侵入がないことがわかっている環境での み使用することをお勧めします。 中セキュリティでは、最も一般的に使用されるプロトコルが許可されます。 このレベルは、ローカルエリア ネットワーク (LAN) 上にある保護対象コン ピュータのセキュリティ ポリシー内のトラスト ゾーンで使用することをお勧め します。中セキュリティではプログラム コントロールも施行されます。 高セキュリティでは、ほとんどの通信タイプを制限することで最高レベルのセ キュリティが実現されます。 このレベルは、インターネットに直接接続している、または、安全でないネット ワーク ( リモート ユーザの ISP など ) を経由して接続している保護対象コン ピュータのインターネット ゾーンで使用することをお勧めします。 セキュリティ レベル設定の改良 特定のポート上の通信をブロックまたは許可して、セキュリティ レベル設定を改良 することができます。 セキュリティ レベル設定を改良するには、次のようにします。 1. [Zone Rules ( ゾーン規則 )] タブで、インターネット ゾーンまたはトラスト ゾー ンの [Advanced ( 詳細 )] ボタンをクリックします。 現在選択されているセキュリティ レベルの設定が表示されます。 2. [Allow ( 許可 )] または [Block ( ブロック )] を選択して設定を改良します。TCP お よび UDP の場合、ポート番号または範囲を入力します。 3. 作業を完了したら、[Hide ( 非表示 )] をクリックし、その後 [Save ( 保存 )] をク リックします。 Integrity Advanced Server 管理者ガイド 110 デフォルトのセキュリティ レベル設定 以下の表は、デフォルトのセキュリティ レベル設定を示したものです。 通信の種類 「高」セ 「中」セ 「低」セ キュリティ キュリティ キュリティ 外部への DNS ブロック 許可 許可 外部への DHCP ブロック 許可 許可 許可 許可 ブロードキャスト / マルチ 許可 キャスト ICMP 外部から (ping エコー) ブロック 許可 許可 外部から ( その他 ) ブロック 許可 許可 外部へ (ping エコー) ブロック 許可 許可 外部へ ( その他 ) ブロック 許可 許可 外部から ブロック 許可 許可 外部へ ブロック 許可 許可 外部から ブロック ブロック/許 許可 可a 外部へ ブロック 許可 IGMP NetBIOS 許可 許可されたプログラムで使用されていない UDP ポート 外部から ブロック 許可 許可 外部へ ブロック 許可 許可 許可されたプログラムで使用されていない TCP ポート 外部から ブロック 許可 許可 外部へ ブロック 許可 許可 a. 外部からの NetBIOS 通信はインターネット ゾーンではブロックされます。 Integrity Advanced Server 管理者ガイド 111 8章 ポリシー : プログラム コントロール この章では Integrity Advanced Server プログラム コントロール機能の使用方法につ いて説明します。プログラム コントロールは次のセキュリティ タスクに使用しま す。 悪意のあるプログラムやその他の脅威 ( スパイウェアやアドウェアなど ) に対処 するためのリスク軽減ポリシーを管理する。 システム リソースと競合する可能性のある悪意のプログラムを識別する。 企業全体で一貫したセキュリティ ポリシーを確立する。 保護対象のエンドポイント コンピュータでアンチウイルス ソフトウェアなどの特 定のプログラムが確実に実行されるようにするには、施行機能を使用します。 175 ページの「セキュリティ ポリシー内の施行規則の使用」を参照してくださ い。 Check Point の Program Advisor サービスでは、ほとんどのプログラムについて専 門技術者が推奨するセキュリティ設定を使用できるため、プログラムの管理が合 理化されます。Program Advisor をご利用であれば、この章のほとんどの項目を省 略することができます。Program Advisor を使用してプログラムとプログラム許可 を管理する方法については、141 ページの「Program Advisor」を参照してくださ い。 Integrity Advanced Server 管理者ガイド 112 プログラム コントロールの概念 プログラム コントロールを使用しすると、階層化された規則のセットを作成して、 以下のようなプログラムのカテゴリごとに異なるセキュリティ設定を適用できま す。 特定のプログラムおよびプログラム グループ ( プログラム コントロール )。これ らは、Integrity クライアントがネットワーク上で観察したプログラムのうち、個 別またはグループで特定のアクセス規則が割り当てられているものです。 参照されるプログラム。リファレンス ソース ファイルの一覧に含まれるプログ ラムです。リファレンス ソース ファイルは、ネットワーク上で一般的に使用さ れるアプリケーションの多くがインストールされているクリーンで安全なコン ピュータをスキャンして作成したものです。 その他のすべてのプログラム。これらは、参照されるプログラム内に存在せず、 かつ、どのアクセス規則も割り当てていないプログラムです。 保護の対象となるコンピュータ上のプログラムがネットワーク接続を確立または承 認しようとすると、Integrity クライアントは、そのプログラムが上記のどのカテゴ リに含まれるかを判別します。さらに、次の事項も考慮します。 そのプログラムはどのゾーン ( トラスト、インターネット、またはブロック ) と 通信しようとしているか。 そのプログラムは接続を確立しようとしているのか (“ クライアントとして 機能”)、あるいは、接続を待ち受けようとしているのか (“サーバとして機能”)。 これらの質問に対する回答に基づいて、クライアントは次のいずれかの処理を行い ます。 プログラムが接続を確立または承認することを許可する。 プログラムが接続を確立または承認することをブロックする。 プログラムを許可するかブロックするかをユーザに問い合わせる。 下の図は、プログラム規則が施行される方法を詳細に示したものです。 Integrity Advanced Server 管理者ガイド 113 図 8-1: プログラム規則によるセキュリティ規則の評価 外部から / 外部への 通信 1 プログラムの一致なし 2b ブロック 2 ブロック 2b 参照される プログラム 許可 プログラムの一致あり 特定の プログラム / グループ ファイアウォール 規則の一致なし 次をチェック 1a ブロック クラシック ファイアウォ ール規則 ブロック ( 一致 ) 2a 許可 プログラムの一致なし ( 一致 ) 1b 3 新規参照されるプログラム メリファレンス ソースかどうかを ブロック サーバ / クラ イアントとして チェックモ * ブロック 機能 許可 プログラムの一致なし 4 ブロック ブロック その他のすべての プログラム 許可 外部から / 外部への 受信 1. プログラムが特定のプログラムおよびプログラム グループ規則に一致しない場 合、参照されるプログラムがチェックされます。ステップ 2 に進みます。 プログラムが特定のプログラムまたはプログラム グループの規則に一致する場 合、以下のように規則が評価されます。 a. クラシック ファイアウォール規則がチェックされます。 通信がブロック クラシック ファイアウォール規則に一致する場合、通信 はブロックされます。 通信が許可クラシック ファイアウォール規則に一致する場合、またはど の規則にも一致しない場合、プログラム規則がチェックされます。ス テップ b に進みます。 Integrity Advanced Server 管理者ガイド 114 特定のプログラムまたはプログラム グループにクラシック ファイアウォール規則 が割り当てられていない場合は、ステップ b の条件のみがプログラム アクティビ ティに適用されます。 b. プログラムまたはプログラム す。 グループのプログラム規則がチェックされま プログラムがサーバまたはクライアントとして機能することがプログラ ム規則によって許可されている場合、通信は許可されます。参照される プログラムまたはその他のすべてのプログラムはチェックされません。 プログラムがサーバまたはクライアントとして機能することをブロック するように設定されている場合、通信はブロックされます。その他の条 件はチェックされません。 2. 参照されるプログラムがチェックされます。 a. プログラムがクライアント データベース内の参照されるプログラムに含まれ ていない場合、サーバ設定 [Check Integrity Server reference sources for new programs ( 新規プログラムについて Integrity Server リファレンス ソースを チェック )] がチェックされます。 [Ask Integrity Server for Reference Sources (Integrity Server にリファレン ス ソースを問い合わせる )] が有効にされている場合、Integrity クライア ントは Integrity Advanced Server 上のリファレンス ソースを照会します。 ステップ 3 に進みます。 [Ask Integrity Server for Reference Sources (Integrity Server にリファレン ス ソースを問い合わせる )] が無効にされている場合、その他のすべての プログラムのプログラム規則がチェックされます。ステップ 4 に進みま す。 b. プログラムがクライアント データベース内の参照されるプログラムに含まれ る場合、参照されるプログラムのプログラム規則がチェックされます。 参照されるプログラムがサーバまたはクライアントとして機能すること がプログラム規則で許可されている場合、通信は許可されます。 参照されるプログラムがサーバまたはクライアントとして機能すること がプログラム規則でブロックされている場合、通信はブロックされます。 3. Integrity Advanced Server は、インポートした参照されるプログラム内でプログ ラムを検索します。 プログラムがリファレンス ソース内にある場合、Integrity クライアントはそ のプログラムをクライアント データベース内の参照されるプログラムのリス トに追加し、参照されるプログラムのプログラム規則をチェックします。ス テップ 2b に進みます。 プログラムが参照されるグループ内にない場合、Integrity クライアントはそ の他のすべてのプログラムの規則を適用します。ステップ 4 に進みます。 Integrity Advanced Server 管理者ガイド 115 4. その他のすべてのプログラムのプログラム規則がチェックされます。 未知のプログラムがサーバまたはクライアントとして機能することが規則で 許可されている場合、通信は許可されます。 未知のプログラムがサーバまたはクライアントとして機能することが規則で ブロックされている場合、通信はブロックされます。 プログラム コントロールを有効にした場合は、Program Advisor サービスを使用 したセキュリティ規則の評価について、「Program Advisor プロセスの概念」を参 照してください。 プログラム コントロールのツールと機能 Integrity Advanced Server には、ネットワーク上でプログラム コントロールを管理し やすくするための多数のツールが用意されています。下の表はこうしたツールをま とめたもので、それぞれに関する情報の参照先を示しています。 ツール / 機能 用途 プログラム ネットワークにアクセス中のアプリケーションを確認 観察 し て、Program Manager に入 力し ます。ア プリ ケー ションは観察されて初めて Program Manager に表示さ れます。 123 ページの「プログラム アクティビティの観察」 を参照してください。 P r o g r a m プログラム許可について、プロフェッショナルの推奨 Advisor 設定を使用します。 141 ページの「Program Advisor の概念」を参照して ください。 表 8-1: プログラム コントロールのツールと機能 Integrity Advanced Server 管理者ガイド 116 ツール / 機能 用途 P r o g r a m Program Manager を 使用 して、以 下の こと を行 いま Manager す。 グローバルなプログラム許可の設定-ドメイン全 体に適用するプログラムのアクセス許可を設定し ます。130 ページの「グローバルなプログラム許 可の設定」を参照してください。 ノート : Program Advisor のライセンス供与を受 けた場合は、Program Advisor を使用してグロー バルなプログラム許可を設定します。(141 ページ の「Program Advisor」を参照してください ) プログラムのグループ化-許可の設定を簡単にす るために、プログラムを種類別に分類します。 127 ページの「プログラムを手動で追加」を参照 してください。 Program Advisor 設定の上書き-Program Advisor の 推奨設定を使用しない場合は、Program Manager を使用して独自のカスタマイズした許可を設定で きます。152 ページの「Program Advisor の推奨設 定を上書き」を参照してください。 プログラムの追加-事前に許可を設定するため に、ご使用のシステム上で観察されていないプロ グラムを追加できます。127 ページの「プログラ ムを手動で追加」を参照してください。 リファレン SmartSum ユーティリティを使用して、最もよく使用 ス ソース されるアプリケーションで構成されたクリーンなコン ピュータをスキャンし、そのコンピュータ上のすべて のアプリケーションにプログラム規則をすばやく割り 当てます。 120 ページの「リファレンス ソースの作成」を参照 してください。 プログラム 特定のプログラムおよびグループ、参照されるプログ 規則 ラム、および未知のプログラムについて、ネットワー ク アクセス規則を設定します。 131 ページの「プログラム規則の作成」を参照してく ださい。 詳細設定 コンポーネント コントロールや親プロセスの検証など の機能を有効化または無効化します。 表 8-1: プログラム コントロールのツールと機能 Integrity Advanced Server 管理者ガイド 117 ツール / 機能 用途 頻繁に変更 デフォルトでは、Integrity Advanced Server はプログ ラムの識別に MD5 または Smart チェックサムを使用 します。この方法を使用すると、変更されたプログラ ムが拒否されるため、最も安全な識別方法と言えま す。しかし、信頼できるプログラムのうち頻繁に変更 されるものを Integrity に認識させたい場合もあります ( たとえば、社内で定期的に更新されるプログラム )。 このような場合、頻繁に変更されるプログラムとして 指定できます。これにより、Integrity はこれらのプロ グラムを MD5 や Smart チェックサムではなくファイ ル名で識別するようになります。指定する場合は、シ ス テム ド メイ ンを 選択 し、該当 する プロ グラ ムの [Program Details ( プログラムの詳細 )] ページに移動し て、[This program changes frequently ( このプログラム は頻繁に更新されます )] を選択します。 表 8-1: プログラム コントロールのツールと機能 プログラム コントロールの作業フロー 以下の段階に従って、プログラム コントロールを実装します。 1. プログラム情報を収集します。 a. リファレンス ソースを作成し、インポートします。SmartSum ユーティリ ティを使用して、ネットワークへのアクセスを許可する標準のプログラムが インストールされたクリーンで安全なコンピュータをスキャンします。 120 ページの「リファレンス ソースの作成」を参照してください。 b. プログラムのアクティビティを観察します。Integrity クライアントを使用し て、ネットワーク上のアクティブなプログラムの発見と報告を行います。 123 ページの「プログラム アクティビティの観察」を参照してください。 c. 手動でプログラムを追加します。まだ観察されていないプログラムにプログ ラム許可を設定する場合は、手動でシステムに追加できます。127 ページの 「プログラムを手動で追加」を参照してください。 d. プログラム情報を管理します。同様のプロパティを持つプログラム ( たとえ ば、すべてのインターネット ブラウザ ) に簡単に規則を割り当てられるよう に、プログラム グループを作成します。128 ページの「プログラム グルー プの作成」を参照してください。 2. 次の操作により、ベースライン情報を使用して、プログラム を実装します。 コントロール設定 a. グローバルなプログラム許可を定義します。グローバルなプログラム許可 は、ご使用のドメイン全体についてプログラムに許可を設定するために使用 Integrity Advanced Server 管理者ガイド 118 します。130 ページの「グローバルなプログラム許可の設定」を参照してく ださい。 b. プログラム規則データを定義します。許可またはブロックするネットワーク の場所およびプロトコルを定義します。これらの場所とプロトコルは、プロ グラムに割り当てるアクションを実行するクラシック ファイアウォール規則 を作成するために使用します。90 ページの「ポリシー: クラシック ファイ アウォール規則」を参照してください。 c. プログラム規則を作成します。プログラムおよびプログラム グループとプロ グラムのアクティビティを制御するためのクラシック ファイアウォール規則 とを関連付けるセキュリティ プログラム規則を作成します。131 ページの 「プログラム規則の作成」を参照してください。 d. ポリシーにプログラム規則を追加します。プログラム規則を適切なポリシー に追加します。138 ページの「ポリシーへのプログラム規則の追加」を参照 してください。 e. セキュリティ ポリシーをエンドポイントに配備します。エンド ユーザのエ ンドポイント コンピュータ上で実行中のプログラムを制御するために、セ キュリティ ポリシーをエンド ユーザに割り当てて配備します。218 ページ の「ポリシーの配備」を参照してください。 Integrity Advanced Server 管理者ガイド 119 プログラム情報の収集と整理 プログラム コントロールを実装するための最初のステップは、ネットワーク上で使 用されるアプリケーションに関する情報を収集し、整理することです。 以下の各セクションのステップを実行します。 1. 次のセクションの「リファレンス ソースの作成」 2. 123 ページの「プログラム アクティビティの観察」 3. 127 ページの「プログラムを手動で追加」 4. 128 ページの「プログラム グループの作成」 リファレンス ソースの作成 リファレンス ソースは、ユーザ環境の特定のコンピュータ上にインストールされた プログラムの MD5 および Smart チェックサムを含む XML ファイルです。 リファレンス ソースは、厳重に管理されているディスク イメージを持つコンピュー タ上 で SmartSum ユー ティ リテ ィ (appscan.exe) を実 行し、フ ァイ ルを Integrity Advanced Server にインポートすることで作成できます。 ネットワーク上で使用される最も一般的なアプリケーションとオペレーティング シ ステム ファイルについて、許可プログラム規則をすばやく作成するためには、ユー ザ環境で使用される各ディスク イメージについてリファレンス ソースを作成しま す。次にポリシー内で、それらのアプリケーションに適用するための、参照される プログラムの規則を作成できます。 リファレンス ソースを作成するためにスキャンするコンピュータはマルウェアの ない状態でなければなりません。リファレンス スキャンが “ クリーン ” であるこ とが確かな場合は、ポリシー内の参照されるプログラムについてプログラム規則 を作成する際に許可権限を使用できます。 次のステップに従ってリファレンス ソースを作成します。 1. 121 ページの「リファレンス ソース ファイルの作成」 2. 123 ページの「リファレンス スキャンのインポート」 Integrity Advanced Server 管理者ガイド 120 リファレンス ソース ファイルの作成 Smart チェックサムを実行する前に、組織内の保護対象コンピュータで標準的に使 用されるすべてのプログラムをインストールした、クリーンなコンピュータをセッ トアップします。複数の異なる構成がある場合は、各エンドポイント コンピュータ 標準構成について、以下のステップを実行します。 SmartSum を実行するには、次のいずれかの方法を使用します。 121 ページの「コマンド ラインからの SmartSum の実行」 122 ページの「SampleScan バッチ ファイルを使用した SmartSum の実行」 コマンド ラインからの SmartSum の実行 このセクションでは、コマンド ラインから SmartSum を実行する方法について説明 します。 コマンド ラインから SmartSum を実行するには、次のようにします。 1. Integrity Advanced Server ホストの /usr/local/integrity/webapps/ROOT/bin ディレク トリにある SmartSum をベースライン リファレンス ソース コンピュータのルー ト ディレクトリ ( 通常は c:\) にコピーします。 Windows 95、98、また は Me 上で SmartSum を実 行す る場 合は、Integrity Advanced Server ホストの /usr/local/integrity/webapps/ROOT/bin ディレクトリにあ る unicows.dll を、ベースライン リファレンス ソース コンピュータのルート ディレクトリ ( 通常は c:\) にコピーする必要があります。 ベースライン リファレンス ソース コンピュータのオペレーティング システムが Windows 95、98、または Me ではない場合は、unicows.dll をコピーしないでく ださい。 2. 保護対象のコンピュータでコマンド プロンプト ウィンドウを開きます ([Start ( スタート )] | [Run... ( ファイル名を指定して実行 ...)] を選択して、「cmd」と入 力 )。 3. コマンド プロンプト ウィンドウで「cd \」と入力して、ルート ディレクトリに 移動します。 スキャンを特定のディレクトリに限定するには、そのディレクトリに移動し、そ こでスキャンを開始します ( たとえば、cd \program files)。 4. 「appscan \」と入力してスキャンを開始します。 スキ ャン が完 了す ると、ス キャ ンを 実行 した ディ レ クト リに 出力 ファ イル (scan.xml) が作成され、コマンド プロンプトが表示されます。 これで、リファレンス ソース スキャン ファイルを Integrity Advanced Server にイン ポートする準備ができました。 Integrity Advanced Server 管理者ガイド 121 SampleScan バッチ ファイルを使用した SmartSum の実行 コマンド プロンプトから SmartSum を実行するもう 1 つの方法は samplescan.bat ファイルを使用することです。 SampleScan バッチ ファイルを使用するには、次のようにします。 1. Integrity Advanced Server ホストの /usr/local/integrity/webapps/ROOT/bin ディレク トリにある SmartSum および SampleScan.bat をベースライン リファレンス ソース コンピュータのルート ディレクトリ ( 通常は c:\) にコピーします。 Windows 95、98、また は Me 上で SmartSum を実 行す る場 合は、Integrity Advanced Server ホストの /usr/local/integrity/webapps/ROOT/bin ディレクトリにあ る unicows.dll を、ベースライン リファレンス ソース コンピュータのルート ディレクトリ ( 通常は c:\) にコピーする必要があります。 ベースライン リファレンス ソース コンピュータのオペレーティング システムが Windows 95、98、または Me ではない場合は、unicows.dll をコピーしないでく ださい。 2. メモ帳などのテキスト エディタで SampleScan.bat を開きます。 バッチ ファイルの最後のステートメントはコマンド ライン文字列です。 3. SmartSum コマンド構文を使用し、ユーザ設定に従って構成します。 4. バッチ ファイルをダブルクリックしてスキャンを実行します。 出力は、バッチ ファイルと SmartSum が含まれているディレクトリに自動的に 生成されます。 これで、リファレンス ソース スキャン ファイルを Integrity Advanced Server にイン ポートする準備ができました。 Integrity Advanced Server 管理者ガイド 122 リファレンス スキャンのインポート リファレンス ソース ファイルを生成したら、Integrity Advanced Server にイン ポートします。Integrity のインストール フォルダの下にある Samples フォルダ から、他のバージョンの Windows 用に構成済みの任意のリファレンス ソースをイ ンポートできます。 リファレンス ソース スキャンをインポートするには、次のようにしま す。 1. [Global Policy Settings ( グローバル ポリシー設定 )] | [Reference Sources ( リファ レンス ソース )] に移動します。 [Reference Source Manager (Reference Source Manager)] ページにリファレンス ソース スキャンの一覧が表示されます。 前のスキャンのリファレンス ソース ファイルを置き換えるには、リファレンス ソースを選択して、[Edit ( 編集 )] をクリックします。 2. [Import ( インポート )] をクリックします。 [Import Reference Source ( リファレンス ソースのインポート )] ページが表示さ れます。 3. 説明を入力します。この説明は、リファレンス れます。 ソースを識別するために使用さ 4. インポートするファイルについて、次のいずれかの操作を行います。 [Browse ( 参照 )] をクリックして scan.xml を見つけ、[Open ( 開く )] をクリッ クします。 SmartSum 出力ファイルのフルパス ( ファイル名を含む ) を入力して、[Open ( 開く )] をクリックします。 5. [Save ( 保存 )] をクリックします。 [Reference Source Manager (Reference Source Manager)] ページに新規リファレ ンス ソース ファイルの一覧が表示されます。 リファレンス ソースの規則の設定 リファレンス ソースを作成してインポートしたら、参照されるプログラムの規則を 含 む ポ リ シ ー を 作 成 で き ま す。プ ロ グ ラ ム 規 則 を 設 定 す る 手 順 に つ い て は、 131 ページの「プログラム規則の作成」を参照してください。 プログラム アクティビティの観察 プログラム観察を使用して、保護されたコンピュータからネットワークにアクセス しているプログラムを発見します。プログラムが観察されると、Program Manager Integrity Advanced Server 管理者ガイド 123 の [All Programs ( すべてのプログラム )] グループに表示されます。次の図にプロセ スを示します。 図 8-2: プログラム観察プロセス Integrity クライアント Integrity Integrity クライアント Integrity クライアント クライアント Integrity クライアント プログラム アクティビティを報告 Integrity 1 サーバ 新規プログラムを確認 2 リファレンス 1b ソースに 見つからない Program Manager リファレンス ソース “ 参照されない ” リファレンス ソースに見つかった 1a Program Manager “ 参照される ” 1. Integrity クライアントは、保護対象コンピュータ上のすべてのプログラム アク ティビティを記録して、Integrity Advanced Server に報告します。 2. 新たなプログラム アクティビティが報告されると、Integrity Advanced Server は リファレンス ソースをチェックして、プログラム情報がそこにあるかどうかを 確認した後、次の処理を行います。 a. Integrity Advanced Server がリファレンス ソースを見つけると、プログラム を Program Manager の [All Programs Referenced ( 参照されるすべてのプログ ラム )] グループに追加します。 b. プログラムがリファレンス ソース内にない場合、Integrity Advanced Server は新規プログラムを Program Manager の [All Programs Not Referenced ( 参照 されないすべてのプログラム )] グループに追加します。 Integrity Advanced Server 管理者ガイド 124 プログラム観察の有効化 以下の手順では、既に割り当てられているポリシーについてプログラム観察を有効 にする方法について説明します。 Integrity Advanced Server を使用して初めてセキュリティを実装する場合、プログ ラム観察を有効にする最も簡単な方法は、Observation ポリシー テンプレートか ら作成した新規ポリシーを配備することです。Observation テンプレートは主にプ ログラム情報の収集を目的に設計されています。 プログラム観察を有効にするには、次のようにします。 1. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。そのドメインのすべ てのポリシーがリストされます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [Program Rules ( プログラム規則 )] タブを選択します。 4. [Enable Program Control ( プログラム制御を有効化 )] チェックボックスをオンに します。 5. [Record program activity ( プログラム アクティビティの記録 )] チェックボックス をオンにします。この設定によってプログラム観察が有効になります。 6. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 7. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 8. ポリシーを割り当て、配備します。 ポリ シー が配 備さ れる と、各観 察期 間の 終わ りに、新 規 プロ グラ ムが Program Manager に表示されます。Program Manager で、観察されたプログラムをグループ に整理して、規則の管理をしやすくすることができます。 Integrity Advanced Server 管理者ガイド 125 パフォーマンス上の問題が生じる場合は、ネットワーク上の一般的なプログラム アクティビティのほとんどを観察した後でプログラム観察をオフにし、定期的に 再有効化して新規プログラムを把握するようにしてください。また、プログラム 観察の間隔を大きくしてパフォーマンスを改善することもできます。プログラム 観察の間隔の設定を参照してください。 プログラム観察の間隔の設定 プログラム観察の間隔を設定すると、プログラム観察の情報が Integrity Advanced Server にアップロードされる頻度を制御できます。 少人数のユーザだけでシステムをテストする場合は、この間隔を 1 時間程度に設 定して、プログラム観察の結果をすぐに確認できるようにしてください。これに 対し、大規模な配備においては、データベースがいっぱいになることを防ぐため に、この間隔を 24 時間以上に設定してください。 プログラム観察の間隔を設定するには、次のようにします。 1. [Client Configuration ( クライアント設定 )] | [Client Settings ( クライアントの設定 )] に移動します。 2. [Edit ( 編集 )] をクリックします。 3. [Log Upload Size ( ログ アップロード サイズ )] セクションで、[Program Observation Interval ( プログラム観察の間隔 )] を設定します。 4. [Save ( 保存 )] をクリックします。 Integrity Advanced Server 管理者ガイド 126 新たに観察されるプログラムについてネットワークをチェック プログラム観察を有効にすると、新たに観察されるプログラムについて、対象とな るすべてのエンドポイント コンピュータをチェックできます。 新たに観察されるプログラムの概要については、249 ページの「プログラムの観 察」を参照してください。 新たに観察されるプログラムをチェックするには、次のようにします。 1. [Global Policy Settings ( グローバル ポリシー設定 )] | [Programs ( プログラム )] に 移動します。 [Program Manager (Program Manager)] スクリーンが表示されます。 2. [Program Groups ( プログラム グループ )] エリアでリンクをクリックして、対象 とするプログラム グループに移動します。( ネットワーク全体を検索する場合 は、[All Programs ( すべてのプログラム )] が選択されていることを確認してくだ さい。) 選択したプログラム グループのプログラム一覧が右側に表示されます。 3. このプログラム一覧の上で、[Show Filters ( フィルタを表示 )] をクリックしま す。 4. [Field ( フィールド )] ドロップダウン リストから [Observed Within (Days) ( 観察 からの期間 ( 日 ))] を選択し、[Value ( 値 )] フィールドに数値を入力して、[Apply Filter ( フィルタの適用 )] をクリックします。 フィルタの結果として、指定した期間内に初めて観察されたプログラムが表示さ れます。終了したら、[Clear Filter ( フィルタをクリア )] をクリックして完全なプ ログラム一覧に戻ります。 プログラムを手動で追加 システム上でまだ観察されていないプログラムについて事前に許可を設定したい場 合は、手動で追加できます。手動でプログラムを追加してからグローバル許可を ‘ ブ ロック ’ に設定する方法は、新たな悪意のあるプログラムからシステムを保護する手 段として特に有効です。悪意のあるプログラムを事前にブロックする方法について は、130 ページの「グローバルなプログラム許可の設定」を参照してください。 手動でプログラムを追加するには、次のようにします。 1. [Global Policy Settings ( グローバル ポリシー設定 )] | [Programs ( プログラム )] に 移動します。 [Program Manager (Program Manager)] ページが表示されます。 Integrity Advanced Server 管理者ガイド 127 2. [Manually Added ( 手動で追加 )] をクリックします。 3. [New ( 新規作成 )] をクリックします。 4. プログラムの情報を入力して、[Save ( 保存 )] をクリックします。 これで、プログラムにグローバルなプログラム許可を割り当てたり、ポリシーご とにプログラム許可を割り当てられるようにするためにプログラム グループに 追加できます。 プログラム グループの作成 規則の割り当てを簡単に行うには、観察されたプログラムについてカスタマイズ グ ループを作成し、観察されたプログラムをそのグループに追加します。 プログラムのグループ化は種類別 (Web ブラウザなど )、部門別 ( エンジニアリン グなど )、その他、エンタープライズ インフラストラクチャに適合する任意の方法 で行うことができます。 プログラム グループを作成するには、次のようにします。 1. [Global Policy Settings ( グローバル ポリシー設定 )] | [Programs ( プログラム )] に 移動します。 [Program Manager (Program Manager)] ページが表示されます。 2. [Program Groups ( プログラム グループ )] で、[New ( 新規作成 )] をクリックしま す。 [New Program Group ( 新規プログラム グループ )] ページが表示されます。 3. グループの名前を入力し、[Save ( 保存 )] をクリックします。 [Program Manager (Program Manager)] ページの [Program Groups ( プログラム グ ループ )] の下の一覧に新規グループが表示されます。 プログラムをプログラム グループに追加するには、次のようにします。 1. [Global Policy Settings ( グローバル ポリシー設定 )] | [Programs ( プログラム )] に 移動します。 [Program Manager (Program Manager)] ページが表示されます。 2. [Program Groups ( プログラム グループ )] リストで、グループに追加するプログ ラムを含むグループを選択します。 [All Programs ( すべてのプログラム )] リストにプログラムが表示されます。 参照されるグループと参照されないグループの両方からプログラムを追加する場 合、[All Programs ( すべてのプログラム )] を選択するとすべてのプログラムを表示 できます。 Integrity Advanced Server 管理者ガイド 128 3. [All Programs ( すべてのプログラム )] リストで、グループに追加するプログラム を選択します。 4. [Add programs to ( プログラムの追加先 )] ドロップダウン リストで、グループを 選択します。 5. [Add ( 追加 )] をクリックします。 プログラム情報がグループにコピーされます。[All Programs ( すべてのプログラ ム)] グループでプログラム情報が変更されると、グループ内の情報も更新されま す。 6. プログラムが追加されたことを確認するには、プログラム す。 グループを選択しま グループ内のプログラムが [All Programs ( すべてのプログラム )] リストに表示さ れます。 グループからプログラムを削除するには、[Program Groups ( プログラム グループ )] でグループを選択します。次に、[All Programs ( すべてのプログラム )] リストで プログラムを選択し、[Remove ( 削除 )] をクリックします。 これで、プログラム グループのプログラム規則を設定できます。 Integrity Advanced Server 管理者ガイド 129 グローバルなプログラム許可の設定 必要に応じて、ドメイン全体に適用するプログラム許可を設定できます。たとえ ば、グローバルなプログラム許可を、既知の悪意のあるプログラムをブロックまた は終了させるために使用できます。 グローバルなプログラム許可を使用するには、ポリシーの [Program Rules (プログ ラム規則 )] タブで [Ask Integrity Server for Reference Sources (Integrity Server にリ ファレンスソースを問い合わせる )] を有効にする必要があります。 グローバルなプログラム許可を設定するには、次のようにします。 1. [Global Policy Settings ( グローバル ポリシー設定 )] | [Programs ( プログラム )] に 移動します。 [Program Manager (Program Manager)] ページが表示されます。 2. [Global Permissions ( グローバルな許可 )] をクリックします。 3. リスト内のプログラム名をクリックします。 [Global Program Permissions Details ( グローバルなプログラム許可の詳細 )] ペー ジが表示されます。 4. 適切な許可を設定します。 通信をブロックするか、許可するか、またはユーザに問い合わせるかを選択でき ます。アプリケーションを終了することも選択できます。 ポリシーのプログラム規則は、グローバルなプログラム規則より優先されます。 Integrity Advanced Server 管理者ガイド 130 プログラム規則の作成 リファレンス ソースを作成して、ネットワーク上のプログラムを観察したら、プロ グラム規則の作成を開始できます。 プログラム規則の選択 プログラムに適用する規則は、セキュリティのレベルに影響すると共に、エンドポ イント ユーザが必要なネットワークまたはインターネット リソースにアクセスでき るようにするためにどの程度の保守作業が必要になるかにも影響します。 