f-secure policy manager...目次 1: はじめに.....8 1.1 新機能.....9

F-Secure PolicyManagerAdministrator's Guide

18-02-20

目次

1: はじめに..................................................................................................8

1.1 新機能...............................................................................................................................................................9

1.2 システム要件..................................................................................................................................................9

1.2.1ポリシーマネージャサーバ.........................................................................................................9

1.2.2ポリシーマネージャコンソール..............................................................................................10

1.3 主要コンポーネント.....................................................................................................................................11

1.4 機能..................................................................................................................................................................11

1.5 製品を登録する.............................................................................................................................................12

1.5.1 アップストリームのレポート.....................................................................................................13

1.6 専門用語.........................................................................................................................................................13

1.7ポリシーベース管理.....................................................................................................................................13

1.7.1マネージメントインフォメーションベース..........................................................................14

2: インストール.........................................................................................16

2.1インストール手順.........................................................................................................................................17

2.1.1インストールパッケージのダウンロードと実行...................................................................17

2.1.2 インストールするコンポーネントを選択する.......................................................................17

2.1.3インストールを完了する.............................................................................................................18

2.1.4ポリシーマネージャコンソールを実行する.........................................................................18

2.2 Webブラウザのパスを変更する...............................................................................................................18

2.3 アンインストール........................................................................................................................................19

3: ポリシーマネージャコンソールの使用...............................................20

3.1 概要..................................................................................................................................................................21

3.2 基本操作.........................................................................................................................................................21

3.2.1 ログイン..........................................................................................................................................21

3.2.2ユーザを追加する.........................................................................................................................22

3.2.3スタンダードモードと詳細モードの切り替え......................................................................23

3.2.4「メッセージ」ウィンドウ........................................................................................................25

3.2.5 製品のアップグレード通知........................................................................................................25

3.3ドメインとホストの管理............................................................................................................................25

3.3.1ポリシードメインを追加する....................................................................................................25

3.3.2ホストを追加する.........................................................................................................................26

3.4 ソフトウェアの配布....................................................................................................................................31

3.4.1リモートインストール................................................................................................................31

3.4.2ポリシーベースインストール..................................................................................................34

目次 | F-Secure PolicyManager

3.4.3パッケージを利用したローカルインストール/更新...........................................................36

3.4.4ローカルインストールとポリシーマネージャ....................................................................37

3.4.5 管理対象ソフトウェアをアップグレードする......................................................................38

3.5 ポリシーの管理............................................................................................................................................39

3.5.1 設定..................................................................................................................................................39

3.5.2 設定にメモを追加する................................................................................................................39

3.5.3配布していない変更を破棄する...............................................................................................40

3.5.4制限.................................................................................................................................................40

3.5.5 パスワードでアンインストールの保護..................................................................................40

3.5.6設定を変更する.............................................................................................................................41

3.5.7 ポリシーの継承.............................................................................................................................41

3.6 操作とタスクの管理...................................................................................................................................43

3.6.1診断レポートを遠隔から収集する...........................................................................................44

3.7 警告................................................................................................................................................................44

3.7.1 警告とレポートの表示................................................................................................................44

3.7.2 システムの警告をメールで送信する.......................................................................................45

3.7.3 警告転送の設定............................................................................................................................46

3.7.4警告を syslogサーバへ転送する................................................................................................46

3.8 マルウェア定義ファイルの更新..............................................................................................................46

3.8.1ポリシーマネージャサーバのマルウェア定義ファイルを確認する...............................48

3.8.2 隔離されたネットワークでのマルウェア定義の更新.........................................................48

3.9レポートツール...........................................................................................................................................50

3.9.1レポートを表示およびエクスポートする...............................................................................50

4: ポリシーマネージャサーバのメンテナンス........................................52

4.1ポリシーマネージャのデータをバックアップ/復元する...................................................................53

4.2 バックアップを作成する...........................................................................................................................53

4.3 バックアップを復元する...........................................................................................................................53

4.4署名鍵をエクスポート/インポートする................................................................................................54

4.5イメージファイルを使用したソフトウェアの複製............................................................................54

4.6データベースメンテナンスツールを実行する....................................................................................55

4.6.1データベースメンテナンスのトラブルシューティング.....................................................55

5: Linuxでの使用........................................................................................58

5.1 概要.................................................................................................................................................................59

5.2 インストール................................................................................................................................................59

5.2.1ポリシーマネージャサーバをインストールする................................................................60

5.2.2ポリシーマネージャコンソールをインストールする........................................................60

5.3 Active Directoryを認証ために企業の証明書をインポートする...........................................................61

5.4自動保存されたバックアップを復元する..............................................................................................62

5.5アンインストール........................................................................................................................................62

5.6 FAQ..................................................................................................................................................................63

F-Secure PolicyManager |目次

6: Webレポート........................................................................................66

6.1レポートを生成/表示する..........................................................................................................................67

6.1.1レポートを生成する.....................................................................................................................67

6.1.2 スケジュールレポート...............................................................................................................67

6.1.3印刷用のレポートの作成............................................................................................................68

6.1.4 レポートを自動的に生成する...................................................................................................68

6.2 Webレポートの管理...................................................................................................................................69

6.3 Webレポートのエラーメッセージとトラブルシューティング.......................................................69

6.3.1エラーメッセージ........................................................................................................................69

6.3.2 トラブルシューティング...........................................................................................................69

6.3.3 Webレポートのポートを変更する...........................................................................................70

7: ポリシーマネージャプロキシ..............................................................71

7.1概要..................................................................................................................................................................72

7.1.1ポリシーマネージャプロキシはどのようなときに使えば良いですか?..........................72

7.1.2ポリシーマネージャプロキシを設定する..............................................................................73

7.1.3ポリシーマネージャプロキシの集中管理..............................................................................74

8: ウイルスとスパイウェア防御...............................................................75

8.1自動更新.........................................................................................................................................................76

8.1.1ポリシーマネージャサーバからの自動更新を設定する.....................................................76

8.1.2ポリシーマネージャプロキシを設定する.............................................................................76

8.1.3 ネイバーキャスト.........................................................................................................................77

8.2リアルタイムスキャン...............................................................................................................................77

8.2.1ドメイン全体にリアルタイムスキャンを有効にする.........................................................77

8.2.2リアルタイムスキャンからMicrosoft Outlookの .pstファイルを除外する......................78

8.3ディープガード............................................................................................................................................78

8.3.1 データガード.................................................................................................................................79

8.4 Webスキャン...............................................................................................................................................80

8.4.1ドメイン全体に Webスキャンを有効にする..........................................................................81

8.4.2 WebサイトをWebスキャンから除外する..............................................................................81

8.4.3特定のコンテンツタイプをブロックする.............................................................................82

8.4.4ボットネットの通信をブロックする......................................................................................82

8.5 スパイウェアスキャン..............................................................................................................................83

8.5.1ドメイン全体にスパイウェア制御を設定する.......................................................................83

8.5.2 スパイウェアスキャンをドメイン全体に実行する............................................................84

8.5.3 スパイウェア/リスクウェアのコンポーネントを許可する...............................................84

8.6 隔離保存されたオブジェクトを管理する.............................................................................................85

8.6.1隔離保存されたオブジェクトを削除する...............................................................................85

8.6.2 隔離保存されたオブジェクトを解除する..............................................................................85


8.7エンドユーザによる設定の変更をブロックする.................................................................................86

8.7.1ウイルス保護の設定を確定 (ロック)する...............................................................................86

8.8警告の転送....................................................................................................................................................87

8.8.1クライアントセキュリティのウイルス警告を特定のメールアドレスに送信する

............................................................................................................................................................87

8.8.2クライアントセキュリティの警告ポップアップを無効にする.......................................88

8.9 ネットワーク上のウイルスを監視する.................................................................................................88

8.10 アンチウイルス保護を検証する............................................................................................................88

9: インターネット防御..............................................................................90

9.1セキュリティレベルとルール...................................................................................................................91

9.1.1セキュリティレベルを選択する................................................................................................91

9.1.2ホストのデフォルトセキュリティレベルを設定する.........................................................91

9.1.3特定のドメインにセキュリティレベルを追加する.............................................................92

9.2 ネットワークの隔離保存..........................................................................................................................94

9.2.1 ドメイン全体にネットワークの隔離保存を有効にする.....................................................94

9.2.2 ネットワークの隔離保存を調整する......................................................................................94

9.3 インターネット防御の警告......................................................................................................................94

9.3.1 警告ルールを追加する................................................................................................................95

9.4 アプリケーション通信制御......................................................................................................................97

9.4.1アプリケーション通信制御をはじめて設定する..................................................................98

9.4.2ルートレベルで不明なアプリケーションに対するルール................................................98

9.4.3 アプリケーション通信制御のルールを変更する.................................................................99

9.4.4 アプリケーション通信制御のポップアップを有効/無効にする....................................100

9.5 警告を使用してインターネット防御の動作を確認する...................................................................101

9.6侵入防止.......................................................................................................................................................101

9.6.1デスクトップとノートコンピュータに IPSを設定する....................................................102

10: ユーザの機密データを保護する.........................................................103

10.1ホストの安全な接続 (セキュア接続)を保護する..............................................................................104

11: 望ましくないWebコンテンツをブロックする...................................105

11.1 Webコンテンツカテゴリ........................................................................................................................106

11.2ブロックするコンテンツカテゴリを選択する..................................................................................107

12: デバイス制御を使用する....................................................................109

12.1 デバイス制御を設定する.........................................................................................................................110

12.2リムーバブルドライブのアクセス権限を制限する..........................................................................110

12.3ハードウェアデバイスをブロックする...............................................................................................110

12.4デバイスにアクセスを許可する............................................................................................................110

12.4.1デバイスのハードウェア IDを見つける................................................................................111


13: ソフトウェアアップデートを管理する..............................................112

13.1ソフトウェアアップデートを自動的にインストールする...............................................................113

13.2ソフトウェアアップデートを自動インストールから除外する......................................................113

13.3ネットワーク内のソフトウェアアップデートを確認する..............................................................114

13.3.1不足しているソフトウェアアップデートをインストールする.......................................114

13.4ソフトウェアアップデーターにサードパーティ HTTPプロキシを設定する..............................114

14: ネットワークを保護する....................................................................116

14.1 ホストが最新のポリシーを使用しているか確認する.......................................................................117

14.2ホストが最新のパターンファイルを使用しているか確認する.....................................................117

14.3ホストの接続状態を確認する.................................................................................................................117

14.4 スキャンレポートを表示する...............................................................................................................117

14.5 警告を表示する.........................................................................................................................................118

14.6 週次感染レポートを作成する................................................................................................................119

14.7ネットワーク攻撃の兆候を監視する....................................................................................................119

15: ウイルス情報......................................................................................120

15.1マルウェア情報とF-Secureの Webページにあるツール.....................................................................121

15.2ウイルスのサンプルをF-Secureに送る..................................................................................................121

15.2.1ウイルスサンプルのパッケージを作成・送信する............................................................121

15.2.2新しいマルウェアを発見する..................................................................................................121

15.2.3 送信するパッケージについて.................................................................................................122

16: 高度な機能 -ウイルスとスパイウェア防御........................................123

16.1スケジュールスキャンを設定する.......................................................................................................124

16.2高度な機能 -ディープガード.................................................................................................................125

16.2.1他のプログラムからのイベントを管理者権限のユーザが許可または拒否する..........125

16.2.2特定のプログラムからのイベントを許可または拒否する...............................................125

16.3ポリシーマネージャプロキシを設定する..........................................................................................126

16.4プログラムを Webスキャンから除外する..........................................................................................126

17: 高度な機能 -インターネット防御.......................................................128

17.1 インターネット防御をリモートから管理する...................................................................................129

17.1.1パケットロギング......................................................................................................................129

17.1.2 信頼済みのインターフェース.................................................................................................129

17.1.3パケットのフィルタリング......................................................................................................130

17.2セキュリティレベルの自動選択...........................................................................................................130

17.3 接続に関するトラブルシューティング................................................................................................131

17.4サービスを追加する.................................................................................................................................132


17.4.1デフォルトの HTTPサービスに基づいたインターネットサービスを作成する...........132

18: Windows Management Instrumentation................................................135

18.1 WMIの連携..................................................................................................................................................136

18.2連携用のWMIクラス ................................................................................................................................137

18.2.1 WMIクラス...................................................................................................................................137

19: トラブルシューティング....................................................................141

19.1ポリシーマネージャサーバとポリシーマネージャコンソール...................................................142

19.2ポリシーマネージャWebレポート......................................................................................................144

19.3ポリシーの配布.........................................................................................................................................144

付録 A: ポリシーマネージャをMySQLデータベースで使用する...........146

A.1コマンドラインから H2データをMySQLに移行する.........................................................................147


第章

1はじめに

「ポリシーマネージャ」は、ネットワークに分散している複数のコ

ンピュータとアプリケーションのセキュリティを一元集中管理する

プログラムです。

トピック :

• 新機能

• システム要件ポリシーマネージャを使用することで、次のことが可能になります。

• 主要コンポーネント• セキュリティポリシー設定および配布• 機能• アプリケーションのインストール (ローカルおよびリモートのシ

ステムに対して)• 製品を登録する

• 専門用語• ホストの監視と管理 (ポリシーを順守しているかなどの確認)

• ポリシーベース管理システムを設定した後、管理ドメイン全体のステータス情報が1つの

ウィンドウで表示されます。この画面でドメイン全体の保護状況を

一目で確認でき、必要に応じて保護設定を素早く変更することがで

きます。また、エンドユーザ (ホストのユーザ)によるセキュリティ

設定の変更を拒否することも可能で、保護が常に更新されているこ

とを確認できます。

8 | はじめに

1.1新機能

ここでは、本リリースで改善されたポリシーマネージャの機能などについて説明します。

データガードはディープガードを強化して、特にランサムウェアに対する

追加の保護層を提供する機能です。管理対象コンピュータの特定のフォル

データガード

ダを監視して、信頼できないアプリケーションによるファイルの変更を阻

止します。詳細については、「データガードページ79」を参照してくださ

い。

ネットワーク構成でポリシーマネージャがインターネットにアクセスでき

ない場合、ポリシーマネージャプロキシまたはポリシーマネージャに含

隔離した環境でのマルウェ

ア定義の更新サポート

まれている更新ツールを使用して、管理対象ホストのマルウェア定義を更

新できます。詳細については、「隔離されたネットワークでのマルウェア

定義の更新ページ48」を参照してください。

指定したメールアドレスへ警告の送信を発生する重大度を選択できるよう

になりました。詳細については、「システムの警告をメールで送信するペー

ジ45」を参照してください。

メール警告の重大度フィ

ルタリング

スケジュールレポートの形式としてHTMLまたは PDFのいずれかを選択で

きるようになり、Webレポートで PDF形式のレポートをダウンロードでき

るようになりました。

Webレポートの PDFサ

ポート

すべての変更点および詳細はリリースノーツを参照してください。

1.2システム要件

ここでは、ポリシーマネージャサーバおよびポリシーマネージャコンソールのシステム要件について

説明します。

1.2.1ポリシーマネージャサーバ

ポリシーマネージャサーバをインストールするには、システムが少なくとも次の要件を満たしている

必要があります。

オペレーティングシステム: • Microsoft Windows:

• Windows Server 2008 SP1 (64ビット)、Standard/Enterprise/Web Server/Small BusinessServer/Essential Business Server

• Windows Server 2008 R2、Standard/Enterprise/Web Server

• Windows Server 2012、Essentials、Standard、Datacenter

• Windows Server 2012 R2、Essentials、Standard、Datacenter


• Linux (下記ディストリビューションの64ビット

バージョンに対応):

• Red Hat Enterprise Linux 5/6/7

• CentOS 6, 7

• openSUSE 13.2

F-Secure PolicyManager | 9

• SUSE Linux Enterprise Server 10/11

• SUSE Linux Enterprise Desktop 11

• Debian GNU Linux 7/8/9

• Ubuntu 12.04/14.04

デュアルコア 2GHz CPU以上。プロセッサ:

2 GB RAM。メモリ:

10 GBの空き容量。プレミアムのクライントを管理

する場合、ソフトウェアアップデートを提供する

ために 10 GBの容量が追加で必要です。

ディスク容量:

100 Mbitネットワーク。ネットワーク:

ブラウザ: • Firefox

• Internet Explorer

• Google Chrome

1.2.2ポリシーマネージャコンソール

ポリシーマネージャコンソールをインストールするには、システムが少なくとも次の要件を満たして

いる必要があります。

オペレーティングシステム: • Microsoft Windows:

• Windows 7 (64ビット)、Professional/Enterprise/Ultimate

• Windows 8 (64ビット)、全エディション

• Windows 8.1 (64ビット)、全エディション

• Windows 10 (64ビット)

• Windows Server 2008 SP1 (64ビット)、Standard/Enterprise/Web Server/Small BusinessServer/Essential Business Server

• Windows Server 2008 R2、Standard/Enterprise/Web Server


• Windows Server 2012 R2、Essentials、Standard、Datacenter


• Linux (下記ディストリビューションの64ビット

バージョンに対応):

• Red Hat Enterprise Linux 5/6/7

• CentOS 6, 7

• openSUSE 13.2

• SUSE Linux Enterprise Server 10/11

10 | はじめに

• SUSE Linux Enterprise Desktop 11

• Debian GNU Linux 7/8/9

• Ubuntu 12.04/14.04/16.04

2 GHz以上の CPU。プロセッサ:

1 GB RAM。メモリ:

300 MBの空き容量。ディスク容量:

解像度1024x768で16色以上を表示できるディスプレ

イ (解像度1280x1024以上で32ビット色を推奨)。

ディスプレイ:

100 Mbitネットワーク。ネットワーク:

1.3主要コンポーネント

ポリシーマネージャはF-Secureの管理アーキテクチャ (技術)を採用しており、広域に分散されているシ

ステムに強力なスケーラビリティ (拡張性)を提供します。

ポリシーマネージャコンソールは、ホストのセキュリティを管理するためのコン

ソール (操作画面)です。この画面から、管理者はネットワークを自由に編成して

ポリシーマネー

ジャコンソール

ポリシーを共有することができます。ポリシーは、ポリシーマネージャコンソー

ルで定義され、ポリシーマネージャサーバを通じてホストへ配布されます。ポリ

シーマネージャコンソールは複数のプラットフォームに対応にしている Javaベー

スのアプリケーションです。コンソールを使用して、リモートからエンドユーザ

の介入なしで管理エージェント製品を他のワークステーションにインストールす

ることもできます。

ポリシーマネージャサーバは管理者が配布するポリシーやソフトウェアのパッ

ケージ、およびホストが送信するステータス情報や警告のリポジトリ (保存場所)

ポリシーマネー

ジャサーバ

として機能します。ポリシーマネージャサーバとホスト間の通信はHTTPSプロト

コルで保護されますが、ウイルス定義データベースのアップデートなどの機密性

のないデータは標準のHTTPプロトコルで処理されます。

Webレポートは、ポリシーマネージャサーバに付属するWebベースの視覚的レ

ポートシステムです。Webレポートを使用して、過去のデータに基づいた視覚的

Webレポート

なレポートをすばやく作成できます。レポートから、ウイルスから保護されてい

ないコンピュータや被害を受けやすいコンピュータを識別することができます。

1.4機能

ここでは、ポリシーマネージャの主な機能について説明します。

ソフトウェアの配布 • 各ホストに対して、F-Secure製品のインストール、および実行可能ファイル

とデータファイルの更新 (パターンファイルの更新も含む)。

• 更新は、自動更新エージェントを通じて自動的にインストールできます。

または、F-SecureのWebサイトから手動で入手することも可能です。


• ポリシーマネージャコンソールを使用して、設定済みのインストールパッ

ケージをエクスポートできます。インストールパッケージは、SMSなどの

サードパーティ製プログラムや同様のツールを使用してエクスポートする

ことも可能です。

設定とポリシー管理 • セキュリティポリシーの集中化。ポリシーマネージャサーバが各ホストに

ポリシーを配布します。ポリシーの保全性は、電子署名によって保証され

ます。

イベント管理 • イベントビューワ (ローカルおよびリモートログ )へのレポート送信、メー

ル送信、レポートファイルの送信、イベント統計情報の作成。サードパー

ティのシステムログのサーバにアラートを設定することも可能ですポリシー

マネージャ。

パフォーマンス管理 • 統計情報とパフォーマンスデータの処理およびレポート

タスク管理 • スキャンタスクと他の操作の管理

1.5製品を登録する

ポリシーマネージャを評価目的で使用する場合、製品の登録が必要となります。

製品を登録するには、ライセンス証明書に記載されている顧客 IDをポリシーマネージャコンソールの

起動時に入力します。

製品を登録しない場合、ポリシーマネージャの体験版を30日間使用できます。

ポリシーマネージャ製品の登録に関して、Q&A形式で説明します。F-Secureのライセンス条項

(http://www.f-secure.com/en_EMEA/estore/license-terms/)とプライバシーに関する方針

(http://www.f-secure.com/en_EMEA/privacy.html)をご覧になることも推奨します。

製品を登録するために必要な顧客 IDはどこにありますか?

顧客 IDはライセンス証明書に記載されています。

顧客 IDが見つからない場合、どうすれば良いですか?

F-Secureの製品を購入した販売業者/F-Secureパートナーにお問い合わせください。

ポリシーマネージャを複数インストールしている場合、どうすれば良いですか?

インストールできる数に制限はありません。同じ顧客IDで複数のポリシーマネージャを登録できます。

顧客 IDの認証が失敗した場合、どうすれば良いですか?

ポリシーマネージャサーバが F-Secureの登録サーバ (https://corp-reg.f-secure.com:443)に接続できること

を確認してください。

顧客 IDが無効と表示された場合、どうすれば良いですか?

顧客 IDを正確に入力したことを確認してください。顧客 IDが間違っていない場合、F-Secureのパート

ナーにお問い合わせください。

サポートのお問い合わせ先はどちらになりますか?

