|
PC検疫LAN機能 |
|
ポリシーチェックサーバ(NOSiDE® 構成管理サーバ)、認証機能付きネットワーク装置を組み合わせ、社内ネットワークを
- 検疫エリア: 未認証で接続可能なエリア(インテグリティチェックサーバ、パッチ配布サーバ等が設置される)
- クライアントエリア: 検疫の対象となるクライアントPCが存在するエリア
- 社内システムエリア: 防御対象となる社内システム(ファイルサーバ等)が存在するエリア
に分割することにより、検疫LANを構成することが可能です。
クライアントPCは、未認証状態ではLAN上の検疫エリアにしか接続できません。この状態を解消するために、検疫エリアに設置されたNOSiDE構成管理サーバ(インテグリティチェックサーバ)へアクセスし、クライアントPCが、社内で規定されたセキュリティ対策を取っているかどうかを確認するための検査(インテグリティチェック)を実施します。
事前に定められたセキュリティポリシーに合格した端末のみ、接続制限が自動で解除され、社内LANにアクセス可能になります。
NOSiDE®LAN検疫ネットワークは、以下の認証機能付きネットワーク装置との連携により構成が可能です。
|
■ 検疫LANでインテグリティチェックに不合格となった場合
■ 検疫LANでインテグリティチェックに合格した場合
|
 ◇構築方法 |
 1.L2エンドポイント型(日立電線 Apresia®、D-Link DGS)
端末設置拠点にL2認証スイッチをゲートウェイとして配置することにより、LAN上のPCからウィルス被害を極小化する検疫NW構築を可能とします。
認証スイッチ配下にシェアードハブを設置することも可能です。
|
2.ファイアウォールアプライアンス型(Juniper社 NetScreen®シリーズ、SSGシリーズ)
センター側にセキュリティアプライアンスを配置することで、ウィルス感染被害を他セグメントに及ぼさない検疫NW構築を可能とします
|
3.認証VLAN型(Alcatel OminiSwitch、日立電線 Apresia®、AlaxalA AX、D-Link DGS)
検疫状態の端末は暫定VLANに所属し、セキュリティチェックと認証に成功した端末のみ正規のVLANに移動する認証VLANを構成することが可能になります
|
4.無線LANスイッチ型(ARUBA社 Mobility Controller)
無線LANスイッチMobility Controllerと無線LANアクセスポイントの連携により、無線LANクライアントの検疫NW構築を可能とします(有線LANへの適用も可能です)
|
5.LAN Shieldコントローラ型(ConSentry社 ConSentry LAN Shieldコントローラ CSシリーズ)
ConSentry社のLAN Shieldコントローラとの連携により、検疫後のNW通信をレイヤー7レベルの情報まで用いて追跡・記録することが可能となります
|
6.vZONE検疫型(Top Layer社 Secure Controller)
vZONE認証スイッチSecure Controller+認証サーバとの連携により、検疫前のアクセス制御、および検疫後のアクティビティログの記録が可能となります
|
| ◇端末チェック方法 |
- Webブラウザによるチェック。(クライアントはIE6以上が必要です)
- NOSiDE構成管理エージェントによるチェック
|
| ◇チェック項目 |
- OSセキュリティパッチ適用状況
- ウィルス対策ソフト設定
- ファイアウォールソフト設定
- カスタムチェック機能
|
| ◇端末IPアドレス再取得機能 |
- 認証VLAN型検疫LANを構成した場合、正規VLANに振り分けられたクライアントがIPアドレスを自動で再取得する機能を搭載しています。
|
|
警告期間設定機能
|
|
PC検疫LANを構成した場合、通常は設定されたポリシーに合致しない端末のLAN接続が制限されることになりますが、本機能を使う事により、
警告期間を設定されたセキュリティチェック項目については、ポリシーに合致しない状態であっても、警告メッセージを表示するだけで、