このセクションには、特定のプログラムとグループ、参照されるプログラム、およ び未知のプログラムに対するプログラム規則を選択する際のガイドが記載されてい ます。 Integrity Advanced Server 管理者ガイド 131 プログラム規則の種類 ポリシーの [Program Rules ( プログラム規則 )] タブで設定できるプログラム規則に は、次の 3 つの種類があります。 特定のプログラムおよびプログラム グループの規則 参照されるプログラムの規則 その他のすべてのプログラムの規則 その他のすべてのプログラムの規則 これらの規則を使用して、未知のすべてのプログラム ( つまり、参照されるプログラ ムにも、特定のプログラムまたはプログラム グループのリストにも見つからないも の ) について広汎なベースラインを設定します。 ポリシーを正常に作動させるためには、未知のプログラム用の規則が重要になりま す。“ その他のすべてのプログラム ” の設定を限定的にするほど、プログラム規則を 特定のプログラム規則セクションに追加するためにかかる時間が増えます。これら の設定と内容の詳細については、136 ページの「その他のすべてのプログラム規則 の選択」を参照してください。 参照されるプログラムの規則 これらの規則では、いずれかの参照されるプログラム内に見つかったプログラムの うち、まだ特定の規則を作成していないものについて許可を設定します。 これらの規則を使用して、ネットワーク上で一般的に信頼されるアプリケーション の許可をすばやく設定できます。参照されるプログラムの作成にあたり、悪意のあ るプログラムが確実に存在しないマシンを使用した場合、参照されるプログラムに ついて許可を設定して、それらの一般的なアプリケーションが Integrity クライアン トによってブロックされないようにできます。 参照されるプログラムについては、他に 2 つのオプションを使用できます。 Integrity サーバに、リファレンス ソースと Program Advisor の推奨設定について 問い合わせる。 Integrity Flex ユーザが参照されないプログラムについて許可を設定できるように する。 これらの設定の詳細については、オンライン ヘルプを参照してください。 特定のプログラムおよびプログラム グループの規則 これらの規則は特定のプログラムまたはプログラムのグループをブロック、許可ま たは終了します。これらの規則を使用すると、特定のプログラムまたはプログラム の種類 ( ブラウザなど ) について、参照されるプログラムやその他のすべてのプログ ラムに適用される一般的な規則に対する例外を作成できます。保守を容易にするた めに、なるべく個別のプログラムではなくグループについて規則を作成するように してください。 Integrity Advanced Server 管理者ガイド 132 詳細設定 以下の詳細設定を使用できます。 プログラム許可を調停するときにエンタープライズ ポリシー設定を優先する。 チェックサムによってのみ施行する。 これらの設定の詳細については、オンライン ヘルプを参照してください。 Integrity Advanced Server 管理者ガイド 133 プログラム許可 規則の各種類について、4 つの許可を設定する必要があります。下の表にまとめて 説明しています。各許可について、[Allow ( 許可 )] または [Block ( ブロック )] を選択できます。個々のプログラムまたはプログラム グループについて作業すると きは、アプリケーションを終了することも選択できます。 どの許可を選択するかによって、リスクのレベルも異なります。下の表には、許可 した場合のリスクが最も高いもの ( インターネット ゾーンに対してサーバとして機 能 ) から最も低いもの ( トラスト ゾーンに対してクライアントとして機能 ) への 順で一覧表示されています。 許可 説明 イ ン タ ー ネ ッ アプリケーションが信頼されていないサーバからの接続を待ち受 ト ゾーン/サー けることを許可 / ブロックします。 バとして機能 イ ン タ ー ネ ッ アプリケーションが信頼されていないコンピュータに接続するこ ト ゾーン/クラ とを許可 / ブロックします。 イアントとし て機能 トラスト ゾー アプリケーションが信頼されているサーバからの接続を待ち受け ン / サーバとし ることを許可 / ブロックします。 て機能 トラスト ゾー アプリケーションがトラスト ゾーン内のサーバに接続することを ン / クライアン 許可 / ブロックします。 トとして機能 表 8-2: プログラム規則の許可 インターネット ゾーン / サーバとして機能 ほとんどの場合、ここでは " その他のすべてのプログラム " と " 参照されるプログ ラム " についててブロックに設定し、特定のプログラムだけを例外として許可する ようにします。標準的なワークステーションが接続を受け付ける必要はほとんどあ りません。 これはその他のすべてのプログラムについて非常に重要な設定です。なぜなら、 こうした接続には最も大きなリスクがあるからです。たとえば、リモート アクセ スのトロイの木馬がハッカーからの接続を待ち受けることができます。また、未 承認でパッチが適用されていない FTP や Web サーバがアクセスのために不正利用 されることがあります。 インターネット ゾーン / クライアントとして機能 未知のプログラムに対してブロック設定を使用すると、キー ロガーやリモート ア クセスのトロイの木馬などの一般的な脅威から保護されます。ただし、これによっ て未知のプログラムのうち正当なものもブロックされてしまうことに注意してくだ さい。たとえば、自動更新機能を持つアプリケーション、メール クライアント、ま たはブラウザなどがあります。正当なアプリケーションをブロックしないようにす Integrity Advanced Server 管理者ガイド 134 るには、トラスト ゾーンを拡張してそのアプリケーションの通信先のコンピュータ を含めるか、または、インターネット ゾーンでクライアントとして機能する許可を 持つ特定のプログラム規則にそのアプリケーションを追加するか、いずれかの処理 が必要になります。 トラスト ゾーン / サーバとして機能 アプリケーションが、トラスト ゾーンに配置されているホストからの接続を待ち受 けることができるかどうかを制御します。参照されるプログラム内にローカル ネッ トワーク上のホストからの接続を受け付ける必要のあるアプリケーションが存在す る場合、参照されるプログラムについて許可に設定することをお勧めします。この 設定を効果的に働かせるには、トラスト ゾーンが適切に定義されている必要があり ます。たとえば、そのアプリケーションがサービスを提供する必要のあるクライア ントがトラスト ゾーンに含まれていない場合、接続は失敗します。 トラスト ゾーン / クライアントとして機能 アプリケーションはトラスト ゾーンで通信できます。これは、許可する通信の中で 最もリスクが低いものです。 エンドポイント上のさまざまなクライアント アプリケーションやプロセスがネット ワーク上の信頼されているサーバと通信できるようにするために、ほとんどのポリ シーでこれを許可に設定することをお勧めします。 Integrity Advanced Server 管理者ガイド 135 その他のすべてのプログラム規則の選択 その他のすべてのプログラム規則には、4 つの基本設定があります。下の表は、こ れらの設定について安全度が低いものから高いものへの順で並べたものです。表の 後に続くセクションでは、これら 4 つの設定の仕様について説明し、それぞれの利 点と欠点、および次の 3 つのエリアにおける影響についても説明します。 未知の攻撃の保護。未知の攻撃に対してどれだけ効果的に保護するか。 ユーザの制限。エンド ユーザの操作はどれだけ制限されるか。 ポリシーの保守。例外や特定のプログラム許可を追加してポリシーを保守するた めに、どれだけの時間を費やさなければならないか。 一般的に、これらの設定を用いて制限を強化するほど、未知の攻撃に対する保護は 強化されますが、ポリシーの保守にかかる作業は増大します。 . “ その他のすべてのプログラム ” 設定 トラスト ゾーン 設定 サーバ A) インターネット ゾーンのサーバのみ 許可 をブロック B) すべてのサーバをブロック サーバ クライ アント 許可 ブ ロ ッ 許可 ク ブ ロ ッ 許可 ク ブ ロ ッ 許可 ク C) 信頼できないすべての通信をブロッ 許可 ク D) すべてをブロック クライ アント インターネット ゾーン 許可 ブロッ ブロッ ク ク ブロッ ブロッ ブロッ ブロッ ク ク ク ク 表 8-3: プログラム規則に使用できる設定 A) インターネット ゾーンのサーバのみをブロック これは最も柔軟な設定で、多くの場合は最適な出発点です。接続を受け入れるアプ リケーションの存在はエンドポイントにとって最大のリスクとなるため、この設定 で効果的なセキュリティを実現できます。このポリシーを使用する前提として、ト ラスト ゾーンを定義し、そこに必要な企業のホストおよびネットワークを追加して おく必要があります。定義済みのトラスト ゾーンに含まれているアプリケーション は、企業ネットワーク上で動作するためのサーバ権限をデフォルトで持つことにな ります。 Integrity Advanced Server 管理者ガイド 136 . 影響のあるエリア レベ ル 説明 未知の攻撃の保護 良好 インターネット ゾーン、つまり信頼されて いないホストからの接続を受け入れようと する任意のアプリケーションはすべてブ ロックされます。接続を受け入れるアプリ ケーションは、エンドポイント コンピュー タのセキュリティにとって最大のリスクに なります。 ユーザの制限 低 ユーザは、ネットワーク通信を送信する任 意のプログラムを実行できます。また、信 頼されているホストからの接続を受け入れ る任意のプログラムを実行することもでき ます。 ポリシーの保守 低 ネットワーク通信の送信を特にブロックす る必要のあるアプリケーション、またはイ ンターネット ゾーンからの接続を受け入れ る必要のあるアプリケーションについての み、特定のプログラムのリストに追加する 必要があります。 B) すべてのサーバをブロック すべてのアプリケーションに与えたい信頼レベルについて、トラスト ゾーンに正確 に設定されていない可能性がある場合は、これらの設定を使用します。これらの設 定を使用する場合、サーバ権限を必要とするアプリケーションには特に許可を割り 当てる必要があります。トラスト ゾーンからの接続を受け入れると必ずしも安全で ないと判断した場合は、これらの設定を使用します。 . 影響のあるエリア 未知の攻撃の保護 レベル 説明 非 常 に 良 接続を受け入れようとするすべてのアプ 好 リケーションがブロックされます。接続 を受け入れるアプリケーションは、エン ドポイントのセキュリティにとって最大 のリスクになります。 “ すべてのサーバをブロック ” に対する 保護 / 制限 / 保守。 ユーザの制限 中 ユーザは、ネットワーク通信を送信する 任意のプログラムを実行できます。接続 を受け入れるプログラムを実行すること はできません。 ポリシーの保守 中 ネットワーク通信の送信を特にブロック する必要のあるアプリケーションのみ を、特定のプログラム リストに追加す る必要があります。 Integrity Advanced Server 管理者ガイド 137 C) 信頼できないすべての通信をブロック トラスト ゾーンが正確に定義されていることが確かな場合、これらは適切な設定で す。 . 影響のあるエリア 未知の攻撃の保護 レベル 説明 非 常 に 良 インターネット ゾーンとの間で送信や 好 接続の受け入れをしようとするすべての アプリケーションがブロックされます。 “ すべてのサーバをブロック ” に対する 保護 / 制限 / 保守 ユーザの制限 ポリシーの保守 高 不定 ユーザはトラスト ゾーン内で通信する 任意のプログラムを実行できます。プロ グラムがインターネット ゾーンと通信 する場合、そのプログラムはブロックさ れます。 トラスト ゾーンの設定に依存します。 トラスト ゾーンが適切に定義されてい る場合、「特定のプログラム」リストに 追加する必要のあるアプリケーション は、インターネットに対して送信するア プ リ ケ ー シ ョ ン だ け で す。ト ラ ス ト ゾーンの設定が適切かどうかを定期的に 調べる必要が生じることもあります。 D) すべてをブロック このオプションを使用すると、保護されているコンピュータ上のアプリケーション は、その他のすべてのコンピュータと一切通信できなくなります。 ポリシーへのプログラム規則の追加 ポリシーにプログラム規則を追加するには、次のようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 [Edit Policy Settings ( ポリシー設定の編集 )] ページの [Names and Notes ( 名前と メモ )] タブが表示されます。 3. [Program Rules ( プログラム規則 )] タブを選択します。 [Program Rules ( プログラム規則 )] ページが表示されます。 Integrity Advanced Server 管理者ガイド 138 4. [Enable Program Control ( プログラム コントロールを有効にする )] チェックボッ クスがオフになっている場合は、オンにします。 5. プログラムまたはプログラム す。 グループの規則を設定するには、次のようにしま a. [Program Rules ( プログラム規則 )] で、[Add ( 追加 )] をクリックします。 [Add Program Rules ( プログラム規則の追加 )] ページに、Program Manager か らのプログラム グループが一覧表示されます。 b. 追加するプログラムまたはプログラム グループを選択します。 グループから特定のプログラムを選択するには、グループ名を選択してから プログラムを選択します。 c. [Add ( 追加 )] をクリックします。 [Program Rules ( プログラム規則 )] ページに、追加したプログラムとグルー プが一覧表示されます。 d. 追加したプログラムを選択し、[Edit Settings ( 設定を編集 )] をクリックして そのプログラムの設定を行います。[Edit Program Rules Settings ( プログラム 規則の設定の編集 )] ページでは、以下のことを行えます。 プログラム許可を設定、またはそのアプリケーションを終了するように 指定できます。 プログラムに対するファイアウォール規則を指定できます。 プログラム警告とログを抑制できます。( プログラム専用のこの設定が、 プログラム警告に関する全般的なクライアント設定とどのように関連す るかについては、140 ページの「プログラム警告の制御」を参照してく ださい。) 設定の編集を終了したら、[Done ( 終了 )] をクリックして [Program Rules ( プ ログラム規則 )] タブに戻ります。 e. [Referenced Programs ( 参照されるプログラム )] と [All Other Programs ( その 他のすべてのプログラム )] の下で、4 種類の許可のそれぞれについて、許可 またはブロックを選択します。 その他のすべてのプログラムとは、参照されないグループ内のプログラム、頻繁 に変更されるグループに移動されたプログラム、または新規 ( 観察されたことが ない ) プログラムを意味します。 6. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 Integrity Advanced Server 管理者ガイド 139 7. [Comments ( コメント )] ボックスにポリシー設定の変更について説明するメモを 入力し、[Save ( 保存 )] をクリックします。 [Policy Manager (Policy Manager)] ページが表示されます。これでアクセス ゾー ンが設定されました。 8. ポリシーを選択して、[Deploy ( 配備 )] をクリックします。 そのポリシーに割り当てられているログオン中のエンドポイント ユーザは、次の ハートビートで更新されたポリシーを受信します。それ以外のエンドポイント ユー ザは、次にログオンしたときに更新されたポリシーを受信します。 プログラム警告の制御 プログラムが制限された機能を実行しようとしたときに ( または実行するように働き かけられたときに ) エンドポイント ユーザに警告するように、Integrity Advanced Server を設定できます。この設定をするには、[Client Settings ( クライアントの設定 )] タブに移動して、プログラム警告の表示オプションを選択します。(178 ページの 「施行規則警告とログの有効化」を参照してください。) これに対し、エンドポイント ユーザに対して多数の警告を表示したくない場合は、 2 つの方法があります。 すべてのプログラムについて警告を表示しない。この設定をするには、[Client Settings ( クライアントの設定 )] タブに移動して、プログラム警告の表示オプ ションを選択解除します。(178 ページの「施行規則警告とログの有効化」を参 照してください。) 特 定 の プ ロ グ ラ ム に つ い て 警 告 を 表 示 し な い。こ の 設 定 を す る に は、[Client Settings ( クライアントの設定 )] タブに移動して、プログラム警告の表示オプ ションを選択します。そして、[Program Rules ( プログラム規則 )] タブに移動し て、該当するプログラムごとに警告抑制のオプションを選択します。(138 ペー ジの「ポリシーへのプログラム規則の追加」、特にステップ 5 を参照してくだ さい。) 個別のプログラムの設定は、[Client Settings ( クライアントの設定 )] タブ の全般的な設定よりも優先されます。 Integrity Advanced Server 管理者ガイド 140 9章 Program Advisor Program Advisor の概念 Program Advisor は、プログラムのためのポリシーの推奨設定を示す Check Point の サービスです。Program Advisor を使用すると、一般的なプログラムに割り当てるべ き許可について、Check Point のセキュリティ プロフェッショナルが推奨する設定 を知ることができます。これにより、セキュリティとユーザビリティを向上させな がら、作業の負担を軽減できます。Program Advisor では、エンドポイント コン ピュータ上の悪意のあるプログラムを終了させることもできます。 この章は、以下のセクションで構成されています。 142 ページの「Program Advisor サーバの概念」 143 ページの「Program Advisor プロセスの概念」 149 ページの「Program Advisor の使用」 Integrity Advanced Server 管理者ガイド 141 Program Advisor サーバの概念 Program Advisor サーバにはプログラム許可のデータベースが格納されており、 定期的に Check Point のセキュリティ プロフェッショナルによって更新されて います。Program Advisor サーバは、以下の機能を実行できます。 Integrity サーバにプログラム許可を供給 許可については、これらの推奨設定を受け入れることも、カスタマイズした独自 の推奨設定を使用することもできます。 Integrity クライアントにプログラム許可を供給 エン ター プラ イズ ポ リシ ーを 設定 して、Integrity クラ イ アン トが Integrity Advanced Server から切断された場合に、その Integrity クライアントが Program Advisor サーバに直接アクセスできるようにできます。 Integrity Advanced Server 管理者ガイド 142 Program Advisor プロセスの概念 Program Advisor プロセスは、エンドポイント上のプログラムがインターネットにア クセスするか、またはインターネットからアクセスされたときに開始されます。 Integrity Advanced Server 管理者ガイド 143 Integrity クライアントの Program Advisor プロセスの図 以下のステップは、Integrity クライアントの Program Advisor プロセスについて説明 するためのものです。 1. Integrity クライアントは、プログラムについてローカルに格納されている許可を チェックします。 Integrity クライアントには、2 種類の許可がローカルで格納されています。エン ドポイント ユーザによって設定されたものと、エンタープライズ ポリシーで設 定されたものです。 Integrity クライアントがプログラムについてローカルに格納されている許可 を見つけた場合、Integrity クライアントが Integrity サーバに接続できるよう Integrity Advanced Server 管理者ガイド 144 にポリシーが設定されていなければ、Integrity クライアントはローカルに格 納されている許可を使用します。 Integrity クライアントがプログラムについてローカルに格納されている許可 を見つけた場合、Integrity クライアントが Integrity Advanced Server に接続 できるようにポリシーが設定されていれば、Integrity クライアントは有効期 限の日付をチェックします。 Integrity クライアントがプログラムについてローカルに格納されている許可 を見 つけ られ なか った 場合、Integrity クラ イア ント が Integrity Advanced Server に接続できるようにポリシーが設定されていれば、Integrity クライア ントは許可設定をチェックするために Integrity サーバへの接続を試行しま す。 2. Integrity クライアントは、プログラム許可の有効期限の日付をチェックします。 クライアントがローカルに格納されている許可を見つけた場合、Integrity クライ アントの Integrity サーバに対する問い合わせを許可するようにポリシーが設定 されていれば、そのクライアントは有効期限をチェックします。 有効期限が経過していない場合、Integrity クライアントはローカルに格納さ れている許可を使用します。 有効期限が経過している場合は、Integrity クライアントは新しい許可設定を チェックするために Integrity サーバへの接続を試行します。 3. Integrity クライアントが、Integrity Advanced Server に問い合わせます。 Integrity クライアントがローカルに格納されている許可を見つけられない場合、 または許可の有効期限が経過している場合に、クライアントの Integrity サーバ に対する問い合わせを許可するようにポリシーが設定されていれば、Integrity ク ライアントは Integrity サーバに接続してプログラム許可を取得します。このプ ロセ スの 詳細 につ いて は、147 ペ ージ の「Integrity Advanced Server Program Advisor プロセスの図」を参照してください。 ポリシー調停が有効になっている Flex ユーザの場合は、アクセスを許可するかど うか、およびプログラム許可について Integrity Advanced Server への接続の試行 を許可するかどうかの両方について、Integrity Flex がユーザに問い合わせます。 Integrity Flex は両方の問い合わせの結果を、それぞれパーソナルおよびエンター プライズ ポリシーに記録します。 4. Integrity クライアントが、Program Advisor サーバに問い合わせます。 Integrity クライアントがローカルに格納されている許可を見つけられない場合、 または許可の有効期限が経過している場合に、クライアントが Integrity サーバ から切断されていて、Integrity クライアントの Program Advisor サーバに対する 問い合わせを許可するようにポリシーが設定されていれば、Integrity クライアン トは Program Advisor に直接接続してプログラム許可を取得しようとします。 5. Integrity クライアントが、クライアント固有のアクションを実行します。 エンドポイントで Integrity Flex を使用していて、Integrity クライアントの Integrity Advanced Server へ のア クセ スを 許可 しな いか、ま たは Program Integrity Advanced Server 管理者ガイド 145 Advisor サーバへのアクセスを許可しないようにポリシーが設定されている 場合は、Integrity クライアントはアクセスを許可するかどうかについてユー ザに問い合わせます。 エンドポイントで Integrity Agent を使用していて、Integrity クライアントの Integrity Advanced Server へ のア クセ スを 許可 しな いか、ま たは Program Advisor サーバへのアクセスを許可しないようにポリシーが設定されている 場合は、Integrity クライアントはプログラムへのアクセスおよびプログラム からのアクセスをブロックします。 Integrity Advanced Server 管理者ガイド 146 Integrity Advanced Server Program Advisor プロセスの図 Integrity サーバは、プログラム許可の要求を Integrity クライアントから受信しま す。Program Advisor サーバと連携して、Integrity サーバはどの許可をプログラムに 割り 当て るか、お よび、Integrity Advanced Server 管 理者 コン ソー ルの [Program Manager (Program Manager)] ページにどのような方法で表示するのかを決定しま す。 1. Integrity Advanced Server が、Integrity クライアントから要求を受信します。 Integrity Advanced Server 管理者ガイド 147 2. Integrity Advanced Server は、一致するリファレンス ソースをチェックします。 プロ グラ ムに 一致 する リフ ァレ ンス ソー スが ある 場 合、Integrity Advanced Server は Integrity ク ライア ントに 応答 を送信 し、[Program Manager (Program Manager)] ページでプログラムを ‘Referenced’ としてマークさせます。Integrity クライアントは、配備されたエンタープライズ ポリシーで参照されたプログラ ムに対して設定した許可を適用します。参照されたプログラムに対する許可の設 定の詳細については、132 ページの「参照されるプログラムの規則」を参照し てください。 3. Integrity Advanced Server が、Program Advisor が有効になっているかどうかを チェックします。 Program Advisor が有効でない場合、Integrity Advanced Server は Integrity クライ アントに応答を送信し、[Program Manager (Program Manager)] ページでプログ ラムを ‘Not Referenced’ としてマークさせます。Integrity クライアントは、配備 されたエンタープライズ ポリシーで ‘ その他のすべてのプログラム ’ に対して設 定した許可を適用します。その他のすべてのプログラムに対する許可の設定の詳 細については、132 ページの「その他のすべてのプログラムの規則」を参照し てください。 4. Integrity Advanced Server が、カスタム設定で上書きするかどうかをチェックし ます。 独自のカスタマイズした許可設定で Program Advisor の推奨設定を上書きするよ うに、Integrity Advanced Server を設定できます。このプログラムについてカス タム 設定 で上 書き する よう に設 定し た場 合、Integrity Advanced Server は Integrity クライアントに応答を送信し、[Program Manager (Program Manager)] ページでプログラムを ‘Overridden’ としてマークさせます。Integrity クライアン トが、指定されたカスタム許可を適用します。 5. Integrity Advanced Server が、Program Advisor の推奨設定をチェックします。 Integrity Advanced Server は、Program Advisor サ ーバ に接 続す るか、ま たは Program Advisor の以前の推奨設定のキャッシュ コピーにアクセスします。 Program Advisor の推奨設定は、有効期限のスタンプとともに Integrity Advanced Server に格納されています。そのプログラムの有効期限が経過している場合、 Integrity サーバは Program Advisor サーバに接続して新たな許可をチェックする 必要があります。 このプログラムについて Program Advisor の推奨設定がある場合、Integrity Advanced Server は推奨される許可を Integrity クライアントに送信します。 Integrity クライアントは Program Advisor の許可を適用します。 このプログラムについて Program Advisor の推奨設定がない場合、Integrity Advanced Server は Integrity ク ライ アン トに 応答 を送 信し、[Program Manager (Program Manager)] ページでプログラムを ‘Unrecognized’ として マークさせます。Integrity クライアントは ‘ その他のすべてのプログラム ’ に 対して設定した許可を適用します。その他のすべてのプログラムに対する許 可の設定の詳細については、132 ページの「その他のすべてのプログラムの 規則」を参照してください。 Integrity Advanced Server 管理者ガイド 148 Program Advisor の使用 Program Advisor を効果的に使用するには、以下のステップに従います。 Program Advisor を実装するには、次のようにします。 1. Program Advisor を有効にします。 149 ページの「Program Advisor の有効化」を参照してください。 2. プロキシ サーバを使用するように Integrity Advanced Server を設定します。( こ の設定は、ご使用の環境でインターネットへのアクセスにプロキシ サーバを使 用する場合にのみ設定してください。) 150 ページの「プロキシ サーバを経由した Program Advisor の使用」を参照し てください。 3. Integrity クライアントに Integrity Advanced Server へのアクセスを許可します。 150 ページの「Integrity クライアントの Integrity サーバへの問い合わせの有効 化」を参照してください。 4. Program Advisor の推奨設定を表示します。 151 ページの「Program Advisor の推奨設定を表示」を参照してください。 5. 必要であれば推奨設定を上書きします。 152 ページの「Program Advisor の推奨設定を上書き」を参照してください。 6. 未知のプログラムを管理します。 152 ページの「認識されていないプログラムの管理」を参照してください。 Program Advisor の有効化 ポリシーで Program Advisor を使用するためには、まず有効にする必要があります。 Program Advisor を正常に作動させるためには、Integrity Advanced Server が Internet にアクセスできる必要があります。これは、Program Advisor サーバ (ポート 80 およ び 443) に接続して最新のプログラム情報を読み込むためです。このための通信が ファイアウォールで許可されていることを確認してください。インターネットへの アクセスにプロキシ サーバを使用している場合は、このセクションの次のステップ に進む前に、150 ページの「プロキシ サーバを経由した Program Advisor の使用」 の各ステップを実行してください。 Program Advisor を有効にするには、次のようにします。 1. 対応するドメインで、[System Configuration ( システム設定 )] | [Program Advisor (Program Advisor)] に移動します。 [Edit Program Advisor (Program Advisor の編集 )] ページが表示されます。 Integrity Advanced Server 管理者ガイド 149 2. [Edit ( 編集 )] をクリックします。 3. [Enable Program Advisor (Program Advisor を有効にする )] を選択して、ライセン ス キーを入力します。 ライセンスの有効期限が切れると、Integrity Advanced Server は Integrity クライア ントからのプログラム許可の要求に応答しなくなります。カスタム設定による上 書きも、終了を含めて機能しなくなります。ローカルに保存されている許可は、 有効期限が経過するまでは有効です。 Program Advisor を使用する各ドメインにつき、Program Advisor のライセンスが 必要です。 4. Program Advisor に悪意のあるプログラムのプロセスを停止させるようにするに は、[Allow Program Advisor to terminate malicious applications (Program Advisor に悪意のあるアプリケーションを停止させる )] を選択します。 5. エンドポイントが Integrity Advanced Server に接続できないときに Program Advisor の推奨設定を受信させるようにするには、[Allow clients to ask Program Advisor directly when the Integrity Server is unavailable (Integrity サーバが使用で きないときはクライアントが直接 Program Advisor に問い合わせるようにする )] を選択します。 このオプションを選択すると、エンドポイントは Integrity Advanced Server から 切断 され てい る場 合に Program Advisor の推 奨設 定し か受 信し ませ ん。再度 Integrity Advanced Server に接続し、プログラムを再起動するか新たなポリシーを 受信するまで、独自に設定した許可の上書きを受信することはありません。 6. [Save ( 保存 )] をクリックします。 プロキシ サーバを経由した Program Advisor の使用 インターネットへのアクセスにプロキシ サーバを使用する環境で Program Advisor を使用する場合は、『Integrity Advanced Server インストール ガイド』 150 ページ の「プロキシ サーバを経由した Program Advisor の使用」の各ステップを実行して ください。 Integrity クライアントの Integrity サーバへの問い合わせの有効化 Integrity クライアントが Integrity Advanced Server に接続してプログラム許可を読み 込めるようにするには、ポリシーでこのオプションを設定する必要があります。 このオプションを有効にしないと、Integrity クライアントは Integrity サーバまた は Program Advisor サーバに接続することができず、Program Advisor サービスの メリットを完全には活用できません。 Integrity Advanced Server 管理者ガイド 150 Integrity Advanced Server への問い合わせ機能を有効にするには、次のよう にします。 1. [Policies ( ポリシー)] に移動します。 [Policy Manager (Policy Manager)] ページが表示されます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 [Edit Policy ( ポリシーの編集 )] ページが表示されます。 3. [Program Rules ( プログラム規則 )] タブをクリックします。 4. [Ask Integrity Server for Reference Sources and Program Advisor recommendations (Integrity サーバにリファレンス サーバと Program Advisor の推奨設定について 問い合わせる )] を選択します。 5. [Save ( 保存 )] をクリックします。 Integrity Advanced Server に接続できないときにエンドポイント コンピュータが Program Advisor から 推奨 設定 を 直接 受信 する よう にす るに は、[Edit Program Advisor (Program Advisor の編集 )] ぺージで [Allow clients to ask Program Advisor directly when the Integrity Server is unavailable (Integrity サーバが使用できないと きはクライアントが直接 Program Advisor に問い合わせるようにする)] を選択する 必要があります。149 ページの「Program Advisor の有効化」を参照してくださ い。 Program Advisor の使用中は、http://< 使用しているサーバの IP>/ask/1/ に対する 外部からの通信、または https://cm2.zonelabs.com に対する外部への通信をブ ロックしないでください。また、http://pa2.zonelabs.com に対する通信をブロッ クしないでください。 Program Advisor の推奨設定を表示 Program Advisor によ るプ ログ ラム 許可 の推 奨設 定は すべ て、[Program Manager (Program Manager)] ページで表示できます。 Program Advisor の推奨設定を表示するには、次のようにします。 ° [Global Policy Settings ( グローバル ポリシー設定 )] | [Programs ( プログラム )] に移 動します。 [Program Manager (Program Manager)] ページが表示されます。 各プログラムには、トラスト ゾーンとインターネット ゾーンについて許可が設定さ れています。各プログラムについて、Program Advisor はアクセスをブロックまたは Integrity Advanced Server 管理者ガイド 151 許可するか、アクセスを許可するかどうかをユーザに問い合わせるか、またはプロ グラムのプロセスを停止します。 Program Advisor は、エンドポイント コンピュータによって観察されるまで、プ ログラムについての推奨設定を表示しません。Integrity クライアントが プログラ ムについて Program Advisor に問い合わせるまでに長い時間がかかり、かつ、 アップロードされたログにそのプログラムの観察が含まれている場合で、かつそ のプログラムについて Program Advisor の推奨設定も存在する場合、プログラム の推奨設定が完全に表示されないことがあります。 Program Advisor の推奨設定を上書き Program Advisor の推奨設定が適切でない場合は、独自のカスタム設定で上書きする ことができます。 Program Advisor の推奨設定を上書きするには、次のようにします。 1. [Program Manager (Program Manager)] ページで、[Product Name ( 製品名 )] をク リックします。 [Policy Advisor Program Details (Policy Advisor プログラムの詳細 )] ページが表示 されます。 2. 使用するカスタム設定を選択します。 独自の設定を使用して各接続タイプおよびゾーンに関する個別の許可を上書きす るか、またはアプリケーション全体を終了させることができます。 3. [Save ( 保存 )] をクリックします。 プログラムに関する Program Advisor の推奨設定を上書きする場合は、[Program Manager (Program Manager)] ページのそのプログラム名の横に * 記号が表示され ます。 認識されていないプログラムの管理 ポリシーを配備して、プログラム観察でエンドポイント上のプログラムを検出した 後も、定期的に認識されていないプログラムについてチェックする必要がありま す。認識されていないプログラムとは、参照されておらず、かつ Program Advisor ま たはプログラム グループで制御されていないプログラムのことです。これらのプロ グラムをグループに追加して、より効率的に許可を割り当てられるようにします。 認識されていないプログラムを管理するには、次のようにします。 