ユーザーズガイド ASUS EEE PC R251B

[. . . ] アドウェアや不要と思われるアプリケーションを検索します。 はじめてアドウェアや不要と思われるアプリケーションを検索すると、 ネットワーク上で既に起動しているアプリケーションに対する大量の警告 が発生することがあります。はじめにスケジュール検索を実行すること で、ユーザーの作業環境に影響を与えることなく、ネットワークで既に起 動しているアプリケーションに対処することができます。 a) アドウェアや不要と思われるアプリケーションすべてを検索するため、 システムのフル検索をスケジュール設定します。 b) 検索によって検出されたアプリケーションを認証またはアンインストー ルします。 詳細はサポートデータベースの文章 13815 をご覧ください。 (http://www. sophos. co. jp/support/knowledgebase/article/13815. html) 8 Sophos Endpoint Security and Controlポリシー設定ガイド 7. 将来インストールされるアプリケーションからコンピュータを保護するた め、オンアクセス検索を有効にします。詳細は、オンアクセス検索の使用 (p. 「アプリケーション コントロール - イベントビューア」を使用して、使用 中のアプリケーションを表示し、ブロックするアプリケーションやアプリ ケーションのタイプを決定します。イベントビューアを開くには、「表示 > アプリケーション コントロールのイベント」をクリックします。 4. [. . . ] コンピュータのグループごとに、アプリケーションへのアクセスを許可す るには、グループごとに異なるポリシーを作成します。たとえば、社内に 設置されているデスクトップコンピュータに対しては、VoIP の使用を許 可せず、社外で使用するモバイルコンピュータに対しては、使用を認証す ることなどができます。 5. ブロックするアプリケーションやアプリケーションのタイプを決定し、 「ブロック」リストに移動します。 6. 「検出するが、実行は許可する」オプションを選択から外して、検出され た管理対象アプリケーションをブロックするようポリシーを設定します。 このように導入することで、多数の警告が発生したり、必要なアプリケー ションがブロックされることを防ぎます。アプリケーション コントロール ポリシーの設定に関する詳細は、Sophos Enterprise Console ヘルプをご覧くだ さい。 11 Sophos Endpoint Security and Controlポリシー設定ガイド 6 デバイスコントロール ポリシーの設定 6. 1 設定にあたって デバイスコントロールポリシーは、コンピュータで使用を認証するストレー ジデバイスやネットワーク機器を指定します。デバイスコントロール ポリ シーを設定する際は、次の点にご注意ください。 ■ 「デバイスを検出するが、ブロックしない」オプションを指定して、管理 対象デバイスの検出のみを行い、ブロックは行わないようにします。設定 するには、まず、検出する各デバイスタイプのステータスを「ブロック」 に指定します。このように指定されていないデバイスタイプに対して検索 は実行されません。はじめに、レポートのみ受信することをポリシーで指 定することで、ネットワーク全体のデバイス使用の全容を把握することが できます。 「デバイスコントロール - イベントビューア」を使用して、ブロックされ たイベントをフィルタですばやく抽出し、調査してください。イベント ビューアを開くには、「表示 > デバイスコントロールのイベント」をク リックします。 「レポートマネージャ」を使用して、コンピュータまたはユーザーごとの デバイスコントロールのイベントの傾向に関するレポートを作成してくだ さい。 機密情報へのアクセスが許可されているユーザーのコンピュータに対して は、より厳格なアクセスコントロールを実施することもできます。 デバイスのブロックを指定するポリシーを適用する前に、除外対象デバイ スのリストを作成します。たとえば、デザイン部門のみに対して光学メ ディアドライブの使用を許可することを指定できます。 「セキュリティ搭載リムーバブル ストレージ デバイス」カテゴリを使用 して、多種の対応ベンダの、ハードウェア暗号化機能を持つ USB ストレー ジ デバイスを自動認証することができます。対応しているベンダの一覧 は、ソフォス Web サイトをご覧ください。 デバイスコントロール ポリシーにデバイスの除外を追加する際、「コメ ント」フィールドに、デバイスを除外する理由や、除外をリクエストした ユーザーの名前を入力してください。 デスクトップメッセージの送信を有効にして、管理対象デバイスの検出時 に表示するユーザー向けのメッセージを作成してください。たとえば、デ バイスの使用に関する社内ポリシードキュメントへのリンクを表示するこ とができます。 ■ ■ ■ ■ ■ ■ ■ 12 Sophos Endpoint Security and Controlポリシー設定ガイド ■ コンピュータをネットワークから切り離したときに、ネットワークデバイ ス (Wi-Fi アダプタなど) が有効になるよう設定するには、ネットワークデ バイスのアクセスレベルで、「ブリッジ接続をブロックする」オプション を選択します。 ヒント: 「ブリッジ接続をブロックする」モードでは、企業ネットワーク と外部ネットワーク間のブリッジ接続におけるリスクを大幅に削減できま す。