ユーザーズガイド F-SECURE CLIENT SECURITY 9.00 ADMINISTRATOR GUIDE

[. . . ] エフセキュアは、サービスを常に改善するためにF-Secureの製品の使用に関する統計データを収集してい ます。データはお客様を特定できない形で収集されますが、お客様の製品と関連付けるオプションもあり ます。このオプションを有効にしたら、製品とデータがより簡単に検証できるようになるため、F-Secure のサービスとサポートが向上します。オプションを有効にする場合、ライセンス証明書に記載されている 顧客 ID をポリシー マネージャのインストール中に入力してください。 どのような情報が送信されますか?収集するデータは個人を特定できないように匿名で保存されます。データには、F-Secureのバージョン、 オペレーティング システムのバージョン、ホストの数、切断されているホストの数が含まれ、これらはセ キュリティのため、暗号化した形で転送されます。 F-Secureに情報の送信を許可するメリットは?エフセキュアのサポートにお問い合わせする際に、データを照合できるため、問題の解決と対応が速くな ります。また、収集したデータをフィードバックとして扱うことで、今後の製品のアップデートやアップ グレードの改善に役立ちます。 情報はどこで保存されますか?また、だれがアクセスできますか? [. . . ] [ネットワーク隔離を有効にする] を選択します。 4. [ネットワーク隔離を有効にするために必要なパターン ファイルの経過日数] を指定します。 5. [リアルタイム スキャンが無効な場合、ホスト上でネットワーク隔離を有効にする] を選択すると、リア ルタイム スキャンが無効にされた際ににネットワークの隔離保存が有効になります。 6. をクリックするとポリシーの保存と配布を行います。 ネットワークの隔離保存を調整する ネットワークの隔離保存は、ホストのセキュリティ レベルを [ネットワークの隔離保存] に強制変更するこ とによって有効にできます。[ネットワークの隔離保存] のセキュリティ レベルには制限されているファイ アウォール ルールが含まれています。 [ネットワークの隔離保存] のセキュリティ レベルにファイアウォールの許可ルールを追加して、ネットワー クのアクセスを必要に応じて許可することが可能です。 98 | F-Secure クライアント セキュリティ | インターネット防御 インターネット防御の警告 インターネット防御は、特定のマルウェアがコンピュータにアクセスしようとした際に警告を表示するこ とができます。 特定のファイアウォール ルールが適用される際に、または不正なデータグラムが受信される際など、特定 の動作が行われるときに警告を発生することが可能です。警告を活用することで、システムで転送されて いるデータの監視が容易になります。 警告の設定を行う際には、セキュリティ レベルが適切に設定されていることが必要です。一般的には、1つ の警告に対して1つのルールを設けると効率的です。複数のルールを対象とした警告を設定することも可能 ですが、その場合には大量の警告が生成される可能性が高くなります。警告の数が多くなると、管理と運 用の負担もその分増えます。 警告ルールを追加する この例では、警告を発する [拒否] ルールが特定のサブドメインの着信 ICMP トラフィックに対して作成さ れます。対象のコンピュータに ping を実行すると警告が表示するようになります。 ルールは、サブドメインにあるコンピュータに ping を行うことで検証します。また、ファイアウォールの ルール ウィザードでルールを作成する際に選択できるオプションについても説明します。 ルールのタイプと拒否するサービスを選択する ルールのタイプを選択して、拒否するサービスを定義します。 次のように実行します。 1. 「ポリシー ドメイン」タブでルールの対象となるサブドメインを選択します。 2. 「設定」タブに移動して、「ファイアウォール ルール」ページを開きます。 3. [編集するインターネット防御セキュリティ レベル] ドロップダウン メニューから、ルールの対象となる セキュリティ レベルを選択します。 選択したセキュリティ レベルに関連しているルールがテーブルに表示されます。 4. [前に追加] をクリックして、新しいルールをリストの最初のルールに指定します。 「ファイアウォールのルール」ウィザードが開きます。 5. [拒否] を選択して着信 ICMP 接続を拒否します。 6. 対象のホストを指定する ルールをすべての接続に適用するか、特定の接続に適用するか選択します。 • • • [任意のリモート ホスト] オプションをオンにして、ルールをすべてのインターネット接続に適用し ます。 [ローカル接続しているネットワーク上のすべてのホスト] をオンにすると、ローカル ネットワーク からの全接続に対してルールが適用されます。 [指定したリモート ホスト] オプションをオンにして、IP アドレス、IP アドレスの範囲、または DNS アドレスにルールを適用します。このオプションを選択すると、テキスト フィールドにアドレスを 指定することができます。複数のアドレスまたはアドレス範囲をフィールドに入力する場合、スペー スで区切ります。 ここでは、[任意のリモート ホスト] を選択します。 7. 拒否するサービスと方向を選択する F-Secure クライアント セキュリティ | インターネット防御 | 99 ルールの対象となるサービスをリストから選択します。複数のサービスを選択することが可能です。