登録の問題が解消されない場合、F-Secureのパートナーまたは F-Secureに直接お問い合せください。

12 | はじめに

http://www.f-secure.com/en_EMEA/estore/license-terms/

http://www.f-secure.com/en_EMEA/privacy.html

1.5.1アップストリームのレポート

当社は製品のサポートと継続的な改善を行うために製品に関連するデータを収集します。

F-Secureがデータを収集する理由

F-Secureの製品の使用に関する統計情報を収集します。この情報を通じて、当社は製品の改善を行うこ

とが可能になり、より充実したサービスとサポートを提供できます。

収集されるデータ

エンドユーザまたはコンピュータを識別できる情報は収集されません。収集される情報には F-Secureの

バージョン、オペレーティングシステムのバージョン、管理対象のホスト数、切断されているホストお

よびポリシーマネージャからの使用統計情報が含まれます。データは暗号された形式で転送されます。

データの保管場所とアクセスについて

データは、F-Secureの高セキュリティデータセンターで保管され、F-Secureの担当者のみアクセスでき

ます。

1.6専門用語

ここでは、本書で使われている用語について説明します。

ポリシーマネージャで集中管理されるコンピュータのことを意味します。ホスト

機密情報などのリソースの管理、保護、および配布方法を明確に定めた一連のルール

です。 F-Secureの管理アーキテクチャは、最適なセキュリティ管理を実現するために

集中設定したポリシーを使用します。

ポリシー

ポリシーマネージャサーバとホスト間の通信は、ポリシーファイルを転送すること

によって行われます。

ポリシードメインとは、類似のセキュリティポリシーが設定されているホストまた

はサブドメインのグループです。

ポリシードメイ

ン

ポリシーを継承することによって、共通のポリシーを簡単に定義することができま

す。ポリシーマネージャサーバでは、各ポリシードメインが親ドメインの設定を自

ポリシーの継承

動的に継承します。これによって、大規模なネットワークの管理が容易に効率よくで

きるようになります。継承された設定は、ホストやドメイン単位で上書きできます。

ドメインに継承された設定が変更された場合、変更内容はドメインの全ホストおよび

サブドメインに適用されます。

サブドメイン、または個々のホストについて、ポリシーをさらに細かく定義すること

もできます。ポリシー定義をどこまで詳細に設定するかは、システムによって異な

ります。大規模なドメインに少数の異なるポリシーを定義することもできれば、個々

のホストに直接ポリシーを適用して、非常に細かい管理を実現することも可能です。

1.7ポリシーベース管理

「セキュリティポリシー」は、機密情報などのリソースの管理、保護、および配布方法を明確に定めた

一連のルールです。

F-Secureの管理アーキテクチャは、企業や大規模な環境で最適なセキュリティ管理を実現するために、

管理者が設定したポリシーを使用します。ポリシーベース管理では、以下のような機能が実行されま

す。


• 製品のリモート制御と動作の監視

• 製品と管理エージェントから提供される統計情報の監視

• 定義済み操作のリモート起動

• 警告と通知の転送

ポリシーマネージャコンソールとホストの間の通信はポリシーファイルを転送することによって行わ

れます。ポリシーファイルには以下の3種類があります。

• デフォルトポリシーファイル (.dpf)• ベースポリシーファイル (.bpf)• インクレメンタルポリシーファイル (.ipf)

製品の設定はこの3種類のポリシーファイルで構成されます。

デフォルトポリシーファイルには、セットアッププログラムによってインス

トールされた製品のデフォルト値が含まれます。デフォルトポリシーは、ホス

デフォルトポリシー

ファイル

トでのみ使用されます。ベースポリシーファイルとインクレメンタルポリシー

ファイルのどちらにも変数のエントリがない場合、デフォルトポリシーファイ

ルの値が使用されます。製品がバージョンアップすると、デフォルトポリシー

ファイルも新しく更新されます。

ベースポリシーファイルには、特定のホストにインストールされている、すべ

ての F-Secure製品の管理設定および制限の設定が含まれています (この場合のホ

ベースポリシーファ

イル

ストはドメインレベルのポリシーが含まれている場合です。複数のホストで同

じファイルを共有する場合も該当します)。ベースポリシーファイルはポリシー

マネージャサーバで作成され、関連するポリシーマネージャコンソールとの

通信はすべてHTTPS経由で行われます。

インクレメンタルポリシーファイルは、ベースポリシーに対してローカルで

行った変更を保存するために使用されます。ベースポリシーで指定した制限の

インクレメンタルポ

リシーファイル

範囲内であれば、変更が可能です。インクレメンタルポリシーファイルは、管

理者が設定と統計を参照できるように、定期的にポリシーマネージャサーバへ

送信されます。

1.7.1マネージメントインフォメーションベース

MIB (Management Information Base:マネージメントインフォメーションベース)は、SNMP (Simple Network

Management Protocol:簡易ネットワーク管理プロトコル)で使用される階層管理用のデータ構造です。

ポリシーマネージャは、ポリシーファイルの内容を定義するためにMIB構造を使用します。個々の変数

にはオブジェクト識別子 (OID)とポリシー APIを使用してアクセスできる値があります。F-Secure MIBの

コンセプトには、SNMPMIBの基本的な定義に加え、完全なポリシーベース管理を実現するために必要な

拡張機能が数多く含まれています。

以下のカテゴリが製品のMIBで定義されます。

ワークステーションを SNMP方式で管理するために使用されます。管理

される製品の動作は、このカテゴリで指定した内容によって制限されま

す。

設定

製品の統計情報をポリシーマネージャへ送信します。統計

操作は2つのポリシー変数で処理されます。1つは操作の識別子をホスト

へ転送する変数です。もう1つは、実行された操作をポリシーマネージャ

操作

に通知する変数です。後者の変数は通常の統計情報を使用して転送され、

前に行われた操作がすべて同時に認識されます。操作を編集するカスタ

14 | はじめに

ムエディタはサブツリーに関連付けられており、2つの変数はエディタ

で非表示になります。

管理コンセプトのMIBには、製品がセッションの内部で使用される変数

も含まれています。これにより、本製品はWindowsレジストリファイル

のような外部サービスに依存する必要はありません。

プライベート

「トラップ」は、ローカルコンソール、ログファイル、リモート管理プ

ロセスなどに送られる、警告やイベントに関するメッセージです。ほと

んどのF-Secure製品は、以下のトラップを送信します。

トラップ

情報。ホストからの操作情報を示します。

警告。ホストからの警告を示します。

エラー。ホスト上の回復可能なエラーを示

します。

重大なエラー。ホスト上の回復不可能なエ

ラーを示します。

セキュリティ警告。ホスト上のセキュリ

ティアラート (警告)を示します。


第章

2インストール

ここでは、ポリシーマネージャをインストールする方法について説

明します。

トピック :

• インストール手順製品の主要コンポーネント (ポリシーマネージャサーバとポリシー

マネージャコンソール)をインストール方法を説明します。• Webブラウザのパスを変更する

• アンインストール

16 | インストール

2.1インストール手順

ここでは、ポリシーマネージャサーバとポリシーマネージャコンソールを同じマシンにインストール

する方法について説明します。

2.1.1インストールパッケージのダウンロードと実行

ポリシーマネージャをインストールするには、インストールパッケージがまず必要になります。

インストールを開始するには

1. インストールパッケージをダウンロードするために

https://www.f-secure.com/en/web/business_global/downloadsにアクセスします。

ポリシーマネージャのパッケージをダウンロードします。

2. ダウンロードしたファイルを実行します。

セットアップが開始します。

3. インストールで使用する言語を選択して [次へ]をクリックします。

4. Read the license agreement information, then select I accept this agreement and clickNext to continue.

2.1.2インストールするコンポーネントを選択する

次に、インストールするコンポーネントを選択します。

コンポーネントを設定するには

1. インストールするコンポーネントを選択し、[次へ]をクリックします。

• ポリシーマネージャサーバとポリシーマネージャコンソールを両方選択したら、同じマシンに

両コンポーネントをインストールします。

• ポリシーマネージャサーバを選択したら、ポリシーマネージャコンソールを別のマシンにイン

ストールします。

2. インストール先のフォルダを指定して、[次へ]をクリックします。

デフォルトのフォルダを使用することを推奨します。別のフォルダにインストールする場合、[参照]

をクリックしてフォルダを選択できます。

注:管理エージェントを同じマシンにインストールしている場合、このウィンドウは表示され

ません。

3. adminアカウントのパスワードを指定して、[次へ]をクリックします。

このパスワードを adminアカウントと使用してポリシーマネージャコンソールにログインしてください。

4. ポリシーマネージャサーバの各モジュールを設定します。

• ホストモジュールはホストとの通信に使用されます。ウイルス定義データベースのアップデート

などの機密性のないデータはHTTPを通じて転送され、機密性のあるデータは保護されている

HTTPSプロトコルで転送されます。デフォルトのHTTPポートは80で、HTTPSポートは443です。

• 管理モジュールは、ポリシーマネージャコンソールとの通信に使用されます。デフォルトのHTTP

ポートは8080です。

注:通信用のデフォルトポートを変更する場合、ポリシーマネージャコンソールにログイ

ンするときに新しいポート番号を [接続]の URLに含める必要があります。

デフォルトでは、「管理」モジュールローカルマシンに限定されています。


http://www.f-secure.com/webclub

• Webレポートモジュールは、Webレポートとの通信に使用されます。この機能は管理モジュール

に対してローカルソケット接続を使用し、サーバからデータを入手します。デフォルトのポート

は8081です。

注:ポリシーの取得とデータベースのアップデートを行うためにファイアウォールルールが

ポリシーマネージャコンソールとホストの使用ポートを許可していることを確認します。

5. [次へ]をクリックします。

2.1.3インストールを完了する

次に、インストールを完了させます。

1. 内容を確認し、[開始]をすると選択したコンポーネントがインストールされます。

画面上にコンポーネントがインストールされたか表示されます。

2. [完了]をクリックしてセットアップウィザードを終了します。

3. 必要な場合、コンピュータを再起動します。

2.1.4ポリシーマネージャコンソールを実行する

本製品の設定を完了するための最終ステップとして、ポリシーマネージャコンソールを初めて起動し

ます。

続行するには

1. ポリシーマネージャコンソールを実行します。

ポリシーマネージャコンソールは、ご使用のOSにより、スタートメニューから、またはデスクトッ

プのアイコンをダブルクリックすることで、起動することができます。

ポリシーマネージャコンソールを初めて起動するときには製品の登録 (顧客 IDを使用)に関するメッ

セージが表示されます。顧客IDはライセンスの証明書に記載されています。製品を登録しない場合、

体験版として30日間使用できます。体験版の有効期限が過ぎたらサーバへの接続はブロックされま

すが、インストール済みのクライアントアプリケーションは引き続き動作し、製品の設定は変更さ

れません。

2. [次へ]をクリックして、セットアップを完了します。

セットアップが「FSPM users」のユーザグループを作成します。インストールを実行したユーザは自動的にこのグループに追加されます。「FSPM users」のユーザグループに追加したユーザはポリシーマネージャコンソールを起動できるようになります。

ワークステーションを設定する際にクライアントセキュリティの旧バージョンはインストールを行うた

めにadmin.pubの鍵ファイル (またはそのファイルへのアクセス権限)を必要とします。この鍵ファイ

ルはポリシーマネージャサーバの初期画面で入手できます。クライアントセキュリティの最新版では

インストールパッケージに鍵が含まれ、ポリシーマネージャで利用できます。

2.2Webブラウザのパスを変更する

ポリシーマネージャコンソールは、セットアップ中にデフォルトのWebブラウザのファイルパスを取

得します。

Webブラウザのパスを変更するには

1. メニューからツール >一般設定を選択します。

2. 「場所」タブを選択して、新しいファイルパスを入力します。

18 | インストール

2.3アンインストール

次の方法でポリシーマネージャのコンポーネントをアンインストールできます。

ポリシーマネージャのコンポーネントをアンインストールするには

1. Windowsの [スタート]メニューから [コントロールパネル]を選択します。

2. [プログラムの追加と削除]を選択します。

3. アンインストールするコンポーネント (ポリシーマネージャコンソールまたはポリシーマネージャ

サーバ)を選択して、[追加と削除]ボタンをクリックします。

アンインストールに関するダイアログボックスが表示されます。

4. [開始]をクリックしてアンインストールを開始させます。

5. アンインストールが完了したら、[閉じる]をクリックします。

6. ポリシーマネージャの他のコンポーネントをアンインストールする場合、必要に応じて上記の手順

を繰り返します。

7. コンポーネントをすべてアンインストールしたら、「プログラムの追加と削除」ウィンドウを閉じ

ます。

8. コンピュータを再起動します。

再起動は、アンインストール後のコンピュータに残ったファイルを消去するために必要です。また、

F-Secureの同製品をインストールする場合にも必要です。


第章

3ポリシーマネージャコンソールの使用

ここではポリシーマネージャコンソールの機能と設定について説明

します。

トピック :

• 概要ポリシーマネージャコンソールは、F-Secureのセキュリティ製品をリ

モート管理するためのツールで、ネットワークに必要なセキュリティ

管理機能と共通のプラットフォームを提供します。

• 基本操作

• ドメインとホストの管理

• ソフトウェアの配布

• ポリシーの管理

• 操作とタスクの管理

• 警告

• マルウェア定義ファイルの更新

• レポートツール

20 | ポリシーマネージャコンソールの使用

3.1概要

ここでは、ポリシーマネージャコンソールのコンセプトについて説明します。

ポリシーマネージャコンソールを利用して、複数のホストをポリシードメイン内でグループ化して、

管理を行うことが可能です。ポリシーはホスト別に指定できます。特定のホストに複数のユーザがある

場合、ホストの全ユーザが同じポリシー (設定)を共有することになります。

管理者は、それぞれのホストに対して異なるセキュリティポリシーを作成できます。また、複数のホス

トに1つのポリシーを作成することもできます。ポリシーはネットワークを通じてワークステーション

とサーバに配信できます。

管理者はポリシーマネージャコンソールで次の操作を行うことができます。

• 管理対象製品の属性値の設定

• 属性値を、ユーザが表示または変更できるように設定決定

• ホストのグループ化

• ホストとドメインの管理

• 属性値や制限など、署名されたポリシーの生成

• ステータスの表示

• 警告の処理

• F-Secureのスキャンレポートの処理

• リモートインストール

• レポートをHTML表示、エクスポート

ポリシーマネージャコンソールはポリシーを生成し、ステータスと警告を表示します。各ホストは、

ポリシーを実施するために管理エージェントを利用します。

読み取り専用のユーザは次の操作を行うことができます。

• ポリシー、統計情報、操作ステータス、インストールされている製品のバージョン番号、警告、お

よびレポートの表示

• ポリシーマネージャコンソールの設定の変更 (ユーザ単位でインストールされるので、変更は他の

ユーザには影響しません)

読み取り専用モードでは次のタスクを実行することはできません。

• ドメイン構造やドメインとホストの設定の変更

• 製品の設定の変更

• 操作の実行

• 製品のインストール

• ポリシーデータの保存

• ポリシーの配布

• 警告やレポートの削除

3.2基本操作

ここでは、ポリシーマネージャコンソールのログイン方法、メニューコマンド、基本操作について説

明します。

3.2.1ログイン

ポリシーマネージャコンソールを起動すると、「ログイン」ウィンドウが開きます。

ヒント: [オプション]をクリックすると、ログインに関するオプションが表示されます。


[接続]から接続先を選択します。それぞれの接続先は個別の設定を持っているため、1つのポリシーマ

ネージャコンソールインスタンスで多数のサーバを管理しやすくなります。

1台のサーバに複数の接続を設定することもできます。接続先を選択したら、ポリシーマネージャコン

ソールのユーザ名とパスワードを入力します。ユーザ名とパスワードはポリシーマネージャに特有の情

報でネットワーク管理者のパスワードではありません。adminユーザのパスワードはプログラムのインストール時に設定したものです。他のユーザはポリシーマネージャコンソールで作成できます。

セットアップウィザードが初期接続の構成を作成し、デフォルトの接続情報を[接続]フィールドに表示

します。[追加]をクリックすると、接続先を追加できます。[編集]をクリックすると、接続先を編集で

きます (これらのオプションは [オプション]をクリックしたときに表示されます)。

ポリシーマネージャサーバはインストール時にインスタンス固有の自己署名証明書を作成します。サー

バにアクセスする際にポリシーマネージャコンソールはサーバ証明書の認証が行われ、認証が失敗し

た場合には警告が表示されます。証明書のフィンガープリントは管理者の確認が取れた後に

Administrator.propertiesの構成に保存されます。

接続プロパティ

「接続プロパティ」ウィンドウは、接続先の新規作成または編集を行う際に表示されます。

データリポジトリ (保存場所)へのリンクは、ポリシーマネージャサーバのHTTPSURLとして定義されま

す。

[表示]フィールドに接続先の名前を入力します。接続先の名前は、「ログイン」ウィンドウの [接続]