ワイヤレスデバイス、モデムのどちらでも、「ブリッジ接続をブロッ クする」モードを利用できます。この動作モードは、エンドポイントが物 理的なネットワーク (通常、イーサネットで接続) に接続した際に、ワイ ヤレスアダプタかモデムのどちらかが無効になることで作動します。エン ドポイントを物理的なネットワークから切り離すと、シームレスにワイヤ レスアダプタやモデムは再度有効になります。 ■ ポリシーを適用する前に、ブロックするデバイスの設定が適切であること を確認してください。特に、Wi-Fi やネットワークデバイスに関しては、 すべての使用ケースを考慮するようにしてください。 警告: ポリシーの変更は、Enterprise Console サーバーからネットワークを 介して各コンピュータに適用されます。したがって、ネットワークが一度 ブロックされると、当該のサーバーは各コンピュータに追加で設定を適用 できないため、Enterprise Console を使ってブロックを解除することができ ないことにご注意ください。 6. 2 デバイスコントロール ポリシーを適用する デフォルトで、デバイスコントロールは無効になっています。すべてのデバ イスが許可されています。デバイスコントロールは、次の手順で導入するこ とをお勧めします。 ヒント: Enterprise Console 3. 1 で使用していたデバイスコントロールの設定 は、アプリケーション コントロール ポリシー内にあります。既存の設定内 容を新しいデバイスコントロール ポリシーに転送するには、 DeviceControlMigration ツールを使用できます。詳細は、「Sophos Endpoint Security and Control アドバンス アップグレードガイド」をご覧ください。 1. どのデバイスを管理の対象にするか決定します。 13 Sophos Endpoint Security and Controlポリシー設定ガイド 2. デバイスコントロールを有効に設定し、「デバイスを検出するが、ブロッ クしない」オプションを指定して、管理対象デバイスの検出のみを行い、 ブロックは行わないようにします。設定するには、まず、検出する各デバ イスタイプのステータスを「ブロック」に指定します。このように指定さ れていないデバイスタイプに対して検索は実行されません。 この時点で、社内ネットワーク全体に対して設定されているデバイスコン トロール ポリシーは 1つです。 3. 「デバイスコントロール - イベントビューア」を使用して、使用中のデバ イスを表示し、ブロックするデバイスのタイプを決定します。イベント ビューアを開くには、「表示 > デバイスコントロールのイベント」をク リックします。 4. コンピュータのグループごとに、デバイスへのアクセスを許可するには、 グループごとに異なるポリシーを作成します。たとえば、人事や経理部門 のユーザーにはリムーバブル ストレージ デバイスの使用を許可せず、IT や営業部門のユーザーには許可するよう設定することができます。 5. 「ファイアウォール - イベントビューア」を使用して、使用中のトラフィッ ク、アプリケーションおよびプロセスを表示してください。イベントビュー アを使用して、レポートされたトラフィック、アプリケーションおよびプ ロセスを許可/ブロックするルールを容易に作成することができます。イ ベントビューアを開くには、「表示 > ファイアウォールのイベント」をク リックします。 4. 随時、カスタム グローバル ルールおよびアプリケーション ルールを作成 します。 ヒント: ステップ 1～4 の代わりに、「対話型」モードでテストコンピュー タを設定した後、作成したルールをインポート・編集することもできま す。詳細は、Sophos Endpoint Security and Control ヘルプをご覧ください。 5. Sophos Client Firewall のインストールは、ネットワークで段階的に行って ください。これによって、インストールの初期段階で、ネットワークに大 量のトラフィックを流すことを防ぐことができます。はじめに、数台のコ ンピュータに限って Sophos Client Firewall をインストールし、容易に監視 できるようにしてください。インストールするコンピュータを選ぶ際は、 ご使用のネットワークにおける、さまざまなロールが的確に反映されるよ うにしてください。 警告: 設定内容を十分確認・テストするまで、ネットワーク全体にはイン ストールしないでください。 a) Sophos Client Firewall をテストコンピュータにインストールし、設定し ます。 b) 通常使用するプログラムやプロセスすべてをテストコンピュータで実 行します。 c) テスト設定に弱点がないか確認します (一部のユーザーに必要以上のア クセス権があるなど)。 d) 異なる設定が必要な場合は、グループを分割し、それぞれ、必要な設 定を作成します。 e) ルールをテストした後は、ポリシーのモードを「規定でブロック」に 変更します。変更しない場合、コンピュータに保護が提供されません。 6. インストールの第一段階が終了したら、 Sophos Client Firewall のネットワー ク全体へのインストールを計画してください。 25 Sophos Endpoint Security and Controlポリシー設定ガイド 一度に大量のトラフィックをネットワークに流すことは避ける必要があり ます。したがって、一度にネットワーク全体にインストールを行わないよ うにしてください。 ■ ■ インストールする残りのネットワークを コンピュータ 100台ごとなど、 管理可能な大きさのグループに分割します。 各グループに段階的にインストールを行います。 ファイアウォール ポリシーの設定に関する詳細は、Sophos Enterprise Console ヘルプをご覧ください。ファイアウォールのデフォルト設定の詳細は、サ ポートデータベースの文章 14464 をご覧ください (http://www. sophos. co. jp/support/knowledgebase/article/14464. html)。 Enterprise Console 4. 0 における新しいファイアウォール機能の詳細は、サポー トデータベースの文章 54750 をご覧ください。 (http://www. sophos. co. jp/support/knowledgebase/article/54750. html) 26 Sophos Endpoint Security and Controlポリシー設定ガイド 9 NAC ポリシーの設定 9. 1 事前に定義済みの NAC ポリシーの使用について NAC ポリシーは、各コンピュータがネットワークにアクセスするために、満 たさなくてはならない条件を指定します。デフォルトで Sophos NAC は、す べてのコンピュータのネットワークアクセスを許可します。アクセスをコン トロールするには、NAC ポリシーを設定する必要があります。 事前に定義済みのポリシーを使用して、管理対象コンピュータ、および管理 対象外のコンピュータの両方に対して、セキュリティポリシーの準拠を施行 してください。NAC Manager の事前に定義済みのポリシーで編集できる項目 は、ポリシーモード、ポリシー内のプロファイル、またはポリシーに適用す るネットワーク アクセス テンプレートです。 選択できるポリシーは次のとおりです。 ■ デフォルト: 「デフォルト」ポリシーは、コンピュータに Compliance Agent がインストール済みで、他のポリシーが指定済みでない場合、使用されま す。デフォルトで、ポリシーモードは「Report Only」に設定されていま す。ポリシーモードが「Remediate」または「Enforce」に設定されている 場合、コンピュータで修復アクションを実行します。 Managed: 「Managed」(管理対象エンドポイント用) ポリシーは、Enterprise Console によって管理され、Compliance Agent がインストール済みのコン ピュータに指定することができます。デフォルトで、ポリシーモードは 「Report Only」に設定されています。ポリシーモードが「Remediate」ま たは「Enforce」に設定されている場合、コンピュータで修復アクション を実行します。 Unmanaged: 「Unmanaged」(管理対象外のエンドポイント用) ポリシー は、社外から持ち込まれたコンピュータに対して指定することができま す。このポリシーは、コンピュータで修復アクションを実行しません。 Compliance Dissolvable Agent は、「Unmanaged」ポリシーを使用します。 ■ ■ 事前に定義済みのポリシーのアップデートに関する詳細は、Sophos NAC Manager ヘルプ (英語) をご覧ください。 9. 2 NAC ポリシーを適用する Sophos NAC を新規インストールすると、すべてのコンピュータに「デフォ ルト」NAC ポリシーが適用されます。ポリシーの設定を変更したり、「デ フォルト」以外のポリシーを使用する場合は、Sophos NAC Manager でポリ シーを編集し、編集したポリシーを Enterprise Console で各コンピュータに適 27 Sophos Endpoint Security and Controlポリシー設定ガイド 用してください。NAC ポリシーは、次の手順で導入することをお勧めしま す。 1. Enterprise Console でグループを作成/インポートし、コンピュータの保護 ウィザードを使用して、Sophos Compliance Agent を各コンピュータにイン ストールします。 2. NAC Manager で、使用する設定､プロファイル、およびアクセステンプレー トが NAC ポリシーに含まれていることを確認します。 3. Enterprise Console を使用して、Enterprise Console の管理対象グループすべ てに、「Managed」NAC ポリシーを適用します。 Compliance Agent は、「Report Only」ポリシーモードで、コンプライアン ス評価を開始します。 4. [. . . ] Enterprise Console を使用して、Enterprise Console の管理対象グループすべ てに、「Managed」NAC ポリシーを適用します。 Compliance Agent は、「Report Only」ポリシーモードで、コンプライアン ス評価を開始します。 4. NAC Manager のレポートを利用してユーザーの現在のコンプライアンス ステートを確認します。 NAC ポリシーとユーザーの適合度について、正確なレポートを表示でき ます。 5. NAC Manager を使用して、「Managed」NAC ポリシーをアップデートしま す。ポリシーモードを「Report Only」から「Remediate」に変更します。 6. [. . . ]