1. [Global Policy Settings ( グローバル ポリシー設定 )] | [Programs ( プログラム )] に 移動します。 [Program Manager (Program Manager)] ページが表示されます。 Integrity Advanced Server 管理者ガイド 152 2. [All Programs ( すべてのプログラム )] を展開します。 3. [Unrecognized ( 未認識 )] をクリックします。 4. プログラムを選択して、適切なプログラム グループに追加します。 プログラムの観察とグループ化の詳細については、123 ページの「プログラム アクティビティの観察」および 127 ページの「プログラムを手動で追加」を参 照してください。 Integrity Advanced Server 管理者ガイド 153 10 章 ポリシー : 安全でないエンドポイントの制限 施行規則を使用して、保護対象のコンピュータが、アンチウイルスおよびその他の 種類のソフトウェアに関するセキュリティ ポリシーに準拠するようにします。保護 対象のコンピュータが 1 つ以上の施行規則に準拠していない場合は、制限ファイア ウォール規則を使用して接続を制限できます。 開始時には、ユーザについて ( 制限するのではなく ) 観察または警告をする規則を 使用することが推奨されます。これは、規則のテスト中にユーザの作業を邪魔する ことを避けるためです。後で、準拠しないユーザを制限するように規則を再設定で きます。ユーザを制限する規則を使用するポリシーを配備する前に、ユーザが準拠 するために必要な対策リソースが準備されていることを確認してください。必要で あれば、対策リソースを自動的に適用するように Integrity Advanced Server を設 定できます。 保護対象のコンピュータ上のプログラム アクティビティを制御するには、プログ ラム規則を使用します ( 操作手順については、第 8 章 章「ポリシー: プログラム コントロール」を参照してください )。 Integrity Advanced Server 管理者ガイド 154 施行規則の概念 施行規則によって、Integrity クライアントが Integrity Advanced Server や内部ネット ワークとのセッションを確立および維持できるかどうかが識別されます。Integrity クライアントは、保護対象のコンピュータについて、設定した施行規則の状況を定 期的にチェックします。 Integrity Advanced Server を利用して、保護対象のコンピュータのセキュリティ を確保するために以下の種類の施行規則を作成できます。 特定のファイルまたはプログラム設定を必須または禁止にする一般的な施行規 則。たとえば、Windows NT コンピュータ上で特定のレジストリ キーを必要とす る規則を作成した場合、Windows NT コンピュータからセッションを確立する ユーザはそのレジストリ キーを持っていなければなりません。Windows NT コン ピュータからログインするユーザがそのレジストリ キーを持っていない場合 は、規則に準拠しないものとして扱われます。 エンドポイント上に特定のアンチウイルス プログラム、バージョン、および設 定が存在することを要求するアンチウイルス プロバイダ規則。たとえば、 McAfee VirusScan Version 4.2 以上を必要とする規則を設定した場合、このソフ トウェアがインストールされていないコンピュータからログインするユーザは、 規則に準拠しないものとして扱われます。 エンドポイント コンピュータ上に Integrity クライアントを必要とするクライア ント規則。たとえば、Integrity Agent バージョン 6.0 を必要とする規則を作成し た場合、バージョン 6.0 の Integrity Agent が必要です。Integrity Agent を持たな いユーザ、または、違うバージョンを使用しているユーザは、規則に準拠しない ものとして扱われます。 グループ内の単一規則に準拠することを要求する規則グループ。規則グループが ある場合、コンピュータはグループ内の少なくとも 1 つの規則に準拠する必要 があ りま す。たと えば、そ れぞ れ McAfee VirusScan、Symantec Norton AntiVirus、または Trend Micro PC-cillin を必要とする各規則を含むグループを設 定する場合、保護対象のコンピュータがこれらのいずれかの規則に従っているか ぎり、ユーザは規則に準拠しているものとして扱われます。 施行規則が作動するしくみ Integrity クライアントは、保護対象のコンピュータを定期的にチェックして、その コンピュータが割り当てられたセキュリティ ポリシーのすべての施行規則に準拠し ていることを確認します。ユーザのコンピュータが施行規則の条件に準拠しなく なった場合、Integrity クライアントは施行規則で指定された施行アクションを実行 します。次の図に施行のプロセスを示します。 Integrity Advanced Server 管理者ガイド 155 1. Integrity クライアントは、アンチウイルス プロバイダ規則およびグループを含 む、割り当てられたセキュリティ ポリシーのすべての施行規則について、保護 対象のコンピュータをチェックします。これにより、保護対象のコンピュータ が、規則に準拠しているかどうかがわかります。 2. 保護対象のコンピュータがすべての施行規則に準拠している場合、Integrity クラ イアントは状態を “In Compliance” に設定し、接続は続行されます。 3. 保護対象のコンピュータが 1 つ以上の施行規則に違反している場合は、Integrity クライアントは状態を “Out of Compliance” に設定します。 4. 指定したハートビート数の間、保護対象のコンピュータが規則に準拠していない 状態が継続した場合は、Integrity クライアントは施行規則で指定したアクション を実行します。規則に準拠していないコンピュータについて観察、警告、または 制限するように Integrity クライアントを設定できます。 5. 施行規則を ‘Restrict ( 制限 )’ に設定している場合は、保護対象のコンピュータは 施行規則に対して作成した制限規則に従って制限されます。Integrity クライアン Integrity Advanced Server 管理者ガイド 156 トは状態を ‘Restricted’ に設定します。制限規則とユーザへの影響の詳細につい ては、157 ページの「制限されたユーザの操作」を参照してください。 6. 保護対象のコンピュータが制限されたときは、Integrity クライアントは 1 分ご とにコンピュータが施行規則に準拠した状態に戻っていないか再チェックしま す。コンピュータが規則に準拠した状態になると、Integrity クライアントは準拠 状態を ‘In Compliance’ に設定し、同期信号をサーバに送信して直ちに完全なア クセスを再確立します。 7. 施行規則を ‘Observe ( 観察 )’ に設定した場合は、コンピュータの接続は可能です が、イベントが記録されます。観察機能を使用して、セキュリティを保ちながら サポートの必要性を最小化する方法の詳細については、162 ページの「観察ま たは警告する規則の使用」を参照してください。 8. 施行規則を ‘Warn ( 警告 )’ に設定した場合は、コンピュータの接続は可能です が、イベントが記録され、ユーザに対してはセキュリティ違反を示す警告と対策 情報へのリンクが表示されます。セキュリティ違反を解決するために必要な情報 をユーザに提供する方法の詳細については、160 ページの「ユーザへの対策リ ソースの提供」を参照してください。 IAS が警告または制限したエンドポイント用に対策リソースを設定できます。警 告されたユーザは、手動で対策リソースを適用する必要があります。制限された ユーザについては、手動で対策リソースを適用することもできますし、自動的に リソースを実行するように IAS を設定することもできます。 9. 接続されたコンピュータは、ハートビートごとに規則に準拠しているかどうか再 チェックされます。 保護対象のコンピュータが非準拠状態になった時点から接続が制限されるまでに は、時間差があります。この時間差は、制限を実行するまでの間隔として指定し たハートビート数に、ハートビートに設定した時間間隔を掛けたものに等しくな ります。観察および警告規則は、非準拠状態になった次のハートビートで実行さ れます。 制限されたユーザの操作 保護対象のコンピュータが施行規則に準拠しなくなると、以下の現象が発生しま す。 1. Integrity クライアントは規則のアクションを実行します。ユーザ セッションに 対して以下のような影響が出ます。 観察されるユーザは保護対象のネットワークにアクセスできます。観察され るユーザには、警告は示されません。 警告されるユーザには警告が表示されますが、保護対象のネットワークへの アクセスはまだ可能です。規則について対策リソースを設定した場合、 Integrity はこのリソースを警告メッセージに記載します ( たとえばリンクま たは実行可能ファイルの形式で )。 Integrity Advanced Server 管理者ガイド 157 制限されるユーザは、ネットワークのうちで制限規則を使用して指定した一 部にのみアクセスできます。通常は、対策情報を取得できるサンドボックス サーバにしかアクセスできないようにユーザを制限します。規則について対 策リソースを設定した場合、IAS はこのリソースを警告メッセージに記載し ます ( たとえばリンクまたは実行可能ファイルの形式で )。自動的にリソース を適用するように IAS を設定していれば、リソースが自動的に適用されま す。 警告および制限の警告には以下のものが含まれます。 規則のアクションについて説明するデフォルトまたはオプションのカスタマ イズされたテキスト 規則名 ポリシー内に定義した追加のカスタマイズ テキスト ( オプション ) 当該施行規則に対して作成したサンド ボックス ページを開くヘルプ リンク 2. ユーザがヘルプ リンクをクリックすると、次のいずれかのサンドボックス ペー ジが表示されます。 REQUIRE は、ユーザが特定のプログラム、レジストリ キー/ 値、またはファ イル / プロパティを必要とする施行規則に準拠していない場合に表示されま す。 PROHIBIT は、ユーザが特定のプログラム、レジストリ キー/ 値、または ファイル/プロパティを禁止する施行規則に準拠していない場合に表示されま す。 Integrity Advanced Server 管理者ガイド 158 AV_COMPLIANCE はユーザがアンチウイルス プロバイダ規則に準拠してい ない場合に表示されます。 GROUP はグループ内の少なくとも 1 つの規則に準拠していない場合に表示 されます。 3. ユーザが準拠すると、Integrity クライアントはセッションの制限を解除し、ユー ザは保護対象ネットワークにアクセスできるようになります。 Integrity Advanced Server 管理者ガイド 159 サポート要求の最小化 ユーザが準拠していない場合、施行規則によって必要なネットワーク リソースから 切断されてしまうことがあります。このため、ユーザが準拠するための簡単な方法 をあらかじめ用意して、施行規則に関連するサポートの必要性を最小化することが 重要になります。 サポートの負担を最小化するために、以下のセクションの情報を参照してくださ い。 160 ページの「ユーザへの対策リソースの提供」 162 ページの「観察または警告する規則の使用」 ユーザへの対策リソースの提供 施行規則を実装する際に、施行警告とサンドボックス ページ上に適切なリソースと 情報を記載しておきます。これにより、警告されたユーザや制限されたユーザが規 則に準拠できるようになります。対策リソースを設定するには、2 通りの方法があ ります。 施行規則内に、ユーザが自らダウンロードしてインストールできる対策リソース を指定できます。制限されたユーザについては、IAS が自動的に対策リソースを 実行するように設定できます。 施行サンドボックス ページ内 (REQUIRE、PROHIBIT、AV_COMPLIANCE、およ び GROUP)。 対策リソースを設定するには、次のようにします。 1. 安全な環境を作成するために保護対象のコンピュータ上で必須または禁止とする プログラム、ファイル、レジストリ キー、またはその他の条件を特定します。 各オペレーティング システムについて正しい情報を判別するようにしてくださ い。 2. 非準拠ユーザが準拠するために必要な情報とリソースを確定します。以下の点を 考慮してください。 リソース 具体的な詳細 説明 設定手順 規則の具体的な条件を示 施行規則またはアンチウイルス プ します。 ロバイダ規則に、ユーザが準拠でき なくなる可能性がある規則条件を明 確に説明するカスタム テキストを 入力します。 このテキストは、警告ページおよび サンドボックス ページに表示され ます。 Integrity Advanced Server 管理者ガイド 160 リソース リンク 説明 設定手順 ユーザが必要なプログラ ムまたはファイルをダウ ンロードできる外部サイ トへのリンクを含めま す。 ユーザが特定の規則に準拠していな い場合に必要となるプログラムまた はファイルへのサンドボックス ページ上のリンクについては、施行 またはアンチウイルス プロバイダ 規則内の URL を含めます。 特定の規則に関係なくサンドボック ス ページ上に表示されるリンクに ついては、関連する施行サンドボッ クス ページのリンクをセットアッ プします。 実 行 可 能 フ ァ 必要な実行可能ファイル 施行規則またはアンチウイルス規則 イル を自動的に実行して制限 を設定する際に、自動対策を設定し されたエンドポイントの ます。Integrity クライアントは、直 対 策 を す る よ う に、IAS 接ま たは 外部 URL を通 して 対策 を設定します。 ファイルにアクセスできます。 ステップ 必要なリソースをインス サンドボックス ページ上で、ドメ トールおよび設定する方 イン内のすべての施行規則に特有の 法を説明します。 詳細な手順を説明します。 テクニカル サ 自社のテクニカル サポー この情報は、ドメインのすべてのサ ポート トの連絡先電話番号また ンド ボッ クス ペー ジに 記載 しま はメール アドレス。 す。 3. 施行規則およびアンチウイルス プロバイダ規則の中のカスタム テキストおよび URL を設定します (164 ページの「新規施行規則の作成」のステップ 7 を参照 してください )。 4. それぞれの規則に関する情報を用いて、サンドボックス ページを設定します。 a. [Client Configuration ( クライアント設定 )] | [Sandbox Pages ( サンドボックス ページ )] に移動します。 b. [Language ( 言語 )] から、設定するページの言語を選択します。 各言語についてサンドボックス ページを選択し、変更する必要があります。 c. [Sandbox Pages ( サンドボックス ページ )] から、編集するページを選択しま す。 d. それぞれの規則の情報について、[What happened ( 発生した現象 )] および [What should I do ( 対処方法 )] エリアを変更します。 e. [Save ( 保存 )] をクリックします。 Integrity Advanced Server 管理者ガイド 161 これで、非準拠ユーザが、規則に準拠するための特定のリソースと情報を入手でき るようになります。 観察または警告する規則の使用 施行規則を円滑に実装するためには、まず非準拠コンピュータについて観察または 警告するが制限しない規則を作成することが重要です。これにより、ユーザを制限 してしまう前に、ネットワーク内で頻繁に発生している非準拠の条件を特定するこ とができます。 観察する施行規則を設定すると、Integrity クライアントは非準拠のイベントをログ に記録し、そのイベントを Integrity Advanced Server に報告します。ユーザ セッ ションは制限されません。 ユーザ自身がインストールしない集中管理されるソフトウェアについては、観察 規則を設定してください。この方法により、ユーザが自分自身で解決できない準 拠の問題についてユーザに不便を強いることなく、どのユーザがそのソフトウェ アを必要としているかを知ることができます。 警告のための施行規則を設定した場合、Integrity クライアントはユーザを対策リ ソースへと誘導する警告メッセージを表示します。Integrity クライアントはイベン トを記録しますが、ユーザは保護対象のネットワークに完全にアクセスできます。 警告規則は、インストールと管理をユーザ自身が行うソフトウェアについて設定 します。 観察 また は警 告規 則と とも にポ リシ ーの 配備 を完 了し た ら、Integrity Advanced Server の Reports モジュールにある施行レポートを使用して、規則によって影響を 受けるユーザ数を追跡します。非準拠になっているユーザと非準拠になる頻度を追 跡し、そうしたユーザが準拠するまでにどれだけの時間がかかるかを確認すること で、ポリシーと対策リソースの効果を測定することができます。 規則 関連 イベ ント をロ グに 記録 する には、セ キュ リテ ィ ポリ シー の [Client Settings ( クライアント設定 )] タブで、[Client Alerts and Logging ( クライアント警 告とログ )] を設定します。(178 ページの「施行規則警告とログの有効化」を参照 してください。) 規則とリソースによって、サポートの負荷を過度に増やすことなくセキュリティを 強化できるようになったら、規則内のアクション インジケータを [Observe ( 観察 )] または [Warn ( 警告 )] から [Restrict ( 制限 )] に変更し、ポリシーを再配備します。な お、制限する規則については、対策リソースを自動的に適用するように IAS を設定 できます。 規則の施行アクションを設定するには、次のようにします。 ° 施行規則の [Rule Action ( 規則のアクション )] エリアで、次のいずれかを選択しま す。 [Observe clients that don’t comply ( 準拠しないクライアントを観察する )] Integrity Advanced Server 管理者ガイド 162 [Warn clients that don’t comply ( 準拠しないクライアントに警告する )] [Restrict clients that don’t comply ( 準拠しないクライアントを制限する )] Integrity Advanced Server 管理者ガイド 163 施行規則の管理 Enforcement Manager を使用して、以下の処理のためにセキュリティ ポリシー内で 使用できる規則を作成します。 保護対象のコンピュータ上でファイル、プログラム、または Windows レジスト リ キーと値などの特定の条件を必須または禁止とする 保護対象のコンピュータ上で特定のアンチウイルス を必須とする 保護対象のコンピュータ上で特定の種類とバージョンの Integrity クライアント を必須とする プログラムと定義ファイル 施行規則の作業フロー 1. Enforcement Rules Manager 内で施行する各条件セットについて施行規則をセッ トアップします。これには、警告メッセージ テキストのセットアップも含まれ ます。 164 ページの「新規施行規則の作成」を参照してください。 2. 以下のサンドボックス ページをカスタマイズします。 AV_COMPLIANCE ( アンチウイルス規則用 ) PROHIBIT ( プログラム、ファイル、キーを禁止する施行規則用 ) REQUIRE ( プログラム、ファイル、キーを必須とする施行規則用 ) GROUP ( あるプログラムを必須とする施行 / アンチウイルス規則グループ用 ) 3. 施行規則をセキュリティ ポリシーに割り当てます。 175 ページの「施行規則の追加とグループ化」を参照してください。 4. ポリシーを配備し、エンドポイント ユーザに割り当てるます。 第 15 章 章「ポリシーとポリシー パッケージのクライアントへの配布」を参照 してください。 新規施行規則の作成 172 ページの「クライアント施行規則の作成」 Integrity Advanced Server 管理者ガイド 164 プログラム、ファイル、またはキー施行規則の作成 このセクションでは、保護対象のコンピュータ上でプログラム、特定のファイル、 レジストリ キー エントリを必須または禁止とするための規則を作成する方法につ いて説明します。また、保護対象コンピュータが規則に準拠していない場合の Integrity クライアントのアクション ( 観察、警告、または制限 ) を設定する方法 についても説明します。ユーザが自らダウンロードしてインストールできる対策リ ソースを指定できます。制限されたユーザについては、IAS が自動的に対策リソー スを実行するように設定できます。 施行規則を作成するには、次のようにします。 1. [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施行規則 )] に移 動します。 [Enforcement Rule Manager (Enforcement Rule Manager)] ペ ージ が表 示さ れま す。 2. [New ( 新規 )] をクリックし、[Enforcement Rule ( 施行規則 )] を選択します。 [New Enforcement Rule ( 新規施行規則 )] ページが表示されます。 3. [Rule name ( 規則名 )] に、規則を識別するための名前を入力します。 この名前は、Policy Manager でセキュリティ ポリシー内の規則を識別するため に用いられます。 4. [Operating systems ( オペレーティング システム )] ドロップダウン リストから、 この規則を適用する保護対象コンピュータのオペレーティング システムを選択 します。 5. 規則の条件を設定します。 [Check for registry key or value (レジストリ キーまたは値をチェックする )] を 選択すると、特定のキー値を必須または禁止にします。 [Check for file and properties (ファイルとプロパティをチェックする)] を選択 すると、特定のファイルを必須または禁止にし、条件を設定します。 6. 規則のアクションを選択します。 a. [Type of check ( チェックの種類 )] について次のように選択します。 [Require these conditions ( これらの条件を必須にする )] を選択すると、保護 対象コンピュータ上にステップ 5 で設定したレジストリ キーまたはファイ ルとプロパティ規則条件が存在することを必須にします。 条件が満たされない場合、ステップ b で選択するアクションが実行されま す。 [Prohibit these conditions ( これらの条件を禁止にする )] を選択すると、ス テップ 5 で設定したレジストリ キーまたはファイルとプロパティ規則条件 が存在することを禁止にします。 条件が満たされる場合、ステップ b で選択するアクションが実行されます。 Integrity Advanced Server 管理者ガイド 165 b. [Action ( アクション )] について次のように選択します。 [Observe clients that don’t comply ( 準拠していないクライアントを観察する )] を選択すると、ユーザ セッションは許可されますが、準拠違反が記録されま す。 [Warn clients that don’t comply (準拠していないクライアントに警告する)] を 選択すると、コンピュータが準拠していないことについてユーザに警告が表 示されますが、ユーザ セッションは許可され、準拠違反が記録されます。 [Restrict clients that don’t comply ( 準拠していないクライアントを制限する )] を選択すると、準拠していないユーザを制限ファイアウォール規則に従って 制限します。 制限または警告を選択した場合、この施行規則についてのカスタム テキストを設 定し、対策リソースを提供する必要があります。制限を選択した場合で、サポー トされるゲートウェイを使用していない場合は、この規則を含むポリシーについ て制限ファイアウォール規則を設定する必要があります。設定しないと、ユーザ は制限されません。施行規則を有効にするには、ポリシーを保存して配備する必 要があります。 7. [Remediation ( 対策 )] で、カスタム テキストおよび対策オプションを設定しま す。制限する規則については、エンドポイントについて自動的に対策するように IAS を設定できます。 a. 各言語について、警告メッセージおよびサンドボックス ページに表示するカ スタム テキストをセットアップします。 警告は、セキュリティ ポリシーの [Client Settings ( クライアントの設定 )] タブ で、クライアント警告およびログ設定が施行規則を表示する設定になっている場 合にのみ表示されます。 カスタム テキストは、保護対象のコンピュータが規則に準拠しない場合、警 告またはサンドボックス ページに表示されます。カスタム テキストを使用 して、なぜ非準拠の状態になっているのか、どのようにすれば準拠すること ができるのかについて、ユーザに示します。 プログラムを禁止する規則内のカスタム テキストの例です。 コンピュータに XYZ プログラムがインストールされています。ネットワークへ完 全にアクセスするためには、このプログラムを削除する必要があります。 b. 対策オプションを設定します。 対策オプションを使用して、ユーザが準拠するのを手助けします。対策リ ソースは、ファイルをアップロードするか、またはリソースへの URL を示 す方法で提供できます。制限する規則については、エンドポイントについて 自動的に対策するように IAS を設定できます。自動対策を設定する場合は、 リソースとして実行可能ファイルを指定する必要があります。また、対策を 示さないこともできます。 Integrity Advanced Server 管理者ガイド 166 8. [Save ( 保存 )] をクリックします。 新規施行規則が作成されます。[Enforcement Rule Manager (Enforcement Rule Manager)] ページが表示されます。 この規則をエンドポイント ユーザに割り当てるには、175 ページの「セキュリティ ポリシー内の施行規則の使用」の説明に従って、セキュリティ ポリシーに追加しま す。 Integrity Advanced Server 管理者ガイド 167 アンチウイルス プロバイダ規則 このセクションでは、エンドポイントで特定のアンチウイルス プログラムを実行す ることを必須とする規則の作成方法について説明します。エンドポイントが非準拠 になると、Integrity クライアントはユーザ セッションを制限するか、制限せずに ユーザに警告するか、または、制限せずに違反を観察することができます。ユーザ が自らダウンロードしてインストールできる対策リソースを指定できます。制限さ れたユーザについては、IAS が自動的に対策リソースを実行するように設定できま す。 アンチウイルス プロバイダ規則を作成する際に、手動でアンチウイルス エンジンお よび DAT ファイルを入力できます。しかし、手動で設定すると、ソフトウェアおよ び DAT ファイルのアップデートに合わせて頻繁に保守作業をする必要があります。 Integrity Advanced Server にソフトウェアおよび DAT ファイルの情報を提供するため の単一のコンピュータ ( アンチウイルス リファレンス クライアント ) を指定するこ とで、アップデートを自動化できます。リファレンス クライアントの DAT ファイル またはアンチウイルス エンジンをアップデートすると、それに応じて Integrity Advanced Server のアンチウイルス プロバイダ規則もアップデートされます。 手動でアンチウイルス プロバイダ規則を作成するには、169 ページの「アンチウイ ルス施行規則の作成」を参照してください。 リファレンス クライアントに基づいてアンチウイルス施行規則を作成するには、次 のようにします。 1. 使用するアンチウイルス ソフトウェア エンジンおよび DAT ファイルを使用して エンドポイント コンピュータ ( リファレンス クライアント ) をセットアップしま す。 2. アンチウイルス リファレンス クライアントを使用するように Integrity Advanced Server を設定します。( 詳細については、168 ページの「アンチウイルス リファ レンス クライアントを使用するように Integrity を設定」を参照してください。) 3. アンチウイルス施行規則を含むポリシーをリファレンス てます。 クライアントに割り当 これにより、リファレンス クライアントがアンチウイルス エンジンおよび DAT ファイルの情報を Integrity Advanced Server に報告できるようになります。 4. リファレンス クライアントからの情報を使用する新しいアンチウイルス施行規 則を作成します。( 詳細については、169 ページの「アンチウイルス施行規則の 作成」を参照してください。) Integrity Advanced Server に事前設定されていないプロバイダについてもアンチウ イルス プログラム規則を作成できます。その場合は 165 ページの「プログラ ム、ファイル、またはキー施行規則の作成」の手順に従ってください。 アンチウイルス リファレンス クライアントを使用するように Integrity を設定 このセクションの手順は、リファレンス クライアントを使用してアンチウイルス施 行規則を設定する場合にのみ実行してください。リファレンス クライアントを使用 Integrity Advanced Server 管理者ガイド 168 せずにアンチウイルス施行規則を設定する場合は、169 ページの「アンチウイルス 施行規則の作成」を参照してください。 アンチウイルス リファレンス クライアントを指定するには、次のように します。 1. 使用するリファレンス クライアントに最新のアンチウイルス エンジンのバー ジョンと DAT ファイルが存在すること、および、このクライアントが Integrity Advanced Server に接続していることを確認してください。 2. [System Configuration ( システム設定 )] | [Reference Clients ( リファレンス クライ アント )] に移動します。 [Anti-Virus Reference Clients ( アンチウイルス リファレンス クライアント )] ペー ジには、リファレンス クライアントが設定されているかどうかに関わらず、サ ポートされるすべてのプロバイダについての項目があります。リファレンス ク ライアントを設定するまでは、指定されたプロバイダのアンチウイルス ソフト ウェアおよび DAT ファイルの詳細は Integrity Advanced Server に表示されませ ん。 3. 一覧からプロバイダを選択し、[Configure ( 設定 )] をクリックします。 [Anti-Virus Reference Client Configuration ( アンチウイルス リファレンス クライ アントの設定 )] ページが表示されます。 4. 以下のいずれかの方法で、リファレンス クライアントを指定します。 IP アドレスでクライアントを指定するには、[IP Address (IP アドレス )] を選 択して、隣にあるフィールドに IP アドレスを入力します。リファレンス ク ライアント専用の静的 IP アドレスを使用する必要があります。 カスタム ユーザ ID (CUID) でクライアントを指定するには、[CUID (CUID)] を選択して、隣にあるフィールドにパスを入力します。または、[Browse ( 参 照 )] をクリックして CUID を検索します。 5. [Save ( 保存 )] をクリックします。 これで、アンチウイルス施行規則にリファレンス クライアントを使用できるように なりました。 アンチウイルス施行規則の作成 サポートされているプロバイダ用のアンチウイルス施行規則を作成するには、以下 のステップを実行します。 アンチウイルス施行規則を作成するには、次のようにします。 1. [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施行規則 )] に移 動します。 [Enforcement Rule Manager (Enforcement Rule Manager)] ペ ージ が表 示さ れま す。 Integrity Advanced Server 管理者ガイド 169 2. [New ( 新規 )] をクリックして、[Anti-virus Rule ( アンチウイルス規則 )] を選択し ます。 [The New Anti-Virus Provider Rule ( 新規アンチウイルス プロバイダ規則 )] ページ が表示されます。 3. [Provider ( プロバイダ )] ドロップダウン リストから、プロバイダを選択します。 4. 規則の条件を設定します。 a. アンチウイルス リファレンス クライアントのアンチウイルス設定を施行す る場合は、[Keep clients in sync with the reference client ( クライアントとリ ファレンス クライアントとの同期を維持する )] を選択します。( このオプ ションは、既にアンチウイルス リファレンス クライアントをセットアップ してある場合にのみ使用できます。) a. ソフトウェアの最小バージョンを指定するには、[Minimum engine version ( 最小エンジン バージョン )] を選択して、バージョン番号を入力します。 b. エンドポイントでアンチウイルス プログラムが実行されていることを必須と するには、[This program must always be running ( このプログラムは常時実行 中であることが必要 )] を選択します。 c. 次の DAT 施行設定のいずれかを選択します。 最小バージョンを指定するには、[Minimum DAT file version ( 最小 DAT ファイル バージョン )] を選択して、バージョン番号を入力します。 特定の日付以降にダウンロードされたファイルを必須とするには、 [Oldest DAT file time stamp ( 最も古い DAT ファイル タイムスタンプ )] を 選択して、日付と時刻を設定します。 最大の DAT ファイル寿命を指定するには、[Maximum DAT file age ( 最大 DAT ファイル寿命 )] を選択して、日数を入力します。 Symantec Antivirus を使用して DAT 時刻によって施行を行っているときには、タ イム ゾーンの問題が発生することがあります。精度を高めるため、バージョンを 基準にして施行してください。 5. 規則のアクションについて、以下のいずれかを選択します。 [Observe clients that don’t comply ( 準拠していないクライアントを観察する )] -準拠していないユーザの接続は許可されますが、準拠違反が記録されま す。 [Warn clients that don’t comply ( 準拠していないクライアントに警告する )] - コンピュータが準拠していないことについてユーザに警告を示しますが、 ユーザの接続は許可し、準拠違反が記録されます。 Integrity Advanced Server 管理者ガイド 170 [Restrict clients that don’t comply ( 準拠していないクライアントを制限する )] -準拠していないユーザを制限ファイアウォール規則に従って制限します。 制限または警告を選択した場合、この施行規則についてのカスタム テキストを設 定し、対策リソースを提供する必要があります。制限を選択した場合で、サポー トされるゲートウェイを使用していない場合は、この規則を含むポリシーについ て制限ファイアウォール規則を設定する必要があります。設定しないと、ユーザ は制限されません。施行規則を有効にするには、ポリシーを保存して配備する必 要があります。 6. [Remediation ( 対策 )] で、カスタム テキストおよび対策オプションを設定しま す。制限する規則については、エンドポイントについて自動的に対策するように IAS を設定できます。 a. 各言語について、警告メッセージおよびサンドボックス ページに表示するカ スタム テキストをセットアップします。 警告は、セキュリティ ポリシーの [Client Settings ( クライアントの設定 )] タブ で、クライアント警告およびログ設定が施行規則を表示する設定になっている場 合にのみ表示されます。 カスタム テキストは、保護対象のコンピュータが規則に準拠しない場合、警 告またはサンドボックス ページに表示されます。カスタム テキストを使用 して、なぜ非準拠の状態になっているのか、どのようにすれば準拠すること ができるのかについて、ユーザに示します。 アンチウイルス プロバイダ規則内のカスタム テキストの例です。 コンピュータで “Anti-virus_program_x” が実行されていません。ネットワークに 完全にアクセスするためには、このプログラムの現行バージョンをインストール し、実行する必要があります。 b. 対策オプションを設定します。 対策オプションを使用して、ユーザが準拠するのを手助けします。対策リ ソースは、ファイルをアップロードするか、またはリソースへの URL を示 す方法で提供できます。制限する規則については、エンドポイントについて 自動的に対策するように IAS を設定できます。自動対策を設定する場合は、 リソースとして実行可能ファイルを指定する必要があります。また、対策を 示さないこともできます。 7. [Save ( 保存 )] をクリックします。 これで、新規アンチウイルス規則が作成されます。[Enforcement Rule Manager (Enforcement Rule Manager)] ページが表示されます。 この規則をエンドポイント ユーザに割り当てるには、175 ページの「セキュリティ ポリシー内の施行規則の使用」の説明に従って、セキュリティ ポリシーに追加して ください。 Integrity Advanced Server 管理者ガイド 171 クライアント施行規則の作成 クライアント施行規則を使用すると、特定の種類とバージョンの Integrity クライア ントをエンドポイント コンピュータ上にインストールすることをユーザに要求でき ます。 クライアント施行規則を作成するには、次のようにします。 1. [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施行規則 )] に移 動します。 [Enforcement Rule Manager (Enforcement Rule Manager)] ペ ージ が表 示さ れま す。 2. [New ( 新規 )] をクリックして、[Client Rule ( クライアント規則 )] を選択します。 [New Client Rule ( 新規クライアント規則 )] ページが表示されます。 3. [Rule Name ( 規則名 )] を入力します。 4. このクライアント規則を適用する [Operating System ( オペレーティング システ ム )] を選択します。 5. この規則の [Rule Conditions ( 規則の条件 )] を入力します。 a. 施行するクライアントの種類 (Integrity Agent または Integrity Flex) を選択し ます。 b. このクライアントの最小バージョンを入力します。 6. [Rule Action ( 規則のアクション )] について、以下のいずれかを選択します。 [Observe clients that don’t comply ( 準拠していないクライアントを観察する )] -準拠していないユーザの接続は許可されますが、準拠違反が記録されま す。 [Warn clients that don’t comply ( 準拠していないクライアントに警告する )] - コンピュータが準拠していないことについてユーザに警告を示しますが、 ユーザの接続は許可し、準拠違反が記録されます。 [Restrict clients that don’t comply ( 準拠していないクライアントを制限する )] -準拠していないユーザを制限ファイアウォール規則に従って制限します。 制限または警告を選択した場合、この施行規則についてのカスタム テキストを設 定し、アップグレード リソースを提供する必要があります。制限を選択した場合 で、サポートされるゲートウェイを使用していない場合は、この規則を含むポリ シーについて制限ファイアウォール規則を設定する必要があります。設定しない と、ユーザは制限されません。施行規則を有効にするには、ポリシーを保存して 配備する必要があります。 Integrity Advanced Server 管理者ガイド 172 7. [Remediation ( 対策 )] で、カスタム テキストおよびアップグレード オプション を設定します。制限する規則については、エンドポイントが非準拠となったとき に自動的にクライアントをアップグレードするように IAS を設定できます。 a. 各言語について、警告メッセージおよびサンドボックス ページに表示するカ スタム テキストを入力します。 