暫定的に接続を許可させることが可能です。
|
|
|
インベントリ情報収集機能
|
|
端末のインベントリ情報(ハードウェア、OS、インストールアプリケーション、ウィルス対策状況等に関する情報)を自動収集し、データベースに登録します。
インベントリ情報の収集方法として、
- Webブラウザによる収集
- 構成管理エージェントによる収集
- エージェントのファイル出力機能による、ネットワーク非接続端末からの収集
に対応しています。
|
|
|
インテグリティチェック機能 |
社内で利用されているクライアントPCごとに、セキュリティ対策状況や、社内で規定されたセキュリティポリシーへの適合状況をチェックすることが可能です。
チェック可能な項目は以下のとおりです。
- OS/IE/OFFICE等のセキュリティパッチ・Hotfixの適用有無
- 主要ウィルス対策ソフトのウィルス定義ファイル番号、リアルタイム保護機能のON/OFF
- ファイアウォールソフトの設定チェック
- カスタムチェック
カスタムチェックとして登録可能なチェック項目は、以下のとおりです。
- インストールアプリケーション
- ファイルスキャン
- プロセス・サービスのチェック
- レジストリ値のチェック
- ファイル/フォルダの暗号化チェック
※: PC検疫LANを構成せずに、インテグリティチェック機能のみを利用することも可能です。
|
|
非推奨ソフトウェエア検査(Winny/Share検査)機能 |
|
社内で利用されているクライアントPCごとに、Winny/Share等のインストール状況を検査し、管理者への通知や最適化(強制削除等)を実施することが可能です。
|
|
クライアント最適化(自動更新)機能 |
|
PC検疫LANにおいて、端末のセキュリティチェックに不合格となった場合、問題点を解消するための更新作業を自動化する機能を提供します。チェック内容は、以下のとおりです。
|
- 未適用のセキュリティパッチがある場合: パッチ適用を指示
- ウィルス定義ファイルが古かった場合: 定義ファイル更新を指示
- リアルタイム保護が無効になっている場合: 設定を有効化
- ファイアウォールソフトのフィルタ/侵入検知機能が無効になっている場合: 設定を有効化
等の対策を行い、クライアントPCの設定を最新の状態に更新することが可能です。
※自動更新の動作条件、および対象となるウィルス対策ソフトについてはお問合せください。
|
 |
|
※自動更新の動作条件、および対象となるウィルス対策ソフトについてはお問合せください。
|
|
セキュリティパッチ即時適用機能 |
|
セキュリティパッチ未適用のために端末のセキュリティチェックに不合格となった場合、WSUS(Microsoft® Windows® Server Update Services)を組み合わせる事により、クライアント自動更新機能を用いて、パッチの即時適用を行うことが可能です。
|
- セキュリティチェックの結果、パッチ未適用のため、ネットワーク接続に失敗(検疫エリアへの囲い込み)
- クライアント自動更新機能を使用して、パッチの適用を指示
- パッチのダウンロード・インストールを開始・実行
- パッチ適用後、メニューに戻ってネットワーク接続を再実行
|
 |
|
※ワークグループモードで動作するクライアントに対しても、パッチの即時適用が可能です。
※セキュリティパッチ即時適用機能を利用する場合、パッチの種類により、再起動が必要となる場合があります。
|
|
不正接続防止機能 |
|
事前にNOSiDE検疫LANサーバに管理対象となるクライアントPCの固有情報(MACアドレス等)を登録しておく事により、セキュリティ対策状況によらず、未登録クライアントの社内ネットワーク接続を拒否することが可能です。
|
- システム管理者がクライアント管理用に事前作成しておいた固有情報リストをNOSiDE構成管理サーバにあらかじめインポートしておく事により、リストに掲載されていない固有キーを持つクライアントは社内ネットワークへの接続を拒否されます。
|
 |
|