フィールドで表示されます。[名前]フィールドを空のままにしておくと、URLまたはフォルダのパスが

表示されるようになります。

パスワードを変更する

ポリシーマネージャにログインしているときに、ユーザアカウントのパスワードを変更できます。

1. メニューからツール >パスワードを変更を選択します。

2. 新しいパスワードを指定して [OK]をクリックします。

パスワードが変更されます。

3.2.2ユーザを追加する

ポリシーマネージャにアクセスできるユーザ (管理者/読み取り専用)を追加または削除できます。

ポリシーマネージャバージョン13.00以降では、ユーザをローカルに作成するだけでなく、ActiveDirectory

からユーザまたはユーザーグループを個別にインポートすることもできます。

注:バージョン13.00以降、ポリシーマネージャはデフォルトで LDAPS (セキュア LDAP)を使用して

ActiveDirectoryのドメインコントローラ (DC)に接続します。Windowsでは、ポリシーマネージャ

はWindowsトラストストアを使用して DCへの認証をシームレスに処理します。 Linuxでは、DC

を認証するためにポリシーマネージャサーバの Java runtimeトラストストアに会社の証明書を

インポートする必要があります。詳細については、「Active Directoryを認証ために企業の証明書

をインポートするページ61」を参照してください。また、通常 (プレーン)の LDAPを使用して

DCに接続することもできます。

「ユーザ」ビューには、ユーザの名前、アクセスレベル、および最後にポリシーマネージャにログイ

ンした日時が表示されます。アイコンは、ユーザのタイプ(ローカル、ActiveDirectoryからインポートさ

れたユーザーグループ)を表します。

特定のサブドメインまたは [ルート]による全ドメインのアクセスを指定できます。

1. メニューからツール >ユーザを選択します。

「ユーザ」ウィンドウが表示されます。


2. 1人のローカルユーザを作成するには

a) [ローカルユーザを作成する]をクリックします

b) 新しいユーザのユーザ名とパスワードを入力し、ドメインのアクセスを選択します。

c) ユーザのアクセスを制限する場合、[読み取り専用アクセス]を選択します。

d) [OK]をクリックします。

3. Active Directoryからユーザをインポートするには

a) [Active Directoryからインポートする]をクリックします。

b) Active Directoryの認証情報を入力し、[次へ]をクリックします。

c) インポートするユーザまたはグループを選択します。

検索機能を使用して特定のアカウントを検索することができます。

d) [次へ]をクリックします。

e) インポートしたユーザまたはグループのドメインアクセスを選択します。

f) ユーザのアクセスを制限する場合、[読み取り専用アクセス]を選択します。

g) [OK]をクリックします。

新しいユーザまたはグループがユーザリストに表示され、ポリシーマネージャにアクセスできるよう

になります。

インポートされたグループの場合、[メンバーを参照]をクリックして、グループに属する個々のユー

ザーの詳細を表示できます。

注:管理者権限のあるユーザは他のユーザを削除することができます。フル/ルートの管理者権限

のあるユーザは少なくても1人必要です。サブドメインのアクセス権限を持つユーザはサブドメ

インを対象としたユーザのみ削除できます。ログイン中のユーザが削除された場合、そのユーザ

はポリシーマネージャからログオフされます。

注:ルートのフルアクセス権を持つユーザは次の操作を実行できます。

• 製品を登録する

• インポートルールを作成/削除する

• インポートルールに一致しないホストを手動でインポートする

• 製品のインストールパッケージをインポート/削除する

• 署名鍵をインポート/エクスポートする

• 切断したホストに対する自動削除ポリシーを設定する

• Active Directoryの構成をインポートする

3.2.3スタンダードモードと詳細モードの切り替え

バージョン12.20では、ポリシーマネージャコンソールの「設定」と「ステータス」タブで2つのビュー

が用意されています。

「スタンダードビュー」はクライアントセキュリティの管理に最適化されたモードで、関連する設定と

情報に素早くアクセスすることが可能です。「詳細ビュー」は管理対象のすべての F-Secure製品に対す

るアクセスを提供します。

ビューを切り替えるには

1. 「設定」または「ステータス」タブを開きます。

2. [スタンダードビュー]または [詳細ビュー]をクリックします。

注:デフォルトでは、詳細ビューはルートノードを開きます。ビューを切り替えると、ポリ

シーマネージャコンソールは最後に選択したノードとページを記憶します。


詳細モードのコンテンツ

詳細モードの機能は開いているタブによって異なります。

• 「ポリシー」タブ -ポリシー変数の値を設定することができます。指定/変更した値は選択したポリ

シードメインとホストに反映されます。ポリシー変数に、あらかじめ定義されたエディタが用意さ

れています。

• 「ステータス」タブ-ホストが報告したローカルの変更を表す「設定」と統計情報が表示されます。

• 「警告」タブ -警告に関する情報の詳細を確認できます。

• 「スキャンレポート」タブ -レポートに関する情報や詳細を確認できます。

• 「インストール」タブ -インストール情報を表示および編集できます。

ポリシーマネージャコンソールの従来のMIBツリーでは、すべての設定/操作 (ポリシー)とローカル設

定/統計情報 (ステータス)が製品コンポーネント固有のMIBツリーで表示されます。

ヘルプを使用する

「ポリシー」タブでMIBツリーモードを選択すると、参考用の説明が表示されます。

ポリシードメインツリー

ポリシードメインツリーで、ポリシードメインとホストに関連する処理を行うことができます。

ポリシードメインツリーでは、以下の操作を実行できます。

• ポリシードメインの追加 (ツールバーの

アイコンをクリック)。新規ポリシードメインは、親ドメインを選択している場合にのみ作成できま

す。

• ホストの追加 (次のアイコンをクリック)。

• ホストの検索。

• ドメインまたはホストのプロパティ (設定)の表示。ホスト/ドメインには分かりやすい名前を付ける

と管理がしやすくなります。

• 新しいホストをインポート。

• Windowsドメインからのホストの自動検出。

• ドメインの削除。

• カット &ペーストを使用したホスト/ドメインの移動。

• ポリシーファイルのエクスポート。

ドメイン/ホストを選択し、[編集]メニューから上記の操作を行えます。

上記の「ドメイン」はWindowsNTまたはDNSのドメインのことではありません。「ポリシードメイン」

とは、類似のセキュリティポリシーが設定されているホストまたはサブドメインのグループのことを指

します。


3.2.4「メッセージ」ウィンドウ

ポリシーマネージャコンソールは、イベントのメッセージを「メッセージ」ウィンドウに出力します。

「警告」ウィンドウや「スキャンレポート」ウィンドウとは異なり、「メッセージ」ウィンドウのイベ

ントはポリシーマネージャコンソールによって生成されます。

メッセージには、「情報」、「警告」、および「エラー」の3つのカテゴリ(重大度)があります。「メッ

セージ」タブには、カテゴリ別でメッセージが表示されます。ポップアップメニューで表示されるカテ

ゴリは、タブを右クリックすることで削除できます。個別のメッセージを右クリックすると、[切り取

り]、[コピー]、および [削除]を実行できるポップアップメニューが表示されます。

デフォルトでは、メッセージはポリシーマネージャコンソールのローカルインストール先フォルダの

「message」サブフォルダ内にある2ファイルに記録されます。メッセージのログは英語とポリシーマ

ネージャコンソールで指定した言語 (日本語)で保存されます。ログファイルは、各メッセージカテゴ

リ (「メッセージ」ウィンドウのタブ名)に対して個別に作成されます。一般設定 >場所ウィンドウから

ログファイルのフォルダを指定できます。

3.2.5製品のアップグレード通知

ポリシーマネージャコンソールは起動時にポリシーマネージャまたは管理対象のアプリケーションの

アップグレードの可否を確認して、アップグレードを利用できる場合には通知します。

注:また、ヘルプ >製品のアップグレードを確認をメニューから選択することでアップグレード

を手動で確認できます。

「メッセージ」ペインの「製品のアップグレード」タブで利用可能なアップグレードが表示され、ソフ

トウェアの新しいバージョンの情報および新しいバージョンのダウンロードリンクも表示されます。

アップグレードメッセージは管理環境に関連するアプリケーションを対象としています。

また、該当するアップグレードについてポリシーマネージャはサーバの警告メールを指定した宛先に送

信します。

ポリシーマネージャのアップグレードをインストールした場合、または管理対象アプリケーションのイ

ンストールパッケージをインポートした場合、「製品のアップグレード」の一覧から該当するメッセー

ジが自動的に消去されます。

アップグレードをインストールする必要がない場合、省略することができます。

3.3ドメインとホストの管理

集中管理ネットワークでホストの種類(ノートブック、デスクトップ、サーバ)やユーザグループなどに

応じて異なるセキュリティポリシーを指定する場合、構成と条件に基づいてドメインの構造を計画する

とホストの管理が簡単かつ効率的になります。

ポリシーのドメイン構造を事前に設計した場合、ホストをドメインへ直接インポートすることが可能に

なります。管理環境をすぐに構築したい場合、ルートドメインにホストをすべてインポートして、必要

に応じてドメイン構造を後で作成できます。ホストはカット&ペーストを利用してドメインに追加でき

ます。

各ドメインとホストには一意の名前が指定されている必要があります。

次の例では、各オフィスがサブドメインとして作成されています。

3.3.1ポリシードメインを追加する

ここでは、ポリシードメインを追加する方法について説明します。

ポリシードメインを追加するには


1. ツールバーから次のアイコンをクリックします:

追加したポリシードメインが選択したドメインのサブドメインになります。

2. ポリシードメインの名前を入力します。

ドメインのアイコンが作成されます。

3.3.2ホストを追加する

ここでは、ポリシードメインにホストを追加する方法について説明します。

ポリシードメインにホストを追加する方法は使用しているオペレーティングシステムによって異なり

ます。次の方法でホストを追加できます。

• Active Directoryの構成からホストをインポートする

• Windowsドメインからホストを直接インポートする

• ホストのインポートルールを使用して、新しく接続され、F-Secureセキュリティソフトウェアをす

でにインストールしているホストを自動的にインポートする

• [新規ホスト]コマンドを使用して、手動でホストを作成する

Active Directoryの構成からホストをインポートする

Active Directoryの構成からポリシードメインの構成とホストをポリシーマネージャにインポートできま

す。

Active Directoryとポリシーマネージャを接続する方法は3つあります。

• 同期ルールを作成する: Active Directoryのツリーをポリシーマネージャで完全に複製する場合にはこ

の方法を使用してください。Active Directoryの変更 (組織ユニットの追加/削除/移動など)はドメイン

ツリーに自動的に複製されます。

• 通知ルールを作成する:ActiveDirectoryとポリシーマネージャのドメインツリーを自動的に同期せず、

ネットワーク上に保護されていないホストの監視を行う場合にはこの方法を使用してください。保

護されていないホストは管理されていないホストの一覧に追加され、ドメインツリーに追加できま

す。

• 構成を手動でインポートする: Active Directoryのツリーをインポートしてツリーの同期と監視を行わ

ない場合にはこの方法を使用してください。

これらのオプションに加え、ホストのインポートルールの作成時にActive Directoryの固有名をインポー

ト条件に使用できます。

Active Directoryの同期ルールを作成する同期ルールは Active Directoryサブツリーとポリシードメインツリーの関連性を定義します。設定した

後、Active Directoryの変更は自動的に同期され、新しいホストはポリシーマネージャで検出されます。

注:ポリシーマネージャのドメインツリーで同期が設定されているサブツリーは読み取り専用

で、コンソールから変更はできません。

1. 「Active Directory」タブで [同期ルールを作成]をクリックします。

2. Active Directoryサーバのサーバアドレスおよび読み取りアクセス以上の権限を持つユーザ名とパス

ワードを入力して、[次へ]をクリックします。

3. インポートする Active Directoryのコンテナを選択して、[次へ]をクリックします。

4. インポートする構成の対象となるポリシードメインを選択して [次へ]をクリックします。


重要: rootを対象のポリシードメインに選択した場合、ポリシーツリー全体が読み取り専用

になります。ActiveDirectoryの構成には別のサブツールを作成または使用することを推奨しま

す。

5. [完了]をクリックして同期ルールを実行します。

Active Directoryの構成がポリシードメインツリーに追加され、同期されます。F-Secureソフトウェア

をすでにインストールしているホストは検出され、ドメインツリーの適切な場所へ自動的にインポー

トされます。それ以外のホストは管理されていないホストの一覧に追加されます。

Active Directory通知ルールを作成するActive Directoryからポリシーマネージャへのホストのインポートには通知ルールを使用できます。たと

えば、個別の構成を維持し、ネットワーク環境に管理されていないホストの存在を監視する場合には便

利です。

1. 「Active Directory」タブで [通知ルールを作成]をクリックます。




4. [完了]をクリックして通知ルールを実行します。

ActiveDirectoryが確認され、新しく検出されたホストが管理されていないホストの一覧に追加されま

す。

Active Directoryから手動でインポートするActive Directoryから手動でインポートする場合、選択したドメインに構成はインポートされますがポリ

シーマネージャは Active Directoryから新しいホストを要請しません。

1. 「Active Directory」タブで [構成を手動でインポートする]をクリックします。




4. インポートする構成の対象となるポリシードメインを選択して [次へ]をクリックします。

重要: rootを対象のポリシードメインに選択した場合、ポリシーツリー全体が読み取り専用

になります。ActiveDirectoryの構成には別のサブツールを作成または使用することを推奨しま

す。

5. 構成をインポートしたら [閉じる]をクリックします。

注:ActiveDirectoryの固有名をインポート条件として使用することで接続するホストを対象とした

ホストのインポートルールを作成できます。

管理されていないホストを処理するActiveDirectoryの同期または通知ルールを作成した場合、ActiveDirectoryに追加された新しいホストは管

理されていないホストとしてポリシーマネージャに表示されます。

管理されていないホストの数はポリシーマネージャのドメインツールの上に表示されます。サーバの

警告にメール通知を設定している場合、管理されていないホストの数を示す通知も受信されます。

管理されていないホストを処理するには

1. 「ドメインツールに含まれていないホスト」ペインで [管理されていない]をクリックします。

「管理されていないホスト」ウィンドウでは関連付けされているActiveDirectory構成上の管理されて

いないホストが表示されます。

2. 監視の対象外とするホストを選択して [ホストを監視から外す]をクリックします。


たとえば、アンチウイルスソフトウェアをインストールしなくても良いホストがある場合、監視の

対象外に設定することで通知の配信を無効にできます。

ヒント: [監視対象外されているホストを隠す]を使用すると管理対象外のホストを表示・非表

示にできます。

3. ポリシーマネージャのドメインツリーに追加するホストを選択して [インストールを開始]をクリッ

クします。

選択したホストがポリシードメインツールに追加され、必要なセキュリティソフトウェアをインス

トールできます。

Windowsドメインのホストを追加する

Windowsドメインの場合、ポリシードメインにホストを追加する最も簡単な方法は、「インテリジェン

トインストール」を利用することです。

この方法では、インポートしたホストに管理エージェントがインストールされます。次の方法でWindows

ドメインからホストをインポートできます。

1. 対象のドメインを選択します。

2. 編集 >Windowsホストの自動検出メニューからを選択します。

自動検出の処理が完了すると、新しいホストが自動的にポリシードメインツリーに追加されます。

新しいホストをインポートする

「新しいホストをインポート」機能を使用することでもポリシーマネージャコンソールにホストを追

加できます。

この機能はクライアントソフトウェアがホストでインストールされ、ホストがポリシーマネージャへ

の接続要求を送信した場合に使用できます。

新しいホストをインポートするには

1. ツールバーから次のアイコンをクリックします:

または、

• メニューから編集 >新しいホストをインポートを選択します。

• 「インストール」ビューで [新しいホストをインポート]を選択します。

インポートが完了すると、ホストがドメインツリーに追加されます。インポートを行う際に条件(ホ

ストの IPアドレスやDNSアドレスなど)を指定すると、新規ホストを異なるドメインにインポートす

ることが可能です。「新規ホスト」タブでは、ホストが自動登録メッセージで送信するデータを確

認できます。データの一覧には、インストールパッケージに含まれるカスタムのプロパティも表示

されます

2. 「新規ホスト」ビューでは、次の操作が可能です。

• メッセージを項目別に並べ替える (項目の見出しをクリック)

• 項目を自由に配置する (項目の見出しをドラッグ &ドロップ)、列の幅を調整 (項目をドラッグ)

• テーブルで表示する項目を指定する (テーブルの見出しを右クリック)


インポートルール

「新しいホストをインポート」ウィンドウの「インポートルール」タブで新規ホストのインポートルー

ルを設定できます。

インポートルールは、サーバに接続する新規ホストに自動で適用できます。これにより、新規ホストが

ポリシーマネージャサーバに接続するときにインポートルールを手動で実行する必要はありません。

新規ホストがルールに応じてドメインに追加されます。

次の項目をインポートのルールに適用できます。

• WINS名、DNS名、カスタムプロパティ

• ワイルドカード「*」(アスタリスク)を使用できます。「*」は、任意の数の文字を表します。例:

host_test*、*.example.com。複数のワイルドカードを使用できます。例: ab*4*。• 大文字と小文字は区別されません。同じ文字として扱われます。

• IPアドレス

• IPアドレスの一致 (例:192.1.2.3)、および IPサブドメインの一致 (例:10.15.0.0/16)に対応します。

1. 「インポートルール」ウィンドウで列の見出しを右クリックしたときに開くポップアップメニュー

を使用して、テーブルの列を表示および非表示することができます。

一覧に表示されていない項目の値は、インポートするときの一致条件として使用されません。表示

されている列の値が一致条件に適用されます。

2. また、カスタムのプロパティを追加して、ホストインポート時の条件に使用することもできます。

たとえば、ユーザ別に固有のポリシードメインをグループ化するとします。この場合、カスタムの

プロパティを追加して、ユーザとグループ別のインストールパッケージを作成できます。グループ

名を識別するカスタムのプロパティを使用するインポートルールを作成し、ホストを自由自在にイ

ンポートすることが可能になります。ポリシーマネージャコンソールを閉じたら、非表示のカスタ

ムのプロパティ名は削除されます。

a) 列の見出しを右クリックして、[新しいカスタムプロパティの追加]を選択します。

「新しいカスタムプロパティ」ウィンドウが開きます。

b) カスタムプロパティの名前を入力して、[OK]をクリックします。

新しいカスタムプロパティがテーブルに表示され、インポートルールで使用することが可能に

なります。

3. インポートルールを作成する

a) 「インポートルール」タブで [追加]をクリックします。

「ルールのインポート先ポリシードメインの選択」ウィンドウで既存のドメインとサブドメイン

が表示されます。

b) ルールの対象となるドメインを選択して、[OK]をクリックします。

c) インポート条件を指定します。新しく作成された行を選択し、値を追加するセルをクリックしま

す。

d) セルに値を入力します。

インポートルールが定義されます。

e) [新規ホストのサーバ接続時にルールを適用]を選択すると、新規ホストがサーバへ接続するとき

にルールが適用されます。

• 新規ホストをインポートする際には、ルールが上から順に確認され、最初に一致するルールが適

用されます。[下へ移動]または [上へ移動]をクリックすると、ルールの順序を変更できます。

• 1つのドメインに対して複数のルールを作成する場合には[クローン]オプションを使用すると便利

です。ドメインのルールを選択して [クローン]をクリックすると、ルールのコピーを作成できま

す。


4. インポートを開始する準備ができたら、「新規ホスト」タブで [インポート]をクリックします。

定義したインポートルールが、インポートの開始前に検証されます。

ホストのインポートが完了すると、正常にインポートされたホストの数と失敗したインポートの処

理数が表示されます。ルール/条件が空白の場合、すべてのホストに一致するとみなされます。

ホストを手動で作成する

ここでは、ホストを手動で作成する方法について説明します。

ホストを手動で作成するには


2. メニューから編集 >新規ホストを選択します。

または、

• ツールバーから次のアイコンをクリックします:

• Insertを押します。

3. 新しいホストの識別子を入力して [OK]をクリックします。

この操作は次のような場合に役立ちます。

• 製品や機能を試用するため -ポリシーマネージャコンソールの他にソフトウェアをインストール

することなく、ポリシーマネージャコンソールの機能を試用することができます。

• ポリシーを事前に定義するため -ソフトウェアをホストにインストールする前に、ホストのポリ

シーを定義および生成できます。

• 特別な場合-サーバに直接アクセスしないホストに対してポリシーを生成できます(つまり、ホス

トをインポートできない場合)。たとえば、F-Secureポリシーマネージャサーバにアクセスしない

コンピュータに対するベースポリシーファイルを生成できます。ベースポリシーファイルは手

動で、または他の方法で転送する必要があります。編集 >ポリシーファイルのエクスポートメ

ニューからを選択して、ベースポリシーファイルをエクスポートできます。

注:管理エージェントがインストールされていないホストはポリシーを取得できないため、ポ

リシーマネージャコンソールを使用して管理することはできません。また、そのようなホス

トにはステータス情報も表示されません。ポリシーデータを保存しないでポリシーマネー

ジャコンソールを終了しても、ドメイン構造の変更は適用されます。

切断したホストを自動的に処理する

ホストが切断とみなされるまでの日数と切断したホストの自動削除を設定することができます。

1. メニューからツール >サーバの構成を選択します。

2. [ホスト]を選択します。

3. ホストのステータスが「切断」になるまでの日数を[ホストを「切断」として判別するために必要な

日数]に入力してください。

4. 切断しているホストがポリシードメインから自動で削除されるために必要な日数を[切断しているホ

ストを削除するために必要な日数]に入力してください。

5. [OK]をクリックしてウィンドウを閉じます。


3.4ソフトウェアの配布

ポリシーマネージャは、次のいずれかの方法で管理対象アプリケーションのインストールと更新を行う

ことができます。

「インストール」タブで、インストールに関連する機能のショートカットを利用できます。

3.4.1リモートインストール

ここでは、インストールパッケージをホストに送る方法(リモートインストール)について説明します。

注:リモートインストールはMacクライアントには対応していません。Client Security for Macのイ

ンストールパッケージはは JAR圧縮ファイルを通じて配布され、パッケージはリモートインス

トールウィザードから設定して、ホストへエクスポートすることができます。

[Windowsホストの自動検出]と [Windowsホストへリモートインストール]の機能は、インストールの対

象となるホストの選択方法で異なります。[Windowsホストの自動検出]では、Windowsドメインを参照

し、または Active Directoryのサーバから情報を取得し、リストから対象ホストを選択します。[Windows

ホストへリモートインストール]では、IPアドレスまたはホスト名を直接指定して、対象ホストを設定

します。ホストを選択した後、どちらの方法も同じ操作でインストールを進めます。

注: F-Secure製品をホストコンピュータにインストールする前に、ファイアウォールがアクセス

をブロックしないように確認してください。ポリシーマネジャコンソールはリモートプロシー

ジャコール (RPC)アクセスを行うために TCPポート 135を使用し、またネットワークとファイル

共有にはポート 445を使用します。インストール先のコンピュータおよびポリシーマネージャ

コンソールは、ともにポリシーマネジャサーバのホストポートを使用して、インストールの結

果を報告します。

リモートインストール機能はポリシーマネージャコンソールの一部です。ポリシーマネージャサーバ

が Linuxマシンで動作していて、リシーマネージャコンソールがWindowsマシンにインストールしてい

る場合でもリモートインストールを使用できます。ポリシーマネージャコンソールを Linuxマシンにイ

ンストールした場合、リモートインストールは利用できません。

リモートインストールの仕組む:

1. ポリシーマネージャコンソールがインストールパッケージをリモートホストの管理 (ADMIN$)共有にアップロードします。リモートホストでファイルの共有が有効になっている必要があります。

2. ポリシーマネージャコンソールはリモートプロシージャコール (RPC)サービスを使用して適切なパ

ラメータを設定した上で対象コンピュータにインストールとリモートインストールサービスを開始

します。このサービスはインストーラの開始とインストールの結果をポリシーマネージャへの通信

を行います。

3. インストールが自動的に開始されない場合には、ポリシーマネージャコンソールに直接通信が行わ

れます。

4. インストールが完了すると、ポリシーマネージャサーバにHTTP経由で結果が送信されます。ポリ

シーマネージャコンソールは、サーバに対して結果を確認し、そのレポートを送信します。

Windowsホストを自動検出

自動検出機能を使用して、Windowsドメインのホストを追加できます。

ホストを選択するには


2. 編集 >Windowsホストを自動検出メニューから選択します。

また、ツールバーから次のアイコンをクリックします:


3. [NTドメイン]を選択します。

4. ドメインのリストからドメインを選択して、[再表示]をクリックします。

[再表示]をクリックしたらホストのリストが更新されます。[再表示]をクリックしない場合、パフォー

マンス上の理由でキャッシュされている情報が表示されます。[再表示]をクリックする前に、次の

自動検出オプションを変更できます。

• [すでに管理対象ホストを非表示] - F-Secureアプリケーションがインストールされていないホスト

が表示されます。

• [すべての詳細でホストを解決(低速)]-オペレーティングシステムおよび管理エージェントのバー

ジョンなど、ホストに関する詳細がすべて表示されます。

• [ホスト名とコメントのみで解決(高速)]-ホストの名前とコメントが表示されます。詳細ビューに

すべてのホストが表示されない場合、または一覧を取得するのに時間がかかる場合に便利なオプ

ションです。「マスターブラウザ」にネットワークにインストールされた新しいホストが表示さ

れるまで時間がかかる場合があります。

5. インストールするホストを選択します。

インストールの対象となるホストにスペースキーを押します。Shiftキーを押した状態で以下のいず

れかの操作を実行すると、複数のホストを簡単に選択できます。

• 複数のホストをクリックする

• 複数のホストを選択するようにマウスをドラッグする

• 上下矢印キーを使用する

また、マウスを右クリックして、ポップアップメニューから次の操作を実行できます。

• [オン]-選択したホストをインストールの対象にします(スペースキーを押した場合と同じです)。

• [オフ] -選択したホストをインストールの対象から外します (スペースキーを押した場合と同じで

す)。

• [すべてオン] -選択したWindowsドメインの全ホストをインストールの対象にします。

• [すべてオフ] -選択したWindowsドメインの全ホストをインストールの対象から外します。

6. インストールをクリックします。

対象のホストを選択した後、ホストにアプリケーションのリモートインストールを実行できます。

Active Directoryサーバからホストを自動検出する

自動検出機能を使用してホストを Active Directoryサーバから選択できます。



2. 編集 >Windowsホストを自動検出メニューから選択します。


3. [Active Directory]を選択します。

4. ドメインサーバのアドレスおよびユーザ名とパスワードを入力します。

5. [ホストの一覧表示]をクリックします。


ホストの一覧が表示されます。[すでに管理対象のホストを非表示]を選択すると管理ソフトウェア

がインストールされていないホストのみ表示されます。

6. 管理ソフトウェアのインストール先となるホストを選択します。

表示されているホストをすべて選択する場合、[すべてオン]をクリックします。

7. インストールをクリックします。


Windowsホストへリモートインストール

[Windowsホストへリモートインストール]を使用して、インストールの対象となるホストを選択できま

す。



2. 編集 >Windowsホストへリモートインストールメニューからを選択します。


3. 対象となるホスト名を入力して、[次へ]をクリックします。

[参照]をクリックすると、各ホストが使用している管理エージェントのバージョンを確認できます。


リモートインストール (ホストを選択した後)