警告は、クライアント警告およびログ設定が施行規則を表示する設定になってい る場合にのみ表示されます。オプションを設定するセキュリティ ポリシーの [Client Settings ( クライアントの設定 )] タブを参照してください。 カスタム テキストは、保護対象のコンピュータが規則に準拠しない場合、警 告またはサンドボックス ページに表示されます。セットアップ時にクライア ントの言語を指定した場合は、この警告用にその言語を選択できます。 クライアント プロバイダ規則内のカスタム テキストの例です。 コンピュータで Integrity Agent v. 6.0 が実行されていません。ネットワークに完 全にアクセスするためには、このプログラムの現行バージョンをインストール し、実行する必要があります。 b. アップグレード リソースを設定します。 アップグレード リソースを指定する必要があります。制限する規則について は、エンドポイントが非準拠となったときに自動的にクライアントをアップ グレードするように IAS を設定できます。 8. [Save ( 保存 )] をクリックします。 これで、新規クライアント規則が作成されます。[Enforcement Rule Manager (Enforcement Rule Manager)] ページが表示されます。 この規則をエンドポイント ユーザに割り当てるには、175 ページの「セキュリ ティ ポリシー内の施行規則の使用」の説明に従って、セキュリティ ポリシーに 追加してください。 施行規則の編集 規則の編集プロセスは新規規則の作成プロセスと同様です ( 詳細な手順については 165 ページの「プログラム、ファイル、またはキー施行規則の作成」、168 ページ の「アンチウイルス プロバイダ規則」、または 172 ページの「クライアント施行規 則の作成」を参照してください )。セキュリティ ポリシーで使用されている規則を編 集すると、セキュリティ ポリシー内の施行規則、アンチウイルス規則、またはクラ イアント規則の定義も変更されます。変更した設定は、次回ポリシーが配備される ときに、セキュリティ規則に適用されます。 Integrity Advanced Server 管理者ガイド 173 施行規則の削除 施行規則、アンチウイルス規則、またはクライアント規則を削除すると、規則は Integrity Advanced Server から完全に除去されます。また、これらの規則は、削除し た時点でセキュリティ ポリシーからも削除されます。セキュリティ ポリシーに加え た変更は、次回ポリシーが配備されるときに適用されます。 規則を削除するには、次のようにします。 1. [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施行規則 )] に移 動します。 [Enforcement Rule Manager (Enforcement Rule Manager)] ペ ージ が表 示さ れま す。 2. 規則を選択して、[Delete ( 削除 )] をクリックします。 確認メッセージが表示されます。 3. [Yes ( はい )] をクリックします。 規則はシステムから削除され、施行規則リストに表示されなくなります。施行規則 が既存のポリシーから削除されるのは、次回そのポリシーを配備するときです。 Integrity Advanced Server 管理者ガイド 174 セキュリティ ポリシー内の施行規則の使用 このセクションでは、セキュリティ ポリシー内の施行規則の管理方法について説明 します。 エンドポイント コンピュータ上で特定のプログラム、ファイル、またはレジストリ キーを禁止または必須にするための施行規則を割り当てて、規則の条件が満たされ たときに実行されるアクションを定めます。 施行規則をセキュリティ ポリシーに追加するには、以下のセクションの各ステップ を実行します。 1. 175 ページの「施行規則の追加とグループ化」 2. 178 ページの「準拠チェックの設定」 3. 178 ページの「ポリシーへの制限ファイアウォール規則の追加」 4. 178 ページの「施行規則警告とログの有効化」 5. 179 ページの「ハートビート間隔の設定 ( オプション )」 6. 180 ページの「セキュリティ ポリシーの保存」 施行規則の追加とグループ化 このセクションでは、施行規則またはアンチウイルス規則をセキュリティ ポリシー に割り当てて、施行規則またはアンチウイルス規則のグループを作成する方法につ いて説明します。ユーザのコンピュータは、セキュリティ ポリシー内の各規則と規 則グループに準拠している必要があります。 Integrity Advanced Server 管理者ガイド 175 施行規則およびアンチウイルス プロバイダ規則の追加 このセクションでは、Enforcement Manager で作成またはシステム ドメインで設定 した施行およびアンチウイルス プロバイダ規則をセキュリティ ポリシーに追加する 方法について説明します。ユーザのコンピュータはポリシー内のすべての規則に準 拠している必要があります。 ポリシーに規則を追加するには、次のようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 [Edit Policy ( ポリシーの編集 )] ページが表示されます。 3. [Enforcement Settings ( 施行設定 )] タブを選択します。 4. [Enforcement Rules ( 施行規則 )] の下で、[Add ( 追加 )] をクリックします。 [Add Enforcement Rules ( 施行規則の追加 )] ページが表示されます。 5. 必要な規則を選択して、[Add ( 追加 )] をクリックします。 [Enforcement Settings ( 施行設定 )] タブに、ポリシー内の施行規則が表示されま す。 制限または警告のための施行規則、もしくはアンチウイルス規則を使用する場合 は、この規則についての施行警告を設定して対策リソースを提供する必要があり ます。制限のための施行規則またはアンチウイルス規則を使用する場合は、この ポリシーについて準拠チェック設定および制限ファイアウォール規則を設定する 必要があります。施行規則またはアンチウイルス規則に対するポリシーを有効に するには、ポリシーを保存して配備する必要があります。また、必要に応じて施 行規則およびアンチウイルス規則をグループ化することもできます。 Integrity Advanced Server 管理者ガイド 176 施行規則およびアンチウイルス プロバイダ規則のグループ化 ポリシーに施行規則 ( アンチウイルス プロバイダ規則を含む ) を追加した後で、施行 規則グループを作成できます。規則がグループ化された場合、保護対象コンピュー タはグループ内の少なくとも 1 つの規則に準拠する必要があります。 グループ全体についての規則アクションは、個々の規則アクションより優先 されます。 グループ内の規則については、自動対策が無効にされます。この場合も IAS によってサンドボックス内に対策リソースが提供されますが、ユーザはこの リソースを手動で適用する必要があります。グループ内の規則が異なるポリ シーで個別に使用される場合、そのポリシー内の規則については自動対策が 作動します。 施行規則をグループ化するには、次のようにします。 1. [Enforcement Rules ( 施行規則 )] の [Enforcement Settings ( 施行設定 )] タブで、 グループ化する規則を選択します。 2. [Group ( グループ化 )] をクリックします。 選択した規則が 1 行に組み合わされ、グループ タイトル ボックスが表示されま す。 3. グループ タイトル ボックスにグループの名前を入力します。 4. 施行規則グループで使用するアクションを設定します。 [Restrict (制限する)]-この設定では、非準拠のユーザを制限ファイアウォー ル規則に従って制限します。 [Observe ( 観察する )] -非準拠のユーザ アクセスを許可し、違反を記録しま す。 [Warn ( 警告する )] -使用しているコンピュータが規則に準拠していないこと をユーザに通知しますが、ユーザのネットワークへのアクセスは許可し、違 反を記録します。 5. [Save ( 保存 )] をクリックして新しいグループを保存します。 警告または制限のための施行規則については、対策リソースを提供して、グループ の施行警告を設定します。グループ内の規則については自動対策が作動しないこと に注意してください。( 詳細については上記を参照してください。) 制限のための施行規則については、このポリシーについて準拠チェック設定および 制限ファイアウォール規則を設定します。 規則グループに対するポリシーを有効にするには、ポリシーを保存して配備する必 要があります。 Integrity Advanced Server 管理者ガイド 177 準拠チェックの設定 準拠チェックの設定により、保護対象のコンピュータがポリシーの施行規則に準拠 しなくなってからどの程度の時間が経過すると制限されるかを制御します。デフォ ルトのハートビート数は 4 です。 準拠チェックを設定するには、次のようにします。 ° [Number of non-compliant heartbeats before restriction ( 制限までの非準拠状態の ハートビート数 )] を設定します。 準拠チェックの新たな設定を有効にするには、ポリシーを保存して配備する必要が あります。 ポリシーへの制限ファイアウォール規則の追加 このセクションでは、ポリシーに制限ファイアウォール規則を追加する方法につい て説明します。制限ファイアウォール規則は、制限するように設定されている施行 規則に準拠していないユーザのアクセスを制限します。制限ファイアウォール規則 を使用して、規則に準拠するために必要なリソースに対してのみユーザがアクセス できるようにします。ほとんどの場合、ユーザがアクセスできるのをサンドボック ス サーバだけに制限します。制限規則を設定しない場合、規則に準拠していない ユーザは制限されません。 ポリシーに制限ファイアウォール規則を追加するには、次のようにしま す。 1. [Restriction Firewall Rules (制限ファイアウォール規則)] の [Enforcement Settings ( 施行設定 )] タブで、[Add ( 追加 )] をクリックします。 2. 使用するファイアウォール規則を選択して、[Add ( 追加 )] をクリックします。 新しいファイアウォール規則を作成する必要がある場合は、[New Firewall Rule ( 新規ファイアウォール規則 )] をクリックして作成できます。 3. 上下の矢印を使用して、制限ファイアウォール規則に順位をつけます。 規則は、順位に従って施行されます。 制限ファイアウォール規則を有効にするには、ポリシーを保存して配備する必要が あります。 施行規則警告とログの有効化 このセクションでは、Integrity クライアントを設定して保護対象コンピュータ上に 施行規則のカスタム警告を表示する方法について説明します。 Integrity Advanced Server 管理者ガイド 178 保護対象コンピュータが Integrity Agent を不可視モードで実行している場合は、 警告を表示するように設定していても、警告は表示されません。ただし、施行警 告を表示するように設定しておくと、警告が Integrity Advanced Server のコール バック ログに記録されます。 警告およびログを設定するには、次のようにします。 1. ポリシーを開き、[Client Settings ( クライアントの設定 )] タブを表示します。 2. [Client Alerts and Logs ( クライアント警告とログ )] にスクロールします。 3. [Enforcement Alerts ( 施行警告 )] 行で、次のように選択します。 [Display ( 表示 )] を選択した場合、ユーザが施行規則に準拠しないと警告が表 示されます。 [Log ( ログ )] を選択した場合、Integrity クライアントは非準拠イベントを記 録し、Integrity Advanced Server に報告します。 プログラム警告について表示とログを有効にした場合、[Program Rules ( プログ ラム規則 )] タブで個別のプログラムについて抑制のオプションを選択すること で、個別のプログラムについて表示とログの設定を上書きできます。( 特定のプ ログラムについて警告やログを抑制する方法については、138 ページの「ポリ シーへのプログラム規則の追加」、特にステップ 5 を参照してください。プロ グラム警告の制御に関する全般情報については、140 ページの「プログラム警 告の制御」を参照してください。) 4. 必要に応じて、[Custom Messaging ( カスタム メッセージ )] の下に、警告に表示 されるカスタム メッセージとリンク テキストを入力します。 次のセクションの手順に従って、ポリシーへの変更を単に保存するか、または保存 して配備します。 ハートビート間隔の設定 ( オプション ) 準拠チェックの設定はハートビート間隔で指定されるため、ハートビート間隔を調 整したい場合があります。 ハートビート間隔を調整するには、次のようにします。 1. システム ドメインで、[Client Configuration ( クライアント設定 )] | [Client Settings ( クライアントの設定 )] に移動します。 クライアント設定を行っていない場合、[View Client Settings ( クライアント設定 の表示 )] ページにはデフォルトの設定が表示されます。 Integrity Advanced Server 管理者ガイド 179 2. [Edit ( 編集 )] をクリックします。 3. [Interval ( 間隔 )] フィールドに、ハートビートの間隔とする秒数を入力します。 ハートビート間隔を極端に短く設定すると、パフォーマンスが低下することがあ ります。ハートビート間隔を極端に長く設定すると、セキュリティが低下し、レ ポートの精度が低くなることがあります。一般的なハートビート間隔は 300 ~ 1800 秒です。 4. [Save ( 保存 )] をクリックします。 セキュリティ ポリシーの保存 セキュリティ ポリシーに施行規則を追加するプロセスを完了するためには、変更を 保存する必要があります。変更を直接ユーザに送るには、ポリシーを保存して配備 する必要があります。 施行規則を含むセキュリティ ポリシーを単に保存する場合、または保存 して配備する場合は、次のようにします。 1. [Policy Settings ( ポリシー設定 )] ページで、[Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 2. [Comments ( コメント )] に変更の説明を入力し、以下のように操作します。 [Save ( 保存 )] をクリックすると、ポリシーの変更が保存されますが、配備は されません。 エンドポイント ユーザはポリシーの新規バージョンを取得しません。 [Save and Deploy ( 保存して配備 )] をクリックすると、変更が保存され、か つ、更新されたポリシーは割り当てられたエンドポイント ユーザに送られま す。 Integrity クライアントがポリシーを取得すると、施行規則やアンチウイルス規則の 施行と、関連イベントの記録が開始されます。 Integrity Advanced Server 管理者ガイド 180 11 章 ポリシー : スパイウェアからの保護 Integrity Anti-Spyware は、ワーム、トロイの木馬、アドウェア、およびキー ロガー とい った 脅威 から ネッ トワ ーク を保 護し ます。Integrity Advanced Server は、 SmartDefense Anti-Spyware サービス (Check Point が管理する中央サーバ ) から、 アップデートされたスパイウェア定義を定期的に受信します。管理者は、特定のポ リシーまたはグローバル Anti-Spyware 設定でこれらの定義を使用し、エンドポイン トで定期的にスパイウェアをスキャンして処理します。 以下のトピックについて説明します。 182 ページの「Integrity Anti-Spyware の概念」 183 ページの「Anti-Spyware の設定」 189 ページの「Anti-Spyware のアップデート」 190 ページの「Anti-Spyware 保護のモニタリング」 Integrity Advanced Server 管理者ガイド 181 Integrity Anti-Spyware の概念 Check Point は、SmartDefense Anti-Spyware サービス (Check Point の社内にある中 央サーバ) において、最新のスパイウェア定義を管理しています。Integrity Advanced Server は 1 日に 2 回、アップデートの有無についてこの中央サーバを確認し、カテ ゴリごとに分類された既知のスパイウェア プログラムの一覧を管理コンソールに表 示します。 IAS のデフォルトの処理およびアクション ( 通知 ) を受け入れることもできますし、 スパイウェア カテゴリごとに設定を変更することもできます。たとえば、トロイの 木馬を削除してから削除したことをエンド ユーザに通知するように、IAS を設定で きます。処理のオプションを設定した後で、定期的な Anti-Spyware のスキャンおよ び処理を施行して、予定の時刻に正常にスキャンおよび処理を行えなかったエンド ポイントを観察、警告、または制限できます。 処理のパラメータや施行設定は、エンドポイントに配備するポリシーの一部となり ます。Anti-Spyware 設定を含むポリシーを配備すると、IAS はアップデートされた スパイウェア定義をハートビートごとに各クライアントに配布します。この際、( 必 要に応じて ) クライアントはエンド ユーザにアップデートを通知します。 IAS は、エンドポイントがいつスキャンされたか、および、スパイウェアの各カテ ゴリについてどのエンドポイントが処理されたかを示すレポートを提供します。 Integrity Advanced Server 管理者ガイド 182 Anti-Spyware の設定 Integrity Advanced Server は、個別のポリシーを通して Anti-Spyware の設定を施行し ます。ポリシー専用の設定を作成することもできますし、複数のポリシーに含める ことのできるグローバル設定を作成することもできます。Integrity がグローバル設 定を 施行 する のは、特 定の ポリ シー に含 めた 場合 ( ポ リシ ーで [Use global Anti-Spyware settings ( グローバル Anti-Spyware 設定を使用する )] を選択した場合 ) だけであることに注意してください。ポリシーに含めた後でグローバル設定をオフ にすると、そのポリシーで Anti-Spyware は無効になります。 システム ドメインではグローバル Anti-Spyware 設定を設定できません。グローバル 設定を含むポリシーはすべて、自らのドメインに現存する設定を使用します。 以下の設定のトピックについて説明します。 183 ページの「Anti-Spyware 保護をオンにする」 185 ページの「定期的な Anti-Spyware スキャンのセットアップ」 186 ページの「スパイウェア処理の設定の変更」 186 ページの「スパイウェア プログラムの実行を許可」 187 ページの「Anti-Spyware のスキャンと処理の施行」 Anti-Spyware 保護をオンにする さまざまな設定オプションにアクセスするには、Anti-Spyware 保護をオンにする必 要があります。以下のトピックについて説明します。 184 ページの「グローバル Anti-Spyware 設定」 185 ページの「ポリシー レベルの Anti-Spyware 設定」 Integrity Advanced Server 管理者ガイド 183 グローバル Anti-Spyware 設定 グローバル Anti-Spyware 保護をアクティブにするには、次のようにしま す。 1. システム ドメイン以外のドメインに移動し、[Global Policy Settings ( グローバル ポリシー 設定 )] | [Anti-Spyware (Anti-Spyware)] に移動し、[Edit ( 編集 )] をクリッ クします。 2. [Turn on Anti-Spyware (Anti-Spyware をオンにする )] を選択します。 これで、その他の Anti-Spyware 設定にアクセスできるようになります。 Integrity Advanced Server 管理者ガイド 184 ポリシー レベルの Anti-Spyware 設定 ポリシーの Anti-Spyware 保護をアクティブにするには、次のようにしま す。 1. システム ドメイン以外のドメインに移動し、[Policies ( ポリシー)] に移動して設 定す るポ リシ ーを 選択 し、[Edit ( 編 集 )] をク リッ クし て、[Anti-Spyware (Anti-Spyware)] タブをクリックします。 2. [Turn on Anti-Spyware (Anti-Spyware をオンにする )] を選択します。 これで、その他の Anti-Spyware 設定にアクセスできるようになります。 3. 必要に応じて、[Use global Anti-Spyware settings ( グローバル Anti-Spyware 設定 を使用する )] または [Use policy level Anti-Spyware settings ( ポリシー レベルの Anti-Spyware 設定を使用する )] を選択します。グローバル オプションは、グ ローバル設定を設定した後でのみ使用できます。 定期的な Anti-Spyware スキャンのセットアップ Integrity Advanced Server はエンドポイントをスキャンして、見つかったすべてのス パイウェア アプリケーションを処理します。USB ドライブなどのリムーバブル メ ディアはスキャンしないことに注意してください。このセクションでは、スキャン の種類および定期的なスキャンの時刻を指定する方法について説明します。 スキャンのスケジュールを決める際に、実装する可能性のあるスキャンの施行設定 をすべて考慮してください。たとえば、1 週間ごとにスキャンを施行する場合、毎 週 の ス キ ャ ン を ス ケ ジ ュ ー ル す る 必 要 が あ り ま す。ク ラ イ ア ン ト か ら も Anti-Spyware スキャンを開始できますが、施行の要件に従うことをエンド ユーザに 求めるのは現実的ではありません。施行設定の詳細については、187 ページの 「Anti-Spyware のスキャンと処理の施行」を参照してください。 Anti-Spyware スキャンを設定するには、次のようにします。 1. Anti-Spyware の画面のスキャン設定のセクションで、スキャン方法を選択しま す。以下から選択できます。 [Scan common locations ( 一般的な場所をスキャンする )] - Integrity Anti-Spyware DAT ファイルにリストされている場所をスキャンします。この 方法を利用すると、必要な CPU リソースと時間は最小で済みますが、ス キャンの完全性も低くなります。 [Scan entire computer ( コンピュータ全体をスキャンする )] -既知のスパイ ウェアのファイル名およびサイズについて、すべてのディレクトリをスキャ ンします。これがデフォルトです。 [Scan entire computer by checksum ( コンピュータ全体をチェックサムでス キャンする )] -エンドポイント上のすべてのファイルのチェックサムを計算 し、DAT ファイルにリストされている既知のスパイウェアのチェックサムと Integrity Advanced Server 管理者ガイド 185 比較します。この方法を利用すると、最も完全なスキャンを実行できます が、必要な CPU リソースと時間も最大になります。 2. 定期的な Anti-Spyware スキャンの曜日と時刻を選択します。たとえば、 [Mondays ( 月 )] と [6 AM (6 AM)] を選択します。 3. 追跡 Cookie を削除するには、[Scan and delete tracking cookies ( 追跡 Cookie を スキャンして削除する )] を選択します。 4. [Save ( 保存 )] をクリックします。 スパイウェア処理の設定の変更 Integrity Advanced Server はスパイウェアをアドウェア、キー ロガー、リモート管理 ツール (RAT) などの複数のカテゴリに分類します。デフォルトのスキャン設定で は、IAS はすべてのスパイウェアを隔離してからエンドポイント ユーザに通知しま す。任意のまたはすべてのスパイウェア カテゴリについて、デフォルト処理の設定 を変更できます。 スパイウェア処理の設定を変更するには、次のようにします。 1. 変更するスパイウェア カテゴリの隣にある [Action ( アクション )] カラムで、適 切なエンド ユーザ通知を選択します ( ある場合 )。以下から選択できます。 [Automatic ( 自動 )] -エンド ユーザに通知せずに、指定された処理を実行しま す。 [Notify ( 通知 )] -スパイウェアを処理してから、その処理についてエンド ユーザに通知します。エンド ユーザは処理をキャンセルできません。( この オプションは、Integrity Flex のユーザについてのみ作動します ) [Confirm ( 確認 )] -エンド ユーザが処理方法を指定します。エンド ユーザは [Allow ( 許可 )] ( スパイウェア アプリケーションに 1 回だけ実行を許可 )、 [Always Allow ( 常に許可 )] ( スパイウェア アプリケーションに常に実行を許 可 )、[Quarantine ( 隔離 )]、または [Delete ( 削除 )] から選択できます。( この オプションは、Integrity Flex のユーザについてのみ作動します ) 2. 変更するスパイウェア カテゴリの隣にある [Treatment ( 処理 )] カラムで、適切な スパイウェア処理を選択します。[Quarantine ( 隔離 )]、[Delete ( 削除 )]、および [Allow ( 許可 )] から選択できます。( 隔離オプションは、Integrity Flex のユーザに ついてのみ作動します。Agent のユーザについて隔離オプションを選択すると、 クライアントでは削除オプションとして処理されます。) 3. [Save ( 保存 )] をクリックします。 スパイウェア プログラムの実行を許可 このセクションでは、個別のスパイウェア プログラムに実行を許可する方法につい て説明します。スパイウェアのあるカテゴリ全体 ( アドウェアなど ) に実行を許可す Integrity Advanced Server 管理者ガイド 186 る方法については、186 ページの「スパイウェア処理の設定の変更」を参照してく ださい。 特定のスパイウェア プログラムの実行を許可するには、次のようにしま す。 1. カテゴリ設定の表で、以下のいずれかを行って対象とするプログラムを見つけま す。 カテゴリのリンクをクリックしてそのカテゴリ内の既知のプログラムを確認 し、一覧をスクロールして表示します。 をクリックして検索ボックスを開き、検索対象とするアプリケーション 名を入力してスパイウェア カテゴリを選択し ( いずれか一方でも可能 )、 [Search ( 検索 )] をクリックします。 2. プログラムを見つけたら、そのアプリケーション名の隣にある [Always Allow ( 常 に許可 )] カラムのチェックボックスをオンにします。 3. 検索結果をクリアするか、またはカテゴリ一覧に戻る場合は、[Clear Search ( 検 索のクリア )] または をクリックします。 4. [Save ( 保存 )] をクリックします。 Anti-Spyware のスキャンと処理の施行 Integrity Advanced Server を設定して、エンドポイント コンピュータで定期的に Anti-Spyware のスキャンと処理を施行できます。準拠しないエンドポイントについ ては、観察、警告、またはネットワーク接続を制限できます。 検出したすべてのスパイウェア アプリケーションを Integrity クライアントが処理す れば、スキャンは正常に行われたと言えます。しかし、何らかのスパイウェア アプ リケーションが処理されずに残されると、スキャンが正常に行われたとは判断され ず、施行要件は満たされません。ただし、Flex ユーザが意図的にスパイウェアの疑 いのあるアプリケーションの実行を許可した場合は、正常なスキャンと判断 されま す。 初めて Anti-Spyware スキャンを実行する際は、準拠していないユーザについて ( 制 限するのではなく ) 観察または警告することが推奨されます。これは、規則のテスト 中にユーザの作業を邪魔することを避けるためです。後で、準拠しないユーザを制 限するように規則を再設定できます。 施行設定を決める際は、スケジュールした定期的なスキャンをすべて考慮してくだ さい。スケジュールされたスキャンの詳細については、185 ページの「定期的な Anti-Spyware スキャンのセットアップ」を参照してください。 Anti-Spyware のスキャンと処理を施行するには、次のようにします。 1. 施行設定のセクションで、[Enforce Anti-Spyware (Anti-Spyware の施行 )] を選択 します。 Integrity Advanced Server 管理者ガイド 187 2. [Maximum Time Since Last Successful Scan ( 前回の正常なスキャンからの最大期 間 )] ドロップダウン リストから、期間を選択します。この値が、正常なスキャ ンを 2 回実行する最大間隔になります。この期間内に正常にスキャンされな かったエンドポイントは、(次のステップにおける指定に従って) 観察、警告、ま たは制限されます。 3. 指定した期間内に正常にスキャンされなかったエンドポイントに対する施行オプ ションを選択します。以下から選択できます。 準拠しないクライアントを観察する 準拠しないクライアントに警告する 準拠しないクライアントを制限する 4. [Save ( 保存 )] をクリックします。 Integrity Advanced Server 管理者ガイド 188 Anti-Spyware のアップデート Check Point は、SmartDefense Anti-Spyware サービス (Check Point の社内にある中 央サーバ) において、最新のスパイウェア定義を管理しています。Integrity Advanced Server は定期的にアップデートの有無を確認して、新しい定義を利用できる場合は ダウンロードします。IAS がスパイウェアのアップデートをダウンロードすると、 Anti-Spyware 保護を含むポリシーを持つクライアントは、次のハートビートでその アップデートを受信します。アップデートを配布するためにポリシーを再配備する 必要はありません。 デフォルトでは、Integrity Advanced Server は 12 時間ごとにスパイウェア定義の アップデートを確認します。必要であれば、手動でアップデートを確認することも できます。このセクションでは、現在の Anti-Spyware のバージョン情報を表示する 方法、および手動でアップデートを確認する方法について説明します。 プロキシ サーバ経由でインターネットにアクセスする環境で Anti- Spyware を使用 する場合は、 『Integrity Advanced Server インストール ガイド』28 ページの「プ ロキシ サーバ経由での Integrity の使用」を参照してください。 Anti-Spyware のバージョン情報を表示するには、次のようにします。 ° システム ドメイン内で、[System Configuration Information ( バージョン情報 )] に移動します。 ( システム設定 )] | [Version Anti-Spyware エンジンと DAT のバージョン、最後にサーバに接続した時刻、お よび最後に読み込んだアップデートのタイムスタンプが、Integrity に表示されま す。( 最近 IAS をインストールした場合は、タイムスタンプがインストール時刻 よりも前になっている可能性があります。) 手動でアップデートを確認するには、次のようにします。 1. システム ドメイン内で、[System Configuration ( システム設定 )] | [Version Information ( バージョン情報 )] に移動します。 2. [Update Now ( 今すぐアップデート )] をクリックします。 Integrity が Check Point の中央サーバに接続して、利用できるアップデートがあ ればダウンロードします。これには数分かかることがあります。 Integrity Advanced Server 管理者ガイド 189 Anti-Spyware 保護のモニタリング Integrity Advanced Server のレポートを使用すると、エンドポイントの Anti-Spyware スキャンをモニタリングし、スパイウェアの各カテゴリについてどのエンドポイン トが処理されたかを確認できます。このセクションでは以下のトピックについて説 明します。 190 ページの「Anti-Spyware スキャンの確認」 190 ページの「スパイウェア インシデントの確認」 Anti-Spyware スキャンの確認 各クライアントで Anti-Spyware がいつ実行されたか、または、そもそも実行された かどうかを確認できます。 Anti-Spyware のスキャンを確認するには、次のようにします。 1. システム ドメイン以外の適切なドメインで、[Reports ( レポート )] | [Integrity Monitor (Integrity Monitor)] に移動します。 2. チャートのドロップダウン リストで、[Spyware Scanned Date ( スパイウェアを スキャンした日付 )] を選択します。 エンドポイントを最後にスキャンした日付を示す [Spyware Scanned Date ( スパ イウェアをスキャンした日付 )] のチャートが表示されます。 3. 特定の日にスキャンされたエンドポイントを表示するには、対応する凡例のリン クをクリックします。 スパイウェア インシデントの確認 検出されたスパイウェアおよび検出後の処理を示す、スパイウェア カテゴリごとの レポートを表示できます。 スパイウェア インシデントを確認するには、次のようにします。 1. システム ドメイン以外の適切なドメインで、[Reports ( レポート )] | [Client Events ( クライアント イベント )] に移動します。 2. レポートを作成する期間を選択し、[Event Type ( イベントの種類 )] ドロップダウ ン リストから [Anti-Spyware (Anti-Spyware)] を選択し、[Apply Filter ( フィルタの 適用 )] をクリックします。 スパイウェア カテゴリごとの検出数および処理を示す Anti-Spyware イベントの グラフが表示されます。 Integrity Advanced Server 管理者ガイド 190 3. 特定のカテゴリのスパイウェアによる影響を受けたエンドポイントを表示するに は、グラフ左側の対応するカテゴリ リンクをクリックします。 そのスパイウェア カテゴリのイベント詳細レポートが表示されます。イベント 詳細レポートの詳細については、その画面のオンライン ヘルプを参照してくだ さい。レポート作成一般の詳細については、238 ページの「クライアント セ キュリティのモニタリング」を参照してください。 Integrity Advanced Server 管理者ガイド 191 12 章 ポリシー : メール攻撃の阻止 この章では、メール攻撃からエンドポイント コンピュータを保護する方法について 説明します。Integrity Advanced Server は、インバウンドおよびアウトバウンド双方 のメールを保護します。外部からの保護は、有害な可能性のあるメールの添付ファ イルを承認が済むまで隔離することで、エンドポイント コンピュータに影響が及ぶ こと を防 ぎま す。この 機能 は、MailSafe Extensions Manager とポ リシ ーご との MailSafe 規則で構成されています。外部への保護は、送信されるメールを制限し て、メール ワームやその他の悪意のあるコードがエンドポイント コンピュータを悪 用してメッセージを送信することを防止します。 アウトバウンド MailSafe 保護は SMTP プロトコルでのみ動作するのに対し、インバ ウンド MailSafe 保護は POP3 および IMAP4 プロトコルで動作することに注意して ください。 本章には次のトピックが含まれます。 次のセクションの「インバウンド メール保護」 203 ページの「アウトバウンド メール保護」 Integrity Advanced Server 管理者ガイド 192 インバウンド メール保護 MailSafe は、危険な可能性のあるインバウンド メールの添付ファイルを識別して隔 離することで、エンドポイント コンピュータの保護を強化します。 このセクションは、以下の内容で構成されています。 次のセクションの「インバウンド メール保護の概念」 196 ページの「MailSafe 拡張子の管理」 199 ページの「セキュリティ ポリシーでのインバウンド メール保護の使用」 インバウンド メール保護の概念 ユーザがメールを受信すると、MailSafe はそのメールの添付ファイルの拡張子を添 付ファイルの種類の一覧と照らし合わせます。MailSafe は、以下の添付ファイルを 識別します。 通常のメール添付ファイル Base64 エンコード添付ファイル エンコードされていない添付ファイル 不正な添付ファイル ( 各種の脆弱性を悪用しているもの ) Integrity Advanced Server 管理者ガイド 193 ユーザの操作 安全でない可能性のある添付ファイルを含む POP3 または IMAP メール クライアン トから添付ファイルが送られてきた場合、Integrity クライアントはポップアップ警 告を 表示 し、ファ イル 拡張 子を .zl* (* は数 字ま たは 文字。詳 細に つい ては、 195 ページの隔離表を参照 ) に変更して添付ファイルを隔離します。 保護されているコンピュータ上で、隔離される種類のファイルが添付されたメール を開こうとすると、Integrity クライアントは、その添付ファイルの隔離を解除する 前に安全であることを確認することを求める警告メッセージを表示します。この場 合でも、ユーザは添付ファイルを開くことができます。 Integrity Advanced Server 管理者ガイド 194 拡張子隔離表 MailSafe がメールの添付ファイルを隔離するときには、添付ファイルのファイル拡 張子を変更します。通常隔離されるメール添付ファイルの拡張子と、それに対応す る MailSafe 隔離拡張子の一覧を下の表に示します。 拡張子 ZL 拡張子 拡張子 ZL 拡張子 ADE zl0 MHT zm8 ADP zl1 MSC zlj ASX zlz MSI zlk BAS zl2 MSP zll BAT zl3 MST zlm CHM zl4 NCH zm3 CMD zl5 PCD zln COM zl6 PIF zlo CPL zl7 PRF zm4 CRT zl8 REG zlp DBX zlo SCF zm5 EXE zl9 SCR zlq HLP zla SCT zlr HTA zlb SHB zm6 INF zlc SHS zls INS zld URL zlt ISP zle VB zl JS z0 VBE zlu JSE zlf VBS zlv LNK zlg WMS zm7 MDA zml WSC zlw MDB zlh WSF zlx MDE zli WSH zly MDZ zm2 Integrity Advanced Server 管理者ガイド 195 MailSafe メール保護の制約 MailSafe には次の制約があります。 MailSafe は、メールが POP サーバから送られない限り、ウェブ ベースのメール サービス (Yahoo メールや Hotmail など ) からのメール添付ファイルを隔離しま せん。 MailSafe は、アンチウイルス ソフトウェアの添付ファイル スキャン機能に代わ るものではなく、組み合わせて使用するためのものです。アンチウイルス プロ グラムの実行中に MailSafe を正しく使用するためには、アンチウイルス プログ ラムのメール添付ファイル スキャン機能を無効にしてください。 MailSafe には、MS Exchange メール サーバとの互換性はありません。 MailSafe 拡張子の管理 このセクションでは、MailSafe Extensions Manager を使用して MailSafe 拡張子を作 成、編集、および削除する方法について説明します。Integrity Advanced Server に は、すぐに使用できる MailSafe 拡張子のリストが付属しており、これを必要に応じ て編集または追加できます。 このセクションは、以下の内容で構成されています。 次のセクションの「MailSafe 拡張子の新規作成」 198 ページの「MailSafe 拡張子の編集」 199 ページの「MailSafe 拡張子の削除」 MailSafe 拡張子のリストをカスタマイズした後で、リストから特定のセキュリティ ポリシーに拡張子を追加できます。