す べてのサービスにルールを適用する場合、リストの最上部にある [すべて] を選択します。 選択したサービスの [方向] 列の矢印をクリックしてルールを適用する方向を選択します。クリックを繰 り返すと、方向が変わります。次の表を参照してください。 方向 <=> <= 説明 サービスを着信/発信の両方向で許可/拒否します。 サービスが定義されたリモートホストやネットワー クからコンピュータに着信する場合に、サービスを 許可/拒否します。 サービスが定義されたリモートホストやネットワー クからコンピュータに発信する場合に、サービスを 許可/拒否します。 => ここでは次をように選択します。 • • [サービス] ドロップダウン リストから [ICMP] を選びます。 [方向] 列から「<=」を選択します。 詳細オプションを指定する ルールの詳細オプションを指定します。 次のように実行します。 1. チェックボックスのオン/オフを選択して、ダイヤルアップ リンクが開かれているときだけルールを適 用するかどうか定義します。 a) チェックボックスのオン/オフを選択して、ダイヤルアップ リンクが開かれているときだけルールを 適用するかどうか定義します。 b) [警告を送信] ドロップダウン リストから警告のタイプを選択します。 ここでは [セキュリティ警告] を選択します。 c) [警告トラップ] ドロップダウン リストから発信する警告トラップを選択します。 d) [警告コメント] に警告に関するコメントを入力します。 e) 他の設定はデフォルトのままにします。 2. [警告を送信] ドロップダウン リストから警告のタイプを選択します。 3. [警告トラップ] ドロップダウン リストから発信する警告トラップを選択します。 ここでは [ネットワーク イベント: 着信サービスが拒否されました。] を選択します。 4. [警告コメント] に警告に関するコメントを入力します。 このコメントはクライアント セキュリティのローカル ユーザ インターフェースに表示されます。 5. 他の設定はデフォルトのままにします。 6. ルールを確認および適用する 作成したルールを確認します。ルールにコメントを追加すると、「ファイアウォール ルール」テーブル にコメントがルールと一緒に表示されるようになります。ルールを変更する必要があれば、[戻る] をク リックして作成画面に戻れます。 7. ルールの内容に問題がない場合、[完了] をクリックします。 新しいルールが「ファイアウォール ルール」ページにあるルール リストの一番上に表示されます。 100 | F-Secure クライアント セキュリティ | インターネット防御 警告の転送を設定する ルールに警告の転送を設定します。 次のように実行します。 1. 「設定」タブに移動して、「警告を送信」ウィンドウを開きます。 2. 「警告転送」ウィンドウでセキュリティ警告がポリシー マネージャ コンソールに送信されることを確 認します。 3. 必要の場合、[ポリシー マネージャ コンソール] 列の [セキュリティ警告] チェックボックスをオンにし ます。 ルールの適用と検証 ルールを適用および検証します。 次のように実行します。 1. 「ポリシー ドメイン」タブでサブドメインが正しく選択されていることを確認します。 2. [. . . ] イニシエータ ポートを指定します。 サービスが TCP または UDPプロトコルを使用している場合、サービスのイニシエータ ポートを指定す る必要があります。ポートとポート範囲の入力形式は次のとおりです。 • • • • • • >ポート番号 - 「ポート番号」より大きいすべてのポート >=ポート番号 - 「ポート番号」以上のすべてのポート <ポート番号 - 「ポート番号」より小さいすべてのポート <=ポート番号 - 「ポート番号」以下のすべてのポート ポート番号 - 指定の「ポート番号」のみ [最小ポート番号-最大ポート番号] - 「最小ポート番号」と「最大ポート番号」およびその間のすべ てのポート (ダッシュの両側にはスペースを入れないでください)。 これらの項目をカンマで区切って一緒に定義することができます。例えば、ポート 10、11、12、100、 101、200 および 1023 以上は、「10-12, 100-101, 200, >1023」と定義できます。 この例では、イニシエータ ポートに「>1023」を指定します。 7. リスポンダ ポートを指定します。 サービスが TCP または UDPプロトコルを使用している場合、サービスのリスポンダ ポートを指定する 必要があります。 この例では、リスポンダ ポートに「8000」を指定します。 8. サービスに適用する分類番号をドロップダウン リストから選択します。 F-Secure クライアント セキュリティ | 高度な機能 - インターネット防御 | 165 デフォルトの値を使用します。 9. サービスが許可するトラフィックに、標準のパケット フィルタリングと状態検査フィルタリング以外に 他のフィルタリングを適用するか選択します。 この例では、デフォルトの [無効] を選択します。 注: サービスが TCP プロトコルを使用し、アプリケーション通信制御を有効にしない場合、[その 他のフィルタリング] ドロップダウン メニューから [アクティブ モード FTP] を選択できます。接続 に開く必要があるポートに関する情報が転送されるデータに含まれるため、アクティブ モード FTP に対してファイアウォールから特別な操作を行うことが必要です。 10. [. . . ]