インストール先のホストを選択した後、インストールパッケージのリモートインストールを実行できま

す。

インストールパッケージのリモートインストールを実行するには

1. インストールで使用する言語を選択して、[次へ]をクリックします。

必要に応じて新しいインストールパッケージをインポートできます。[強制再インストール]オプショ

ンはすべてのインストールパッケージで常に有効であるため、ホストで同バージョンのアプリケー

ションがすでにインストールされている場合にはアプリケーションが再インストールされます。

2. デフォルトポリシーの使用を選択するか、匿名ポリシーとしてホストまたはドメインポリシーを指

定して、[次へ]をクリックします。

3. リモートインストールで使用するユーザアカウントとパスワードを選択します。ユーザアカウント

には [このアカウント] (現在のアカウント)または [別のアカウント]を指定します。

注:リモートインストールを行うには、インストール先マシンの管理者権限が必要になりま

す。ログインしたアカウントが特定のホストの管理者権限を持っていない場合、そのホスト

に対して「アクセスは拒否されました」というエラーメッセージが表示されます。この状態

で、他のホストのインストールは続行されます。

[このアカウント] -現在ログオンしているアカウントのセキュリティ権限を使用します。このオプ

ションは、以下のいずれかの場合に適切です。

• ドメイン管理者としてすでにログインしている場合

• インストール先ホストでローカル管理者としてログインしている場合


[別のアカウント] -適用するアカウントとパスワードを入力します。適切なドメイン管理者のアカウ

ントとパスワードを入力したら、インストールが実行します。

• ドメインアカウントを使用して、信頼済みドメインおよび信頼されていないドメインにインス

トールを行う場合は、必ず DOMAIN\ACCOUNTの形式でアカウントを入力してください。• ローカルの管理者アカウントを使用する場合、アカウント名をそのまま入力してください

(「ACCOUNT」など、アカウントの一部としてホスト名を入力しないでください。ホスト名を入力すると、そのアカウントは指定のホストにしか認識されないようになります)。

注:インストール中に、管理者のマシンが別のユーザアカウントでインストール先のマシンに

接続している場合、NT証明書の競合エラーメッセージ (1219)が表示されます。エラーを回避

するために、インストール先のマシンに対する接続を閉じてからリモートインストールを実

行してください。

4. インストールの内容を確認します。

5. 「リモートインストール」ウィザードを起動するために [開始]をクリックします。

リモートインストールウィザードにしたがってインストールを進めます。最後のウィンドウで [完

了]をクリックすると、ウィザードが終了します。

ポリシーマネージャが管理エージェントと指定した製品をホストにインストールします。インストー

ルの進捗は [ステータス]で確認できます。[キャンセル]クリックすると、インストールを中止しま

す。

6. ステータスが「完了」になると、インストールが完了したことになります。[インポート]を使用す

ると、新しく追加したホストをドメインに配置できます。

7. [完了]をクリックします。

ここで別のドメインを指定しない限り、ポリシーマネージャコンソールは事前に選択したドメイン

にホストを配置します。また、ホストをドメインに自動配置しないようにすることも選択できます。

その場合、ホストが自動登録情報を送信し、ホストのインポートを可能にします。

数分後、「製品ビュー」ウィンドウ (右側のウィンドウ)にインストールした製品が表示されます。

8. インストールした製品は、「インストール」タブ、または、「ポリシードメイン」ツリーの最上位

ドメインで確認できます。

3.4.2ポリシーベースインストール

管理エージェントがインストールされているホストはポリシーマネージャのポリシーを利用して集中管

理できます。

ポリシーマネージャはインストールの操作を指定したインストールパッケージを作成および保存し、

ベースポリシーファイルにインストールタスクを書き込みます (このため、インストールの開始にはポ

リシー配布が必要です)。ベースポリシーファイルとインストールパッケージはどちらも管理用鍵ペア

によって署名され、正規の情報だけがホストに受け付けられるようになっています。

ホスト上の管理エージェントはポリシーマネージャサーバから新しいポリシーを入手し、インストー

ルタスクを検出します。管理エージェントはその後、タスクのパラメータで指定されたインストール

パッケージをサーバから入手し、インストールプログラムを開始します。

インストールが完了したら、管理エージェントはインストールの結果をインクレメンタルポリシーファ

イルに記録し、そのファイルをサーバに送ります。ポリシーマネージャコンソールにファイルが届い

たら、ホストのステータス情報が更新されます。

ベースポリシーファイルを利用して、アンインストールを行うことも可能です。その場合、上記と同

じ通信方法が使用されます。ただし、アンインストールの結果は報告されません。


ポリシーベースインストール

ポリシーベースインストールは、管理エージェントがインストールされているホストで使用する必要

があります。

ポリシーベースのインストールを使用して特定のドメインやホストに製品をインストールすることがで

きます。また、Hotfixの適用、製品のアップグレード/アンインストールを実行することも可能です。

インストール操作が完了したら、「ポリシーベースインストール」テーブルで操作が表示され、同じ

操作をドメインに追加される新しいホストに実行することができます。

ポリシーベースインストールを使用するには

1. 「インストール」タブを開きます。

「インストール」タブにある「ポリシーベースインストール」テーブルで進行しているインストー

ル捜査のステータスを確認できます。また、「インストールされている製品」テーブルではホスト

でインストールされている製品が表示されます。

2. 「ポリシーベースインストール」テーブルの下にある [インストール]をクリックしてリモートイン

ストールウィザードを開始します。

3. リモートインストールウィザードで必要な情報を入力します。

リモートインストールウィザードで入力した情報をもとにカスタムパッケージが用意されます。ポ

リシーが配布されるときに指定のドメインとホストにインストールパッケージが配布されます。

リモートインストールウィザードが完了したら、インストール操作とステータスが「ポリシーベー

スインストール」テーブルの新しい行で表示されます。

4. ポリシーを配布します。

インストール操作が完了したら、製品名、バージョン、およびインストールしたホスト数が「イン

ストールされている製品」テーブルで表示されます。

注:インストールが完了するまで時間がかかることがあります。対象のホストがネットワーク

に接続していない場合、または実行中のインストール操作で、インストールが完了する前に

ユーザがホストを再起動するよう要求した場合、特に時間がかかる可能性があります。ホス

トがネットワークに接続され、ポリシーファイルを正常に送受信しているにもかかわらず時

間がかかる場合、問題が発生している可能性があります。または、ホストの方でインストー

ル操作が正常に認識されていない可能性があります。いずれの場合も、[消去]をクリックし、

ポリシーを配布することでポリシーのインストール操作を削除できます。これにより、イン

ストール操作がキャンセルされます。確認ダイアログで[サブドメインおよびホストのインス

トールを再帰的にキャンセル]オプションを選択すると、対象のドメインとそのサブドメイン

に対するインストールタスクもすべて停止できます。

他のインストール操作(アップグレード、アンインストールなど)を実行する場合、「インストールされ

ている製品」テーブルの隣にあるリンクを使用できます。リンクは利用できる場合に自動で表示されま

す。リンクのオプション:Hotfix,アップグレード、修理、アンインストール

「インストールされている製品」テーブルでリンクが表示されない場合、「ポリシーベースインストー

ル」テーブルの下にある [インストール]または [アンインストール]を選択して必要なパッケージが利用

できるか確認してください。製品がリモートからのアンインストールに対応していない場合、アンイン

ストールのオプションは利用できません。

管理エージェントをアンインストールすると、管理エージェントが削除され、情報を送信することがで

きないため、アンインストールが正常に完了したことを知らせる統計情報は送信されません。たとえ

ば、F-Secureアンチウイルスと管理エージェントをアンインストールする場合:

1. F-Secureアンチウイルスをアンインストールする

2. アンインストールが成功したかポリシーマネージャコンソールから報告されるまで待ちます。

3. F-Secureアンチウイルスが正常にアンインストールされた場合、管理エージェントをアンインストー

ルします。


4. 管理エージェントのアンインストールが失敗した場合、ポリシーマネージャコンソールはアンイン

ストールが失敗したことを示す統計レポートを表示します。正常なアンインストールは報告されま

せんが、通信が切断されるため明らかになり、管理エージェントの最終レポートは「進行中」と表

示します。

3.4.3パッケージを利用したローカルインストール/更新

設定済みのパッケージを、JARまたはMSI (Microsoft Installer)形式でエクスポートすることができます。

MSIパッケージは、ActiveDirectory環境のWindowsグループポリシーなどを使用して配布することができ

ます。

エクスポートする方法はどちらの形式でも同じです。パッケージのファイル形式は、「インストール

パッケージのエクスポート」ウィンドウで選択できます。

注:Macホストのインストールパッケージを構成およびエクスポートする際にはエクスポートし

たファイルの名前を変更しないでください。ファイル名にポリシーマネージャに関連するメタ

データが含まれています。

カスタムのリモートインストールパッケージを使用する

Windowsプラットフォームでは、カスタムのリモートインストールパッケージ (JARまたはMSI形式)を

使用してインストールを実行できます。

カスタムのインストールパッケージを使用するには

1. ポリシーマネージャコンソールを起動します。

2. メニューからツール >インストールパッケージを選択します。

「インストールパッケージ」ウィンドウが表示されます。

3. インストールする製品が含まれているインストールパッケージを選択して、[エクスポート]をクリッ

クします。

4. ファイルの形式 (MSIまたは JAR)とカスタマイズしたインストールパッケージの保存場所を指定して

[エクスポート]をクリックします。

5. カスタムのインストールパッケージの保存場所を指定して、[保存]をクリックします。

6. インストールする製品を選択して、[次へ]をクリックします。



8. 内容を確認し、[開始]をクリックしてインストールウィザードに進みます。

ポリシーマネージャコンソールは、選択した製品のセットアップに必要な情報を収集するリモート

インストールウィザードを表示します。インストールパッケージには、カスタムのプロパティを必

要な数だけ入れることができます。これらのカスタムプロパティはローカルインストール後にポリ

シーマネージャへ送信されるメッセージに追加されます。カスタムプロパティは標準のホストプロ

パティと一緒に「新規ホスト」ビューに表示されます。カスタムのプロパティ名が項目/列の名前と

なり、該当する値がセルの値として表示されます。

異なるサブドメインにホストを追加する場合、個別のインストールパッケージをサブドメインごと

に作成すると効率的です。その際、カスタムのプロパティ ([単位]のプロパティ名など)を設定し、

値がインストールパッケージごとに異なるようにします。これにより、「新規ホスト」ビューで列

の並べ替えを行うことで各サブドメインにインポートするホストを簡単に判別できるようなります。

「新規ホスト」ビューでインストール先のドメインを変更することができます。

9. ウィザードの最後のページで [完了]をクリックします。

10.エクスポートしたファイル (JAR)は、ilaunchr.exeツールを実行してホストにインストールすることができます。


ilaunchr.exeツールは、ポリシーマネージャコンソールのインストール先フォルダ(...\Administrator\Bin)に格納されています。

a) ilaunchr.exeとエクスポートしたJAR/MSIを、ログインスクリプトがアクセスできる場所にコ

ピーします。

b) ilaunchr <パッケージ名>.jarコマンドを実行します。<パッケージ名>には、JAR/MSIパッケー

ジのファイル名を使います。

インストールが実行されたら、インストールの進捗を示すウィンドウが表示されます。インス

トールパッケージのエクスポート時に、コンピュータを再起動するように設定したら、ユーザに

確認のメッセージが表示されます。次のコマンドを実行すると、インストールをサイレントモー

ドで実行できます (ユーザの操作を必要としない)。ilaunchr <package name>.jar /Qサイレントモードの場合でも、インストール後にコンピュータの再起動を確認するメッセージが表示

されることがあります。また、インストール中に重大なエラーが発生した場合にはメッセージが

表示されます。

ILAUNCHRは、以下のコマンドラインパラメータを指定できます。

/U -ユーザ介入なしの非対話的モードでインストールを実行します。重大なエラーが発生した場

合でもメッセージは表示されません。

/F -強制的にインストールを実行します。管理エージェントがすでにインストールされている場

合でもインストールを完了します。

コマンドラインで「ILAUNCHR /?」と実行すると、ヘルプが表示されます。

次のパラメータも使用できます。

• /user:domain\username(または/user:username)-ユーザアカウントおよびドメイン名を指定します。ドメイン名は必ず指定する必要はありません。

• /password:secret (または/password:"secret with spaces") -ユーザアカウントのパスワードを指定します。

パラメータを指定しない場合、ilaunchrはそのまま機能します。パラメータを1つしか指定してい

ない、ilaunchrはエラーコードを返します。パラメータを両方指定している場合、ilaunchrがセッ

トアッププログラムを起動します。コマンドの例:

ILaunchr <jar ファイル> /user:domain\user_name /password:secret_word

3.4.4ローカルインストールとポリシーマネージャ

クライアントセキュリティをローカルのワークステーションにインストールし、ポリシーマネージャ

で一元管理する場合、ローカルのインストールを推奨します

インストールを行う前に、ポリシーマネージャをすでにインストールしている必要があります。

システム要件

ここでは、本製品を使用するためのシステム要件について説明します。

以下のシステム構成は本製品を使用するための推奨要件です。

システム要件

プロセッサ • Intel Pentium 4 2 GHz以上

オペレーティングシステム • Windows 8/8.1, 32ビット/64ビット

• Windows 10

メモリ • 32ビットのOSの場合、1 GB RAM。64ビットのOSの場合、2 GB RAM


1.5 GBの空き容量ディスク容量

アップデートの受信とクラウド機能の使用に必要インターネットの接続環境

インストール手順

ローカルインストールで使用されるパッケージはポリシーマネージャで作成されます。

製品をインストールするには

1. ポリシーマネージャコンソールを起動します。

2. メニューからツール >インストールパッケージを選択します。

「インストールパッケージ」ウィンドウが表示されます。

3. インストールする製品が含まれているインストールパッケージを選択して、[エクスポート]をクリッ

クします。

4. ファイルの形式 (MSIまたは JAR)とカスタマイズしたインストールパッケージの保存場所を指定して

[エクスポート]をクリックします。

5. カスタムのインストールパッケージの保存場所を指定して、[保存]をクリックします。

6. インストールする製品を選択して、[次へ]をクリックします。



8. 内容を確認し、[開始]をクリックしてインストールウィザードに進みます。

ポリシーマネージャコンソールは、選択した製品のセットアップに必要な情報を収集するリモート

インストールウィザードを表示します。インストールパッケージには、カスタムのプロパティを必

要な数だけ入れることができます。これらのカスタムプロパティはローカルインストール後にポリ

シーマネージャへ送信されるメッセージに追加されます。カスタムプロパティは標準のホストプロ

パティと一緒に「新規ホスト」ビューに表示されます。カスタムのプロパティ名が項目/列の名前と

なり、該当する値がセルの値として表示されます。

異なるサブドメインにホストを追加する場合、個別のインストールパッケージをサブドメインごと

に作成すると効率的です。その際、カスタムのプロパティ ([単位]のプロパティ名など)を設定し、

値がインストールパッケージごとに異なるようにします。これにより、「新規ホスト」ビューで列

の並べ替えを行うことで各サブドメインにインポートするホストを簡単に判別できるようなります。

「新規ホスト」ビューでインストール先のドメインを変更することができます。

9. ウィザードの最後のページで [完了]をクリックします。

10.クライアントセキュリティをインストールする場所にインストールパッケージをコピーします。

11. インストールパッケージを実行します。

コンピュータが自動的に再起動します。すぐに再起動する場合、[再起動]を選択します。

3.4.5管理対象ソフトウェアをアップグレードする

インストールエディタを使用して、ホストにインストールされている F-Secureアンチウイルスソフト

ウェアをリモートからアップグレードできます。

エディタは、指定ドメインのホストが実行するポリシーベースのインストールタスクを次回のポリシー

アップデート時に作成します。

注:他のインストール方法を通じて、クライアントセキュリティをアップグレードすることも可

能です。


3.5ポリシーの管理

ここでは、ポリシーの設定と配布について説明します。

複数のユーザが同時にログインしてポリシーを変更することができます。ユーザによる変更は自動的に

保存され、手動で変更を保存する必要はありません。ポリシーの変更は、ポリシーが配布されるときに

適用されます。

注:別々のユーザが同じポリシーを変更した場合、最後に変更が行われたポリシーが適用されま

す。

ポリシーの変更が配布されたときには要求別にポリシーファイルが各ホストで自動的に作成されます。

これより、ドメイン構造が変わっても(ホストを追加するときやホスト上の管理対象ソフトウェアをアッ

プグレードするときなど)ポリシーをもう一度配布する必要ありません。

3.5.1設定

設定を行うには、ポリシーのツリーを参照してポリシー変数の値を変更します。

ポリシー変数には、デフォルト値が定義されているものがあります。デフォルト値は、ルートドメイン

の上位から継承されたような形で適用されます。つまり、最上位(ルート)ドメインが選択されていて

も、デフォルト値は継承される値のように扱われます。デフォルト値は、他の値と同じように上書きで

きます。

ポリシードメイン/ホストの設定値は、以下のように色分けされます。

• 黒 -ポリシードメイン/ホストレベルで指定/変更された値

• 灰色 -継承された値

• 赤 -無効な値

• くすんだ赤 -継承された無効な値

3.5.2設定にメモを追加する

バージョン12.20ではポリシーマネージャコンソールのポリシー設定にメモを追加することができます。

(たとえば、設定を変更した理由を記録するために)

設定に追加されたメモはスタンダードビューおよび詳細ビューで表示されます。

メモはポリシードメイン内に継承されます。継承されたメモは灰色のアイコンで表示されます。特定の

ホストまたはサブドメインに継承されたメモに対してコメントを追加することも可能です。

説明アイコン

設定にメモがありません。クリックするとメモを

追加できます。

設定にメモがあります。クリックするとメモを表

示・編集できます。

設定に継承されたメモがあります。クリックする

とメモを表示・編集できます。

メモエディタでこのアイコンをクリックするとメ

モリを削除できます。

メモは「ドメインポリシー値」ダイアログおよび継承レポートにも表示されます。

メモを追加するには


1. メモを追加する設定の横にあるメモアイコンをクリックします。

メモエディタが表示されます。

2. 入力する内容を追加します。

3. メモエディタの外をクリックするとコメントが保存されエディタが閉じます。

メモが最後に更新された時間および更新したユーザ名は記録され、設定にメモがあることを示すた

めにアイコンが変更します。

注:メモは自動的に保存されますが、ポリシーが配信されるまで他の管理者には表示されませ

ん。

4. ポリシーを配信するために次のアイコンをクリックします:

注:メモの更新日時はポリシーが配信されたときに更新されます。

メモを削除するには、メモアイコンをクリックし、メモエディタにあるごみ箱をクリックして削除を

確定します。

注:継承されたメモ (灰色のアイコン)は削除できません。追加されたドメインレベルにあるメモ

のみ削除できます。

3.5.3配布していない変更を破棄する

適用していない設定の変更を破棄することができます。

メニューからファイル >ポリシーの変更を破棄を選択します。

設定がポリシーを最後に配布したときの状態に戻ります。変更をすでに配布した場合、設定を手動

で変更してポリシーを再配布する必要がります。

3.5.4制限

制限を適用することで、管理者はユーザがポリシー変数の値に対するアクセスを制限することができま

す。

[ユーザ変更を禁止]が指定されているポリシー変数は、ポリシーが常に強制的に適用されます。つま

り、ポリシー変数がローカルホストのあらゆる値を上書きし、制限が[ユーザ変更を禁止]に設定されて

いる限り、エンドユーザは値を変更できません。

3.5.5パスワードでアンインストールの保護

バージョン 12.20では、クライアントソフトウェアが無断でホストかアンインストールされることを防

ぐためにアンインストールパスワードを管理対象ホストに設定できます。

注:アインインストールパスワード機能がご利用のバージョンで対応されているか対象のクライ

アントソフトウェアのリリースノーツを確認してください。

アンインストールのパスワード保護機能を有効にすると、ポリシーマネージャが管理しているホスト上

のクライアントソフトウェアのアンインストールを行う際にパスワードの入力が要求されるようになり

ます。パスワードを正しく入力しない限り、アンインストールは実行されません。

注:アンインストールのパスワード保護機能は、管理対象ホストに配付・インストールされてい

るポリシーマネージャのコンポーネントにも適用されます。

スタンダードビューでアンインストールのパスワード保護機能に設定するには


1. 対象のドメインまたはホストを選択します。

2. 「設定」タブを開き、「集中管理」ページを選択します。

3. [アンインストールパスワード]で [パスワードを設定]をクリックします。

4. 「アンインストールパスワードの設定」ダイアログで使用するパスワードを入力・設定し、[OK]を

クリックします。


ホストのソフトウェアをローカルからアンインストールするにはパスワードの入力が必要になります。

[パスワードを削除]をクリックするとアンインストールのパスワード保護機能を無効にできます。

3.5.6設定を変更する

ポリシー変数を編集することで設定を変更できます。

詳細ビューから設定変更を行うには

1. 「設定」ページの右上にある [詳細ビュー]をクリックします。

2. ポリシーツリーを参照します。

3. ポリシー変数の値を変更します。


ヒント:メニューからファイル>配布を選択、またはCTRL+Dキーを押すことによってもポリシー

の配布を行うことができます。

設定を配布すると、更新されたポリシーがデータベースに保存され、ホスト上の F-Secure製品がアップ

デートを自動的に確認するようになります。

注:ポリシーファイルを配布して、ホストがそのファイルを取り出すまで、変更は反映されませ

ん。

3.5.7ポリシーの継承

ポリシーマネージャコンソールでは、各ポリシードメインが自動的に親ドメインの設定を継承します。

この仕様により、大規模なネットワークを簡単に管理することが可能です。

継承された設定は、ホストやドメイン単位で上書きすることができます。特定のドメインで、継承され

た設定が変更された場合、その変更はドメインのホストとサブドメインにも継承されます。上書きされ

た設定は、[消去]操作で再び継承可能にできます。

ポリシーの継承によって、共通のポリシーを簡単に定義することができます。サブドメイン、または

個々のホストに対して、ポリシーをさらに細かく定義できます。ポリシー定義をどこまで詳細に設定す

るかはシステムによって異なります。大規模なドメインに少数の異なるポリシーを定義することもあれ

ば、個々のホストに直接ポリシーを適用して、非常に細かい管理を実現することも可能です。

一部の製品は大規模なドメインからポリシーを継承し、他の製品はサブドメインからポリシーを継承す

る、または固有のポリシーを取得するといったポリシー環境を構築することもできます。

[ドメインの値を表示]を選択すると、特定のポリシーの設定に適用された変更を確認できます。


[強制的に値を適用]を選択すると、サブドメインまたはホストの値をドメインの値にリセットできま

す。

ヒント:「レポートツール」を使用して「継承レポート」を作成できます。継承レポートは、継

承された設定がどこで反映されたか表示します。

継承された設定の見分け方 (ユーザインターフェース)