( セキュリティ ポリシーへの MailSafe 拡張子の 追加に関する詳細は、199 ページの「セキュリティ ポリシーでのインバウンド メー ル保護の使用」を参照してください。) Integrity Advanced Server 管理者ガイド 196 MailSafe 拡張子の新規作成 Integrity Advanced Server には、すぐに使用できる MailSafe 拡張子のリストが付属 しています。このセクションでは、このリストに追加するための新しい拡張子を作 成する方法について説明します。 MailSafe 拡張子を新規作成するには、次のようにします。 1. [Policy Objects ( ポリシー オブジェクト )] | [File Extensions ( ファイル拡張子 )] を 選択します。 [MailSafe Extensions Manager (MailSafe Extensions Manager)] ページが表示され ます。 2. [New(新規作成 )] をクリックします。 [New MailSafe Extension ( 新規 MailSafe 拡張子 )] ページが表示されます。 3. [description ( 説明 )] ボックスに、その拡張子を識別するためのメモを入力しま す。 4. [extension ( 拡張子 )] ボックスに、追加する拡張子を入力します。 拡張子の前にピリオドを入力しないでください。 5. [Save ( 保存 )] をクリックします。 [MailSafe Extensions Manager (MailSafe Extensions Manager)] ページの一覧に、 新規拡張子が表示されます。 隔離されたファイルの ZL 拡張子を判断するために、エンドポイント ユーザは Integrity クライアントのログ (tvDebug.log) を参照する必要があります。 Integrity Advanced Server 管理者ガイド 197 MailSafe 拡張子の編集 既存の MailSafe 拡張子の設定を変更することができます。拡張子を変更すると、 その拡張子が含まれているすべてのセキュリティ ポリシーで、その拡張子が変更さ れます。ただし、エンドポイント ユーザのポリシーを更新する前に、その拡張子を 使用するポリシーを配備し直す必要があります。 MailSafe 拡張子を変更するには、次のようにします。 1. [Policy Objects ( ポリシー オブジェクト )] | [File Extensions ( ファイル拡張子 )] を 選択します。 [MailSafe Extensions Manager (MailSafe Extensions Manager)] ページが表示され ます。 2. 拡張子を選択し、[Edit ( 編集 )] をクリックします。 [Edit MailSafe Extension (MailSafe 拡張子の編集 )] ページが表示されます。 3. 変更を次のように入力します。 その拡張子を識別するための説明を入力します。 追加する拡張子を入力します。拡張子の前にピリオドを入力しないでくださ い。 4. [Save ( 保存 )] をクリックします。 すべてのポリシーでその拡張子が変更されます。Integrity クライアントに更新した ポリシーを配信するために、その拡張子を使用するポリシーを配備し直す必要があ ることに注意してください。 195 ページの「拡張子隔離表」に表示された拡張子を変更すると、変更された拡 張子に同じ ZL 拡張子が自動的にマッピングされます。 Integrity Advanced Server 管理者ガイド 198 MailSafe 拡張子の削除 MailSafe 拡張子は、セキュリティ ポリシーで使用されている場合でも Integrity Advanced Server システムから削除できます。拡張子を削除すると、すべてのセ キュリティ ポリシーからその拡張子が自動的に削除されます。 MailSafe 拡張子を削除するには、次のようにします。 1. [Policy Objects ( ポリシー オブジェクト )] | [File Extensions ( ファイル拡張子 )] を 選択します。 [MailSafe Extensions Manager (MailSafe Extensions Manager)] ページが表示され ます。 2. 拡張子を選択して、[Delete ( 削除 )] をクリックします。 アイコンで示されるグローバル MailSafe 拡張子は、システム ドメインで削 除する必要があります。 その拡張子がシステムから削除されます。拡張子は、その拡張子を含むすべてのセ キュリティ ポリシーから自動的に削除されます。ただし、Integrity クライアントに 変更を配信するために、それらのポリシーを配備し直す必要があります。 セキュリティ ポリシーでのインバウンド メール保護の使用 このセクションでは、セキュリティ ポリシーでの MailSafe 拡張子および MailSafe 規則の使用方法を説明します。セキュリティ ポリシーにメール保護を追加すること で、エンドポイント コンピュータを安全でないメール添付ファイルから保護できる ようになります。 Integrity Advanced Server 管理者ガイド 199 セキュリティ ポリシーへのメール保護の追加 MailSafe Extensions Manager で作成した拡張子をセキュリティ ポリシーに追加し、 外部への保護を設定するには、次のステップに従います。同じ MailSafe 拡張子を異 なるセキュリティ ポリシーに割り当てることができます。 メール保護をポリシーに追加するには、次のようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [MailSafe Rules (MailSafe 規則 )] タブを選択します。 4. [Add ( 追加 )] をクリックします。 [Add MailSafe Extension to Policy (MailSafe 拡張子のポリシーへの追加 )] ページ が表示されます。 5. 拡張子を選択して、[Add ( 追加 )] をクリックします。 [Mailsafe Rules (MailSafe 規則 )] タブに、隔離するように設定された拡張子が表 示されます。 6. ポリシーで拡張子を隔離しないためには、[quarantine ( 隔離 )] カラムをクリアし ます。 7. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 8. [Comments ( コメント )] ボックスに、ポリシー設定に加えた変更について説明す るメモを入力します。 9. 更新したポリシーを配備せずに変更を保存するには、[Save (保存)] をクリックし ます。 変更の保存と配備を同時にする場合は、[Save and Deploy ( 保存して配備 )] をク リックします。続いて確認のため、[Yes ( はい )] をクリックします。 [Policy Manager (Policy Manager)] ペ ージ が表 示さ れま す。これ で、その MailSafe 拡張子規則がそのセキュリティ ポリシーに含まれました。 10. 変更を配備せずに保存した場合は、更新したポリシーを選択して [Deploy (配備)] をクリックすることで配備できます。 ポリシーを配備すると、そのポリシーに割り当てられているログオン中のエンドポ イント ユーザは、次のハートビートで更新されたバージョンのポリシーを受信しま す。これ以外の場合は、エンドポイント ユーザは次回ログオンしたときに更新され たポリシーを受信します。 Integrity Advanced Server 管理者ガイド 200 拡張子の隔離設定の有効化と無効化 ポリシーに拡張子を追加した後、そのポリシーから拡張子の定義を削除せずに、そ の拡張子について一時的に隔離を無効にすることができます。[quarantine ( 隔離 )] カラムで、 無効な ( 調査されない ) 拡張子は、オフになっています。 有効な ( 調査される ) 拡張子は、オンになっています。 ポリシー内の拡張子の隔離設定を変更するには、次のようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [MailSafe Rules (MailSafe 規則 )] タブを選択します。 4. [quarantine ( 隔離 )] カラムのチェック ボックスを次のように選択します。 隔離をオフ ( 無効 ) にします 隔離をオン ( 有効 ) にします 5. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 6. [Comments ( コメント )] ボックスに、ポリシー設定に加えた変更について説明す るメモを入力します。 7. 更新したポリシーを配備せずに変更を保存するには、[Save (保存)] をクリックし ます。 変更の保存と配備を同時にする場合は、[Save and Deploy ( 保存して配備 )] をク リックします。続いて確認のため、[Yes ( はい )] をクリックします。 [Policy Manager (Policy Manager)] ペー ジ が表 示さ れま す。これ で、セキ ュリ ティ ポリシー内の隔離設定が変更されました。 8. 変更を配備せずに保存した場合は、更新したポリシーを選択して [Deploy (配備)] をクリックすることで配備できます。 ポリシーを配備すると、そのポリシーに割り当てられているログオン中のエンドポ イント ユーザは、次のハートビートで更新されたバージョンのポリシーを受信しま す。これ以外の場合は、エンドポイント ユーザは次回ログオンしたときに更新され たポリシーを受信します。 Integrity Advanced Server 管理者ガイド 201 セキュリティ ポリシーからの MailSafe 拡張子の削除 拡張子をポリシーから削除しても、その拡張子は Integrity Advanced Server から は削除されません。拡張子は MailSafe Extensions Manager でそのまま利用でき、 後でこのポリシーまたは別のポリシーに追加することができます。 ポリシー内の拡張子の隔離設定を変更するには、次のようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 [Policy Manager (Policy Manager)] ページが表示されます。 2. ポリシーを選択して、[Edit ( 編集 )] をクリックします。 3. [MailSafe Rules (MailSafe 規則 )] タブを選択します。 4. 削除する拡張子を選択して、[Remove ( 削除 )] をクリックします。 5. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 6. [Comments ( コメント )] ボックスに、ポリシー設定に加えた変更について説明す るメモを入力します。 7. 更新したポリシーを配備せずに変更を保存するには、[Save (保存)] をクリックし ます。 変更の保存と配備を同時にする場合は、[Save and Deploy ( 保存して配備 )] をク リックします。続いて確認のため、[Yes ( はい )] をクリックします。 [Policy Manager (Policy Manager)] ペ ージ が表 示さ れま す。これ で、その MailSafe 拡張子規則がそのセキュリティ ポリシーから削除されます。 8. 変更を配備せずに保存した場合は、更新したポリシーを選択して [Deploy (配備)] をクリックすることで配備できます。 ポリシーを配備すると、そのポリシーに割り当てられているログオン中のエンドポ イント ユーザは、次のハートビートで更新されたバージョンのポリシーを受信しま す。これ以外の場合は、エンドポイント ユーザは次回ログオンしたときに更新され たポリシーを受信します。 Integrity Advanced Server 管理者ガイド 202 アウトバウンド メール保護 MailSafe を使用すると、エンドポイント コンピュータが疑わしい大量のメールを短 い間隔で送信したり、通常ではあり得ない多数の受信者に向けてメールを送信する のを防ぐことができます。 このセクションは、以下の内容で構成されています。 次のセクションの「外部への保護の概念」 203 ページの「外部への保護の設定」 外部への保護の概念 MailSafe は、外部へのメッセージを制限することで、悪意のあるメールの拡散を防 止できます。指定した間隔における外部へのメッセージ数を制限できるのに加え、1 通のメッセージあたりの受信者数を制限できます。指定した制限を超えるメールの 操作が行われると、エンドポイント ユーザに対して警告が表示されます。 外部への保護の設定 疑わしいアウトバウンドのメール操作について警告するように Integrity ク ライアントを設定するには、次のようにします。 1. [Policies ( ポリシー)] をクリックして、Policy Manager を開きます。 [Policy Manager (Policy Manager)] ページが表示されます。 2. ポリシーを選択します。[Edit ( 編集 )] をクリックします。 3. [MailSafe Rules (MailSafe 規則 )] タブを選択し、画面の下近くにある [Outbound MailSafe Protection ( アウトバウンド MailSafe 保護 )] 見出しに移動します。 4. 外部へのメールの数および頻度がどの程度に達した場合に警告を表示するかを設 定するには、[Warn the user when too many messages... ( 大量のメッセージの場 合にユーザに警告 ...)] チェック ボックスをオンにします。該当するテキスト ボックスにメールの数と頻度を入力するか、または、メッセージ数 50 と間隔 2 秒のデフォルト値をそのまま使用します。 5. メールの受信者数がどの程度に達した場合に警告を表示するかを設定するには、 [Warn the user when the number of recipients... ( 多数の受信者へのメッセージの 場合にユーザに警告 ...)] チェック ボックスをオンにします。警告が表示される 受信者数を入力するか、または、デフォルト値の 50 をそのまま使用します。 6. [Save ( 保存 )] をクリックします。 [Version Comments ( バージョン コメント )] ページが表示されます。 Integrity Advanced Server 管理者ガイド 203 7. [Comments ( コメント )] ボックスに、ポリシー設定に加えた変更について説明す るメモを入力します。 8. 更新したポリシーを配備せずに変更を保存するには、[Save (保存)] をクリックし ます。 変更の保存と配備を同時にする場合は、[Save and Deploy ( 保存して配備 )] をク リックします。続いて確認のため、[Yes ( はい )] をクリックします。 [Policy Manager (Policy Manager)] ページが表示されます。新しいアウトバウン ド メール設定がセキュリティ ポリシーに反映されます。 9. 変更を配備せずに保存した場合は、更新したポリシーを選択して [Deploy (配備)] をクリックすることで配備できます。 ポリシーを配備すると、そのポリシーに割り当てられているログオン中のエンドポ イント ユーザは、次のハートビートで更新されたバージョンのポリシーを受信しま す。これ以外の場合は、エンドポイント ユーザは次回ログオンしたときに更新され たポリシーを受信します。 Integrity Advanced Server 管理者ガイド 204 13 章 ポリシー : インスタント メッセージングの保護 Integrity IM セキュリティは、IM ベースの攻撃からエンドポイント ユーザを保護し ます。IM セキュリティを使用すると、危険な可能性のあるファイル、スクリプト、 およびリンクをブロックしたり、メッセージを暗号化したりして、IM トラフィック を制御できます。 以下のトピックについて説明します。 206 ページの「IM セキュリティの基本」 207 ページの「IM セキュリティの設定」 208 ページの「IM セキュリティの設定」 209 ページの「IM セキュリティ イベントのモニタリング」 Integrity Advanced Server 管理者ガイド 205 IM セキュリティの基本 Integrity では IM トラフィックを制御および監視し、インスタント メッセージを暗 号化し、エンドポイント コンピュータを IM ベースの攻撃から保護できます。IM セ キュリティは、IM サービスのネットワーク プロトコルを制御することで機能しま す。このため、サポートされるいずれのサービス ( 下記を参照 ) の IM クライアント でも作動します。 IM セキュリティは、集中管理される機能です。パーソナル ポリシーで IM セキュリ ティを施行する機能はありません。また、Integrity Flex にはこの機能を設定するた めのユーザ インターフェイスがありません。 IM セキュリティは、以下の IM サービスで使用できます。 AOL インスタント メッセンジャー MSN Messenger Yahoo! メッセンジャー ICQ Trillian Gaim Miranda (Yahoo! メッセンジャー プロトコル以外 ) HTTP モードのインスタント メッセージング サービスで IM セキュリティを使用 するには、HTTP トンネリングのためにプロキシ サーバをセットアップする必要 があります。HTTP トンネリングを使用しないと、HTTP モードの IM には IM セ キュリティを適用できません。詳細については、207 ページの「IM セキュリティ の設定」を参照してください。 Integrity Advanced Server 管理者ガイド 206 IM セキュリティの設定 このセクションでは、IM セキュリティの設定方法について説明します。 IM セキュリティを設定するには、次のようにします。 1. サポートされている IM クライアントのいずれかがインストールされていること を確認してください。( サポートされているクライアントの一覧については、 206 ページの「IM セキュリティの基本」を参照してください。) 2. 管理コンソールで、[Policies (ポリシー)] に移動してポリシーを選択し、[Edit (編 集 )] をクリックして、[Messaging Settings ( メッセージングの設定 )] タブを選択 します。 3. [Enable Instant Messaging Security Rules ( インスタント メッセージング セキュ リティ規則を有効にする )] が選択されていない場合は、ここで選択します。 IM セキュリティの設定にアクセスできるようになります。 4. 変更する設定を選択します。たとえば、[Notify the user of the encryption status of each IM ( 各 IM の暗号化状況をユーザに通知 )] を選択してから、サービス特 有の設定の [Yahoo (Yahoo)] 列で、[Allow Access ( アクセスを許可する )]、[Block Scripts ( スクリプトをブロックする )]、および [Block Executable Links ( 実行可 能リンクをブロックする )] を選択します。 各設定の説明については、オンライン ヘルプまたは 208 ページの「IM セキュ リティの設定」を参照してください。 5. HTTP モードのインスタント メッセージング サービスで IM セキュリティを使用 したい場合は、次のようにします。 [Use proxy address (Host:Port) (プロキシ アドレスを使用する (ホスト:ポート ))] を選択して、プロキシ サーバのホスト名とポート番号を入力します。必 要に応じて、[Advanced ( 詳細 )] をクリックして、プロキシ サーバを使用す るインスタント メッセージング サービスを選択します。デフォルトでは、 すべてのサービスが選択されています。 IM クライアントのインターフェイスで、直接接続を ( プロキシ サーバの代 わりに ) 使用するようにクライアントを設定します。たとえば、Yahoo! イン スタント メッセンジャー クライアントを [No proxies ( プロキシなし )] に設 定します。 6. [Save ( 保存 )] をクリックします。 Integrity Advanced Server 管理者ガイド 207 IM セキュリティの設定 IM セキュリティの設定オプションの説明については、関連するオンライン ヘルプ を参照してください。 管理コンソールにおける IM セキュリティの設定は、すべての IM サービスに適用さ れる全般設定と、選択した特定の IM サービスにのみ適用されるサービス特有の設 定とに分類されています。 [Enable Instant Messaging Security Rules ( インスタント メッセージング セキュリ ティ規則を有効にする)] の設定では、あるポリシーにおける IM セキュリティの動作 が制御されます。この機能を有効にするためには、このチェックボックスをオンに する必要があります。IM セキュリティを設定した後でこのチェックボックスをオフ にすると、最新の設定が保存され、後でまたオンにしてそのまま作動させることが できます。 Integrity Advanced Server 管理者ガイド 208 IM セキュリティ イベントのモニタリング Integrity は、IM プロトコルの種類およびイベントの種類の両方について、IM セ キュリティ イベントを追跡します。このセクションでは、IM セキュリティ イベン トのレポートを表示する方法について説明します。(Integrity Advanced Server におけ るレポート作成の一般的な説明については、第 17 章 「クライアント セキュリティ のモニタリング」を参照してください ) IM セキュリティ イベントをモニタリングするには、次のようにします。 1. [Reports ( レポート )] | [Client Events ( クライアント イベント )] に移動します。 2. レポートの対象とする期間を選択し、[Event Type ( イベントの種類 )] ドロップダ ウン リストで、[IM Security by Protocol (IM セキュリティ、プロトコル基準 )] ま たは [IM Security by Type (IM セキュリティ、種類基準 )] を選択します。 3. [Apply Filter ( フィルタの適用 )] をクリックします。 対応するグラフが表示されます。 4. イベントの詳細を表示するには、凡例のリンクをクリックします ( イベントの種 類または IM プロトコルを基準として表示できます )。 イベント詳細レポートには、各イベントについて、ユーザ、グループ、カタロ グ、ポリシー名、およびイベントのタイムスタンプが表示されます。 IM セキュリティ イベントが発生したエンドポイントに関する全般的なレポートを 見つける方法については、242 ページの「個別のエンドポイントの詳細情報の検 索」を参照してください。 Integrity Advanced Server 管理者ガイド 209 14 章 ゲートウェイと協調施行 イントロダクション この章では、Integrity Advanced Server の協調施行 (Cooperative Enforcement(TM)) 機 能について説明します。この章は、以下のセクションで構成されています。 211 ページの「協調施行機能の概念」 211 ページの「サポート対象のゲートウェイおよびクライアント」 211 ページの「協調施行の設定」 Integrity Advanced Server 管理者ガイド 210 協調施行機能の概念 協調施行機能を使用すると、リモートからネットワークに接続しているエンドポイ ント コンピュータについて以下のことを確保できます。 Integrity クライアントを実行していること。 固有のポリシーを持っていること。 割り当てられたセキュリティ ポリシーに準拠していること。 協調施行機能を使用することで、準拠していない任意のエンドポイント コンピュー タの VPN セッションを制限または停止できます。 Check Point InterSpect(TM) 内部セキュリティ ゲートウェイを使用している場合は、 社内 LAN 協調施行も可能です。詳細については、 『Integrity Advanced サーバ ゲート ウェイ インテグレーション ガイド』を参照してください。 サポート対象のゲートウェイおよびクライアント Integrity Advanced Server では、以下のゲートウェイおよびクライアントで協調施行 を実行できます。 SCV (Secure Configuration Verification) を使用している Check Point Software Technologies の VPN-1 SecureClient および Firewall-1 Check Point InterSpect(TM) 内部セキュリティ ゲートウェイ Cisco VPN 3000 シリーズ コンセントレータ Nortel Contivity VPN switch with TunnelGuard ( ファームウェア バージョン 4.80 以降 ) サポート対象のゲートウェイを使用している場合は、Integrity Advanced Server で Integrity クライアントのイベントとユーザ ステータスを監視できますが、ゲート ウェイ レベルでアクセスを制限することはできません。エンドポイント ユーザを 制限するには、施行規則を制限ファイアウォール規則と組み合わせて使用する必 要があります。154 ページの「ポリシー: 安全でないエンドポイントの制限」を 参照してください。 協調施行の設定 このセクションでは、協調施行を設定するために実行すべき手順について説明しま す。サポートされているほとんどのゲートウェイで、まず Integrity を設定して、そ の後にゲートウェイを設定する必要があります。例外的に、Check Point InterSpect については、Integrity を設定する前に設定する必要があります。 Integrity Advanced Server 管理者ガイド 211 協調施行を設定するには、次のようにします。 1. Integrity Advanced Server にゲートウェイを追加します。 19 ページの「ゲートウェイ カタログの追加」を参照してください。このステッ プによって、Integrity Advanced Server がゲートウェイ機器と通信できるように なります。 Check Point InterSpect で協調施行をセットアップしている場合は、まず InterSpect ゲートウェイを設定して、それから Integrity Advanced Server を設定します。つま り、InterSpect についてはステップ 4 から開始して、その後でステップ 1 ~ 3 を行 うことになります。 2. グループをゲートウェイに追加します。 27 ページの「カスタム、IP、およびゲートウェイ カタログへのグループの追 加」を参照してください。 Check Point Interspect を使用している場合は、グループを追加したりポリシー を割り当てたりしてはいけません。 3. ポリシーを割り当てます。 グループまたはゲートウェイ自体 ( またはその両方 ) にポリシーを割り当てるこ とができます。13 ページの「ポリシーの継承機能のしくみ」を参照してくださ い。 4. ゲートウェイを Integrity Advanced Server と統合します。 使用 して いる ゲー トウ ェイ に特 有の 情報 につ いて は、『Integrity Advanced Server ゲートウェイ インテグレーション ガイド』の該当する章を参照してくだ さい。 Integrity Advanced Server 管理者ガイド 212 15 章 ポリシーとポリシー パッケージのクライアントへ の配布 この章では、エンタープライズ セキュリティ ポリシーとポリシー パッケージを Integrity の保護対象コンピュータに配布する方法について説明します。これには、 エンドツーエンドの配布プロセス、ポリシーのバージョン管理、およびポリシーと ポリシー パッケージ双方の割り当てについての説明が含まれます。 Integrity Advanced Server 管理者ガイド 213 ポリシー配布の概念 Integrity Advanced Server エンタープライズ セキュリティ ポリシーの配布は、主要 な 4 つのステップから構成されます。 1. Integrity Advanced Server におけるポリシーの保存。このプロセスではポリシー を Integrity Advanced Server に保存するだけで、Integrity クライアントで使用で きるようにはしません。保存されるポリシーは、最初のバージョン、更新された バージョン、またはロールバックにより復元された旧バージョンの場合がありま す。 ポリシーの作成に関する詳細については、第 5 章 「ポリシーの管理」の「新規 セキュリティ ポリシーの作成」を参照してください。 2. Integrity Advanced Server のポリシー サーバ エリアへのポリシーの配備。これに よりポリシーの最新バージョンが、Integrity クライアントでダウンロードできる エリアに送られます。 3. ドメイン内の 1 つ以上のエンティティへのポリシーの割り当て。ポリシーはこ の手順で、Integrity Advanced Server システム上のユーザに関連付けられます。 ポリシー パッケージの割り当てのステップは、ポリシーの割り当てと同じです。 4. Integrity Advanced Server ポリシー サーバから Integrity クライアントにポリシー をダウンロード。Integrity クライアントはこの手順で、クライアントがインス トールされているコンピュータからログインしているユーザに割り当てられたポ リシーの最新バージョンを取得します。 ポリシー継承について ポリシーは、常にドメイン内のすべてのエンティティに割り当てられます。トップ レベル ( ドメインそのもの ) も例外ではありません。Integrity では、新たに作成され たエンティティに対し、デフォルトのドメイン ポリシーが自動的に割り当てられま す。ポリシーは、直接割り当てることも、( 親エンティティからの ) 継承によって割 り当てることもできます。 次の 2 つのシナリオは、ポリシー継承の例を示すものです。 シナリオ 1: デフォルトのドメイン ポリシーはドメイン X に割り当てられ、すべ てのエンティティはこれを継承するように設定されています。( これがデフォル トの動作です。) Integrity Advanced Server 管理者ガイド 214 デフォルトのドメイン ポリシー DomainX 継承 ( デフォルトのドメイン ポリシー) 継承 ォルトのドメイン ポリシー) グループ 継承 ォルトのドメイン ポリシー) グループ ユーザ カタログ Engineering ユーザ カタログ A 継承 ( デフォルトのドメイン ポリシー) Research 継承 ( デフォルトのドメイン ポリシ グループ 継承 ( デフォルトのドメイン ポリ すべてのカタログとグループが、ドメインからデフォルトのポリシーを継承しま す。 シナリオ 2: デフォルトのドメイン ポリシーがドメイン X に割り当てられ、接続 ポリシーが Engineering ユーザ カタログに割り当てられ、Advanced User ポリ シーが Research グループ (Engineering カタログ内 ) に割り当てられ、その他の すべてのカタログとグループは継承するように設定されています。 デフォルトのドメイン ポリシー 継承 ( デフォルトのドメイン ポリシー) 継承 ( デフォルトのドメイン ポリシー) グループ 継承 ( デフォルトのドメイン ポリシー) グループ ユーザ カタログ A DomainX ユーザ カタログ Engineering 接続ポリシー Research Advanced User ポリシー グループ 継承 ( 接続ポリシー) Research グループ ユーザには Advanced User ポリシーが適用され、他の Engineering グループは接続ポリシーを継承し、ドメイン内の他のすべてのカタ ログとグループはデフォルトのドメイン ポリシーを継承します。 ポリシーをエンティティに割り当てる操作手順については、219 ページの「割り当 てのシナリオ」を参照してください。 Integrity Advanced Server 管理者ガイド 215 ポリシー バージョンの管理 ポリシーを保存するたびに、Integrity Advanced Server では、参照およびロールバッ クのためにポリシーのコピーが保存されます。ポリシー履歴ロールバック機能を使 用して、ポリシーの過去のバージョンの設定を復元できます。 ポリ シー 設定 を復 元す ると き、ポリ シー は Classic Firewall Rules Manager や Location Manager などの Data Manager の現在の定義を持ちます。状況によって、ポ リシーの過去バージョンにロールバックすると以下の状態になることがあります。 規則または定義が Data Manager 内で変更された場合。この場合、ポリシーには 規則または定義の最新の設定が含まれます。 規則または定義が Data Manager から削除された場合。この場合、ポリシーには その規則または定義が含まれます。削除された規則または定義はポリシーに対し てローカルになり、Data Manager には表示されません。 Integrity Advanced Server に格納できるポリシー バージョンの最大数は、サーバ の初期設定によって異なります。バージョン履歴が最大数に達すると、最も古い コピーが削除され、最新のコピーが保存されます。 ポリシーを前のバージョンにロールバックするには、次のようにします。 1. [Policies ( ポリシー)] を選択します。 [Policy Manager (Policy Manager)] ページが表示されます。 2. ポリシーのリストからポリシーを選択して、[History (履歴)] をクリックします。 [Policy History (ポリシー履歴)] ページに、選択したポリシーのバージョン履歴が 表示されます。 3. 保存されているバージョンのポリシー設定を表示します。 ポリシー設定を調べ、復元するバージョンを見つけます。 a. [Date Saved ( 保存日 )] カラムのエントリは、そのバージョンのポリシー設定 に関する読み取り専用ビューのハイパーリンクになっています。ハイパーリ ンクをクリックして設定を表示します。 b. 設定を確認し終えたら、[Return to Policy History ( ポリシー履歴に戻る )] を クリックします。 4. バージョン リストでバージョンを選択し、[Roll Back ( ロールバック )] をクリッ クします。 確認メッセージが表示されます。 5. [Yes ( はい )] をクリックします。 [Policy Manager (Policy Manager)] ページに、ロールバックが成功したことを示 すメッセージが表示されます。 Integrity Advanced Server 管理者ガイド 216 前のバージョンにロールバックした後で、ポリシーを配備して、割り当てられた ユーザに送る必要があります。配備を行う前にポリシー設定を修正することができ ます。 Integrity Advanced Server 管理者ガイド 217 ポリシーの配備 ポリシーを保存しても、自動的には配備されません。このため、ポリシーに加えた 変更について、ユーザに影響を与えずに保存できます。また、これにより、都合の 良い時間にポリシーを配備できます ( たとえばユーザが作業しておらずより広い帯域 幅を利用できる業務時間外など )。 ポリシーを配備するには、次のようにします。 1. [Policies ( ポリシー)] を選択します。 [Policy Manager (Policy Manager)] ページが表示されます。 2. ポリシーのリストで配備するポリシーを選択して、[Deploy (配備)] をクリックし ます。 確認メッセージが表示されます。 3. [Yes ( はい )] をクリックします。 [Policy Manager (Policy Manager)] ページに、配 備が成功したこと を示すメッ セージが表示されます。[Last Deployed On ( 最新の配備日時 )] フィールドは現在 のタイム スタンプで更新されます。 ポリシーの配備を完了したら、ドメイン内のエンティティに割り当てることができ ます。割り当てられたエンティティは、次回のハートビートまたは次回のログイン の際に、ポリシーをダウンロードします。 Integrity Advanced Server 管理者ガイド 218 割り当てのシナリオ このセクションでは、全般的なポリシー管理タスクについて説明します。 219 ページの「ポリシーのエンティティへの割り当て」 220 ページの「ユーザへのポリシーの割り当て ( オプション )」 220 ページの「セキュリティ モデルの設定」 221 ページの「ポリシー割り当ての継承設定」 221 ページの「割り当てられたポリシーの削除」 ポリシー パッケージの割り当てのステップは、ポリシーの割り当ての手順と同じ です。 ポリシーのエンティティへの割り当て このセクションでは、ポリシーをドメインまたはエンティティに割り当てる方法に ついて説明します。 ポリシーを割り当てるには、次のようにします。 1. 対応するドメインで、[Entities ( エンティティ)] に移動します。 [Entity Manager (Entity Manager)] ページが表示されます。 2. 対象とするエンティティを選択し、[Assign Policy ( ポリシーの割り当て )] をク リックします。( 対象とするポリシーが画面上に表示されていない場合は、検索 機能を使用してその特定のエンティティを見つけるか、または、エンティティお よびグループのリンクをクリックして階層内を探してください。エンティティに チェックボックスがない場合、そのエンティティへのアクセスが許可されていな いということです。) [Policy Assignment ( ポリシー割り当て )] ページが表示されます。 3. [Select Policy ( ポリシーの選択 )] ドロップダウン リストで、割り当てるポリシー を選択します。まだ配備されていないポリシーを選択すると、割り当てプロセス によって自動的にそのポリシーが配備されます。 4. [Assign ( 割り当て )] をクリックします。 ポリシーをユーザまたはグループに割り当てると共に IP 範囲またはサブネットに も割り当てる場合は、両方に属しているユーザに対してどのポリシーを施行すべ きかを決定する必要があります。220 ページの「セキュリティ モデルの設定」を 参照してください。 Integrity Advanced Server 管理者ガイド 219 ユーザへのポリシーの割り当て ( オプション ) ユーザは、親エンティティからポリシーを自動的に継承します。しかし、該当ユー ザ専用に新しいエンティティを作成することなく、1 人以上のユーザに異なるポリ シーを直接割り当てることもできます。通常のセキュリティ手法に例外を設ける場 合に、この機能を使用します。 ポリシーをユーザに割り当てるには、次のようにします。 1. 対応するドメインで、[Entities ( エンティティ)] に移動します。 [Entity Manager (Entity Manager)] ページが表示されます。 2. エンティティおよびグループのリンクをクリックして、ユーザ レベルに移動し ます。対象とするユーザを選択し、[Assign Policy ( ポリシーの割り当て )] をク リックします。 [Policy Assignment ( ポリシー割り当て )] ページが表示されます。 3. [Select Policy ( ポリシーの選択 )] ドロップダウン リストで、割り当てるポリシー を選択します。まだ配備されていないポリシーを選択すると、割り当てプロセス によって自動的にそのポリシーが配備されます。 4. [Assign ( 割り当て )] をクリックします。 ポリシーをユーザまたはグループに割り当てると共に IP 範囲またはサブネットに も割り当てる場合は、両方に属しているユーザに対してどのポリシーを施行すべ きかを決定する必要があります。220 ページの「セキュリティ モデルの設定」を 参照してください。 セキュリティ モデルの設定 ユーザは、複数のセキュリティ ポリシーに服することがあります。たとえば、ポリ シー x が割り当てられたグループに属しているユーザが、同時にポリシー y が割り 当てられた IP を持っている場合などです。このような場合、セキュリティ モデル によってポリシーの優先順位が決定されます。 デフォルトでは、ユーザおよびグループのポリシーが IP に基づくポリシーより優先 され、未知のユーザおよび IP アドレスにはデフォルトのポリシーが割り当てられま す。 セキュリティ モデルを設定するには、次のようにします。 1. システム ドメインで、[System Configuration ( システム設定 )] | [Security Model ( セキュリティ モデル )] に移動します。 [Security Model ( セキュリティ モデル )] ページが表示されます。 Integrity Advanced Server 管理者ガイド 220 2. セキュリティ ます。 