※クライアントを識別するための固有キーとしては、MACアドレス、固有ID(固定資産番号など)を利用することが可能です。
|
| WSUSパッチ適用例外申請機能 |
|
何らかの理由により、適用できないWindowsパッチが存在する場合、利用者が申請を行い、管理者に承認されることにより、当該パッチの適用を免除することが可能です。
システム管理者が申請の都度、適用免除の適否を判断することも、特定の条件に合致するパッチについては、申請時に自動で適用免除とすることも可能です。
|
| パッチ管理・ウィルス対策ソフト管理機能 |
|
検疫エリア内に
- ウィルス定義ファイル配信サーバ
- SUS(Microsoft® Software Update Services)サーバ もしくは
WSUS(Microsoft® Windows® Server Update Services)サーバ
を配置することで、セキュリティパッチ・ウィルス定義ファイルの更新やリアルタイム保護の有効化を自動化することが可能です。
※WSUS/SUSをNOSiDEと組み合わせることにより、ワークグループモードで動作するクライアントに対しても、レジストリの手動設定なしにパッチ配布が可能になります。
|
|
エージェントマネージャー機能
|
NOSiDE構成管理エージェントにエージェントマネージャーを組み合わせることで
- エージェントによる検疫LAN認証結果
- 管理者からのお知らせ情報
の確認が可能になります。
また、検疫LANで認証に失敗した場合には、エージェントマネージャーより最適化(自動更新)の指示を行うことも可能です。
|
■ エージェントマネージャーのPC検疫LAN認証結果通知画面
■ エージェントマネージャーのお知らせ表示画面
|
|
セキュリティ対策状況一元管理機能 |
|
組織内で利用されているPCのセキュリティ対策状況を一元管理するためのインタフェースを提供します。個々のPC単位でのセキュリティ対策状況の参照やリスト出力、特定パッチの適用有無による抽出はもちろんのこと、任意条件を指定した対象マシンの集計も可能です。また、セキュリティ対策に不備のあるマシンの利用者に対するメール送信機能や、リモートデスクトップ接続の呼び出し機能も提供しています。
特定セキュリティパッチの適用有無や、OS種別・ウィルス対策ソフト種別・セキュリティチェック結果等を条件とした複合条件を定義し、対象となるマシンを抽出することも可能です。
|
 |
|
ログ管理機能 |
|
検疫LANネットワークにおける認証履歴や、クライアントのNOSiDEサービスに関する操作履歴を管理することが可能です。
それぞれのログは、ワークシートに出力することも可能です。
|
|
ソフトウェアライセンス管理機能 |
|
◇ライセンス過不足一覧
多数の集計切り口(アプリケーション別集計、OS別集計、ユーザー別/グループ別集計など)から、ライセンスの過不足集計が可能です。
任意条件による集計機能を搭載しているため、ソフトウェア台帳の作成も可能です。
|
|
◇ライセンス管理ワークフロー ソフトウェアライセンス資産の棚卸業務実施を効率化するためのワークフロー実行機能を標準搭載しています。 |
 |
|
ハードウェア管理機能 |
|
ハードウェア属性別の基本集計機能(CPU別集計、メモリ容量別集計、ディスク容量別集計、IPアドレス集計など)を搭載しています。
この他に、複数の属性情報を指定した複合条件検索機能を搭載しているため、例えばCPU種別、メモリ容量、ディスク容量のしきい値を設定し、リプレース対象ハードウェアの抽出作業等に活用することも可能です。
|
|
資産管理機能 |
契約区分を含む資産情報(固定資産情報、リース/レンタル情報、購入物品、保守)を、自動収集したマシン情報と連携管理する事が可能です。
|
|
エコ管理機能 |
|
オフィス内におけるPCの消費電力を算出・集計する機能です。マシン単位での消費電力実績や、グループ別の消費電力推移の把握、省電力シミュレーションの実施により、コンピュータ利用に伴う消費電力の削減施策の推進に寄与することが可能となります。 |