継承された設定、および現在のレベルで再定義されている設定は、ポリシーマネージャのユーザイン

ターフェースで異なる方法で表示されます。

説明継承済み未継承

設定の変更が禁止されているた

め、エンドユーザが設定を変更で

きないことを示します。

鍵の色が青色の場合、設定が再定

義されています。鍵の色が灰色の

場合、設定は継承されています。

エンドユーザが設定を変更できる

ことを示します。

鍵の色が青色の場合、設定が再定

義されています。鍵の色が灰色の

場合、設定は継承されています。

設定が再定義されているため、設

定の値を消去できることを示しま

消去

す。設定を消去すると、デフォル

ト値または継承された値が復元さ

れます。このオプションが表示さ

れない場合、設定が継承されてい

ることになります。

設定の横に何も表示されない場

合、設定が継承されていることを

示します。

継承された値は灰色の文字で淡色


テキストボックス

継承されていない値は、白い背景

色に黒い文字で表示されます。

継承した値は灰色の背景色で淡色


チェックボックス

継承されていない値は、白い背景

色で表示されます。


ページの設定をすべてロック/ロック解除する

特定のページにある設定を一度にロック/ロック解除できます。

以下のリンクを使用して、ページ上の設定をすべてロックおよびロック解除できます。

鍵のアイコンがある設定のロックをすべて解除し

ます。この操作により、ユーザは該当する設定を

変更できるようになります。

ユーザ変更を許可

鍵のアイコンがある設定をすべてロックします。

この操作により、ユーザはこれらの設定を変更で

きなくなります。

ユーザ変更を禁止

ページ上の全設定を初期値(デフォルト値または継

承値)に戻します。

初期値に戻す

設定を継承する (テーブル)

ここでは、テーブルの設定と継承について説明します。

「ファイアウォールセキュリティレベル」テーブルおよび「ファイアウォールサービス」テーブルは

グローバルテーブルと呼ばれ、ドメイン内の全コンピュータに同じ値が適用されます。ルールとサービ

スは同じでも、セキュリティレベルはサブドメインとホスト別に違うレベル指定することが可能です。

テーブルでMIBから取り出されたデフォルト値は灰色で、現在のレベルで編集された値は黒で表示され

ます。

テーブルで値を継承する

[行を消去]を使用してテーブルの行を消去すると、選択している行の値は消去され、親ドメインとMIB

で定義されているデフォルトの行が適用されます。

• 消去した行と同じインデックス値を持つ行が存在する場合、行が再継承されます。

• 消去した行と同じインデックス値を持つ行が存在しない場合、行は空のままになります。

注:行は、親ドメインまたはMIB(設定の定義と全設定のデフォルト値を含めているデータベース)

のデフォルト行から継承できます。行の継承に関して、MIBは「ルートドメインより上位のドメ

イン」とみなすことができます。MIBのデフォルト値は、ドメインレベルで上書きしない限り、

サブドメインに継承されます。継承された行を上書きするには、同じインデックス値を持つ行を

定義する必要があります。MIBのデフォルト値はホストにインストールされている製品のバー

ジョンに基づいて、取得されます。ドメインに対しては、最新バージョンの値が使用されます。

3.6操作とタスクの管理

ポリシーマネージャコンソールを利用して、製品に関する操作を実行できます。

ポリシーマネージャコンソールから操作を実行するには

1. 「操作」タブから実行する操作を選択します。

また、「詳細モード」ビューで「ポリシー」タブを開いて、ポリシードメインツリーにある [操作]

からも実行する操作を選択します。

2. [開始]をクリックします。

3. 新しいポリシーを配布して、ホストがそのポリシーファイルを取り出すと、操作がホスト上で開始

されます。

[キャンセル]ボタンをクリックすると、いつでも操作を中止できます。


3.6.1診断レポートを遠隔から収集する

ホストでの問題解決を行うためにポリシーマネージャは遠隔から管理ソフトウェアの診断レポートを

収集できます。

選択したホストからで診断情報を収集するには、F-Secureサポートツールをポリシーマネージャコン

ソールの「操作」タブから実行します。操作は一回に1つのホストにのみ実行できます。ホストでログ

ファイルが収集されたら、ファイルはポリシーマネージャサーバにアップロードされ、ポリシーマネー

ジャコンソールからダウンロードすることが可能になります。

注:遠隔からの診断情報の収集は F-Secureクライアントセキュリティ 12.10およびメール/サーバ

セキュリティ 12.00にのみ対応しています。

3.7警告

ここでは、警告とレポートの設定について説明します。

3.7.1警告とレポートの表示

プログラムまたは操作に問題が発生した場合、ホストは警告とレポートを送信することができます。

警告を受信したら、

ボタンが点灯します。警告を表示するには

1. 次のボタンをクリックします:

「警告」タブが開きます。受信した警告は以下の形式で表示されます。

警告を確認したことを示します。[確認]をクリックすると警告を確認したこと

になります。すべての警告を確認すると、[確認]ボタンが淡色に変わります。

確認

問題の重大度。以下のアイコンで重大度を示します。重大度

ホストからの通常の操作情

報。

情報

ホストからの警告。警告

ホスト上の回復可能なエ

ラー。

エラー

ホスト上の回復不能なエ

ラー。

重大なエラー

ホスト上のセキュリティア

ラート。

セキュリティ警告

警告の日付と時刻。日付/時間

問題の説明。説明


ホストまたはユーザの名前。ホスト/ユーザ

警告の送信したF-Secure製品。製品

リストから警告を選択すると、警告の詳細情報が表示されます。F-Secureのアンチウイルススキャン

警告には、レポートが添付されている場合があります。

2. レポートを表示するには、「スキャンレポート」タブをクリックするか、製品ビュー >メッセージ

メニューからを選択します。

「スキャンレポート」タブは、「警告」タブと同じ構造になっています。「警告」テーブルと「ス

キャンレポート」テーブルの情報は、列の見出しをクリックすることで並び替えできます。

3.7.2システムの警告をメールで送信する

ポリシーマネージャが警告をメールで送るように設定できます。

ポリシーマネージャサーバの通知および管理対象ホストに対する警告を送信できます。ポリシーマネー

ジャサーバの警告は個別のメールとして送信されますが、複数のホスト警告を同じメールに含むことが

できます。ポリシーマネージャは管理対象ホストで新しい警告があるか10分ごとに確認します。

警告のメール転送を設定するには


2. [メール警告]をクリックします。

3. 警告の送信先となるメールアドレスを入力します。

システムから発生される警告がすべての宛先に届きます。

4. メールで送信する警告タイプに [ホストとサーバ警告]または [サーバ警告のみ]を選択します。

5. ホスト警告を含める場合、最小のアラート重大度と個々のメールで表示する警告の数を設定します。

注:ポーリング間隔で警告が指定した値を超過すると、最も最近の警告がメールで表示され、

残りはポリシーマネージャコンソールで確認するようにメッセージで表示されます。

6. [OK]をクリックします。

次にサーバ警告が送信されます。

• アンチウイルスデータベースが<n>日間古いです:アンチウイルスデータベースが5日間以上古い場

合に発生するセキュリティ警告。

• アンチウイルスデータベースのバージョンが不明:データベースのバージョンが検出できない場合

に発生する警告 (ポリシーマネージャが自動更新エージェントに接続できない場合など)。

• ソフトウェアアップデータのデータベースが<n>日間古いです:ソフトウェアアップデータのデー

タベースが1週間以上古い場合に発生する警告。

• ソフトウェアアップデータのデータベースが見つかりません:ソフトウェアアップデータのデータ

ベースがポリシーマネージャにない場合に発生する警告。

• <n>台のホストがインポートを待機しています:インポートルールに一致しない新しいホストが存在

し、手動インポートを待機している場合に発生する警告。

• <n> 管理されていないホストを検出しました:管理されていないホストを新しく検出した際に発生

する警告。

• アップグレードを利用できます: <製品名> <製品のバージョン>。詳細およびアップグレードの入

手方法については、<ダウンロードページへのリンク> をご覧ください。このメッセージは、ポリシーマネージャまたは管理対象の F-Secureアプリケーションで新しいアップグレードを利用できる

ときに送信されます。

ホストの警告は管理対象のソフトウェアにより異なります。


転送した警告のロギング情報は次のファイルに記録されます: <F-Secure インストールフォルダ>\Management Server 5\logs\fspms-alert-forwarding.log.

3.7.3警告転送の設定

「警告の転送」テーブルを編集して、警告を設定することができます。このテーブルは、F-Secure管理

エージェント >設定 >警告の送信 >警告の転送の順にクリックすると表示できます。

また、「警告の転送」タブにある管理エージェントの製品ビューでも確認できます。

警告の転送を設定するには

1. メニューから F-Secure管理エージェント >設定 >警告の送信 >警告転送の順に選択します。

2. 警告の重大度に応じて、警告の送信先を個別に指定できます。

転送先には、ポリシーマネージャコンソール、ローカルユーザのインターフェース、警告エージェ

ント (イベントビューア、ログファイル、SMTPなど)、または管理エクステンションを指定できま

す。

「警告の送信」テーブルは独自のデフォルトの値を使用します。

デフォルトでは、重大度が「情報」と「警告」の警告はポリシーマネージャコンソールに送信され

ません。また、ユーザにも表示されません。これらの警告はトラブルシューティング時に役立つ場

合もありますが、警告の転送を有効にすると転送される警告の数が大幅に増加するため、ドメイン

の構造が大きく、厳密な警告転送ルールが設定されている環境では大量の警告がポリシーマネージャ

コンソールに送信される可能性があります。

3. 送信先のポリシー変数などを設定して、警告の送信先を細かく設定することができます。

たとえば、設定 >警告 > F-Secureポリシーマネージャコンソール >再送試行間隔の設定は、ホストか

らポリシーマネージャコンソールへの警告の送信が失敗した場合、再試行するまでの間隔を指定し

ます。

3.7.4警告を syslogサーバへ転送する

ポリシーマネージャの警告をサードパーティの syslogサーバへ転送することができます。

現在、転送プロトコルは TCPと UDP両方に対応しています。

警告の転送を設定するには


2. [Syslog]をクリックします。

3. [警告を syslogに転送]を選択してサーバアドレスを入力します。

デフォルトでは警告は UDPのポート番号514を使用して転送されます。別のポートを使用する場合、

サーバの後にポート番号を入力してください。例: example.com:8080

4. メッセージの形式を選択します。

Syslog (RFC 3614)およびCEF (Common Event Format)メッセージに対応しています。


3.8マルウェア定義ファイルの更新

ポリシーマネージャのバージョン13.00では、すべてのF-Secure製品にアップデートを配信できる新しい

プロトコルが導入されています。

これまでのアップデート配信方法(自動更新エージェント)と比較して、この新しいプロトコルは、帯域

幅消費とメンテナンスの容易さに大きなメリットをもたらします。ポリシーマネージャは、管理対象ホ

ストにインストールされているクライアントソフトウェアに必要なアップデートプログラムのみをダ


ウンロードするようになりました。たとえば、管理対象サーバソフトウェアがない場合、そのような製

品の更新はダウンロードされません。

管理対象環境にバージョン9.xまたはそれ以前の自動更新コンポーネントを持つクライアントがない場

合、古いクライアントの更新はダウンロードされません。

サーバはダウンロードされたアップデートプログラムのキャッシュを保持します。通常、最大2～3 GB

のディスク領域が必要です。

各アップデートは、管理対象クライアントソフトウェアから要求された場合にダウンロードされます。

オンデマンドのアップデートプログラムのダウンロード処理は、通常次のとおりです。

1. サーバは、最新のF-Secureアップデートのメタデータを定期的に更新します。デフォルトでは、10分

ごとに更新されます。

2. クライアントは定期的にサーバをポーリングし、新しいアップデートが利用可能か確認します。

3. クライアントが新しいアップデートを検知すると、クライアントはそのデータを要求します。

4. サーバは要求を受け入れ、アップデートをインターネットから非同期でダウンロードし始めます。

サーバは約10分後にクライアントに更新ステータスを再度確認するよう指示します。

5. クライアントは、次にサーバをポーリングするときに、要求されたアップデートを受け取ります。

クライアントが非常に長い間シャットダウンされ、F-SecureCloudが古い定義ファイルのデルタ(差分)更

新を判断できない場合、F-Secure Cloudはサーバに完全なアップデートアーカイブをクライアントに送

信するよう指示します。

移行とファイルの場所

自動更新エージェント (AUA)はポリシーマネージャの一部としてインストールされなくなりました。こ

れまでインターネット接続用のHTTPプロキシソースとして使用されていた AUA構成ファイルは、

fspms.proxy.configファイルに置き換えられました。プロキシ設定は、アップグレード中に移行されます。

Windowsで AUAが不要になった他の製品 (Server Securityなど)が同じマシンにある場合、AUAはアップグ

レード中に自動でアンインストールされます。Linuxの場合、Linuxセキュリティなどの製品で AUAが不

要になった場合、AUAを手動でアンインストールする必要があります。

注:最初のプロキシだけが移行され、複数のHTTPプロキシはサポートされなくなりました。HTTP

プロキシが定義されている場合、インターネットの直接接続へのフォールバックはありません。

ログファイルと設定ファイルは次の場所にあります。

このファイルはサーバのデータフォルダにあります:HTTPプロキシ設定

ファイル • Windows: <F-Secure インストールフォルダ>\Management Server5\data\fspms.proxy.config

• Linux: /var/opt/f-secure/fspms/data/fspms.proxy.config

ダウンロードおよび配信イベントは、fspms-download-updates.logとfspms-serve-updates.logに記録されます。これらのファイルは、サーバの logsフォルダの下にあります。

ログファイル

• Windows: <F-Secure インストールフォルダ>\Management Server5\logs

• Linux: /var/opt/f-secure/fspms/logs

ダウンロードしたアップデートは、次のフォルダに保存されます。ダウンロードしたアッ

プデート • Windows: <F-Secure インストールフォルダ>\Management Server5\data\guts2\updates

• Linux: /var/opt/f-secure/fspms/data/guts2/updates


AUA設定ファイルに以前格納されていたバージョン12およびそれ以前のクライ

アントに必要なアップデートプログラムのリストは、channels.jsonに移行されました。

移行したデータ

• Windows: <F-Secure インストールフォルダ>\Management Server5\config\channels.json

• Linux: /opt/f-secure/fspms/config/channels.json

3.8.1ポリシーマネージャサーバのマルウェア定義ファイルを確認する

「概要」タブでマルウェア定義ファイルのステータスと配信状況を確認できます。

1. 「概要」タブを開きます。

2. サーバ上のウイルス定義ファイルの横にある [詳細]をクリックします。

「アップデートのステータス」ビューが開きます。バージョン13のクライアントおよびバージョン12

以前でダウンロードされたアップデートは、別々のタブに表示されます。これらのバージョンのク

ライアントが管理対象ネットワーク内に存在しない場合、対応するタブは空になりります。

3.8.2隔離されたネットワークでのマルウェア定義の更新

ポリシーマネージャには、インターネットに直接接続していない隔離されたネットワークでウイルス定

義を更新するための2つのオプションがあります。

ネットワーク構成によってポリシーマネージャが内部リソースにアクセスし、インターネットにアクセ

スできる場合は、ポリシーマネージャプロキシを更新のソースとして使用することを推奨します。

ポリシーマネージャプロキシを使用できない場合、ポリシーマネージャに付属のツールを使用して、

アップデートをアーカイブとして取得し、ポリシーマネージャがインストールされているサーバにコ

ピーできます。

ポリシーマネージャプロキシを使用したマルウェア定義の更新

ネットワーク設定でポリシーマネージャがインターネットに接続することを許可していないが、イン

ターネットにアクセスできる内部リソースに接続できる場合、ポリシーマネージャプロキシを使用し

てマルウェア定義を最新の状態に保つことができます。

これは、ポリシーマネージャプロキシを設定してポリシーマネージャで設定を完了した後で、後続の

アクションを必要としないため、隔離されたネットワークにとって最も便利なオプションです。

ポリシーマネージャプロキシとポリシーマネージャサーバ間のネットワーク通信を最小限に抑えるた

めに、スタンドアロンモードでプロキシをインストールできるようになりました。このモードでは、

ポリシーマネージャプロキシは完全に自律します。

• ポリシーマネージャサーバにアクセスする必要はありません

• マルウェア定義をダウンロードすることを除いて、クライアントからの要求は処理されません

隔離されたネットワークにポリシーマネージャプロキシを設定するには

1. F-Secure更新サービス (http://guts2.sp.f-secure.com)へのインターネットアクセス権を持つホストで、

ポリシー管理プロキシ (バージョン13.10以降)のインストールを開始します。

2. スタンドアロンモードを有効にするには、プロキシをインストールするときにポリシーマネージャ

サーバのアドレスとして 0.0.0.0のループバックインターフェース IPを使用します。

3. プロキシをウイルス定義のソースとして使用するようにポリシーマネージャサーバを設定します。

a) 追加のJava引数設定を開きます。

• Windowsの場合,レジストリからHKLM\SOFTWARE\Wow6432Node\DataFellows\F-Secure\Management Server 5\additional_java_argsを開きます。


• Linuxの場合、fspms.conf構成ファイルを開き、additional_java_argsパラメータを確認します。

b) additional_java_argsを次の値で変更または追加します:-Dguts2ServerUrl=http://<proxy_address>/guts2

4. ポリシーマネージャのサービスを再開します。()。

アーカイブを使用してマルウェア定義を更新する

セキュリティポリシーに遵守するために中間プロキシへの接続を使用できない場合、ポリシーマネー

ジャに付属のツールを使用してマルウェア定義を更新できます。

アップデートをダウンロードするためのツールはポリシーマネージャにバンドルされており、提供され

たスクリプトで抽出することができます。インターネットにアクセスできる任意のマシンで実行する

と、ツールは最新のアップデートと必要な差分をダウンロードして、オールインワンのアーカイブを生

成します。

生成されたアーカイブは、要求された定義の更新のためにインターネットに接続しないように設定され

ているポリシーマネージャサーバにインポートできますが、代わりにアーカイブからインポートされ

たアップデートのみ配布することができます。

デフォルトでは、このツールは data\updatesフォルダにダウンロードした更新バイナリを保存します。また、関連する差分を最新バージョンにダウンロードするための参考として使用する更新履歴も保

存されます。

バージョン履歴は、ポリシーマネージャに提供する差分数を定義し、管理対象クライアントに提供する

ため、ツールにとって重要です。デフォルトでは履歴は10まで保存され、update_diffs_countプロパティ

で変更できます。履歴が多いほど、古いバージョンから差分を生成する時間がかかるため、F-Secure

Cloudから差分をダウンロードする時間が長くなります。configuration.propertiesで、ダウンロードの試行回数と試行する間隔を設定できます。

このプロセスは、ダウンロードおよびその後のインポート操作のスケジュールによって自動化すること

ができます。更新アーカイブへのパスをカスタマイズして、共有ネットワークドライブなどを使用して

簡単に転送できます。

注:ポリシーマネージャサーバはインポートが完了した後にアーカイブを削除するため、更新

アーカイブを削除する権限があることを確認してください。

マルウェア定義を更新するには

1. ポリシーマネージャサーバが隔離モードで実行するように設定します。

a) 追加のJava引数設定を開きます。

• Windowsの場合,レジストリからHKLM\SOFTWARE\Wow6432Node\DataFellows\F-Secure\Management Server 5\additional_java_argsを開きます。

• Linuxの場合、fspms.conf構成ファイルを開き、additional_java_argsパラメータを確認します。

b) additional_java_argsを次の値で変更または追加します: -DisolatedMode=true

2. ポリシーマネージャサーバを再起動して、隔離モードに切り替えます。

3. ツールを準備するには、次のコマンドを実行します。

• Windows: <F-Secure インストールフォルダ>\Management Server

5\bin\prepare-fspm-definitions-update-tool.bat <対象フォルダ>• Linux:/opt/f-secure/fspms/bin/prepare-fspm-definitions-update-tool <指定フォ

ルダ>

4. 準備されたバイナリをインターネットにアクセスできるマシンに転送します。

5. 必要に応じて、ツール設定を変更します。


• conf\channels.json:更新するチャンネルのリストを含みます。デフォルトでは、ポリシーマネージャで管理されているすべての対応クライアントのアップデートが含まれているため、環