モデルを選択して、上下の矢印キーを使用して優先順位を変更し セキュリティ モデルは、[Security Model ( セキュリティ モデル )] ページに表示 された順序で施行されます。また、セキュリティ モデルを無効または有効にす ることもできます。 ポリシー割り当ての継承設定 Integrity Advanced Server 上のすべてのエンティティ ( ドメインを含む ) に、常にポ リシーが割り当てられている必要があります。( 新規エンティティについても、作成 時にデフォルトのドメイン ポリシーが自動的に割り当てられます。) 直接のポリシー 割り当てを削除する場合は、そのエンティティに親のポリシーを継承させる必要が あります。ドメインは構造の最高レベルであるため、ドメインには常に直接ポリ シーを割り当てる必要があります。 ポリシー継承を設定するには、次のようにします。 1. 対応するドメインで、[Entities ( エンティティ)] に移動します。 [Entity Manager (Entity Manager)] ページが表示されます。 2. 対象とするエンティティを選択し、[Assign Policy ( ポリシーの割り当て )] をク リックします。( 対象とするポリシーが画面上に表示されていない場合は、検索 機能を使用してその特定のエンティティを見つけるか、または、エンティティお よびグループのリンクをクリックして階層内を探してください。) [Policy Assignment ( ポリシー割り当て )] ページが表示されます。 3. [Select Policy ( ポリシーの選択 )] ドロップダウン リストで、[Inherit from parent ( 親から継承 )] を選択します。 4. [Assign ( 割り当て )] をクリックします。 割り当てられたポリシーの削除 エンティティに割り当てられているポリシーを削除することはできません。ポリ シーを削除するには、そのポリシーが割り当てられているすべてのエンティティを 見つけ、それらのエンティティに別のポリシーを割り当てる必要があります。ポリ シーの割り当てを変更したら、古いポリシーを削除します。手順については、 81 ページの「セキュリティ ポリシーの削除」を参照してください。 Integrity Advanced Server 管理者ガイド 221 16 章 Integrity クライアント インストール パッケージ この章では、Integrity インストール パッケージを作成して配信し、エンドポイント コンピュータを保護する方法について説明します。この章では、まず Integrity クラ イアント インストール パッケージの概念と作成方法について説明します。後続のセ クションでは、エンドポイントにクライアント パッケージを配信する方法について 説明します。最後に、クライアント規則を使用してクライアント パッケージを自動 更新する方法について説明します。 223 ページの「Integrity クライアント インストール パッケージの概念」 226 ページの「Integrity クライアント パッケージの作成」 233 ページの「Integrity クライアント パッケージの編集」 234 ページの「Integrity クライアント パッケージのコピー」 235 ページの「Integrity クライアント パッケージの配備」 237 ページの「クライアント パッケージの自動更新」 Integrity Advanced Server 管理者ガイド 222 Integrity クライアント インストール パッケージの概念 クライアント インストール パッケージには、少なくとも Integrity クライアント イ ンストーラの実行可能ファイルおよび設定情報が含まれます。設定情報は、XML フォーマットで記述されています。設定情報については、Client Packager で自動的 に XML 設定ファイルを生成することもできますし、既存の XML 設定ファイルを手 動で編集してクライアント パッケージに含めることもできます。 ここでは、Client Packager を使用して自動的に XML 設定ファイルを生成することを お勧めします。Client Packager を使用すると、Integrity クライアントを Integrity Advanced Server に適切に接続するためのデフォルトの接続文字列が自動的に生成さ れます。設定情報とインストーラの設定とを組み合わせることで接続文字列が生成 され、接続先の Integrity Advanced Server からポリシーをダウンロードして管理でき ます。また、クライアント パッケージにはパーソナル ポリシーや切断ポリシーも含 まれることがあります。 クライアント パッケージは、それが作成されたドメイン内でのみ適用されます。 Integrity クライアント実行可能ファイル Integrity Advanced Server には、Integrity クライアントの各タイプ (Integrity Flex と Integrity Agent) について、それぞれデフォルトの Integrity クライアント実行可能 ファイルがあります。Integrity Flex は、デスクトップ保護機能について熟知してい るユーザ向けです。Integrity Flex のユーザは、各自のファイアウォール設定に責任 を持てるだけの技術的な知識があることが想定されています。Integrity Flex のユー ザは、パーソナル ポリシーを設定できます。Integrity Agent では、Integrity Flex と 異なり、すべての設定が管理者によって行われます。いずれのタイプの Integrity ク ライアントを配備すべきかは、エンタープライズの要件とエンド ユーザの能力を基 に判断します。 設定情報 設定情報には、クライアントが Integrity Advanced Server に接続して、そのクライア ントに割り当てられたエンタープライズ ポリシーをダウンロードするために必要と なる情報が含まれます。( これらの設定は、クライアント パッケージ内の XML 設定 ファイルに格納されています。) 他の設定オプションは、Integrity クライアントの動 作を定義するためのものです。 Integrity クライアント用の設定情報 (config.xml) は、以下の 2 つの方法で作成でき ます。 自動生成する場合は、Integrity Advanced Server Client Packager を使用して、 [Use configuration information below ( 以下の設定情報を使用 )] セクションの設定 を選択します。Client Packager によって設定情報が自動的に生成されます。こ の方法で設定情報を自動的に生成することをお勧めします。 Integrity Advanced Server 管理者ガイド 223 手動で作成する場合は、Policy Studio のエクスポート機能を使用して、XML 設 定ファイルにポリシーをエクスポートします。XML 設定ファイルを編集し、次 に Client Packager の [Use configuration file ( 設定ファイルを使用 )] ラジオ ボタ ンを使用してその XML 設定ファイルをインポートします。 Integrity Advanced Server 管理者ガイド 224 XML 設定ファイル XML 設定ファイルは、接続文字列と、Integrity クライアントを稼働させるためのす べての設定オプションをカプセル化したものです。 『Integrity クライアント リファレンス ガイド』に、XML 設定ファイルの操作方法 と、クライアントの設定に使用できるすべてのパラメータが記載されています。 切断されたエンドポイントのセキュリティ パーソナル ポリシーは、クライアントがエンタープライズ ネットワークから切断さ れたときの Integrity クライアントの動作を定義するポリシーです。Integrity Flex ユーザは自分のパーソナル ポリシー設定を変更できますが、Integrity Agents ユーザ は変更できません。 Integrity クライアントには、デフォルトのパーソナル ポリシーが設定されていま す。管理者が設定したポリシーをクライアント パッケージに追加して、デフォルト のパーソナル ポリシーと置き換えることができます。この方法によって、クライア ントが切断された場合のエンドポイントのセキュリティについてベースラインを設 定できます。 また、切断ポリシーをクライアント パッケージに追加するという方法でも、切断中 のエンドポイントのセキュリティについてベースラインを設定できます。( 切断ポリ シーは、クライアントが Integrity Advanced Server にアクセスできないときに使用さ れます。) 切断ポリシーはパーソナル ポリシーとの調停を行いますが、エンドポイ ント ユーザは切断ポリシーを変更できません。調停中は、切断ポリシーとパーソナ ル ポリシーの規則のうち、最も厳しい規則が適用されます。切断ポリシーがパーソ ナル ポリシーより優れているもう 1 つの点は、Integrity Advanced Server で集中的 に管理できる点です。管理者はポリシー パッケージを作成して、切断エンタープラ イズ ポリシーと接続エンタープライズ ポリシーをパッケージ化できます。初期クラ イアント パッケージに切断ポリシーが含まれていない場合でも、このポリシー パッ ケージを集中的に管理してエンドポイントに配布できます。 パーソナル ポリシーおよびエンタープライズ ポリシー ( 接続および切断 ) の作成の 詳細については、第 5 章 章「セキュリティ ポリシー」を参照してください。 Integrity Advanced Server 管理者ガイド 225 Integrity クライアント パッケージの作成 Integrity クライアント パッケージを作成するには、以下のステップに従います。 1. 226 ページの「クライアントの設定方法と設定の選択」 2. 226 ページの「セキュリティ ポリシーの作成」 3. 227 ページの「クライアント パッケージの作成とクライアント パッケージ情報 の追加」 4. 228 ページの「クライアント パッケージの設定」 5. 231 ページの「クライアント インストール パラメータの設定」 クライアントの設定方法と設定の選択 クライアントの設定方法を選択し、どのクライアント設定を実装するかを選択し て、クライアント パッケージの作成を準備します。 クライアント パッケージを作成する場合は、以下のように準備します。 1. クライアントを設定するには、以下のいずれかの方法を選択します。 Integrity Advanced Server のポリシー スタジオで、XML 設定ファイルを作成 するか、または既存の設定済み XML 設定ファイルを編集します。詳細につ いては、223 ページの「設定情報」を参照してください。 クライアント パッケージを作成する場合は、[Use configuration information below ( 以下の設定情報を使用 )] セクションに設定情報を直接入力します。 2. エンタープライズ環境に最も適したクライアント設定を選択します。『Integrity クライアント リファレンス ガイド』に、使用できるすべてのクライアント設定 が記載されています。 次に、クライアント パッケージに含めるセキュリティ ポリシーを作成します。 226 ページの「Integrity クライアント パッケージの作成」を参照してくださ い。 セキュリティ ポリシーの作成 この時点では、セキュリティ ポリシーを作成する必要はありません。セキュリティ ポリシーを作成しない場合は、デフォルトのエンタープライズ ポリシーが使用され ます。これに対し、クライアント パッケージを作成する前にセキュリティ ポリシー を作成して、クライアントに施行したりクライアント インストール パッケージに含 めたりすることもできます。作成できるセキュリティ ポリシーは以下のとおりで す。 パーソナル ポリシー。エンタープライズ ポリシーがアクティブでないときに使 用される Integrity クライアントの設定が含まれます。 Integrity Advanced Server 管理者ガイド 226 接続エンタープライズ ポリシー。クライアントは、初めて Integrity Advanced Server に接続したときに、そのクライアントに割り当てられた接続エンタープラ イズ ポリシーをダウンロードします。 切断エンタープライズ ポリシー。クライアント パッケージに含めるか、または ポリシー パッケージ ( 接続および切断エンタープライズ ポリシー パッケージ ) に含めます。 さまざまなポリシーのタイプとその使用方法の詳細については、第 5 章「セキュリ ティ ポリシー」を参照してください。 次に、クライアント パッケージを作成してクライアント パッケージ情報を追加しま す。227 ページの「クライアント パッケージの作成とクライアント パッケージ情報 の追加」を参照してください。 クライアント パッケージの作成とクライアント パッケージ情報 の追加 クライアント パッケージを作成し、クライアント パッケージ情報を追加します。こ の情報は、クライアント パッケージを識別し、パッケージに含める Integrity クライ アントのタイプを定義するためのものです。 クライアント パッケージを作成し、クライアント パッケージの詳細を追 加するには、次のようにします。 1. [Client Configuration ( クライアント設定 )] | [Client Packages ( クライアント パッ ケージ )] を選択します。 [Client Packager (Client Packager)] ページが表示されます。 2. [New ( 新規作成 )] をクリックします。 [New Client Packager ( 新しい Client Packager)] ページが表示されます。 Integrity Advanced Server 管理者ガイド 227 3. [Package Details ( パッケージの詳細 )] セクションの [Package Name ( パッケージ 名 )] フィールドに、新しいパッケージの名前を入力します。 4. [Product Information ( 製品情報 )] セクションの [Client Type ( クライアント タイ プ )] ドロップダウン リストから、パッケージに含める Integrity クライアントの タイプを選択します。 5. [Browse ( 参照 )] をクリックして、パッケージに含めるクライアント インストー ラ ファイルを選択します。 6. [Product Version ( 製品のバージョン )] フィールドに、Integrity クライアントの バージョン番号を入力します。 [Product Version ( 製品バージョン )] フィールドには、完全なバージョン番号を入 力する必要があります。完全なバージョン番号を入力することで、クライアント の自動更新のための自動更新クライアント規則を作成するときに、より高い精度 を実現できます。クライアントのバージョン番号を特定するには、以下のような 複数の方法があります。 クライアントのダウンロード Web サイトからクライアントをダウンロード するときに、完全なバージョン番号をメモしておく方法があります。 Integrity Advanced Server で提供される Integrity クライアント インストーラ ファイルのファイル名にはバージョン番号が含まれています。 Integrity クライアントのユーザ インターフェイスで [Overview (概要)] パネル を選択して、[Product Info ( 製品情報 )] タブを選択します。クライアントの バージョン番号が表示されます。 Windows Explorer でクライアント ファイルを右クリックし、[Properties ( プ ロパティ)] をクリックします。[Version ( バージョン情報 )] タブをクリックし て、[Product Version ( 製品バージョン )] をクリックします。[Value ( 値 )] フィールドに、クライアントのバージョン番号が表示されます。 7. ローカライズされたバージョンの Integrity クライアントであれば、[Language ( 言語 )] ドロップダウン リストからそのクライアント用の言語を選択します。 次に、クライアント パッケージを設定します。(228 ページの「クライアント パッケージの設定」を参照してください。) クライアント パッケージの設定 以下のいずれかのステップで、クライアント パッケージを設定します。 XML 設定ファイルを使用する。 [Use configuration information below ( 以下の設定情報を使用 )] セクションを使用 する。 Integrity Advanced Server 管理者ガイド 228 XML 設定ファイルでクライアント パッケージを設定するには、次のよう にします。 1. [Configuration Details ( 設定の詳細 )] セクションで、[Use configuration file ( 設定 ファイルを使用 )] ラジオ ボタンを選択します。 2. [Browse ( 参照 )] をクリックして、クライアント設定ファイルとして使用する XML 設定ファイルを選択します。 クライアント パッケージを手動で設定するには、次のようにします。 1. [Configuration Details ( 設定の詳細 )] セクションで、[Use configuration information below ( 以下の設定情報を使用 )] ラジオ ボタンを選択します。 [Connection Name ( 接続名 )]、[Server IP Address ( サーバの IP アドレス )]、およ び [Server Port ( サーバのポート )] フィールドには、現在接続している Integrity Advanced Server の情報が自動的に入力されます。 自動更新機能を使用するようにクライアント パッケージを作成し、レポートを 使用する場合は、最初のクライアントの配備で使用したのと同じ IP アドレス、 サーバのポート番号、およびユーザ ID を、更新されたクライアント パッケージ に使用する必要があります。 2. カスタム ユーザ ID を使用してクライアントをグループ分けする場合は、[User ID ( ユーザ ID)] フィールドにユーザ グループを入力します。 3. 必要に応じて、[Single Sign On ID ( シングル サインオン ID)] フィールドでシン グル サインオンの種類を選択します。 4. [Reconnect Interval ( 再接続間隔 )] フィールドについては、デフォルトの設定を そのまま使用するか、または Integrity クライアントが Integrity Advanced Server への接続を試行する間隔を秒単位または分単位で指定します ( 再接続間隔は、接 続の試行間のスリープ時間とも呼ばれます )。 10 未満の数は分単位と見なされます。 10 を超える数は秒単位と見なされます。 デフォルト設定は 180 秒です。 Integrity Advanced Server を使用できない場合、Integrity クライアントは 3 分間操 作を中断した後、改めて再接続を試行します。再接続を試行する間隔を短くする 場合は、[Reconnect Interval ( 再接続間隔 )] フィールドに指定します。 Integrity Advanced Server 管理者ガイド 229 5. [Enforce Enterprise Policy ( エンタープライズ ポリシーの施行 )] ドロップダウン リストで、以下のいずれかのオプションを選択します。 [Always ( 常時 )] を選択すると、エンドポイントがエンタープライズ ネット ワークに接続したとき、またはネットワークから切断したときにエンタープ ライズ ポリシーが施行されます。 切断エンタープライズ ポリシーが使用されているかどうかによって、[Always ( 常時 )] 設定の動作は異なります。 接続エンタープライズ ポリシーが唯一のエンタープライズ ポリシーである 場合、接続または切断時にはこのエンタープライズ ポリシーが施行されま す。( エンタープライズ ポリシーの [Policy Arbitration Rules ( ポリシー調停規 則 )] 設定は無視されます。代わりに、Client Packager の [Enforce Enterprise Policy ( エンタープライズ ポリシーの施行 )] | [Always ( 常時 )] 設定が優先さ れます。) 切断エンタープライズ ポリシーが存在する場合は ( クライアント パッケージ に含まれているか、Integrity Advanced Server からダウンロードされるかに かかわらず )、この切断ポリシーが施行され、その独自の [Policy Arbitration Rules ( ポリシー調停規則 )] 設定が使用されます。 [When connected ( 接続時 )] を選択すると、エンタープライズ ネットワーク に接続したときにのみ、エンタープライズ ポリシーが施行されます。 6. エンタープライズの必要に応じて、以下のチェック ボックスをオンにします。 [Launch Client Minimized ( クライアントを最小化して起動 )] をオンにする と、Windows の起動時にクライアントが最小化されます (Integrity Agent の み )。 [System Tray Icon ( システム トレイ アイコン )] をオンにすると、システム ト レイ アイコンが表示されます (Integrity Agent のみ )。 [System Tray Menu ( システム トレイ メニュー)] をオンにすると、システム トレイの右クリック メニューが有効になります (Integrity Agent のみ )。 [Client Shutdown ( クライアントのシャットダウン )] をオンにすると、エン タープライズ ポリシーが施行されているかどうかに関わらず、ユーザが Integrity クライアントをシャットダウンできるようになります。エンタープ ライズ ポリシーは、接続状況に応じて接続もしくは切断エンタープライズ ポリシーになります。(このオプションは、Integrity Flex と Integrity Agent の いずれのクライアントでも利用できます。) 7. ローカル ポリシーをクライアント パッケージに含める場合は、[Add Local Policy ( ローカル ポリシーの追加 )] ドロップダウン リストからポリシーを選択し ます。 パーソナル ポリシーをクライアント パッケージに含める方法の詳細については、 225 ページの「切断されたエンドポイントのセキュリティ」を参照してくださ い。 Integrity Advanced Server 管理者ガイド 230 8. 切断エンタープライズ ポリシーをクライアント パッケージに含める場合は、 [Add Disconnected Policy ( 切断ポリシーを追加 )] ドロップダウン リストからポ リシーを選択します。 切断エンタープライズ ポリシーをクライアント パッケージに含める方法の詳細に ついては、225 ページの「切断されたエンドポイントのセキュリティ」を参照し てください。 クライアント インストール パラメータの設定 クライアント インストール パラメータは、クライアント インストール プロセスの 動作を定義するためのものです。 クライアント インストール パラメータを設定するには、次のようにしま す。 1. [License Key ( ライセンス キー)] フィールドに、Check Point の販売店から提供さ れたライセンス キーを入力します。 2. [Install Directory ( インストール ディレクトリ )] に、Integrity クライアントをイ ンストールするエンドポイント マシンのファイル パスを入力します。 このフィールドを空白のままにすると、Integrity クライアントは次のデフォルト パスにインストールされます。C:\Program Files\Check Point\Integrity Client 3. クライアントのインストール時に Integrity クライアントのインストール ユーザ インターフェイスを表示する場合は、[Run Installer without UI (UI なしでインス トーラを実行 )] チェック ボックスをオフにします。 4. 以下のいずれかの [Install Key ( インストール キー)] ラジオ ボタンを選択しま す。 インストール キー オプションの設定によって、エンド ユーザが Integrity クライ アントをアンインストールできるかどうか、および、インストール通知ダイアロ グ ボックスを抑止できるかどうかが制御されます。 [Don’t use an install key (インストール キーを使用しない)] を選択すると、イ ンストールキーなしでクライアントをインストールできるようになります。 [Use and set an install key ( インストール キーを使用して設定 )] を選択する と、インストール キーを設定できるようになります。Integrity クライアント をアンインストールするときに、このインストール キーが必要になります。 [Install Key ( インストール キー)] フィールドにインストール キーを入力する 必要があります。 [Use an install key and change it to a different key on installation ( インストー ル キーを使用して、インストール時に異なるキーに変更)] を選択すると、イ ンストール キーを持つ既存の Integrity クライアントを、新しいインストー ル キーを持つ新しいクライアントに更新できます。[Install Key ( インストー Integrity Advanced Server 管理者ガイド 231 ル キー)] フィールドに既存のインストール キーを入力し、[Set Install Key ( インストール キーの設定 )] フィールドに新しいインストール キーを入力す る必要があります。 5. [Install Key ( インストール キー)] フィールドに、以下のいずれかを入力します。 [Use and set an install key ( インストール キーを使用して設定 )] ラジオ ボタ ンを選択した場合は、インストール キーを入力します。 [Use an install key and change it to a different key on installation ( インストー ル キーを使用して、インストール時に異なるキーに変更 )] ラジオ ボタンを 選択した場合は、既存の Integrity クライアントのインストール キーを入力 します。新しいインストール キーは、[Set Install Key ( インストール キーの 設定 )] フィールドに入力します。 6. [Set Install Key ( インストール キーの設定 )] フィールドに、更新対象の Integrity クライアントを置き換える Integrity クライアントの新しいインストール キーを 入力します。 7. [Additional Parameters ( 追加パラメータ )] フィールドに、追加のコマンド ライン スイッチまたはインストール動作をさらに細かく設定するプロパティおよび値を 入力します。 使用できるスイッチとプロパティの詳細については、『Integrity クライアント管 理ガイド』を参照してください。 8. 必要に応じて、このパッケージでサーバ証明書をインストールできます。 サーバ証明書を追加する前に、サーバの設定が完了していることを確認してくだ さい。サーバ証明書とともにパッケージを配備した後でサーバを変更したりサー バ証明書を更新したりすると、エンドポイント ユーザが接続できなくなります。 9. [Save ( 保存 )] をクリックします。 ポリシー パッケージが正常に作成されたことを示すメッセージと共に、[Client Packager (Client Packager)] ページが表示されます。 Integrity Advanced Server 管理者ガイド 232 Integrity クライアント パッケージの編集 既存のクライアント パッケージの設定を変更するには、[Edit Client Package (クライ アント パッケージの編集)] ページを使用します。既存の Integrity クライアント パッ ケージのフィールドをすべて編集できます。 クライアント パッケージを編集するには、次のようにします。 1. [Client Configuration ( クライアント設定 )] | [Client Packages ( クライアント パッ ケージ )] を選択します。 [Client Packager (Client Packager)] ページが表示されます。 2. 編集するクライアント パッケージを選択して、[Edit (編集)] をクリックします。 [New/Edit Client Package ( 新規クライアント パッケージ / クライアント パッケー ジの編集 )] ページが表示されます。 3. [Package Detail ( パッケージの詳細 )] セクションのフィールドを編集します。 4. [Product Information ( 製品情報 )] セクションのフィールドを編集します。 現在の Integrity クライアントの実行可能ファイルを保持するには、[Use current installer ( 現在のインストーラを使用 )] ラジオ ボタンを選択します。 新しい Integrity クライアントの実行可能ファイルを選択するには、[Browse for new Installer File ( 新規インストーラ ファイルを参照 )] ラジオ ボタンを選 択します。 5. [Configuration Details ( 設定の詳細 )] セクションのフィールドを編集します。 現在の設定ファイルを使用する場合は、[Use current configuration file ( 現在 の設定ファイルを使用 )] ラジオ ボタンを選択します。 新しい設定ファイルを選択する場合は、[Browse for new configuration file ( 新 規設定ファイルを参照 )] ラジオ ボタンを選択します。 下に表示されている現在の設定情報をそのまま使用するか、または編集して 使用する場合は、[Use configuration information below ( 下記の設定情報を使 用 )] ラジオ ボタンを選択します。 6. [Install Parameters ( インストール パラメータ )] セクションのフィールドを編集 します。 7. [Save ( 保存 )] をクリックします。 ポリシー パッケージが正常に更新されたことを示すメッセージと共に、[Client Packager (Client Packager)] ページが表示されます。 Integrity Advanced Server 管理者ガイド 233 Integrity クライアント パッケージのコピー クライアント インストール パッケージをコピーして、コピー元のクライアント パッケージと同じ設定の新しいクライアント パッケージを作成できます。 クライアント パッケージをコピーするには、次のようにします。 1. [Client Configuration ( クライアント設定 )] | [Client Packages ( クライアント パッ ケージ )] を選択します。 [Client Packager (Client Packager)] ページが表示されます。 2. [Duplicate ( 複製 )] をクリックします。 [New/Edit Client Package ( 新規クライアント パッケージ / クライアント パッケー ジの編集 )] ページが表示されます。 3. [Package Name ( パッケージ名 )] フィールドに、新しいクライアント インストー ル パッケージの名前を入力します。 4. 必要に応じて、その他のフィールドを編集します。 5. [Save ( 保存 )] をクリックします。 ポリシー パッケージのコピーが正常に作成されたことを示すメッセージと共 に、[Client Packager (Client Packager)] ページが表示されます。 Integrity Advanced Server 管理者ガイド 234 Integrity クライアント パッケージの配備 クライアント パッケージの配備には、2 通りの方法があります。1 つは、クライア ント パッケージをエクスポートし、独自の配布方法を使用してエンドポイント ユー ザに配布する方法です。もう 1 つは、クライアント パッケージを含むサンドボック ス ページへのリンクを配布して、エンドポイント ユーザを誘導する方法です。 235 ページの「クライアント パッケージ ファイルの配布」 クライアント パッケージ ファイルの配布 クライアント パッケージをエクスポートするには、次のようにします。 1. [Client Configuration ( クライアント設定 )] | [Client Packages ( クライアント パッ ケージ )] を選択します。 [Client Packager (Client Packager)] ページが表示されます。 2. [Export ( エクスポート )] をクリックします。 [File Download ( ファイルのダウンロード )] ページが表示されます。 3. [Save ( 保存 )] をクリックします。 [Open ( 開く )] ボタンをクリックしないでください。クリックすると、実行可能 ファイルが管理者のコンソール マシンにインストールされてしまいます。 4. クライアント パッケージを保存する場所で、[Save ( 保存 )] をクリックします。 これで、いずれかの方法を使用して Integrity クライアント パッケージをエンド ポイント ユーザに配布できるようになります。 クライアントをダウンロードする URL を配布するには、次のようにしま す。 1. [Client Configuration ( クライアント設定 )] | [Client Packages ( クライアント パッ ケージ )] を選択します。 [Client Packager (Client Packager)] ページが表示されます。 2. 配布するクライアント パッケージの名前をクリックします。 [View Client Package (クライアント パッケージの表示)] ページが表示されます。 Integrity Advanced Server 管理者ガイド 235 3. [Package Download ( パッケージのダウンロード )] の URL をコピーします。 4. 電子メールまたはイントラネットを使用して、エンドポイント ユーザに URL を 配布します。 エンド ユーザにクライアント パッケージのフル パスを電子メールします。 ユーザは、提供されたハイパーリンクを単にクリックするか、または URL をコピーしてブラウザのアドレス フィールドに貼り付けることができます。 ソフトウェア配布の便利な方法として、イントラネットにダウンロード URL を告知することができます。 上記の方法はいずれもエンドポイント ユーザの協力が必要です。しかし、クライア ントが一度インストールされれば、アップグレードはポリシー施行や自動更新と同 時に行われます。 Integrity Advanced Server 管理者ガイド 236 クライアント パッケージの自動更新 クライアント規則を作成し、更新されたクライアント パッケージの場所を参照する ことで、エンドポイント クライアントを自動的に更新できます。クライアント規則 では、エンドポイントで使用できるクライアントの最小バージョンが指定されま す。対策オプションとして、エンドポイント ユーザが確認してからクライアントを 自動的にアップグレードするように、またはエンドポイント ユーザに対してアップ グレードを促すプロンプトを表示するように設定することもできます。 クライアント規則の作成および自動対策の詳細については、172 ページの「クライ アント施行規則の作成」を参照してください。 Integrity Advanced Server 管理者ガイド 237 17 章 クライアント セキュリティのモニタリング Integrity Advanced Server では、エンドポイント上のセキュリティをモニタリングす るためのさまざまなレポートを利用できます。これらのレポートにより、エンドポ イントがクライアントおよびポリシーの要件、施行規則、ファイアウォール規則、 定期的な Anti-Spyware スキャン、およびアンチウイルス ソフトウェア要件に準拠し ているかどうかが示されます。また、禁止されたプログラム アクティビティや、IM またはメール経由の禁止されたファイル転送など、エンドポイントのセキュリティ イベントの情報も示されます。ユーザが未知の場合、レポートにはカタログ名の代 わりにユーザ接続情報が示されます。レポートには、全般的なセキュリティ傾向の 概要と、個別のエンドポイントに関する詳細情報が示されます。 以下のトピックについて説明します。 239 ページの「ログ アップロード パラメータの設定」 240 ページの「エンドポイントの概要の入手」 242 ページの「個別のエンドポイントの詳細情報の検索」 243 ページの「施行規則への準拠の追跡」 246 ページの「クライアント セキュリティ イベントの追跡」 248 ページの「ネットワーク上のプログラムのモニタリング」 Integrity Advanced Server 管理者ガイド 238 ログ アップロード パラメータの設定 Integrity Advanced Server のレポートは、クライアントからアップロードされるログ に基づいて作成されます。ログ アップロードのパラメータにはデフォルト値があり ますが、このデフォルト値を変更してクライアントがログを送信する頻度を制御で きます。 ログ アップロード パラメータを設定するには、次のようにします。 1. システム ドメインで、[Client Configuration ( クライアント設定 )] | [Client Settings ( クライアントの設定 )] に移動します。 まだクライアントの設定を行っていない場合は、デフォルト値が表示されます。 2. [Edit ( 編集 )] をクリックします。 3. フィールドに記入してパラメータを設定します。 非常に小さいパラメータを設定すると、パフォーマンスが低下することがありま す。非常に大きいパラメータを設定すると、レポートが最新のものでなくなりま す。 Integrity Advanced Server 管理者ガイド 239 エンドポイントの概要の入手 Integrity Advanced Server により、エンドポイントの接続、クライアントの配備、ポ リシーの割り当て、Anti-Spyware のスキャン日付、施行規則への準拠、アンチウイ ルス規則への準拠、およびクライアント規則への準拠に関するグラフィカルな概要 が示されます。これらのレポートには、関連するカテゴリに分類されたエンドポイ ントの一覧へのリンクが記載されています。 このセクションでは、すべてのエンドポイントの概要レポートにアクセスする方法 について説明します。また、以下の特定のレポートについても説明します。 240 ページの「クライアント接続レポート」 241 ページの「クライアント バージョン レポート」 241 ページの「ポリシー割り当てレポート」 エンドポイント準拠レポート ( 現在のクライアントの準拠状況、規則ごとのクライア ントの準拠、ポリシーごとのクライアントの準拠 ) の詳細については、243 ページ の「施行規則への準拠の追跡」を参照してください。スパイウェアをスキャンした 日付のレポートの詳細については、190 ページの「Anti-Spyware 保護のモニタリン グ」を参照してください。 エンドポイントの概要レポートを表示するには、次のようにします。 1. [Reports ( レポート )] | [Integrity Monitor (Integrity Monitor)] に移動します。 2. [Chart ( チャート )] ドロップダウン リストで、対象とするレポートを選択しま す。 対象とするレポートが表示されます。 3. 特定のカテゴリ内のエンドポイントの一覧を表示するには、対応する凡例のリン クをクリックします。たとえば、クライアント接続レポートで、切断済みエンド ポイントの一覧を表示するには、凡例の [Disconnected ( 切断済み )] リンクをク リックします。 該当するエンドポイントの一覧が表示されます。画面上部のフィルタ オプショ ンを使用すると、特定のエンドポイントの検索に役立ちます。 4. 必要に応じて一覧で個別のユーザをクリックして、そのユーザのエンドポイント 詳細レポートを表示できます。( エンドポイント詳細レポートの詳細について は、242 ページの「個別のエンドポイントの詳細情報の検索」を参照してくだ さい。) クライアント接続レポート クライアント接続レポートには、接続済みおよび切断済みのクライアントの最新の 概要が示されます。接続済みのクライアントは、接続時間順に表示されます。この レポートを使用すると、たとえば営業時間内に異常な数のエンドポイントが切断さ れた場合のような、接続の問題について最新の情報を維持できます。 Integrity Advanced Server 管理者ガイド 240 クライアントは、エンドポイント コンピュータが起動されていて、ユーザがログイ ンしている場合に接続されます。したがって、ほとんどのユーザがコンピュータを オフにしている営業時間外には、大多数のエンドポイントが切断されているのが通 常です。 