境に必要なものだけを残すことを推奨します。

• Conf\configuration.properties:他の設定に加え、必要に応じてここにHTTPプロキシを指

定することができます。

6. ツールを実行する:

• Windows: fspm-definitions-update-tool.bat• Linux: fspm-definitions-update-tool

作成されたアーカイブには、対象バージョンへの最新の定義と差分の完全なセットが含まれていま

す。すべてのデータが最新のものであれば、アーカイブは生成されません。

7. 準備されたアーカイブ (デフォルトでdata\f-secure-updates.zip)をポリシーマネージャサーバのマシンに転送します。

注:アーカイブファイル名またはコピー先パスは、ハードコードされているので変更しない

でください。

• Windows: <F-Secure インストールフォルダ>\Management Server5\data\f-secure-updates.zip

• Linux: /var/opt/f-secure/fspms/data/f-secure-updates.zip

8. 準備されたアップデートをインポートするには、次のコマンドを実行します。

• Windows: <F-Secure インストールフォルダ>\Management Server5\bin\import-f-secure-updates.bat

• Linux: /opt/f-secure/fspms/bin/import-f-secure-updates

3.9レポートツール

レポートツールを使用して、ポリシーマネージャコンソールで管理されているデータのレポートを表

示したり、エクスポートしたりすることができます。

この機能により、複数のホストやドメインのデータを同時に確認できます。

3.9.1レポートを表示およびエクスポートする

レポートツールを使用して、レポートを表示およびエクスポートできます。

レポートツールを使用するには

1. メニューからツール >レポートを選択します。

または、

• メインウィンドウのポップアップメニューからレポートツールを実行します。

レポートツールが開きます。

2. レポートの対象となるドメインまたはホストを選択します。

• [再帰的]を選択すると、ドメインに含まれているすべてのホストがレポートに含まれます。

3. 警告タイプを選択します

4. レポートに含める製品を選択します。

5. 必要に応じて、レポートタイプの詳細設定を選択します。

6. 警告を表示/エクスポートする


• 下のウィンドウにある [表示]をクリックして、レポートを作成します。HTML形式のレポートが

Webブラウザで表示されます。デフォルトのWebブラウザが設定されていない場合、Webブラウ

ザを設定するためのウィンドウが表示されます。

• [エクスポート]をクリックすると、レポートをファイルとして保存します。ファイルの保存先と

形式は「ファイルの保存」ウィンドウ ([エクスポート]をクリックしたら表示される)で指定され

ます。


第章

4ポリシーマネージャサーバのメンテナンス

ここでは、ポリシーマネージャサーバのメンテナンスについて説明

します。

トピック :

• ポリシーマネージャのデータを

バックアップ/復元する

• バックアップを作成する

• バックアップを復元する

• 署名鍵をエクスポート/インポー

トする

• イメージファイルを使用したソ

フトウェアの複製

• データベースメンテナンスツー

ルを実行する

52 | ポリシーマネージャサーバのメンテナンス

4.1ポリシーマネージャのデータをバックアップ/復元する

サーバのデータを定期的にバックアップすることで、ポリシーマネージャサーバのメンテナンスを効

率的に行えます。

重要なデータを定期的にバックアップすることは大事なことです。ドメイン、ポリシーデータ、署名鍵

はH2データベースに保存されます。

ポリシーマネージャがサーバのデータを定期的にバックアップするように設定できます。バックアッ

プする数と時間を指定できます。バックアップするデータの数が増えると、古いバックアップデータの

順からデータが削除されます。

また、ポリシーマネージャサーバで使用中の署名鍵をネットワークにエクスポートして、必要に応じ

て後からインポートできるようにできます。

ポリシーマネージャコンソールのプリファレンス設定を保存する場合、ローカルインストールディレ

クトリにある lib\Administrator.propertiesファイルをバックアップします。

注: Administrator.propertiesは、ポリシーマネージャコンソールを最初に実行したときに作成され、ウィンドウサイズ、通信ディレクトリのパス、サーバの URLなど、セッションに

関連する情報を含んでいます。

4.2バックアップを作成する

ここでは、ポリシーデータとドメインの構造をバックアップする方法について説明します。

バックアップデータは<F-Secure installation folder>\Management Server 5\data\backupフォルダに保存されます。


2. [バックアップ]を選択します。

3. 自動バックアップのスケジュールを設定するには

a) [自動バックアップを有効にする]を選択します。

b) [日単位]または [週単位]のバックアップスケジュールを選択し、自動バックアップを行う曜日と

時間を選択します。

4. 保管するバックアップ数を選択します。

5. 今すぐにバックアップを行う場合、[今すぐバックアップ]をクリックします。


4.3バックアップを復元する

ポリシーマネージャのデータを紛失した場合、バックアップからデータを復元することができます。

ポリシーマネージャのデータを復元するには

1. ポリシーマネージャサーバを停止します。

2. 復元したいバックアップコンテンツを <F-Secure installation folder>\ManagementServer 5\data\backupフォルダから <F-Secure installation folder>\ManagementServer 5\data\h2dbフォルダにコピーします。

3. ポリシーマネージャサーバのサービスを再起動します。

4. ポリシーマネージャコンソールの管理セッションを再度開きます。


4.4署名鍵をエクスポート/インポートする

署名鍵を外部の場所にエクスポートしたり、インポートしたりすることができます。

署名鍵のエクスポートは、大規模な環境で複数のポリシーマネージャを導入している状況でネットワー

ク全体で同じ署名鍵を使用したい場合などで必要になるかもしれません。


2. [鍵]を選択します。

使用中の署名鍵を変更するには

a) [エクスポート]をクリックします。

b) 鍵をエクスポートする場所を指定して、[保存]をクリックします。

c) エクスポートする秘密鍵のパスワードを入力して、[OK]をクリックします。

署名鍵をインポートするには

a) [置換]をクリックします。

b) インポートする鍵を指定して、[OK]をクリックします。

c) インポートする署名鍵のパスワードを入力して、[OK]をクリックします。

署名鍵のエクスポート/インポートが完了したことを知らせるメッセージが表示されます。

3. [OK]をクリックして「サーバの構成」ウィンドウを閉じます。

4.5イメージファイルを使用したソフトウェアの複製

イメージファイルを利用して製品をインストールする場合、固有の IDがないことを確認する必要があ

ります。

ディスクのイメージファイルを使用してソフトウェアを複製する場合、アンチウイルスを含めることが

できます。その際、インストールしたすべての製品にポリシーマネージャで使用される固有の識別コー

ド (固有の ID)が割り当てられます。ディスクイメージソフトウェアを使用して新しいコンピュータを

インストールすると、複数のコンピュータが同じ IDを使用しようとする場合があります。このような

状況になると、ポリシーマネージャは正常に機能しなくなります。

次の方法で、ディスクイメージソフトウェアの使用時に、各コンピュータに専用の固有 IDを使用する

ようにできます。

1. イメージファイルに含むソフトウェアとシステムをインストールします (アンチウイルスを含む)。

2. ポリシーマネージャサーバを正しく使用するように.アンチウイルスを設定します。

注:ただし、ホストがポリシーマネージャコンソールに自動登録を依頼した場合、ポリシー

マネージャサーバにホストをインポートしないでください。インポートの対象は、イメージ

ファイルをインストールするホストに限定する必要があります。

3. コマンドプロンプトから fsmautil resetuidを実行します。

通常、このユーティリティは C:\Program Files\F-Secure\Commonディレクトリにあります(他言語のWindowsを使用している場合、またはデフォルト以外のインストールパスを指定した場

合、ディレクトリが異なる可能性があります)。

4. コンピュータをシャットダウンします。

注:コンピュータの再起動は行わないでください。

5. ディスクのイメージファイルを作成します。


ユーティリティプログラムがアンチウイルスの固有 IDをリセットします。イメージファイルがイン

ストールされた各マシンの再起動中に、新しい固有 IDが自動的に作成されます。これらのマシンは

ポリシーマネージャに自動登録依頼を送信し、依頼は正常に処理されます。

4.6データベースメンテナンスツールを実行する

ポリシーマネージャにはデータベースの完全性を検証するメンテナンスツールが含まれています。

注:メンテナンスツールを実行する前にポリシーマネージャが搭載されているマシンの空き容量

が十分であることを確認してください。必要な容量はデータベースのサイズによって異なります

がデータベースが使用している容量の2倍以上が目安です。

データベースのメンテナンスはポリシーマネージャのアップグレードまたは再インストールの際に自動

で開始し、データベースの構成が最新バージョンと互換性があることを確かにします。

メンテナンスツールはデータベースの完全性を検証した後にデータベースのバックアップを作成し、そ

の後にアップデートされたスキーマをデータベースのコンテンツに適用します。また、無効なデータを

消去し、データベースのサイズとパフォーマンスを最適化します。

データベースツールを手動で実行するには

1. ポリシーマネージャのサービスを停止します。

2. メンテナンスツールを開始します。

• Windowsの場合、<F-Secure installation folder>\Management Server5\bin\fspms-db-maintenance-tool.exeを実行します。メンテナンスツールが開くと、[メンテナンスを開始]をクリックします。

• Linuxの場合、/opt/f-secure/fspms/bin/fspms-db-maintenance-toolスクリプトを実行します。

メンテナンスの進捗と詳細が表示されます。

注:メンテナンスツールは、データベーススキーマがすでに最新の状態の場合にはメンテナ

ンス処理の一部を省略します。省略された場合でもメンテナンスは成功します。

3. Windowsの場合、メンテナンスの手順を実行した後に [閉じる]をクリックします。

4. ポリシーマネージャのサービスを再起動します。

メンテナンスが失敗した場合、データベースに変更は適用されず、ポリシーマネージャサーバは開始

しません。

4.6.1データベースメンテナンスのトラブルシューティング

ここでは、データベースメンテナンスツールの実行中に表示される警告とその解決策を説明します。

注:ここで表示される重大な問題と警告に加え、データベースのリビジョンが不明な場合には整

合性の検証は省略されます。省略されてもメンテナンス処理は停止されず、ツールが残りの手順

を実行します。

重大な問題

メンテナンス中、重大なエラーが発生した場合、残りのステップはスキップされ、変更は適用されませ

ん。加えてメンテナンスツールを閉じた場合、ポリシーマネジャーサーバは自動では起動しません。

これはデータベースのスキーマが更新されるのを防ぐことで、元のデータベースが悪影響を受けるのを

避けるためです。


メンテナンスツールがデータベースのバックアップを作成できない場合、たいていディ

スクの空き容量が少ないことが考えられます。もし本事象が発生した場合、以下を試行

してください。

バックアップ

1. セットアップを完了します。

2. ディスクの空き容量を増やします。

3. データベースツールを手動で実行します。

4. ポリシーマネージャのサービスを開始します。

本ステップが重大なエラーにより失敗するのは、マネジメントキーもしくはドメイン

ツリーテーブルが処理できない場合に限ります。後者の場合、本ツールはマネジメント

整合性の検証

キーをポリシーマネジャーサーバのデータフォルダパスの詳細はダイアログボックス

内に表示されますへ出力します。これにより、クライアントを再展開したり鍵交換ツー

ルを使用したりすることなしに、本キーのペアを新規のデータベースへとインポートで

きます。

重大なテーブルの整合性チェックが失敗した場合、前回のインストールがすでに壊れて

いた可能性が高いです。もし本事象が発生した場合、当社はユーザにまずデータベース

を削除し、ポリシーマネジャーサーバを起動し、救出された、または前回マネジメント

キーのペアを新規に作成されたデータベースへインポートすることを推奨します。もし

くはテクニカルサポートへと連絡いただき、データが救出可能かどうかを確認するた

め、データベースのバックアップのコピーを提供していただくことも可能です。

また、以前のバックアップにメンテナンスツールを実行することで問題を解決できる場

合もあります。


2. ポリシーマネージャサーバのサービスが停止していることを確認します。

3. 壊れたデータベースを上書きし、ポリシーマネジャーサーバのデータフォルダへ最

初のほうのバックアップをコピーします。

4. データベースメンテナンスツールを実行します。

A critical error during this step may be due to insufficient disk space. If this is the case, free up someadditional disk space and run themaintenance tool on the backup that it created during the upgrade.

データベース

スキーマの

本ステップの最中に重大なエラーが発生し、かつ前回のポリシーマネジャーのインス

トールが成功していた場合、以下にしたがって前バージョンへと差し戻すことが可能で

す。

アップグレー

ド


2. ポリシーマネージャをあんインストールします。

3. バックアップコピーから元のデータベースを復元する。

4. ポリシーマネージャの旧バージョンをインストールします。

また整合性検証ステップでの問題に示されているとおりに、前回のバックアップでメン

テナンスツールを実行することも可能です。

本ステップで重大なエラーが発生した場合、当社はユーザに壊れたデータベースを含む

サポートチケットを作成することを推奨しています。

警告

警告が表示されるというようなメンテナンス中の問題がある場合、プロセスは継続しますが警告アイコ

ンは本ステップで表示され、詳細は別のダイアログボックスで表示されます。

整合性の検証 • 重大でないデータが本ステップで失われた場合、警告が表示されます。


• これはディスクの空き容量が少ないことが考えられます。もしそれが原因の場

合、ディスクの空き容量を増やし、アップグレード中に作成されたバックアップ

でメンテナンスツールを実行してみてください。

• もし失われたデータが管理ホストたとえばステータス、アラートもしくはレポー

トデータが原因の場合、ユーザは何もする必要はなく、ある地点でデータの一部

は回復されます。

• 警告の詳細がユーザデータの消失を示唆している場合たとえばポリシー、ホスト

のインポートルールもしくはアクティブディレクトリのルール)、前回のバック

アップでメンテナンスツールを実行してみてください。もしこれで消失したデー

タが回復しない場合、管理者はポリシーマネジャーコンソールでデータを手動

で再入力する必要があります。

データベースス

キーマのアップ

グレード

• 本ステップで警告が表示されるような問題はとても少量です。

• 可能性のある原因のひとつにデータベースから安全なストレージへと SMTPサー

バ認証情報を移動させる時に発生する問題があげられます。

• データが消失した場合、セットアップ完了後、前回のバックアップでメンテナン

スツールを実行してみてください。もしこれで消失したデータが回復しない場

合、管理者はポリシーマネジャーコンソールでデータを手動で再入力する必要

があります。


第章

5Linuxでの使用

ポリシーマネージャはLinuxを搭載しているシステムにインストール

することもできます。

トピック :

• 概要ポリシーマネージャの Linux版は、同製品のWindows版とほぼ同じよ

うに動作しますが、Windows版の一部の機能は利用できません。ま

た、インストール方法が異なります。

• インストール

• Active Directoryを認証ために企

業の証明書をインポートする

• 自動保存されたバックアップを

復元する

• アンインストール

• FAQ

58 | Linuxでの使用

5.1概要

ここでは、本製品の Linux版に関する一般的な情報を紹介します。

Windows版との違い

ポリシーマネージャコンソールの Linux版では、次のサービス/機能を利用できません。

• リモートインストール機能

• Windowsインストールパッケージ (MSI)のエクスポート

• ネットワークにあるワークステーション/ホストの自動検出

対応ディストリビューション

ポリシーマネージャは、Debianパッケージ管理システム (DEB)および Redhatパッケージ管理システム

(RPM)に基づいたLinuxディストリビューションに対応しています。64ビットのディストリビューション

で利用できます。

パッケージシステム対応ディストリビューション

RPMRed Hat Enterprise Linux 5/6/7

RPMCentOS 6, 7

RPMSUSE Linux Enterprise Server 10/11

RPMSUSE Linux Enterprise Desktop 11

RPMopenSUSE 13.2

DEBDebian GNU Linux 7/8/9

DEBUbuntu 12.04/14.04/16.04

5.2インストール

ポリシーマネージャサーバとポリシーマネージャコンソールは、同じコンピュータにインストールす

るか、別々のコンピュータにインストールできます。

注:ポリシーマネージャのアップグレードとインストール方法については、リリースノーツを参

照してください。

インストールの参考

Red Hat/CentOS/Suseディストリビューションの場合

• ポリシーマネージャサーバは libstdc++ライブラリのは32ビットおよび64ビット版を両方必要と

します。ポリシーマネージャサーバをインストールする前にlibstdc++6パッケージがインストールされていることを確認してください。

Debian/Ubuntuディストリビューションの場合

• ポリシーマネージャサーバは、libstdc++ 互換ライブラリを必要とします。ポリシーマネージャサーバをインストールする前にlibstdc++5をインストールしてください。互換ライブラリをインストールせずにポリシーマネージャサーバのインストールを実行したことでエラーが発生した場

合、ライブラリをインストールし、apt-get install -fコマンドを使用してインストールを完了することができます。


• ポリシーマネージャサーバをインストールする前にlibstdc++ライブラリの32ビットおよび64ビッ

ト版を両方インストールしてください。32ビットライブラリを64ビットのプラットフォームにイン

ストールためにMultiarch機能 (https://wiki.debian.org/Multiarch/HOWTO)を使用してください。

5.2.1ポリシーマネージャサーバをインストールする

まず、F-Secureポリシーマネージャサーバをインストールします。

1. rootとしてログインします。

2. ターミナルを開きます。

3. 次のコマンドでインストールを実行します。

コマンドディストリビューション

dpkg -i fspms_<バージョン番号>.<ビルド番号>_amd64.deb

Ubuntu/Debianベース

rpm -i fspms-<バージョン番号>.<ビルド番号>-1.x86_64.rpm

RPMベース

4. 設定を行うために、/opt/f-secure/fspms/bin/fspms-configを実行します。

デフォルトの設定を選択する場合、Enterを押します (デフォルトの設定は角カッコ内で表示されま

す)。

5. 通常のユーザでログインし、次のコマンドを実行してコンポーネントのステータスを確認します。

• /etc/init.d/fspms status

ステータスはブラウザから次の URLにアクセスすることでも確認できます。

• http://localhost -ポリシーマネージャサーバのステータス

• http://localhost:8081 - Webレポートのステータス

設定スクリプトが終了したら、ポリシーマネージャサーバが起動します。また、コンピュータの起動

時に自動で開始するようにもなります。

5.2.2ポリシーマネージャコンソールをインストールする

次に、ポリシーマネージャコンソールをインストールする必要があります。


Ubuntuディストリビューションを使用している場合、/etc/sudoersに追加された通常のユーザでログインします。


3. 次のコマンドを実行してインストールを開始します。


dpkg -i fspmc_<バージョン番号>.<ビルド番号>_amd64.deb

Ubuntu/Debianベース

rpm -i fspmc-<バージョン番号>.<ビルド番号>-1.x86_64.rpm

RPMベース

ポリシーマネージャコンソールは /opt/f-secure/fspmc/にインストールされます。その際にfspmcというユーザグループが自動的に作成されます。

4. fspmcグループにユーザを追加します。

グループに追加されたユーザは、ポリシーマネージャコンソールを実行できるようになります。


https://wiki.debian.org/Multiarch/HOWTO

a) ユーザが所属しているグループを確認します。

groups <ユーザ ID>

たとえば、ユーザが Taroの場合、

groups Taro

b) このユーザを fspmcグループに追加します。

/usr/sbin/usermod -aG fspmc <user id>

5. [プログラム]メニューの [F-Secure]サブメニューから [ポリシーマネージャコンソール]を選択しま

す。

コマンドラインからsg fspmc -c /opt/f-secure/fspmc/fspmcを実行することでもポリシーマネージャコンソールを開始できます。

ポリシーマネージャコンソールをはじめて起動する際には、構成を完了するために必要な質問がいく

つか表示されます。質問はWindows版と同じです。

5.3 Active Directoryを認証ために企業の証明書をインポートする

Active Directoryのドメインコントローラ (DC)に対してデフォルトの LDAPS (セキュア LDAP)接続を使用す

るには、ポリシーマネージャサーバの Java runtimeトラストストアに企業の証明書をインポートして、

DCを認証する必要があります。

注:新しいバージョンのポリシーマネージャをインストールすると、証明書ファイルが上書きさ

れます。アップグレードするたびにここに記載されている手順を繰り返す必要があります。

証明書をインポートして適用するには

1. Active Directoryの証明書を取得します。

次のいずれかの方法を使用できます。

• Cドライブのルートに移動し、自動的に生成されたAD証明書ファイル (CRTの拡張子)を見つけま

す。

• certutil -ca.cert server.crtを実行します。CA証明書がserver.crtとして保存されます。

• Web上にある「LDAPS証明書をエクスポートする」に記載されている手順に従います。ただし、

手順10で秘密鍵をエクスポートしないでください。手順11で DER encoded binary (DERでエンコー

ドされたバイナリ) X.509 (.CER)をエクスポートファイルの形式として選択します。

2. 証明書ファイルをポリシーマネージャのホストにコピーします (例:

/home/user/Downloads/server.crt)。

3. 次のコマンドを実行して、ポリシーマネージャの JREディレクトリを開きます。

cd /opt/f-secure/fspms/jre/

4. Keytoolを実行して証明書を適用します:

./bin/keytool -importcert -keystore ./lib/security/cacerts-file/home/user/Downloads/server.crt

Keytoolは、パスワードの入力を求めるメッセージを表示します。デフォルトのキーストアパスワード (changeit)を使用します。

5. 証明書を信頼するかどうかの確認メッセージで [はい]を入力し、Enterを押します。


/etc/init.d/fspms restart


https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx

5.4自動保存されたバックアップを復元する

必要な場合、ポリシーマネージャのH2データベースのバックアップ (ドメインとポリシーデータを含

む)を復元することができます。

ポリシーマネージャがH2データベースの自動バックアップを定期的に行うように設定している場合、

バックアップされたファイルはvar/opt/f-secure/fspms/data/backupのフォルダに保存され、個別のバックアップファイルは日時で指名されます (<yyyy_mm_dd_nn_nn_nn>.backup.zip)。

バックアップデータを復元するには


# /etc/init.d/fspms stop

2. ポリシーマネージャの Javaプロセスが停止されていることを確認します。

# ps -efl | grep java

プロセスが実行している場合、完全に停止するまで待つか、または時間を置いてからプロセスを確

認します。

3. /var/opt/f-secure/fspms/data/h2dbにあるfspms.h2.dbファイルを ZIPバックアップから

のファイルで上書きします。


5.5アンインストール

ポリシーマネージャの Linux版をアンインストールするには、コンポーネントを決まった順序でアンイ

ンストールする必要があります。

次の3つのコンポーネントを順にアンインストールします。

1. ポリシーマネージャサーバ

2. ポリシーマネージャコンソール


Ubuntuディストリビューションを使用している場合、/etc/sudoersに追加された通常のユーザでログインします。


3. 次のコマンドを順に実行します。


Ubuntu/Debianベース 1. dpkg -r f-secure-policy-manager-server2. dpkg -r f-secure-policy-manager-console

RPMベース 1. rpm -e f-secure-policy-manager-server2. rpm -e f-secure-policy-manager-console

注:ポリシーマネージャが作成した再生不可能なデータ (ログファイル、MIBファイル、ドメ

インツリー、設定ファイルなど)が誤って削除されることを防ぐために、次のディレクトリ

はアンインストール中に削除されません。今後必要となる可能性があるキーは削除しないこ

とを推奨します。製品を完全にアンインストールするには、rootとしてログインし、次のコマンドを実行します。

rm -rf /var/opt/f-secure/fspms

rm -rf /var/opt/f-secure/fsaus

rm -rf /etc/opt/f-secure/fspms


rm -rf /etc/opt/f-secure/fsaus

rm -rf /opt/f-secure/fspmc

5.6 FAQ

ここでは、本製品の Linux版に関する FAQ (よくある質問)を紹介します。

AQ

全ファイルと該当するファイルパスは次のコマンドを実行することで

表示できます。

Linux版では、ログファイルと

設定ファイルはどこに保存さ

れていますか? • RPM-based distributions: rpm -ql f-secure-<component_name>.• Debian-baseddistributions:dpkg -L f-secure-<component_name>.