クライアント バージョン レポート クライアント バージョン レポートには、ネットワーク上でどのバージョンのクライ アントが実行されているか、および、どのエンドポイントで実行されているかが示 されます。新しいクライアント パッケージを配備したときに、エンドポイントで新 しいクライアントが実行されていることを確認するために、このレポートを使用し ます。 ポリシー割り当てレポート ポリシー割り当てレポートには、各エンドポイントに割り当てられているポリシー が示されます。新規のポリシーまたは更新されたポリシーを配備したときに、エン ドポイントに新たな割り当てが行われていることを確認するために、このレポート を使用します。 ポリシー割り当てチャートの凡例には、“ 未解決ユーザ ” や “ 未解決グループ ” など のエラー カテゴリが含まれることがあります。これらは、すべてのエンティティに ポリシーを割り当てていないこと、ポリシーの割り当てを更新せずにグループまた はカタログを削除したこと、または、クライアントの接続情報に問題があることを 示します。 Integrity Advanced Server 管理者ガイド 241 個別のエンドポイントの詳細情報の検索 Integrity Advanced Server では、各エンドポイント コンピュータについてエンドポイ ント詳細レポートが作成されます。このレポートには全般的なエンドポイント情 報、そのエンドポイントが違反しているすべての施行規則の一覧、要求されるすべ てのセキュリティ プロバイダ ( アンチウイルス プロバイダなど ) の一覧、および、 エンドポイント特有のクライアント イベントに関する統計の表が含まれます。 個別のエンドポイント詳細レポートをユーザ、IP アドレス、またはその他の基準ご とに検索できます。また、さまざまな Integrity Monitor レポートからもエンドポイ ント詳細レポートにアクセスできます。(Integrity Monitor レポートの全般的な情報 については、240 ページの「エンドポイントの概要の入手」を参照してください。) エンドポイントの詳細を表示するには、次のようにします。 1. 次のいずれかを行います。 [Reports ( レポート )] | [Endpoints ( エンドポイント )] に移動します。 [Reports ( レポート )] | [Integrity Monitor (Integrity Monitor)] に移動して、 [Chart ( チャート )] ドロップダウン リストからレポートを選択します。関連 するエンドポイントの一覧を表示するには、グラフ自体、グラフの隣にある リンク、または凡例のリンクをクリックします。( どのレポートを選択した かによって方法は異なります。) 2. エンドポイントの一覧が表示されたら、次のいずれかを実行して特定のエンドポ イント詳細レポートにアクセスします。 エンドポイントの一覧でスクロールして、ユーザリンクをクリックします。 適切なフィルタの値 ( ユーザ ID、割り当てられたポリシー、その他 ) を入力 して [Apply Filter (フィルタの適用)] をクリックし、特定のエンドポイントを 検索します。フィルタのパラメータが適用されるエンドポイントが 1 つしか ない場合は、IAS はそのエンドポイントのレポートを表示します。パラメー タが適用されるエンドポイントが複数ある場合は、IAS は該当するすべての エンドポイントの一覧表を表示します。表のユーザ リンクをクリックして、 そのエンドポイントのレポートを表示します。 3. レポートを表示します。必要に応じて、レポート内のリンクをクリックしてエン ドポイント ポリシー、エンドポイント準拠履歴、そのエンドポイントが違反す るすべての施行規則、およびエンドポイント特有のクライアント イベントのレ ポートを表示できます。 Integrity Advanced Server 管理者ガイド 242 施行規則への準拠の追跡 施行規則および施行設定により、特定のソフトウェア ( 最新の状態に保たれたアンチ ウイルス ソフトウェアなど ) が実行されていないエンドポイント、または指定され た条件 ( たとえば定期的な Anti-Spyware のスキャンおよび処理 ) を満たさないエンド ポイントについて、ネットワーク アクセスを制限できます。施行規則および施行設 定を使用して、望ましくない、または危険なソフトウェアを実行しているエンドポ イントを制限することもできます。 Integrity Advanced Server では、施行規則および施行設定に対する準拠についてモニ タリングするためのさまざまなレポートを利用できます。すべての施行イベントを 示す全般的な準拠レポートに加え、規則およびポリシーごとのイベントを示す専用 のレポートを表示できます。また、施行イベントの履歴を示すレポートも表示でき ます。これらの準拠レポートを使用して、施行規則の効率およびユーザへの影響を 分析できます。また、制限されたユーザに関する特定のサポート上の問題を解決す るために役立てることができます。 ユーザが施行規則または施行設定に違反すると、施行イベントが発生します。ユー ザが複数の施行規則または施行設定に違反すると、違反ごとに独自の施行イベント が発生します。 施行規則および施行設定を初めて実装する際は、エンドポイントを ( 制限するの ではなく ) 観察するように設定してください。その上で、エンド ユーザへの影響を モニタリングするために準拠レポートを表示します。その結果、エンド ユーザに 及ぼす影響がそれほど大きくない場合は、違反したエンドポイントを制限するよ うに規則の一部を再設定することを検討してください。 このセクションでは以下のトピックについて説明します。 243 ページの「現在の準拠の表示」 244 ページの「準拠の履歴の表示」 現在の準拠の表示 現在のクライアントの準拠状況のレポートには、現在どのクライアントが施行規則 および施行設定に準拠しているか、そしてどのクライアントが準拠していないかが 示されます。また、Integrity Advanced Server には、規則およびポリシーごとに分類 された準拠イベントを示すレポートも用意されています。 現在のクライアントの準拠状況のレポートでは、クライアントが 5 つのカテゴリに 分類されます。 準拠-エンドポイントは、すべての施行規則および施行設定に準拠しています。 違反-エンドポイントは、ユーザを観察するように設定された 1 つ以上の施行 規則に違反しています。 制限-エンドポイントはユーザを制限するように設定された規則に違反し、その 後ユーザが猶予期間内にエンドポイントの対策をするのに失敗しました。( デ Integrity Advanced Server 管理者ガイド 243 フォルトの猶予期間はハートビート 4 回ですが、この猶予期間はポリシー内で 設定できます。) 終了-エンドポイントはユーザを制限するように設定された規則に違反し、その 後ユーザが許容される時間内にエンドポイントの対策をするのに失敗しました。 ( デフォルトの許容時間は制限後のハートビート 6 回ですが、この許容時間はポ リシー内で設定できます。) 切断-エンドポイントは Integrity Advanced Server に接続されていません。クラ イアントは、エンドポイント コンピュータが起動されていて、ユーザがネット ワークにログインしている場合に接続されることに注意してください。したがっ て、ほとんどのユーザがコンピュータをオフにしている営業時間外には、大多数 のエンドポイントが切断されているのが通常です。 規則ごとのクライアント準拠レポートには、違反されている各規則が、各規則に違 反したエンドポイントの一覧へのリンクとともに示されます。ポリシーごとのクラ イアント準拠レポートには、違反された規則を含むポリシーが、それらのポリシー に準拠しないエンドポイントの一覧へのリンクとともに示されます。 Integrity Monitor の準拠レポートにアクセスするには、次のようにしま す。 1. [Reports ( レポート )] | [Integrity Monitor (Integrity Monitor)] に移動します。 2. [Chart ( チャート )] ドロップダウン リストから、準拠レポートを 1 つ選択しま す。[Current Client Compliance Status (現在のクライアントの準拠状況)]、[Client Compliance by Rule ( 規則ごとのクライアント準拠 )]、および [Client Compliance by Policy ( ポリシーごとのクライアント準拠 )] から選択できます。( これらのレ ポートの説明については、このセクションの最初の部分を参照してください。) 対象とするレポートが表示されます。 3. 特定のカテゴリ内のエンドポイントの一覧を表示するには、対応する凡例のリン クをクリックします。 該当するエンドポイントの一覧が表示されます。画面上部のフィルタ オプショ ンを使用すると、特定のエンドポイントの検索に役立ちます。 4. 必要に応じて一覧で個別のユーザをクリックして、そのユーザのエンドポイント 詳細 レポ ート を表 示で きま す。エン ドポ イン ト詳 細 レポ ート の [NonCompliance Status ( 違反状況 )] セクションには、そのエンドポイントが違反した 施行規則および施行設定が一覧表示されます。( エンドポイント詳細レポートの 詳細については、242 ページの「個別のエンドポイントの詳細情報の検索」を 参照してください。) 準拠の履歴の表示 Integrity Advanced Server では、全般的な履歴およびエンドポイント固有の履歴とい う、準拠履歴に関する 2 種類のレポートを利用できます。全般的なレポートを表示 したら、そこから個別のエンドポイントの準拠履歴に移動できます。 Integrity Advanced Server 管理者ガイド 244 準拠の履歴を表示するには、次のようにします。 1. [Reports ( レポート )] | [Client Events ( クライアント イベント )] に移動します。 2. レポートの期間を選択し、[Event Type (イベントの種類)] ドロップダウン リスト から [Compliance Status ( 準拠状況 )] をクリックします。[Apply Filter ( フィルタ の適用 )] をクリックします。 準拠のグラフが表示され、レポート期間内のさまざまな時点における準拠イベン トの数が示されます。 3. 次のいずれかを行います。 レポート期間内に準拠イベントが発生したすべてのエンドポイントの一覧を 表示するには、グラフ上で直接クリックします。 カテゴリごとのエンドポイントの一覧を表示するには、対応する凡例のリン クをクリックします。 該当するエンドポイントの一覧が表示されます。画面上部のフィルタ オプショ ンを使用すると、特定のエンドポイントの検索に役立ちます。 4. 必要に応じて、個別のエンドポイントの準拠履歴を表示します。次の操作を行い ます。 a. リスト内の個別のユーザをクリックします。 b. 表示されるエンドポイント詳細レポートで、[General Information ( 全般情報 )] セクションを見つけ、[Compliance State ( 準拠状態 )] リンクをクリックし ます。 各時間の準拠状況および違反数を示す、エンドポイントの準拠履歴が表示されま す。 Integrity Advanced Server 管理者ガイド 245 クライアント セキュリティ イベントの追跡 セキュリティ イベントは、エンドポイントがセキュリティ設定 ( ファイアウォール 規則、プログラム規則、MailSafe 規則、Anti-Spyware スキャン要件など) に違反した ときに発生します。Integrity クライアントが違反を検出すると、イベントがログに 記録され、イベントのデータが Integrity Advanced Server にアップロードされます。 IAS ではこのデータを、イベントの種類ごとに分類されたさまざまなクライアント イベント レポートで示します。さらに、要約レポートによってすべてのクライアン ト イベントの概要が示されます。 IAS では、以下のクライアント イベント レポートが維持されます。 要約-すべての種類のイベントの要約が示されます。 ファイアウォール-クラシック ファイアウォール規則またはゾーン規則に対す る違反を示します。インバウンドおよびアウトバウンドのそれぞれのファイア ウォール イベントについて別個のレポートがあります。 準 拠 状 況 - 施 行 規 則、ア ン チ ウ イ ル ス 規 則、ク ラ イ ア ン ト 規 則、お よ び Anti-Spyware スキャン設定に対する違反を示します。 クライアント エラー-ドメイン内のユーザに関するすべてのエンドポイント イ ベントを示します。クライアント規則に対する準拠については準拠状況レポート でモニタリングされることに注意してください。 Anti-Spyware -スパイウェア プログラムの検出と処理について示します。 MailSafe-MailSafe 規則に対する違反を示します。インバウンドおよびアウトバ ウンドのそれぞれのファイアウォール イベントについて別個のレポートがあり ます。 悪意のあるコードからの保護 (MCP)-悪意のあるコードからの保護規則に対する 違反を示します。インバウンドおよびアウトバウンドのそれぞれのファイア ウォール イベントについて別個のレポートがあります。 IM セキュリティ- IM セキュリティ施行設定に対する違反を示します。IM プロ トコルごとのイベントおよび種類ごとのイベントのそれぞれを示す別個のレポー トがあります。 プログラム-プログラム規則に関連するイベントを示します。 これらのイベントの種類ごとに、IAS は概要のチャートまたはグラフ、および影響 を受けるエンドポイントの一覧へのリンクを含む凡例を提供します。たとえば、種 類ごとの IM セキュリティ レポートは、イベントを示すグラフと、“ 受信ファイル ” などの複数のリンクを含む凡例から構成されます。このリンクをクリックすると、 IM 経由でファイルを受信したエンドポイントの一覧が表示されます。 このセクションの残りの部分では、クライアント イベント レポートにアクセスする 方法について説明します。Anti-Spyware レポートの詳細については、190 ページの 「Anti-Spyware 保護のモニタリング」を参照してください。IM セキュリティ レポー トの詳細については、209 ページの「IM セキュリティ イベントのモニタリング」 Integrity Advanced Server 管理者ガイド 246 を参照してください。準拠状況レポートおよび関連するレポートの詳細について は、243 ページの「施行規則への準拠の追跡」を参照してください。 クライアント イベント レポートを表示するには、次のようにします。 1. [Reports ( レポート )] | [Client Events ( クライアント イベント )] に移動します。 2. レポートの期間およびイベントの種類を選択して、[Apply Filter (フィルタの適用 )] をクリックします。 イベントの種類の概要を選択した場合、IAS はすべてのクライアント イベント の概要を、イベントの種類ごとの個別のレポートへのリンクと共に表示します。 他のイベントの種類を選択すると、IAS によって即座に関連するレポートが表示 されます。 3. 表示されたイベントの種類のレポートからイベントの詳細を表示する方法は つあります。 2 その種類のイベントが発生したエンドポイントが一覧表示されたイベント詳 細レポートを表示するには、グラフをクリックします。 さまざまなサブカテゴリ内のエンドポイントのレポートを表示するには、凡 例のキーをクリックします。 Integrity Advanced Server 管理者ガイド 247 ネットワーク上のプログラムのモニタリング Integrity Advanced Server のレポートを使用して、プログラム イベントを追跡すると 共に、ネットワーク上のプログラムを観察します。 このセクションでは以下のトピックについて説明します。 248 ページの「プログラム イベントの追跡」 249 ページの「プログラムの観察」 プログラム イベントの追跡 プログラム レポートは、ドメイン内のプログラム イベントを要約したものです。イベ ントとは、プログラム規則に違反した何らかのアクションのことです。このレポー トでは、すべてのプログラム アクティビティが要約されるわけではありません。( ネッ トワーク上の全般的なプログラム アクティビティに関する情報を見つける方法につ いては、116 ページの「プログラム コントロールのツールと機能」を参照してくだ さい。プログラム観察レポートについては、249 ページの「プログラムの観察」を 参照してください。) プログラム イベントは、タイムスタンプ ( デフォルト )、ユーザ、グループ、カタロ グ、またはユーザ イベントの回数を基準として表示できます。また、IAS には、最 も多くのイベントと関連付けられた最大 5 つのプログラムに関するレポートも用意 されています。 プログラム レポートにアクセスするには、次のようにします。 1. [Reports ( レポート )] | [Client Events ( クライアント イベント )] に移動します。 2. レポートの期間を選択し、[Event Type (イベントの種類)] ドロップダウン リスト から [Program ( プログラム )] をクリックします。[Apply Filter ( フィルタの適用 )] をクリックします。 最近のプログラム イベントおよび ( 画面下部に ) 最も多くのイベントと関連付け られたプログラムの一覧を示すプログラム レポートが表示されます。 3. 次のいずれかを行います。 最近 す。 イベント数の多いプログラムの 1 つに関連付けられたイベントの一覧を表示 するには、対応するリンクをクリックします。 14 日間の全イベントの一覧を表示するには、グラフをクリックしま イベント詳細レポートが表示され、プログラム イベントのエントリの一覧が表 示されます。IAS のデフォルトでは、エントリはタイムスタンプ順に表示され、 最新のイベントが最初に表示されます。 Integrity Advanced Server 管理者ガイド 248 4. 下線付きのカラム ヘッダをクリックすると、そのヘッダに従って表を並べ替え ることができます。たとえば、ユーザを基準にイベントを表示したい場合は、 [User ( ユーザ )] カラム ヘッダをクリックします。 プログラムの観察 プログラム観察を有効にすると、Integrity Advanced Server はネットワーク上のすべ てのプログラムについて、エンドポイントごとの最初の出現を追跡します。あるエ ンドポイントでプログラムが初めて出現するごとに、IAS がそれを記録します。 IAS は観察したプログラムについて、最初に観察した時間を基準に一覧表示し、最 近に観察したプログラムを最初に表示します。これにより、ネットワーク上に導入 されたプログラムの最新の一覧を確認できます。ユーザ、プログラム、プログラム のバージョン、会社名、および最初または最後の観察を基準にプログラムを検索で きます。 プログラム観察を有効にすると、各観察期間の最後に、IAS が新規プログラムを Program Manager に表示します。観察されたプログラムを Program Manager でグ ループに整理し、そのグループにプログラム規則を適用できます。プログラム観察 の全般情報については、123 ページの「プログラム アクティビティの観察」を参照 してください。Program Manager の詳細情報については、120 ページの「プログラ ム情報の収集と整理」を参照してください。 観察されたプログラムをモニタリングするには、次のようにします。 1. [Reports ( レポート )] | [Program Observation ( プログラム観察 )] に移動します。 2. 適切なフィルタの値を入力し、[Apply Filter ( フィルタの適用 )] をクリックしま す。 エンドポイントごとのプログラム観察レポートが表示されます。下線付きのカラ ム ヘッダをクリックすると、そのカラムを基準にソートすることができます。 3. 特定のエンドポイントのエンドポイント詳細レポートを表示するには、該当する ユーザ リンクをクリックします。( エンドポイント詳細レポートの詳細について は、242 ページの「個別のエンドポイントの詳細情報の検索」を参照してくだ さい。) Integrity Advanced Server 管理者ガイド 249 SmartSum コマンド ライン スイッチ SmartSum プログラムは 9 つのコマンド ライン スイッチを認識します。 SmartSum スイッチおよびそのパラメータの一覧を次の表に示します。 スイッチ /o 機能 作成される出力ファイルを指定します。ファイル名を指定しない場 合、デフォルト出力ファイル名 (scan.xml) が使用されます。 例 1: C:\appscan /o scan1.xml [files] 例 1 では、リファレンス スキャンは scan1 という名前になりま す。 /x リファレンス ソースとして Integrity サーバへインポートすると きにこのファイルを使用するため、出力ファイルの名前は重要 です。 同じマシン上で複数のスキャンを行う場合、各スキャンに一意 の名前をつけてください。 リファレンス スキャンに追加するターゲット ファイル名を指定し ます。 ファイル拡張子の前にピリオドが必要です。 ターゲット拡張子を複数指定する場合は、セミコロンで区切り ます。 ターゲット拡張子は引用符で囲みます。 スイッチを使用して、ターゲット ディレクトリを指定する必 要があります。 /s /x スイッチをコマンド ステートメントで使用しない場合、 プログラム ファイル ( 拡張子 .exe) のみがスキャンされま す。 例 1: C:\appscan /o scan2.xml /x ".exe;.dll" /s "C:\" 例 2 では、リファレンス スキャンの名前は scan2 で、現在のディ レクトリにある .exe および .dll ファイルのみがスキャンされま す。 Integrity Advanced Server 管理者ガイド 250 スイッチ /s 機能 SmartSum が一覧を作成する対象となるディレクトリを指定しま す。 スイッチを使用してターゲット ディレクトリを指定しない場 合、スキャンは現在のディレクトリでのみ実行されます。 /s スイッチを使用すると、スキャンはターゲット ディレクトリお よびそのサブディレクトリで実行されます。 /s ターゲット ディレクトリは引用符で囲む必要があります。 例 3: C:\appscan /o scan3.xml /x ".dll" /s "c:\program files" 例 3 では、リファレンス スキャンは scan3 という名前になりま す。ターゲット ディレクトリは、c:\program files およびその すべてのサブディレクトリです。スキャンする拡張子は .dll で す。 例 4: C:\appscan /o scan4.xml /x ".exe;.dll" /s "c:\program files" 例 4 では、リファレンス スキャンは scan4 という名前になります。ター ゲット ディレクトリは、c:\program files です。ターゲット拡張 子は .exe および .dll です。 /e /e スイッチを使用すると、拡張子に関係なく、ターゲット ディレ クトリまたはドライブにあるすべての実行可能ファイルの一覧が作 成されます。例 5: c:\appscan /s "C:\program files" /e 例 5 では、すべてのファイルがリファレンス スキャンの対象にな ります。 /a 一覧に含まれる各ファイルのすべてのファイル プロパティを生成し ます。 例 6: c:\appscan /o scan6.xml /s "C:"/a 例 6 では、リファレンス スキャンは scan6 という名前になりま す。ターゲット ディレクトリは、c: 全体です。/a スイッチを指定 しないときよりも詳細なファイル プロパティが出力ファイルに表示 されます。 /a スイッチはリファレンス ソースには影響を与えません。 /p 進捗メッセージを表示します。 /verbose 進捗メッセージおよびエラー メッセージを表示します。 /warnings 警告メッセージを表示します。 / ? ま たは SmartSum のヘルプを表示します。 /help Integrity Advanced Server 管理者ガイド 251 ナビゲーション 以下の表を使用して、管理者コンソールのページを見つけます。 ページ名 場所 Domain Manager ドメイン ドメイン、編集 [Domains ( ドメイン )] | < ドメインを選択 > | [Edit ( 編集 )] ドメイン、表示 [Domains ( ドメイン )] | < ドメイン名 > ドメイン、新規 [Domains ( ドメイン )] | [New Domain ( 新規ドメイン )] E n t i t y [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager Manager、編集 (Entities Manager)] ( システム ドメイン ) [Entities ( エンティティ)] ( システム ドメイン以外 ) E n t i t y [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager Manager、表示 (Entities Manager)] ( システム ドメイン ) [Entities ( エンティティ)] ( システム ドメイン以外 ) カスタム カタロ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager グ、新規 (Entities Manager)] | [New ( 新規 ]) | [Custom ( カスタム )] ( システム ドメイン ) [Entities ( エンティティ)] | [New ( 新規 )] | [Custom ( カスタム )] ( シ ステム ドメイン以外 ) カスタム カタロ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager グ、編集 (Entities Manager)] | < カタログを選択 > | [Edit ( 編集 )] ( システム ド メイン ) [Entities ( エンティティ)] | < カタログを選択 > | [Edit ( 編集 )] ( シス テム ドメイン以外 ) カスタム カタロ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager グ、表示 (Entities Manager)] | < カタログ名をクリック > ( システム ドメイン ) [Entities ( エンティティ)] | < カタログ名をクリック > ( システム ド メイン以外 ) ゲートウェイ カ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager タログ、新規 (Entities Manager)] | [New ( 新規 )] | [Gateway ( ゲートウェイ )] ( シス テム ドメイン ) [Entities ( エンティティ)] | [New ( 新規 )] | [Gateway ( ゲートウェイ )] ( システム ドメイン以外 ) Integrity Advanced Server 管理者ガイド 252 ページ名 場所 ゲートウェイ カ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager タログ、編集 (Entities Manager)] | < カタログを選択 > | [Edit ( 編集 )] ( システム ド メイン ) [Entities ( エンティティ)] | < カタログを選択 > | [Edit ( 編集 )] ( シス テム ドメイン以外 ) ゲートウェイ カ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager タログ、表示 (Entities Manager)] | < カタログ名をクリック > ( システム ドメイン ) [Entities ( エンティティ)] | < カタログ名をクリック > ( システム ド メイン以外 ) IP カタログ、新 [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager 規 (Entities Manager)] | [New ( 新規 )] | [IP Catalog (IP カタログ )] ( シス テム ドメイン ) [Entities ( エンティティ)] | [IP Catalog (IP カタログ )] ( システム ド メイン以外 ) IP カタログ、編 [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager 集 (Entities Manager)] | < カタログを選択 > | [Edit ( 編集 )] ( システム ド メイン ) [Entities ( エンティティ)] | < カタログを選択 > | [Edit ( 編集 )] ( シス テム ドメイン以外 ) IP カタログ、表 [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager 示 (Entities Manager)] | < カタログ名をクリック > ( システム ドメイン ) [Entities ( エンティティ)] | < カタログ名をクリック > ( システム ド メイン以外 ) LDAP カ タロ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager グ、新規 (Entities Manager)] | [New ( 新規 )] | [LDAP (LDAP)] ( システム ドメイ ン) [Entities ( エンティティ)] | [New ( 新規 )] | [LDAP (LDAP)] ( システム ドメイン以外 ) LDAP カ タロ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager グ、編集 (Entities Manager)] | < カタログを選択 > | [Edit ( 編集 )] ( システム ド メイン ) [Entities ( エンティティ)] | < カタログを選択 > | [Edit ( 編集 )] ( シス テム ドメイン以外 ) LDAP カ タロ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager グ、表示 (Entities Manager)] | < カタログ名をクリック > ( システム ドメイン ) [Entities ( エンティティ)] | < カタログ名をクリック > ( システム ド メイン以外 ) Integrity Advanced Server 管理者ガイド 253 ページ名 場所 NT ドメ イン カ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager タログ、新規 (Entities Manager)] | [New ( 新規 )] | [NTDomain (NT ドメイン )] ( シ ステム ドメイン ) [Entities ( エンティティ)] | [New ( 新規 )] | [NTDomain (NT ドメイン )] ( システム ドメイン以外 ) NT ドメ イン カ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager タログ、編集 (Entities Manager)] | < カタログを選択 > | [Edit ( 編集 )] ( システム ド メイン ) [Entities ( エンティティ)] | < カタログを選択 > | [Edit ( 編集 )] ( シス テム ドメイン以外 ) NT ドメ イン カ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager タログ、表示 (Entities Manager)] | < カタログ名をクリック > ( システム ドメイン ) [Entities ( エンティティ)] | < カタログ名をクリック > ( システム ド メイン以外 ) RADIUS カ タロ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager グ、新規 (Entities Manager)] | [New ( 新規 )] | [RADIUS (RADIUS)] ( システム ドメイン ) [Entities ( エンティティ)] | [New ( 新規 )] | [RADIUS (RADIUS)] ( シス テム ドメイン以外 ) RADIUS カ タロ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager グ、編集 (Entities Manager)] | < カタログを選択 > | [Edit ( 編集 )] ( システム ド メイン ) [Entities ( エンティティ)] | < カタログを選択 > | [Edit ( 編集 )] ( シス テム ドメイン以外 ) RADIUS カ タロ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager グ、表示 (Entities Manager)] | < カタログ名をクリック > ( システム ドメイン ) [Entities ( エンティティ)] | < カタログ名をクリック > ( システム ド メイン以外 ) カスタム カタロ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager グ グループ (Entities Manager)] | < カタログ名をクリック > | [New Group ( 新規グ ループ )] ( システム ドメイン ) [Entities ( エンティティ)] | < カタログ名をクリック > | [New Group ( 新規グループ )] ( システム ドメイン以外 ) IP カタ ログ グ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager ループ (Entities Manager)] | < カタログ名をクリック > | [New Group ( 新規グ ループ )] ( システム ドメイン ) [Entities ( エンティティ)] | < カタログ名をクリック > | [New Group ( 新規グループ )] ( システム ドメイン以外 ) Integrity Advanced Server 管理者ガイド 254 ページ名 場所 ゲートウェイ カ [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager タログ グループ (Entities Manager)] | < カタログ名をクリック > | [New Group ( 新規グ ループ )] ( システム ドメイン ) [Entities ( エンティティ)] | < カタログ名をクリック > | [New Group ( 新規グループ )] ( システム ドメイン以外 ) ポリシーの割り [Domains ( ドメ イン )] | < ドメ イン を選 択 > | [Entities Manager 当て (Entities Manager)] | < カタログを選択 > | [Assign Policy ( ポリシーの 割り当て )] ( システム ドメイン ) [Entities ( エンティティ)] | < カタログを選択 > | [Assign Policy ( ポリ シーの割り当て )] ( システム ドメイン以外 ) Event Manager [System Configuration ( システム設定 )] | [Event Notification ( イベン ト通知 )] ( システム ドメインのみ ) イベントの送信 [System Configuration ( システム設定 )] | [Event Notification ( イベン 先、新規 ト通知 )] | [New ( 新規 )] ( システム ドメインのみ ) イベントの送信 [System Configuration ( システム設定 )] | [Event Notification ( イベン 先、編集 ト通知 )] | < 送信先を選択 > | [Edit ( 編集 )] ( システム ドメインのみ ) Client Settings、 [Client Configuration ( クライアント設定 )] | [Client Settings (Client 表示 Settings)] ( システム ドメインのみ ) Client Settings、 [Client Configuration ( クライアント設定 )] | [Client Settings (Client 編集 Settings)] | [Edit ( 編集 )] ( システム ドメインのみ ) サ ー バ 設 定、表 [Client Configuration ( クライアント設定 )] | [Server Settings ( サーバ 示 設定 )] ( システム ドメインのみ ) サ ー バ 設 定、編 [System Configuration ( システム設定 )] | [Server Settings ( サーバ設 集 定 )] | [Edit ( 編集 )] ( システム ドメインのみ ) サンドボックス [Client Configuration ( クライアント設定 )] | [Sandbox Templates ( サ テンプレート ンドボックス テンプレート )] ( システム ドメインのみ ) Security Model [System Configuration ( システム設定 )] | [Security Model ( セキュリ ティ モデル )] ( システム ドメインのみ ) 証 明 書 マ ネ ー [System Configuration ( システム設定 )] | [Certificates ( 証明書 )] ジャ 自己署名証明書 [System Configuration (システム設定)] | [Certificates (証明書)] | [New の生成 ( 新規 )] | [Self Signed ( 自己署名 )] 自 己 署 名 証 明 [System Configuration ( システム設定 )] | [Certificates ( 証明書 )] | < 書、表示 証明書名をクリック > 認証機関証明書 [System Configuration (システム設定)] | [Certificates (証明書)] | [New のインストール ( 新規 )] | [CA Issued (CA 発行の証明書 )] Integrity Advanced Server 管理者ガイド 255 ページ名 認証機関要求 場所 [System Configuration (システム設定)] | [Certificates (証明書)] | [New ( 新規 )] | [CA Request (CA 要求 )] 認証機関要求、 [System Configuration ( システム設定 )] | [Certificates ( 証明書 )] | < 表示 要求名をクリック > 証 明 書 の イ ン [System Configuration (システム設定)] | [Certificates (証明書)] | [New ポート ( 新規 )] | [From File ( ファイルから )] Program Advisor [System Configuration ( システム設定 )] | [Program Advisor (Program の設定、表示 Advisor)] ( 非システム ドメインのみ ) Program Advisor [System Configuration ( システム設定 )] | [Program Advisor (Program の設定、編集 Advisor)] | [Edit ( 編集 )] ( 非システム ドメインのみ ) Role Manager [System Configuration ( システム設定 )] | [Roles ( ロール )] ロール、新規 [System Configuration ( システム設定 )] | [Roles ( ロール )] | [New ( 新 規 )] ロール、編集 [System Configuration ( システム設定 )] | [Roles ( ロール )] | < ロール を選択 > | [Edit ( 編集 )] ロール、表示 [System Configuration ( システム設定 )] | [Roles ( ロール )] | < ロール 名をクリック > A d m i n i s t r a t o r [System Configuration ( システム設定 )] | [Administrators ( 管理者 )] Manager 管理者、新規 [System Configuration ( システム設定 )] | [Administrators ( 管理者 )] | [New ( 新規 )] 管理者、編集 [System Configuration ( システム設定 )] | [Administrators ( 管理者 )] | < 管理者を選択 > | [Edit ( 編集 )] 管理者、表示 [System Configuration ( システム設定 )] | [Administrators ( 管理者 )] | < 管理者名をクリック > Policy