ログファイルの場所:

• ポリシーマネージャコンソール:/opt/f-secure/fspmc/lib/Administrator.error.log

• ポリシーマネージャサーバ: /var/opt/f-secure/fspms/logs.

設定ファイルの場所:

• ポリシーマネージャコンソール:/opt/f-secure/fspmc/lib/Administrator.properties.

• ポリシーマネージャサーバ:/etc/opt/f-secure/fspms/fspms.conf.

ポリシーマネージャの全ファイルは、FHS(FilesystemHierarchyStandard、

ファイルシステム階層標準)の仕様従っています。FHSの詳細について

は、http://www.pathname.com/fhs/をご覧ください。

ファイルの保存場所、フォル

ダの構成について教えてくだ

さい。

設定スクリプトが実行されていることを確認ください:/opt/f-secure/fspms/bin/fspms-config

ポリシーマネージャサーバを

起動することができません。

また、rootとしてログインして、netstat -lnptコマンドを実行することでポリシーマネージャサーバのポートの状態を確認できます。

ポリシーマネージャサーバ: /etc/init.d/fspms{start|stop|restart|status}

ポリシーマネージャのコン

ポーネントの開始、停止、再

開、ステータスの確認はどう

やって実行できますか?

HTTPプロキシ設定ファイルは、サーバのデータフォルダにあります

(/var/opt/f-secure/fspms/data/fspms.proxy.config)。どうすればHTTPプロキシを設

定できますか?

新しい設定を適用するには、ポリシーマネージャサーバを再起動する

必要があります。

ポートは設定スクリプトで指定されています:/opt/f-secure/fspms/bin/fspms-config

ポリシーマネージャサーバが

使用するデフォルトのポート

(80と8080)はどうすれば変更

できますか?


http://www.pathname.com/fhs/

AQ

Webレポートの使用ポートは、ポリシーマネージャサーバの設定スク

リプトで指定されています:/opt/f-secure/fspms/bin/fspms-config

Webレポートが使用するデ

フォルトのポート (8081)はど

うすれば変更できますか?

サーバはデフォルトで最新のF-Secureアップデートのメタデータを10分

ごとにリフレッシュします。更新メタデータをリフレッシュするため

F-Secureのパターンファイルの

更新が行われる日時を設定す

ることは可能ですか? のデフォルトの間隔を変更するには、次の Java引数をt追加します:

-DupdatePollingInterval=n (nは分で、1以上の整数を指定できま

す。)

ポリシーマネージャサーバ13.00は、以前のバージョンの自動更新エー

ジェントで使用されていた手動ポーリングに対応していません。ポリ

F-Secureのパターンファイルは

どうすれば手動で更新できま

すか? シーマネージャサーバを再起動して、ウイルス定義のチェックを強制

するか、前の質問の説明に従ってポーリング間隔をカスタマイズして

ください。

Policy Manager 13.00は、以前のバージョンの自動更新エージェントで使

用されているfsdbupdate.runをサポートしていません。ウイルス定最新のfsdbupdateパッケージからF-Secureのパターンファ

イルを手動で発行するには? 義を手動で更新するための方法は、次のバージョンのポリシーマネー

ジャで導入されます。

すべてのクライアントが新しいバージョンにアップグレードされると、

12.xへのアップデートのダウンロードが自動的に停止されます。ライセ

12.xのアップデートの一部また

はすべてのダウンロードを停

ンスのリストは、/opt/f-secure/fspms/config/channels.json構成ファイルで手動で変更できます。

止するにはどうすれば良いで

すか?

はい。fsdiagを使用して、システムと関連するパッケージの情報を収集できます。rootで次のコマンドを入力することで fsdiagを実行できま

す。

使用できる診断ツールはあり

ますか?

/opt/f-secure/fspms/bin/fsdiag

収集した情報は現在のディレクトリにある fsdiag.tar.gzに保存されます。このファイルは、F-Secureのカスタマーサポートを依頼すると

きに必要になります。

インストールパッケージを JARファイルにエクスポートして、

ilaunchr.exeツールとログインスクリプトなどを使用してソフトポリシーマネージャコンソー

ルからホストにソフトウェア

ウェアをホストにインストールできます。ソフトウェアのインストーをインストールするにはどう

すれば良いですか? ルは本書で説明されている通りに行ってください。ilaunchr.exeツールは/opt/f-secure/fspmc/binディレクトリにあります。

ポリシーマネージャを大規模

な環境で使用する場合の設定

について教えてください。

• ポリシーマネージャコンソールで Host polling interval (ホ

ストのポーリング間隔)の値を30~60分に増やします。

• ポリシーマネージャプロキシのインストールを使用して、ポリシー、

データベースの更新、ソフトウェアの更新、およびインストール


AQ

パッケージをクライアントに提供することによるポリシーマネー

ジャサーバの負荷を最小限に抑えます。


第章

6Webレポート

Webレポートは、ポリシーマネージャサーバに付属する視覚的なレ

ポートツールです。

トピック :

• レポートを生成/表示するWebレポートの視覚的レポートを通じて、ウイルスに対して保護さ

れていないコンピュータや被害を受けやすいコンピュータを識別で• Webレポートの管理

• Webレポートのエラーメッセー

ジとトラブルシューティングきます。Webレポートを使用すると、過去のデータに基づいたグラ

フ形式のレポートをすばやく作成したりすることもできます。また、

管理エージェントからポリシーマネージャサーバに送信されたクラ

イアントセキュリティの警告やステータス情報を利用して、カスタ

ムのレポートとクエリを作成することも可能です。作成したレポー

トはHTMまたは PDF形式でエクスポートできます。

Webレポート機能が生成するレポートを表示するには、コンピュー

タに InternetExplorer、Mozilla Firefoxなどのインターネットブラウザが

インストールされている必要があります。

66 | Webレポート

6.1レポートを生成/表示する

生成できるレポートのタイプには、現在のセキュリティ状況を示す棒グラフや円グラフ、トレンドレ

ポート、詳細なリストレポートなどがあります。

正確なレポートおよび使用できるレポートテンプレートを表示するには、Webレポートのユーザイン

ターフェースでいずれかのページを選択します (「ウイルス保護の概要」、「インターネット防御の概

要」、「警告」、「ソフトウェアアップデーター」、「インストールされているソフトウェア」、およ

び「ホストのプロパティ」)。

注:WebレポートはHTTPS接続を利用し、レポートのアクセスに認証を必要とします。ポリシー

マネージャコンソールのユーザ名とパスワードを指定することでWebレポートにアクセスでき

ます。

注:Macホストの統計情報で、ウイルス保護とインターネット防御の情報はレポートに含まれま

せん。

6.1.1レポートを生成する

Webレポートのユーザインターフェースから、トレンドデータに基づいてグラフィカルなレポートを

すばやく作成することができます。

Webレポートを生成するには

1. Webレポートのメインページを開きます。

2. ブラウザで、ポリシーマネージャサーバのアドレスまたは IPアドレスをWebレポートのポート (コ

ロンで区切って)と一緒に入力します。

たとえば、「fspms.example.com:8081」と入力します。

また、Webレポートをローカルからアクセスする場合、Webレポートを [スタート]メニューからに

アクセスすることもできます (スタート > F-Secureポリシーマネージャ >Webレポート)。

3. Webレポートのページが開くまで待ちます。

大規模な環境では、ページの表示に時間がかかる場合があります。

「Webレポート」ページが表示されると、選択されているカテゴリのデフォルトレポートが表示さ

れます。デフォルトでは、「ポリシードメイン」ツリーの [ルート]が選択されています。

4. 新規レポートを表示するには、対象となるドメイン、サブドメイン、またはホストをまず選択しま

す。

5. 次に、レポートのカテゴリ(「ウイルス保護の概要」、「インターネット防御の概要」、「警告」、

「インストールされているソフトウェア」、および「ホストのプロパティ」)とレポートのタイプを

選択します。

6. メインウィンドウの下部にレポートが表示されます。

6.1.2スケジュールレポート

定期レポートのメールを複数のユーザに配信できるようにWebレポートを設定できます。

レポートをメールで配信するにはメールサーバの詳細をポリシーマネージャコンソールに入力する必

要があります。次のように実行します。

1. ツール >サーバの構成の順に選択し、「Mail」タブをクリックします。

2. メールサーバのアドレスと認証情報を入力します。

3. レポートメールの送信者に表示されるアドレスを入力します。このアドレスは有効なメールアドレ

スである必要はありません。



スケジュールレポートを設定するには

1. Webレポートのメインページで [スケジュールレポート]を選択します。

2. ポリシードメインツールからレポートに使用するドメインを選択します。

注:個別のホストに対してレポートの配信は設定できません。ドメインを指定する必要があり

ます。すべてのドメインを対象とする場合、ルートドメインを指定してください。

3. [宛先のメールアドレス]フィールドでレポートの配信先となるメールアドレスを入力します。

複数のメールアドレスを指定する場合、セミコロン (;)で区切ります。

4. レポートを配信する頻度 (毎日、毎週、毎月)を選択します。

a) レポートを週ベースで配信する場合、対象となる曜日を選択します。

レポートを月ベースで配信する場合、月々のレポートが月の最初の日に自動で配信されます。

5. 配信するレポートを選択します。

指定した宛先に対象のレポートが設定に応じてHTML形式で送信されます。

レポートメールが正しく配信されたか確認する場合、[レポートを今すぐ送信]をクリックしてくださ

い。

6.1.3印刷用のレポートの作成

レポートを印刷に適した形式で表示できます。

印刷用のレポートを表示するには

1. ページの右上にある [印刷用]リンクをクリックします。

新しいウィンドウが開き、レポートが印刷に適した形式で表示されます。

2. ブラウザの印刷機能を使用して、レポートを印刷します。

ブラウザの [名前を付けて保存]または [ページに名前を付けて保存]オプションを使用して、レポートを

保存して後で表示したり、印刷したりすることも可能です。レポートを保存する場合、ページを完全に

(画像を含む)保存するようにしてください。

• Microsoft Internet Explorerを使用している場合、ファイル >名前を付けて保存メニューからを選択しま

す。表示される「Webページの保存」ウィンドウの [ファイルの種類]で [Webページ、完全]を選択

します。

• Mozillaを使用している場合、ファイル >ページに名前を付けて保存メニューのを選択します。

6.1.4レポートを自動的に生成する

ポリシーマネージャWebレポートはレポートを自動で生成し、固有のURLで表示することができます。

URLにはレポートの分類、レポートのタイプ、ポリシードメインが含まれるため、次回同じレポートを

生成する際には、これらの情報を新たに選択する必要はありません。

この機能では、次の2つの操作が可能です。

• 監視対象を含むレポートを生成し、そのレポートへのリンクをコンピュータ(デスクトップ、ブック

マーク、またはその他の場所)に追加します。このリンクを使用してWebレポートにアクセスする

と、レポートは更新され、最新のデータが表示されます。

• 生成したレポートを保存して、今後生成するレポートと比較することもできます。まず、印刷用ペー

ジを生成し、ブラウザでページ全体を保存します。こうすると、いつでも「古い」レポートを参照

できます。


6.2Webレポートの管理

ここでは、Webレポートの管理タスクについて説明します。

注:Webレポートはポリシーマネージャサーバのインストール中に有効および無効になります。

また、インストール中にアクセスがローカルマシンに制限されます。Webレポートはポリシー

マネージャサーバを再インストールすることで、またはレジストリを通じて有効または無効に

できます。

Webレポートの全データはポリシーマネージャサーバが使用しているH2データベースに保存されるた

め、H2データベースをバックアップするたびにWebレポートのデータもバックアップされます。

6.3Webレポートのエラーメッセージとトラブルシューティング

ここでは、WebレポートのエラーメッセージとWebレポートデータベースのトラブルシューティング

について説明します。

6.3.1エラーメッセージ

ここでは、Webレポートで発生するエラーメッセージについて説明します。

• ブラウザのエラーメッセージ:「<location>のアクセス中に接続が拒否されました」

ブラウザがポリシーマネージャサーバにアクセスできません。リンク先のマシンまたはポートが間

違っているか、ポリシーマネージャサーバがそのマシンにインストールされていないか、またはポ

リシーマネージャサーバが起動されていない可能性があります。それぞれを順に確認してくださ

い。ファイアウォールによって接続がブロックされている可能性もあります。

• エラーメッセージ:「Webレポートはデータベースとの接続を失いました。ポリシーマネージャサー

バを再起動する必要があります。」

Webレポートがデータベースにアクセスできない場合、ポリシーマネージャサーバのサービスを再

起動する必要があります。それでも解決されない場合、既存のデータベースを保持したままポリシー

マネージャサーバを再インストールできます。

6.3.2トラブルシューティング

Webレポートの動作に問題が発生した場合、次の方法で問題を解消できるかか試してください。

問題を確認するには

1. ページを再ロードします。

2. すべての処理が完全に起動していないことで問題が発生している場合、しばらく待ってからページ

を再ロードしてください。

また、不要な警告を削除することで起動時間を短縮できます。

3. Webレポートのサービスを再起動します。

4. ポリシーマネージャサーバを再起動します。

5. 自動登録したホストのインポート

6. 既存の設定を残したまま、ポリシーマネージャサーバを再インストールします。

7. 問題が解決されない場合、Webレポートのデータベースをリセットするか、バックアップコピーか

ら復元します。


6.3.3 Webレポートのポートを変更する

Webレポートのポートを変更したい場合、ポリシーマネージャのセットアップを再実行して、セット

アップウィザーでのWebレポートのポートを変更することを推奨します。

また、HKEY_LOCAL_MACHINE\SOFTWARE\Data Fellows\F-Secure\Management Server 5のレジストリキーを編集して、Webレポートのポートを変更することも可能です。


2. HKEY_LOCAL_MACHINE\SOFTWARE\Data Fellows\F-Secure\Management Server 5のレジストリキーを開きます。

64ビットのOSの場合、レジストリキーのパスはHKEY_LOCAL_MACHINE\Wow6432Node\SOFTWARE\Data Fellows\F-Secure\ManagementServer 5になります。

3. WRPortNumの値を新しいポート番号に変更します。

ポートを指定する際には、Decimalが Baseオプションとして選択されていることを確認してくださ

い。

4. ポリシーマネージャサーバを起動します。

ポートが競合していると、ポリシーマネージャサーバは起動することができません。その際にはロ

グファイルにエラーメッセージが出力されます。


第章

7ポリシーマネージャプロキシ

ここでは、管理対象ネットワークでポリシーマネージャプロキシの

インストールと使用方法について簡単に説明します。

トピック :

• 概要

7.1概要

ポリシーマネージャプロキシは、ネットワーク接続での負荷を大幅に減少させることによってクライ

アントセキュリティの分散インストールにおける帯域幅の問題を解決することができます。

ポリシーマネージャプロキシはマスターサーバから最も重いデータ通信をオフロードすることで高い

コストがかかる高レイテンシのデータ通信を最適します。たとえば、プロキシノードがマスターサー

バから必要なインストールパッケージを入手して、管理対象ホストが次にプロキシノードからパッケー

ジを入手することでマスターサーバが配信を処理する必要がなくなります。

ホストとプロキシ、およびプロキシとマスターサーバの間にはセキュアな接続が必要であるため、プロ

キシノードの証明書は事前に設定する必要があります。管理対象ホストはポリシーマネージャプロキ

シのテーブルを使用して設定されているプロキシノードに接続します。

注:インストールパッケージはプロキシモードを通じてホストにより配信されますが、ソフト

ウェアアップデーターのXMLデータベースはマスターポリシーマネージャサーバから常にダウ

ンロードされるため、プロキシモードは通り越されます。

プロキシマネージャプロキシは、リバースプロキシとして機能するように設定できます。逆対転送型

は、ウイルス定義やソフトウェアアップデートなど、ホストから要求されたデータが、インターネット

または構成されたアップストリームポリシーマネージャまたはその他のプロキシから直接取得される

か定義します。フォワードプロキシは、たとえば、本社や支社などのネットワーク間のトラフィックを

最小限に抑えるために使用されます。リバースプロキシは、たとえば、プロキシがインターネットに直

接接続していない環境、またはマスターサーバ (または他のフォワードプロキシ)の負荷を最小限に抑

える環境で使用されます。デフォルトでは、プロキシはフォワードモードでインストールされます。

7.1.1ポリシーマネージャプロキシはどのようなときに使えば良いですか?

ポリシーマネージャプロキシは管理対象ネットワークで厳密に使用する必要はありませんが、使用す

ることでメリットがあります。

ポリシーマネージャプロキシはリモートのネットワークや複雑で大規模なネットワークほど効果が出

ます。次の図は、ポリシーマネージャプロキシが効果的に使用されているネットワークを表していま

す。

72 | ポリシーマネージャプロキシ

ポリシーマネージャプロキシを使用するメリットは次のとおりです。

• 少ないネットワーク帯域幅の消費。物理的にポリシーマネージャプロキシから離れているワークス

テーションが複数ある場合、ポリシーマネージャサーバは有効です。

• マルウェア定義のアップデートを迅速に配信できます。低速の接続でポリシーマネージャサーバか

らワークステーションのグループを分離している場合に有効です。

• ポリシーマネージャサーバの負荷が軽減されます。大規模なネットワークでは、ポリシーマネー

ジャプロキシは管理対象ホストからの要求をほとんど処理できます。

上記のシナリオに加え、ポリシーマネージャをインターネット接続がないネットワーク環境で使用して

いる場合、ポリシーマネージャプロキシを使用してマルウェア定義ファイルのアップデートを行えま

す。

7.1.2ポリシーマネージャプロキシを設定する

次の方法でポリシーマネージャをWindowsまたは Linuxにインストールできます。

1. マスターポリシーマネージャから admin.pubを入手します。

• ブラウザを通じてマスターポリシーマネージャからダウンロードします (https://<policymanager server IP/host name>:<https port number>)。

• ポリシーマネージャコンソールからエクスポートします。

• または、ポリシーマネージャプロキシホストがサーバセキュリティあるいは Linuxセキュリティ

をすでに実行していて、マスターポリシーマネージャに接続している場合にはホストから入手

してください。

2. ポリシーマネージャプロキシのインストーラを実行します。

3. 確認メッセージが表示されたら、取得した admin.pubファイルのパスを入力します。

4. マスターポリシーマネージャサーバに管理者アカウントの認証情報を入力します。

これは、TLS証明書の登録を承認するために必要です。


5. インストールウィザードを進めます。

注:デフォルトでは、プロキシはフォワードプロキシモードでインストールされます。リバー

スモードに切り替えるには

• Windowsの場合,レジストリを開き、HKLM\SOFTWARE\Wow6432Node\DataFellows\F-Secure\Management Server 5\additional_java_argsで次のパラメータを指定します: -DreverseProxy=true

• Linuxの場合、fspms.conf設定ファイルで次の Java引数をadditional_java_argsパラメータ

の後に追加します: -DreverseProxy=true.