Manager ポリシー ポリシーのイン [Policies ( ポリシー)] | [New ( 新規 )] | [From File ( ファイルから )] ポート 新規ポリシーの [Policies ( ポリシー)] | [New ( 新規 )] | [From Template ( テンプレート 作成 から )] Name and [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] Notes、編集 ファイアウォー [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Firewall ル設定、編集 Settings ( ファイアウォール設定 )] ゾ ー ン 規 則、編 [Policies (ポリシー)] | <ポリシーを選択> | [Edit (編集)] | [Zone Rules 集 ( ゾーン規則 )] Integrity Advanced Server 管理者ガイド 256 ページ名 ア ク セス ン、編集 場所 ゾー [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Access Zones ( アクセス ゾーン )] プ ロ グ ラ ム 規 [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Program 則、編集 Rules ( プログラム規則 )] SmartDefense、 [Policies ( ポ リシ ー)] | < ポ リシ ーを 選択 > | [Edit ( 編 集 )] | [SmartDefense (SmartDefense)] 編集 Mailsafe、編集 [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Mailsafe Rules (Mailsafe 規則 )] 施行設定、編集 [Policies ( ポ リシ ー)] | < ポ リシ ーを 選択 > | [Edit ( 編 集 )] | [Enforcement Settings ( 施行設定 )] Client Settings、 [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Client Settings (Client Settings)] 編集 Name and [Policies ( ポリシー)] | < ポリシー名をクリック > Notes、表示 ファイアウォー [Policies ( ポリシー)] | < ポリシー名をクリック > | [Firewall Settings ル設定、表示 ( ファイアウォール設定 )] ゾ ー ン 規 則、表 [Policies ( ポリシー)] | < ポリシー名をクリック > | [Zone Rules ( ゾー 示 ン規則 )] ア ク セス ン、表示 ゾー [Policies ( ポリシー)] | < ポリシー名をクリック > | [Access Zones ( ア クセス ゾーン )] プ ロ グ ラ ム 規 [Policies ( ポリシー)] | < ポリシー名をクリック > | [Program Rules ( 則、表示 プログラム規則 )] SmartDefense、 [Policies ( ポリシー)] | < ポリシー名をクリック > | [SmartDefense (SmartDefense)] 表示 Mailsafe、表示 [Policies ( ポリシー)] | < ポリシー名をクリック > | [Mailsafe Rules (Mailsafe 規則 )] 施行設定、表示 [Policies ( ポリシー)] | < ポリシー名をクリック > | [Enforcement Settings ( 施行設定 )] Client Settings、 [Policies ( ポリシー)] | < ポリシー名をクリック > | [Client Settings (Client Settings)] 表示 ポ リ シ ー へ の [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Firewall ファイアウォー Settings ( ファイアウォール設定 )] | [Add ( 追加 )] ル規則の追加 ゾーンへの場所 [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Access の追加 Zones ( アクセス ゾーン )] | [Add ( 追加 )] プ ロ グラ ム グ [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Program ループの追加 Rules ( プログラム規則 )] | [Add ( 追加 )] | < プログラム グループ名 をクリック > Integrity Advanced Server 管理者ガイド 257 ページ名 場所 プログラム規則 [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Program の追加 Rules ( プログラム規則 )] | [Add ( 追加 )] プログラム規則 [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Program の設定、編集 Rules ( プログラム規則 )] | < プログラム規則を選択 > | [Edit Settings ( 設定を編集 )] プログラム規則 [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Program の設定、表示 Rules ( プログラム規則 )] | < 規則名をクリック > プログラムへの [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Program ファイアウォー Rules ( プログラム規則 )] | < プログラム規則を選択 > | [Edit Settings ル規則の追加 ( 設定を編集 )] | [Add ( 追加 )] ポ リ シ ー に [Policies ( ポリシー)] | < ポリシーを選択 > | [Edit ( 編集 )] | [Mailsafe Mailsafe 拡 張子 Rules (Mailsafe 規則 )] | [Add ( 追加 )] を追加 施行規則の追加 [Policies ( ポ リシ ー)] | < ポ リシ ーを 選択 > | [Edit ( 編 集 )] | [Enforcement Settings ( 施行設定 )] | [Add ( 追加 )] ポリシーへの制 [Policies ( ポ リシ ー)] | < ポ リシ ーを 選択 > | [Edit ( 編 集 )] | 限 フ ァ イ ア [Enforcement Settings ( 施行設定 )] | [Add ( 追加 )] ウォール規則の 追加 施行規則、新規 [Policies ( ポ リシ ー)] | < ポ リシ ーを 選択 > | [Edit ( 編 集 )] | [Enforcement Settings (施行設定)] | [Add ( 追加 )] | [New Enforcement Rule ( 新規施行規則 )] アンチウイルス [Policies ( ポ リシ ー)] | < ポ リシ ーを 選択 > | [Edit ( 編 集 )] | 規則、新規 [Enforcement Settings ( 施行設定 )] | [Add ( 追加 )] | [New Anti-virus Rule ( 新規アンチウイルス規則 )] クライアント規 [Policies ( ポ リシ ー)] | < ポ リシ ーを 選択 > | [Edit ( 編 集 )] | 則、新規 [Enforcement Settings ( 施行設定 )] | [Add ( 追加 )] | [New Client Rule ( 新規クライアント規則 )] Classic Firewall [Policy Objects ( ポリシー オブジェクト )] | [Firewall Rules ( ファイ Rule Manager アウォール規則 )] クラシック ファ [Policy Objects ( ポリシー オブジェクト )] | [Firewall Rules ( ファイ イアウォール規 アウォール規則 )] | [New ( 新規 )] 則、新規 クラシック ファ [Policy Objects ( ポリシー オブジェクト )] | [Firewall Rules ( ファイ イアウォール規 アウォール規則 )] | < 規則を選択 > | [Edit ( 編集 )] 則、編集 クラシック ファ [Policy Objects ( ポリシー オブジェクト )] | [Firewall Rules ( ファイ イアウォール規 アウォール規則 )] | < 規則名をクリック > 則、表示 Integrity Advanced Server 管理者ガイド 258 ページ名 場所 ファイアウォー [Policy Objects ( ポリシー オブジェクト )] | [Firewall Rules ( ファイ ル規則への発信 アウォール規則 )] | < 規則を選択 > | [Edit ( 編集 )] | [Add ( 追加 )] 元の追加 ファイアウォー [Policy Objects ( ポリシー オブジェクト )] | [Firewall Rules ( ファイ ル規則への送信 アウォール規則 )] | < 規則を選択 > | [Edit ( 編集 )] | [Add ( 追加 )] 先の追加 ファイアウォー [Policy Objects ( ポリシー オブジェクト )] | [Firewall Rules ( ファイ ル規則へのプロ アウォール規則 )] | < 規則を選択 > | [Edit ( 編集 )] | [Add ( 追加 )] トコルの追加 L o c a t i o n [Policy Objects ( ポリシー オブジェクト )] | [Locations ( 場所 )] Manager 場所、新規 [Policy Objects ( ポリシー オブジェクト )] | [Locations ( 場所 )] | [New ( 新規 )] 場所、編集 [Policy Objects ( ポリシー オブジェクト )] | [Locations ( 場所 )] | < 場 所を選択 > | [Edit ( 編集 )] 場所、表示 [Policy Objects ( ポリシー オブジェクト )] | [Locations ( 場所 )] | < 場 所名をクリック > Port Manager お [Policy Objects ( ポリシー オブジェクト )] | [Ports & Protocols ( ポー よび Protocol トとプロトコル )] Manager E n f o r c e m e n t [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施 Rule Manager 行規則 )] 施行規則、新規 [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施 行規則 )] | [New ( 新規 )] | [Enforcement Rule ( 施行規則 )] 施行規則、編集 [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施 行規則 )] | < 規則を選択 > | [Edit ( 編集 )] 施行規則、表示 [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施 行規則 )] | < 規則名をクリック > アンチウイルス [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施 規則、新規 行規則 )] | [New ( 新規 )] | [Antivirus Rule ( アンチウイルス規則 )] アンチウイルス [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施 規則、編集 行規則 )] | < 規則を選択 > | [Edit ( 編集 )] アンチウイルス [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施 規則、表示 行規則 )] | < 規則名をクリック > クライアント規 [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施 則、新規 行規則 )] | [New ( 新規 )] | [Client Rule ( クライアント規則 )] クライアント規 [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施 則、編集 行規則 )] | < 規則を選択 > | [Edit ( 編集 )] Integrity Advanced Server 管理者ガイド 259 ページ名 場所 クライアント規 [Policy Objects ( ポリシー オブジェクト )] | [Enforcement Rules ( 施 則、表示 行規則 )] | < 規則名をクリック > M a i l S a f e [Policy Objects ( ポリシー オブジェクト )] | [File Extensions ( ファイ E x t e n s i o n ル拡張子 )] Manager Mailsafe 子、新規 拡張 [Policy Objects ( ポリシー オブジェクト )] | [File Extensions ( ファイ ル拡張子 )] | [New ( 新規 )] Mailsafe 子、編集 拡張 [Policy Objects ( ポリシー オブジェクト )] | [File Extensions ( ファイ ル拡張子 )] | < 拡張子を選択 > | [Edit ( 編集 )] Mailsafe 子、表示 拡張 [Policy Objects ( ポリシー オブジェクト )] | [File Extensions ( ファイ ル拡張子 )] | < 拡張子名をクリック > P r o g r a m [Global Policy Settings ( グローバル ポリシー設定 )] | [Programs ( プ Manager ログラム )] プログラム詳細 [Global Policy Settings ( グローバル ポリシー設定 )] | [Programs ( プ ログラム )] | < プログラム名をクリック > R e f e r e n c e [Global Policy Settings ( グロー バル ポリシー設定 )] | [Reference Source Manager Sources ( リファレンス ソース )] リ フ ァ レ ン ス [Global Policy Settings ( グロー バル ポリシー設定 )] | [Reference ソ ー ス の イ ン Sources ( リファレンス ソース )] ポート リ フ ァ レ ン ス [Global Policy Settings ( グロー バル ポリシー設定 )] | [Reference ソース、編集 Sources ( リファレンス ソース )] | < リファレンス ソースを選択 > | [Edit ( 編集 )] Client Packager [Client Configuration ( クライアント設定 )] | [Client Packages ( クライ アント パッケージ )] ク ラ イ ア ン ト [Client Configuration ( クライアント設定 )] | [Client Packages ( クライ パ ッ ケ ー ジ、新 アント パッケージ )] | [New ( 新規 )] 規 ク ラ イ ア ン ト [Client Configuration ( クライアント設定 )] | [Client Packages ( クライ パ ッ ケ ー ジ、編 アント パッケージ )] | < パッケージを選択 > | [Edit ( 編集 )] 集 ク ラ イ ア ン ト [Client Configuration ( クライアント設定 )] | [Client Packages ( クライ パ ッ ケ ー ジ、表 アント パッケージ )] | < パッケージ名をクリック > 示 アンチウイルス [System Configuration ( システム設定 )] | [Reference Clients ( リファ リファレンス ク レンス クライアント )] ( 非システム ドメインのみ ) ライアント Integrity Advanced Server 管理者ガイド 260 ページ名 場所 アンチウイルス [Client Configuration ( クライアント設定 )] | [Reference Clients ( リ リファレンス ク ファレンス クライアント )] | < プロバイダを選択 > | [Configure ( 設 ライアントの設 定 )] ( 非システム ドメインのみ ) 定 サンドボックス [Client Configuration ( クライアント設定 )] | [Sandbox Pages ( サンド のカスタマイズ ボックス ページ )] ( 非システム ドメインのみ ) 接続レポート [Old Reports ( 現在のレポート )] | [Connectivity ( 接続 )] | [Apply Filter ( フィルタの適用 )] ( 前バージョンの Integrity Advanced Server から アップグレードした場合にのみ利用可能) (非システム ドメインのみ ) ユーザ アクティ [Old Reports ( 現在のレポート )] | [User Activity ( ユーザ アクティビ ビティ レポート ティ)] | [Apply Filter ( フィルタの適用 )] ( 前バージョンの Integrity Advanced Server からアップグレードした場合にのみ利用可能 ) ( 非 システム ドメインのみ ) クライアント イ [Old Reports ( 現在のレポート )] | [Client Events ( クライアント イベ ベント レポート ント )] | [Apply Filter ( フィルタの適用 )] ( 前バージョンの Integrity Advanced Server からアップグレードした場合にのみ利用可能 ) ( 非 システム ドメインのみ ) クライアント更 [Old Reports ( 現在のレポート )] | [Client Update ( クライアント更新 新レポート )] | [Apply Filter ( フィ ルタ の適 用 )] ( 前バ ージ ョン の Integrity Advanced Server からアップグレードした場合にのみ利用可能 ) ( 非 システム ドメインのみ ) 施行レポート プ ロ グラ ム ポート [Old Reports ( 現在のレポート )] | [Enforcement ( 施行 )] | [Apply Filter ( フィルタの適用 )] ( 前バージョンの Integrity Advanced Server から アップグレードした場合にのみ利用可能) (非システム ドメインのみ ) レ [Old Reports ( 現在のレポート )] | [Programs ( プログラム )] | [Apply Filter ( フィルタの適用 )] ( 前バージョンの Integrity Advanced Server からアップグレードした場合にのみ利用可能) (非システム ドメイン のみ ) ユーザ名レポー [Old Reports ( 現在のレポート )] | [Enforcement ( 施行 )] | [Apply Filter ト ( フィルタの適用 )] | < ユーザ名をクリック > ( 前バージョンの Integrity Advanced Server からアップグレードした場合にのみ利用 可能 ) ( 非システム ドメインのみ ) ユーザ イベント [Old Reports ( 現在のレポート )] | [Client Events ( クライアント イベ レポート ント )] | [Apply Filter ( フィルタの適用 )] | [Users Above Average ( 平 均以上のユーザ )] ( 前バージョンの Integrity Advanced Server から アップグレードした場合にのみ利用可能) (非システム ドメインのみ ) Integrity Advanced Server 管理者ガイド 261 ページ名 場所 イベント詳細レ [Old Reports ( 現在のレポート )] | [Client Events ( クライアント イベ ポート ント )] | [Apply Filter ( フィルタの適用 )] | < 要約をクリック > ( 前 バージョンの Integrity Advanced Server からアップグレードした場 合にのみ利用可能 ) ( 非システム ドメインのみ ) Integrity Monitor [Reports ( レポート )] | [Integrity Monitor (Integrity Monitor)] レポート エンドポイント [Reports ( レポート )] | [Endpoints ( エンドポイント )] レポート クライアント イ [Reports ( レポート )] | [Client Events ( クライアント イベント )] ベント レポート プログラム観察 [Reports ( レポート )] | [Program Observation ( プログラム観察 )] レポート 接続レポート [Reports ( レポート )] | [Connectivity ( 接続 )] エンドポイント [Reports ( レポート )] | [Endpoints ( エンドポイント )] | [Apply Filter 詳細レポート ( フィルタの適用 )] | < ユーザ名をクリック > イベント詳細レ [Reports ( レポート )] | [Client Events ( クライアント イベント )] | < ポート レポートを選択 ( 要約および準拠ステータス以外 )> | [Apply Filter ( フィルタの適用 )] | < グラフをクリック > エンドポイント [Reports ( レポート )] | [Endpoints ( エンドポイント )] | [Apply Filter 準拠履歴レポー ( フィルタの適用 )] | < ユーザ名をクリック > | [Compliance State ( 準 ト 拠状態 )] Integrity Advanced Server 管理者ガイド 262 用語集 Integrity Agent 管理者がセキュリティを常時集中管理する場合に使用される Integrity クライアント。インターフェイスが限定されており、パーソナル ポリ シー設定にはアクセスできません。 Integrity Flex エンドポイント ユーザがセキュリティを制御できる Integrity クライア ント。完全なユーザ インターフェイスを持ち、パーソナル ポリシー設 定にアクセスできます。 Integrity クライアント Integrity Advanced Server から割り当てられたセキュリティ ポリシーを 実装するエンドポイント ソフトウェア。Integrity クライアントには Integrity Agent と Integrity Flex の 2 種類があります。 SmartSum ユーティリティ 安全な、 または “ クリーンな ” コンピュータ上のすべてのプログラムを スキャンすることにより、プログラム リファレンス ソースを作成する ユーティリティ (Appscan.exe)。Integrity Advanced Server に同梱されて います。 Smart チェックサム SmartSum ユーティリティで生成されるリファレンス ソース内のプロ グラムを識別するためのチェックサム。異なるオペレーティング シス テムでは同じプログラムの同じバージョンについて異なる MD5 チェックサムが生成されてしまいますが、Smart チェックサムはこれ をフィルタリングして、各プログラムが Integrity Advanced Server Program Manager に複数表示されてしまうのを防ぎます。 TrueVector セキュリティ エンジン Integrity クライアント セキュリティの主要なコンポーネント。 TrueVector エンジンは、インターネット通信を調査し、セキュリティ 規則を施行します。 インターネット ゾーン トラスト ゾーンまたはブロック ゾーンに追加しているものを除き、す べてのコンピュータとネットワークをデフォルトで含むアクセス ゾー ン。 エンタープライズ ポリシー Policy Manager で定義され、エンドポイント ユーザに割り当てられる セキュリティ ポリシー。 エンティティ 親ドメイン内の子グループ。ユーザ カタログやユーザ グループなど。 Integrity Advanced Server 管理者ガイド 263 隔離 MailSafe は、自動実行コードの可能性があるファイル名拡張子 ( 例、 .EXE または .BAT) をもつ受信メールの添付ファイルを隔離します。隔 離機能でファイル名拡張子が変更されるため、検査せずに添付ファイ ルを開いてしまうことを防止できます。 許可 権限により保護される機能に対して管理者が許可されるアクセスのレ ベル。ある特権について、アクセスなし、読み取り、または読み取り / 書き込みのいずれかの許可が管理者に適用されます。 クライアントとして機能 プログラムがリモート コンピュータとの通信を開始する場合。 グローバル オブジェクト Integrity Advanced Server において、システム ドメインで管理されるオ ブジェクト。クラシック ファイアウォール規則など。グローバル オブ ジェクトは通常、すべてのドメインで使用される規則または定義で す。 グローバル管理者 Integrity Advanced Server において、システム ドメインにアクセスでき る管理者。通常、グローバル管理者は、ドメイン全体について責任を 負う Managed Service Provider (MSP) の担当者です。 権限 管理者コンソール内の機能に対する管理者のアクセスを制御するため の設定。ある特権について、アクセスなし、読み取り、または読み取 り / 書き込みのいずれかの許可が管理者に適用されます。 コンポーネント 大規模なプログラムで特定のタスクを実行するために必要となる、小 規模なプログラムや関数のセット。同時に複数のプログラムによって 使用されるコンポーネントもあります。Windows オペレーティング シ ステムでは、さまざまな Windows アプリケーションで使用される多く のコンポーネント DLL (Dynamic Link Libraries) が提供されています。 サーバとして機能 プログラムがほかのコンピュータからの接続要求を “ 待ち受ける ” 場 合。 参照されるプログラム リファレンス ソース内に見つかったプログラム。 サンドボックス 施行規則に準拠しないエンドポイント ユーザを制限するための、保護 されたネットワーク内の安全な Web サーバ。サンドボックス ページ には、ユーザが準拠するために必要な情報とリソースが記載されてい ます。 施行規則 保護対象エンドポイントに無制限のネットワーク アクセスを付与する Integrity Advanced Server 管理者ガイド 264 ための条件を定義した規則。 システム ドメイン Integrity Advanced Server におけるグローバル ドメイン。グローバル管 理者はシステム ドメイン内で、新規ドメインの作成、ポリシーやサン ドボックス テンプレートの発行、およびすべてのドメインに影響する その他のタスクを実行できます。 準拠 コンピュータが施行規則内で指定されている条件を満たす場合、その コンピュータは施行規則に準拠しているといえます。準拠しているコ ンピュータは完全なネットワーク アクセスを与えられます。 ステルス モード ゾーン規則で " 高 " セキュリティが適用される場合のデフォルトの モード。ステルス モードでは、意図しない外部からの通信 ( ポート ス キャンなど ) には応答を返しません。このため、侵入者に対して保護 対象コンピュータを不可視にできます。 接続エンタープライズ ポリシー エンドポイントがエンタープライズ ネットワークに接続したときに施 行するために、Policy Manager が定義し管理者が選択するセキュリ ティ ポリシー。 セキュリティ レベル 設定済みの " 高 "、" 中 "、および " 低 " レベルのゾーン規則設定。こ れらを使用することで、新しくインストールされたクライアントにす ばやくセキュリティを適用することができます。デフォルトでは、 Integrity Flex はインターネット ゾーンに対して " 高 " セキュリティ、 トラスト ゾーンに対して " 中 " セキュリティでインストールされます。 切断エンタープライズ ポリシー エンドポイントがエンタープライズ ネットワークから切断したときに 施行するために、Policy Manager が定義し管理者が選択するセキュリ ティ ポリシー。 デフォルト ドメイン ポリシー 新規ドメインがシステムに初めて追加されるとき、Integrity Advanced Server はデフォルト ポリシーをコピーし、デフォルト ドメイン ポリ シーを作成します。このポリシーは自動的に配備され、ドメインに割 り当てられます。デフォルト ドメイン ポリシー設定はドメイン内で管 理されます。 デフォルト ポリシー 新規ドメインのデフォルト ドメイン ポリシーを作成するために使用さ れるマスター コピー。設定はシステム ドメイン内で管理されます。デ フォルト ポリシーは 1 つだけ存在し、ポリシー識別子としてゼロが割 り当てられます (policyID=0)。ポリシー設定の変更は、保存した後で 初めてドメインに影響します。このポリシーをシステムから削除する ことはできません。 Integrity Advanced Server 管理者ガイド 265 ドメイン Integrity Advanced Server では、Managed Service Provider (MSP) の各カス タマにドメインが提供されます。ドメインには、その MSP カスタマの すべての情報が含まれます。 ドメイン管理者 単一のドメインにのみアクセスできる Integrity Advanced Server 管理者。 トラスト ゾーン 既知の信頼できるコンピュータとネットワークを含むアクセス ゾー ン。ゾーン規則において、トラスト ゾーンの通信には比較的低いセ キュリティ レベルのセキュリティを適用して、エンドポイントが必要 とする信頼されるリソースにアクセスできるようにします。 ハートビート Integrity クライアントから Integrity Advanced Server に送信される定期 メッセージ。警告のカウントや準拠の状況が含まれます。 配備 エンタープライズ ポリシーをポリシー サーバに配置して、Integrity ク ライアントがダウンロードできるようにすること。 パーソナル ポリシー Integrity Flex ユーザ インターフェイスで、エンドポイント ユーザが設 定するセキュリティ ポリシー。 非準拠 コンピュータが施行規則内で指定されている条件を満たさない場合、 そのコンピュータは施行規則に非準拠であるといえます。非準拠のコ ンピュータについては、観察するか、サンドボックスに制限すること ができます。 ブロック ゾーン エンドポイントに接続させたくないコンピュータおよびネットワーク を含むアクセス ゾーン。Integrity クライアントはエンドポイント コン ピュータとこのゾーン内のコンピュータの間のすべての接続をブロッ クします。 ポリシー テンプレート ポリシー作成時のテンプレートとして使用するためにすべてのドメイ ンに対して発行されるポリシー。ポリシー テンプレートは、システム ドメインからのみ作成、変更、および発行できます。 ポリシー パッケージ ポリシー パッケージは、Policy Manager でパッケージ化された 2 つの エンタープライズ ポリシーから構成されます。配備されたポリシー パッケージは、コンピュータが企業ネットワークに接続、または企業 ネットワークから切断されるときに、異なるエンタープライズ ポリ シーを使用してエンドポイント セキュリティを集中的に管理します。 ユーザ カタログ Integrity Advanced Server において、親ドメインの子エンティティとし Integrity Advanced Server 管理者ガイド 266 て存在するユーザ ディレクトリ。ユーザ カタログは、保護対象ドメイ ンのネットワークで使用されている認証システムによって判断されま す。 ユーザ グループ ユーザ カタログの子エンティティ。ユーザ カタログには任意の数のグ ループを含めることができます。 リファレンス ソース SmartSum ユーティリティによって生成される XML ファイルで、ス キャンされたコンピュータ上に見つかったすべてのプログラムに関す る Smart チェックサムおよびその他の情報が含まれます。リファレン ス ソースは Integrity Advanced Server にインポートされます。リファレ ンス ソース内のプログラムが観察されたら ( プログラム観察機能を使 用 )、プログラム規則を適用してアプリケーション制御のベースライ ンをすばやく作成できます。 ロール Integrity Advanced Server で管理者が実行できるタスクを定義するため に、権限と許可を組み合わせたものです。管理者のロールによって、 管理者が Integrity Advanced Server にログインしたときに表示される画 面が異なります。 割り当てる ポリシーの割り当てでユーザとエンタープライズ ポリシーとの間にリ ンクを作成すること。ポリシーを割り当てる前に配備する必要がある ことに留意してください。 Integrity Advanced Server 管理者ガイド 267 インデックス A Admin Manager 権限 46 D DHCP デフォルト設定 111 DNS デフォルト設定 111 E Enforcement Rule Manager 47 F FTP アクセス、例 92 I ICMP デフォルト設定 111 IGMP デフォルト設定 111 Integrity Advanced Server 管理者の認証 35 ドメイン、設定 11 ポリシーのクライアントへの配布 214 Integrity クライアント アクティビティのモニタリング 40 制限 166, 171, 172 セキュリティ イベントの追跡 246 ポリシーの配布 213–221 M MailSafe 拡張子権限 47 MailSafe 保護 193 拡張子の削除 199 拡張子のポリシーからの削除 202 拡張子、編集 198 隔離されるファイルの名前変更 195 制約 196 セキュリティ ポリシーへの追加 200 N NetBIOS デフォルト設定 111 Integrity Advanced Server 管理者ガイド P Policy Manager 権限 46 Program Manager 権限 47 S samplescan.bat 122 SmartSum、実行 121, 250–251 SmartSum、バッチ ファイルの実行 122 T TCP デフォルト設定 111 U UDP デフォルト設定 111 V VPN プロトコル、ブロック 109 あ アクセス ゾーン、管理 104–108 アクセス不許可 42 アンチウイルス規則、作成 168 い インターネット ゾーン 109 え エクスポート ポリシー 29 エンティティ アクセスの制限 39 管理者の割り当て 40 削除 29 ポリシーの割り当て 219–220 エンドポイント ユーザ 接続のトラブルシューティング 40 デフォルト ドメイン 7 メール保護 192–204 か 拡張子 管理 196–199 削除 199 編集 198 268 ポリシーからの削除 202 拡張子、作成 197 隔離される拡張子 195 隔離設定 193, 201 管理 MailSafe 拡張子 196–199 アクセス ゾーン 104–108 管理者 37–56 クラシック ファイアウォール規則 93 施行規則 164–174 ドメイン 6–31 場所 91 プログラムとコンポーネント 112–140 ポリシー バージョン 216–217 管理者 アカウント 削除 29, 56 作成 51 設定 51 編集 53 概要 38 管理 37–56 グローバル アカウントの作成 11 実行されるタスク 39 デフォルト ロール 45 ドメイン アクセス 38 マスター ドメイン 7 ドメイン エンティティへの割り当て 56 実行されるタスク 40 ドメイン アクセス 38 認証 35 ロールへの割り当て 55 き 規則 削除 95, 174 作成 93 ゾーン、概要 102 編集 94 有効化と無効化 99 ランク付け 91 規則の無効化 99 Integrity Advanced Server 管理者ガイド 規則の有効化 99 規則のランク付け 91, 98 既存のロールのコピー 48 許可、種類 42 く クラシック ファイアウォール規則 概要 91 管理 93 削除 95 作成 93 編集 94 ポリシーからの削除 100 ポリシーへの追加 97 有効化 99 ランク付け 98 グループ、削除 30 グローバル管理者 アカウントの作成 52 実行されるタスク 39 デフォルト ロール 45 ドメインにアクセス 38 マスター ドメイン 7 け 警告 有効化 178 警告メッセージ、表示 251 権限 概要 42 種類 46 編集 48, 49 ロールへの割り当て 46 こ コマンド ライン スイッチ 250–251 さ 削除 エンティティ 29 管理者アカウント 56 ドメイン 29 ポリシー テンプレート 62 割り当て 221 ユーザ カタログ 30 作成 269 管理者アカウント グローバル 11 規則 アンチウイルス 168 クラシック ファイアウォール 93 施行 164 新規 MailSafe 拡張子 197 ポリシー 60–63 サンドボックス 7, 9 ページの削除 29 し 施行アクティビティ、追跡 243 施行規則 管理 164–174 削除 174 作成 164 編集 173 ポリシーへの追加 175 理解 155 システム ドメイン アクセス 8 概要 7–11 実行されるタスク 11 手動でプログラムを追加する 127 進捗メッセージとエラー メッセージ、表 示 251 せ セキュリティ モデル 220 接続エンタープライズ ポリシー 263 切断エンタープライズ ポリシー 264 そ 送信先アドレス、定義 91 ゾーンベースのセキュリティ 101–111 た 対策エリア、サンドボックスを参照 つ 追跡 Integrity クライアントでの セキュリティ イベント 246 施行アクティビティ 243 て 添付ファイル、隔離 193 テンプレート Integrity Advanced Server 管理者ガイド 空、使用 49 削除 62 種類 58 発行 57–63 編集 61 ポリシー 9 テンプレートの発行 57–63 と ドメイン アクセスの制限 39 概要 7–13 管理 6–31 管理者の割り当て 40 削除 29 設定 11 ドメイン管理者 エンティティへの割り当て 56 実行されるタスク 40 ドメイン アクセス 38 他のドメインへの再割り当て 41 トラスト ゾーン 109 場所の追加 107 ね ネットワーク アクセスの制限 243 ネットワーク アクセス、制限 243 ネットワーク アクティビティのレポート 238–249 ネットワーク アクティビティ、レポート 238–249 は パケット処理、設定 109 場所 トラスト ゾーンへの追加 107 場所、管理 91 発信元アドレス、定義 91 ひ 非準拠クライアントの制限 166, 171, 172 ふ ファイアウォール管理権限 47 不可視モード § 警告 179 フラグメント、ブロック 109 ブロードキャスト / マルチキャスト デフォルト設定 111 270 プログラム観察 123 プログラム観察の間隔 126 プログラム グループ 規則の評価 114 プログラム コントロール 118 プログラム詳細レポート 248 プログラムとコンポーネント、管理 112– 140 プログラムの観察 123 プログラムの追加 127 プロトコル 許可 109 定義 91 へ 編集 管理者アカウント 53 規則 94, 173 ほ ポート、定義 91 ポリシー エクスポート 29 エンティティへの割り当て 219–220 拡張子の削除 202 規則の削除 100 規則の追加 97, 175 クライアントへの配布 213–221 削除 29 作成 40, 60–63 前バージョンに復帰 63 テンプレート 9, 58–63 削除 62 編集 61 配備 218 バージョンの管理 216–217 割り当ての削除 221 ポリシー スタジオ権限 46 ポリシーの一覧 58 ポリシーの割り当て 219–221 ポリシー パッケージ 265 ま マスター ドメイン 7 め メール保護、MailSafe 保護を参照 Integrity Advanced Server 管理者ガイド ゆ ユーザ カタログ 管理者の割り当て 40 削除 30 ユーザ グループ 削除 30 よ 読み取り許可と読み取り / 書き込み許可 42 り リファレンス ソース インポート 123 作成 121 定義 120 れ レポート プログラム詳細 248 ろ ロール 管理 38–44 削除 50 作成 46, 47 詳細の表示 43 制限 43 デフォルト 43, 45 編集 49 割り当て 36, 41–43 ログ 有効化 178 ログ アップロード 239 271