ブラウザのプロキシ開始ページ (https://proxy_name:<HTTPS_port> (<HTTPS_port>はインストール時に入力したHTTPSポート))でインストールの完了ステータスを確認できます。

ポリシーマネージャプロキシのテーブルでプロキシノードの優先度を指定することでエンドポイント

がプロキシを使用するように設定できます。

7.1.3ポリシーマネージャプロキシの集中管理

ポリシーマネージャプロキシのインスタンスは、ポリシーマネージャのドメインツリーに通常のホス

トとして表示され、他のホストと区別するために専用のアイコンが表示されます。

インストールされているプロキシは、ポリシーマネージャのタブとレポートに他の製品に含まれます。

インストールされているプロキシは、そのステータスをサーバに報告し、基本的なホストプロパティに

加え、以下の情報が提供されます。

• 接続されたホストに配信されるマルウェアとソフトウェアアップデーターの定義ファイル

• 空き容量

• データタイプ別の使用ディスク容量

• プロキシトラフィックの統計情報

ポリシーマネージャプロキシは、ポリシーマネージャサーバから次のポリシー設定を受け取ります。

• 通信のポーリング間隔

• ソフトウェアアップデーターのアップデートに使用するキャッシュに割り当てられる最大ディスク

容量

インストールされているプロキシは、マルウェアまたはソフトウェアアップデーターの定義ファイルが

古い場合、ホストにアラートを生成します。

注: Server Securityがプロキシマネージャプロキシと同じマシンにインストールされている場合、

2つの製品はドメインツリーに別々のホストとして表示され、個別に構成することができます。

74 | ポリシーマネージャプロキシ

第章

8ウイルスとスパイウェア防御

クライアントセキュリティの「ウイルスとスパイウェア防御」機能

は、自動更新、マニュアルスキャン、スケジュールスキャン、リア

トピック :

• 自動更新ルタイムスキャン、スパイウェアスキャン、ディープガード、メー

ルスキャン、ブラウザ保護で構成されています。• リアルタイムスキャン

• ディープガードウイルスとスパイウェア防御は、ウイルス、スパイウェア、リスク

ウェア、ルートキット、メールおよびWebの脅威からコンピュータ

を保護します。

• Webスキャン

• スパイウェアスキャン

• 隔離保存されたオブジェクトを

管理する「自動更新」機能は、ウイルスとスパイウェア防御を常に最新の状

態にします。セキュリティポリシーを配布し、ウイルスとスパイウェ• エンドユーザによる設定の変更

をブロックするア防御と自動更新の設定を適用すると、ネットワークが保護された

状態になります。また、ホストがポリシーマネージャコンソールに

送るスキャンの結果と他の情報を監視できるようにもなります。• 警告の転送

• ネットワーク上のウイルスを監

視するコンピュータでウイルスが検出されると、次のいずれかの処理が実

行されます。• アンチウイルス保護を検証する • 感染したファイルの駆除

• 感染したファイルの名前の変更

• 感染しているファイルの削除

• 感染したファイルの隔離保存

• 感染しているファイルに行う処理をユーザに決定させる

• 感染しているファイルに関するレポートの送信

• 感染している添付ファイルの駆除、削除、またはブロック

8.1自動更新

ここでは、ポリシーマネージャの自動更新に関する設定について説明します。

ここで記されている手順を行うと、ホスト上のウイルスとスパイウェア保護が常に最新の状態に保た

れ、ユーザの必要に応じて最良の更新ソースを選択できるようになります。

8.1.1ポリシーマネージャサーバからの自動更新を設定する

集中管理を使用すると、すべてのホストがポリシーマネージャサーバから更新ファイル (ウイルスパ

ターンファイルとスパイウェア定義ファイル)を取得できるようになります。

スタンダードビューでは次のように設定されます

1. 「ポリシードメイン」タブで [ルート]を選択します。

2. 「設定」タブに移動して、「自動更新」ページを開きます。

3. [自動更新を有効にする]が選択されていることを確認します。

4. [F-Secureポリシーマネージャへの更新ポーリング間隔]で設定したポーリング間隔がネットワークに

適合していることを確認します。

5. それぞれの設定の横にある鍵形のアイコンをクリックすると、エンドユーザが設定を変更できない

ように設定できます。


8.1.2ポリシーマネージャプロキシを設定する

ネットワークに独自のポリシーマネージャプロキシが複数ある場合、サブドメインやグループから別

のサブドメイン/グループへと移動する特徴のあるノートコンピュータなどに対して、ポリシーマネー

ジャプロキシを更新ソースとして設定することを推奨します。

この例では、ノートコンピュータが「ポリシードメイン」タブのサブドメインにインポートされ、ネッ

トワークの様々なグループに独自のポリシーマネージャプロキシがあり、そのすべてにポリシーマネー

ジャプロキシのリストが含まれているものと仮定します。

スタンダードビュー:

1. 「ポリシードメイン」タブで、ポリシーマネージャプロキシを使用するサブドメインを選択しま

す。


3. [自動更新を有効にする]が選択されていることを確認します。

4. [追加]をクリックして、リストに新しいサーバを追加します。

「F-Secureポリシーマネージャプロキシサーバプロパティ」ウィンドウが開きます。

5. ポリシーマネージャプロキシの [優先度]テキストボックスに優先番号を入力します。

優先番号は、ホストがポリシーマネージャプロキシへの接続を試行する順番を定義します。例え

ば、普段ホストがあるネットワークのポリシーマネージャプロキシに対しては10を使用し、その他のプロキシには20、30などを使用します。

6. [アドレス]テキストボックスでポリシーマネージャプロキシの URLを入力して、[OK]をクリックし

ます。

7. 他のサーバを追加するために、必要に応じて上記の手順を繰り返します。

76 | ウイルスとスパイウェア防御

8. リストにプロキシをすべて追加したら、それらが正しい順番になっていることを確認します。

必要な場合、優先番号を変更して順番を変更します。



10.ポリシーを配信するために次のアイコンをクリックします:

注:エンドユーザはローカルのユーザインターフェースのリストにポリシーマネージャプロキ

シを追加することもできます。ホストはパターンファイルとスパイウェアの定義ファイルの更

新をダウンロードする時に2つのリストを組み合わせて使用します。エンドユーザが追加したポ

リシーマネージャプロキシは、管理者が追加したプロキシより優先され、先に試行されます。

8.1.3ネイバーキャスト

サーバとプロキシに加え、他のホストやクライアントからも更新をダウンロードできるように自動更新

エージェントを設定できます。

この機能は「ネイバーキャスト」といいます。更新は次のソースからダウンロードすることが可能で

す。

• ポリシーマネージャサーバ

• ポリシーマネージャプロキシ

• HTTPプロキシ

• F-Secureの更新サーバ

• ネイバーキャストを有効にしている他の自動更新エージェント(たとえばクライアントセキュリティ)

スタンダードビューでネイバーキャストを有効にするには


2. 「設定」タブから「自動更新」を選択します。

a) [ネイバーキャストクライアントを有効にする]を選択すると、他のクライアントから更新をダウ

ンロードできるホストを指定します。

b) [ネイバーキャストサーバを有効にする]を有効すると、更新を提供できるクライアントを指定し

ます。

3. [ネイバーキャストポート]を選択すると、ネイバーキャストが使用するポートを変更できます。

8.2リアルタイムスキャン

リアルタイムスキャンは、ファイルを開いたり、閉じたりする際にスキャンを行うため、コンピュータ

を常に保護します。

スキャンはバックグラウンドで実行されます。つまり、スキャン中にユーザの画面には何も表示されま

せん。

8.2.1ドメイン全体にリアルタイムスキャンを有効にする

この例では、リアルタイムスキャンをドメイン全体に有効にします。




2. 「設定」タブに移動して、「リアルタイムスキャン」ページを開きます。

3. [リアルタイムスキャンを有効にする]チェックボックスをオンにします。

4. [スキャン対象ファイル]ドロップダウンリストから、[次の拡張子のファイル]を選択します。

5. [マルウェア検出に対する処理]の設定から感染ファイルを処理する方法を選択します。

設定は2つのグループに分かれ、ワークステーションとサーバに対してさまざまな設定を選択できま

す。

6. ページの他の設定がシステムに対して適切かどうかを確認し、必要に応じて設定を変更します。

7. [ユーザによる変更を禁止する]をクリックすると、エンドユーザがリアルタイムスキャンを無効に

できないように設定できます。

ロックされた鍵のアイコンがページ内の全設定の横に表示されます。


8.2.2リアルタイムスキャンからMicrosoft Outlookの .pstファイルを除外する

Microsoft Outlookの PSTファイルは一般的にファイルサイズが大きいため、スキャンに時間がかかり、システムのパフォーマンスを低下する可能性があります。スキャンする必要がない場合、PSTファイル

をリアルタイムスキャンの対象から除外することを推奨します。

PSTファイルをドメイン全体のスキャンから除外するには




3. [対象外の拡張子を有効にする]チェックボックスをオンにします。

4. [対象外の拡張子]テキストボックスに、拡張子「PST」を追加します。

拡張子の前にはドット「.」を付けないでください。




8.3ディープガード

ディープガードはファイルとプログラムの動作を分析するホスト型侵入防止システムです。

ディープガードは、ブラウザで表示される未承諾広告のポップアップをブロックしたり、システムの重

大な設定や Internet Explorerの設定を無断な変更から保護したりすることができます。

アプリケーションが危険性のある処理を試行した場合、処理の安全性が確認されます。安全なアプリ

ケーションの処理は許可され、危険なアプリケーションの処理はブロックされます。

ディープガードを有効にするには


2. [DeepGuardを有効にしました]を選択します。



8.3.1データガード

データガードは、信頼できないアプリケーションが管理対象ホスト上のファイルを変更しないように、

特定のフォルダを監視することによりディープガードを強化する機能です。

データガードは、他のセキュリティレイヤーを越えることができる未知のランサムウェアを阻止するこ

とに対して特に便利です。

ドキュメント、音楽、画像などのユーザコンテンツが保存されている既定のフォルダには、プリセット

のオプションを設定できます。また、保護されたフォルダに対してアクセス許可およびフォルダ内の

ファイル変更の許可を信頼できるアプリケーションに設定できます。信頼されていないアプリケーショ

ンは、保護されたファイルを変更しよう際に動作がブロックされます。

データガードを設定する

管理対象コンピュータ上でデータガードが保護するフォルダを定義し、データガードでブロックしたく

ない信頼性の高いアプリケーションを追加することができます

データガードを有効にすると、信頼されていないアプリケーションやマルウェア (ランサムウェアを含

む)は保護されているフォルダ内のファイルを変更することはできません。

注:データガードが保護するフォルダとおよび信頼できるアプリケーションを選択するときには

注意してください。広範囲のデータ (多数のフォルダまたは C:\など)を追加すると、不要な中

断が多く発生する可能性があります。また、信頼できるアプリケーションリストに非常に広い

範囲を追加することで、マルウェアが保護されたファイルを変更する可能性があります。

信頼済みのアプリケーションに使用する [Windowsシステムアプリケーション]オプションは、次のア

プリケーションを許可しています。

• explorer.exe• RuntimeBroker.exe• notepad.exe• write.exe• mspaint.exe• mstsc.exe• SearchProtocolHost.exe

データガードを使用するには

1. 「設定」タブに移動して、「データガード」ページを開きます。

2. [データガード保護を有効にする]を選択します。

3. 「保護されたデータフォルダ」テーブルで、保護するフォルダを選択します。

注:プリセットのフォルダは、管理対象ホスト上のすべてのWindowsユーザアカウントの対応

するフォルダに適用されます。

保護するフォルダを追加するには

a) [フォルダ]フィールドにフォルダパスを入力します。

パスに環境変数を使用できます。ユーザ環境変数は、コンピュータ上の各Windowsユーザアカウ

ントの該当パスに適用されます。サポートされている変数は次のとおりです:

%UserProfile%、%HomeDrive%、%HomePath%、%ProgramData%、%WinDir%、%SystemRoot%、%SystemDrive%、%ProgramFiles%、%ProgramFiles(x86)%


b) [コメント]フィールドに新しいフォルダの説明を追加します。

4. 保護されているフォルダにあるファイルを変更できるアプリケーションを選択します。

5. 必要に応じて、テーブルの [データの変更を許可する信頼済みのアプリケーション]に信頼できるア

プリケーション追加します。

• 単一のアプリケーションを追加するには、ファイル名と拡張子を含む実行可能ファイルの完全パ

スを入力します。

• 複数のアプリケーションを含むフォルダを追加するには、フォルダへのパスを入力します。

注:一部のアプリケーションとWindowsの標準機能は信頼済みのアプリケーションリストにア

プリケーションファイルを追加することを必要とします。たとえば、WindowsのPDF印刷機能

は次の実行可能ファイルを使用します:<Windows フォルダ>\System32\spoolsv.exeお

よび <Windows フォルダ>\System32\printfilterpipelinesvc.exe


データガードが保護するフォルダおよび信頼できるアプリケーションを検討する際には

対象のセキュリティプラクティスとツールを適用することを推奨します。可能であれ

ば、個別のポリシードメインに固有のルールを適用することも推奨します。たとえば、

ドメインツリーがチームまたは部門に従って構成されている場合、開発者と営業担当

者に別々のルールを適用できます。

8.4Webスキャン

Webスキャンは、HTTPトラフィック/データ通じて (Webページなどから)送られてくるウイルスからコ

ンピュータを保護します。

Webスキャンを有効にすると、HTMLファイル、画像ファイル、およびWebからダウンロードするアプ

リケーションや実行可能ファイルなどがスキャンされるようになります。ダウンロードされたファイル

からウイルスが検出された場合、ウイルスが自動的に削除されます。Webスキャンは、ウイルスをブ

ロックした際にエンドユーザに通知を送る機能も備えています。

Webスキャンは次の条件を使用してWebサイトを評価します。

不明/未評価 • 分析されていない URL

• 検証時にアクセスできない URL

安全 • 安全と分析された URL

• ユーザがスパイウェア、リスクウェア、アドウェアを故意にダウンロードできるURL

不審 • スパム/迷惑メールと関連がある URL

• 詐欺行為と関連がある URL

悪質 • 悪質なファイルのダウンロードまたはインストールを行うスクリプトコードを含

む URL

• 自動ダウンロードを行うサイトの URL

• ブラウザまたはシステムの脆弱性のエクスプロイトを行うコンテンツを含む URL

• XSSまたは SQLインジェクションを含む URL

• 悪質な iframeを含む URL


• フィッシングサイトの URL

• ハッキングおよび他の悪質な行為と関連がある URL

• 悪質な行為によりサイトが閉鎖された URL

ここでは、Webスキャンの設定について説明します。

8.4.1ドメイン全体にWebスキャンを有効にする

この例では、Web (HTTP)スキャンをドメイン全体に有効にします。



2. 「設定」タブに移動して、「Webスキャン」ページを開きます。

3. [HTTPスキャンを有効にしました]を [全コンテンツタイプ]に設定します。

4. [感染時のアクション]が [ブロック]に設定されていることを確認します。

5. [スキャン失敗時の処理]が [ブロック]に設定されていることを確認します。

6. ページの他の設定がシステムに対して適切かどうかを確認し、必要に応じて設定を変更します。


8.4.2WebサイトをWebスキャンから除外する

特定のWebサイト/ページを「信頼済みのサイト」テーブルに指定すると、Webスキャンはそのサイト/

ページをスキャンしないようになります。

Webサイトに認識できないストリームコンテンツなどがあって、スキャンに時間がかかる場合や動作が

著しく遅くなる場合、WebサイトをWebスキャンから除外すると効率的です。

次の例では、1つのドメイン (www.example.com)、そして別のドメインのサブディレクトリ

(www.example2.com/news)をWebスキャンから除外します。



2. 「設定」タブに移動して、「Webスキャン」ページを開きます。

3. ドメインをWebスキャンの対象外にする

ドメイン全体をWebスキャンから除外するには、ドメインの URLを「信頼済みのサイト」テーブル

に追加します。

a) 「信頼済みのサイト」テーブルの下にある [追加]ボタンをクリックします。

テーブルに新しい行が作成されます。

b) 新しく作成された行をクリックして、「http://*.example.com/*」を入力します。アドレスにワイルドカード「*」を入れていることで、「example.com」のすべてのサブドメイン

とページが信頼済みのサイトとして登録されます。

c) 「信頼済みのサイト」テーブルの下にある [追加]ボタンをクリックします。

テーブルに新しい行がもう1つ作成されます。

d) 新しく作成した行をクリックして、「http://example.com/*」を入力します。この URL定義によって、「example.com」の第2レベルドメインがすべて信頼済みのサイトとして

登録されます。

4. サブディレクトリをWebスキャンの対象外にする


サブディレクトリをHTTPスキャンから除外するには、ディレクトリのパスを含めたドメインの URL

を「信頼済みのサイト」テーブルに追加します。

a) 「信頼済みのサイト」テーブルの下にある [追加]ボタンをクリックします。

テーブルに新しい行が作成されます。

b) 新しく作成した行をクリックして、「http://www.example2.com/news/*」を入力します。


8.4.3特定のコンテンツタイプをブロックする

Webスキャンの [高度な保護]設定から特定のコンテンツ (Adobe FlashやMicrosoft Silverlightなど)に対する

アクセスをブロックして、脆弱性やコンテンツを利用した悪質な行為を防ぐことができます。

デフォルトでは [高度な保護]の設定は無効です。

Webスキャンは安全性が不明なWebサイトに対して次のコンテンツタイプをブロックできます。

• JAR

• 実行可能ファイル

• Adobe Flash

• Adobe Acrobat

• Microsoft Silverlight

• Microsoft Officeファイル


1. 設定 >Webスキャンページから [高度な保護]を選択します。

• [対象のコンテンツタイプ]を選択すると対象リストに含まれているファイルタイプのみブロック

されます。

• [対象外のコンテンツタイプ以外]を選択すると除外リストに含まれているファイルタイプのみブ

ロックされます。

2. 対象リストにブロックするファイルタイプを追加します。

注:Webスキャンは安全性評価が不明なWebサイトに対してのみ指定したコンテンツをブロッ

クします。

3. 除外リストに許可するファイルタイプを追加します (安全性が不明なWebサイトにたいしても許可

されます)。

8.4.4ボットネットの通信をブロックする

ボットネットブロッカーはボットネットエージェントがコマンドとコントロールサーバと通信するこ

とを阻止するセキュリティ機能です。

この機能はDNSのリクエストを IPアドレスに変換する際にDNS評価データを使用してクエリのセキュリ

ティを検証します、

ボットネットブロッカーをスタンダードビューで設定するには

1. 設定 >Webスキャンページから [ボットネットブロッカー]を選択します。

2. DNSクエリに使用するフィルタを設定します。

デフォルトでは [危険なクエリをブロック]が設定されています。


3. 警告レベルをブロックした DNSクエリの通知を使用するように設定します。


8.5スパイウェアスキャン

スパイウェアスキャンは、ホストを Data Miner、監視ツール、ダイヤラなどのスパイウェアから保護し

ます。

集中管理モードでスパイウェアスキャンを使用している場合、ホストでスパイウェアが検出された際に

管理者にレポートを通知する機能やスパイウェアを自動で隔離保存するように設定できます。また、特

定のスパイウェアアプリケーションの実行を許可することもできます。

スパイウェアとリスクウェアの駆除について

スパイウェアは、合法かつ正当なアプリケーションとウイルスやトロイの木馬などの悪質なプログラム

の間に属する、「グレイゾーン」にあるソフトウェアです。スパイウェアの中には、別のアプリケー

ションを実行するために必要なものから、単体で動作し、一度も実行してはいけないマルウェアに部類

するものがあります。デフォルトでは、スパイウェアスキャンはすべてのスパイウェアの実行を許可し

ます。セキュリティの強化でスパイウェアの実行をすべて拒否する前に、ネットワークでいくつかのス

パイウェアを許可する必要があるか確認することを推奨します。

スパイウェアスキャンは、リスクウェアを検出および通知する機能も備えています。リスクウェアは直

接被害を与えないが、設定によって危険性のあるプログラムです。代表的なリスクウェアで、IRCなど

のチャットアプリケーションやファイル転送ソフトウェアがあります。

8.5.1ドメイン全体にスパイウェア制御を設定する

ホストをスパイウェアと追跡 Cookieから保護する設定について説明します。

スパイウェア制御をネットワークに導入する前にホストをいくつか用意して、スパイウェア制御の機能

を試験的に検証することを推奨します。特定のスパイウェアを許可/拒否してシステム全体に影響があ

るかどうかなどを確認できます。検証後、ドメイン全体にポリシーを配布すると効率的です。

スパイウェア制御はリスクウェアも検出します。リスクウェアは直接被害を与えないが、設定によって

危険性のあるプログラムです。代表的なリスクウェアに、IRCなどのチャットアプリケーションやファ

イル転送ソフトウェアがあります。これらのプログラムをドメインで使用したい場合、スパイウェア

と同じようにテスト環境でまず動作を検証することを推奨します。検証後、「ホストから報告されてい

るスパイウェアとリスクウェア」テーブルでルールを確認および設定して、リスクウェアの使用を許可

します。


1. 検証用のドメインを作成して、スパイウェアスキャンを有効にする

a) 通常使用するプログラムをインストールした複数のコンピュータを用意して、テスト環境を作り

ます。

b) これらのコンピュータをホストとして管理ドメインにインポートします。

c) 「設定」タブに移動して、「リアルタイムスキャン」ページを開きます。

d) [リアルタイムスキャンを有効にする]が有効になっていることを確認します。

また、ホストに対してスパイウェアのマニュアルスキャンを実行することもできます。

e) ポリシーを配信するために次のアイコンをクリックします:


2. スパイウェアとリスクウェアを確認する

「ホストから報告されているスパイウェアとリスクウェア」テーブルでは、スキャン中に検出した

スパイウェアとリスクウェアが表示されます。このテーブルは「スパイウェア制御」ページで表示

されます。

a) 報告されているスパイウェアとリスクウェアを確認します。

b) ネットワークで使用する必要があるスパイウェアまたはリスクウェアがある場合、それらを選択

して、[アプリケーションを除外]をクリックします。

確認のダイアログが表示されます。

c) 問題がない場合、[OK]をクリックして、スパイウェア/リスクウェアを許可します。

指定のスパイウェア/リスクウェアが「スパイウェアスキャンで対象外のアプリケーション」テー

ブルに表示されるようになります。

3. エンドユーザがスパイウェア/リスクウェアをホストで実行できないようにするには、[ユーザにスパ

イウェアの使用を許可する]のオプションを [許可しない]に設定します。

4. マニュアルスキャンの設定がドメインで有効かどうかを確認します。


8.5.2スパイウェアスキャンをドメイン全体に実行する

この例では、スパイウェアのマニュアルスキャンをドメイン全体に実行します。

この操作によって、「ホストから報告されているスパイウェアとリスクウェア」テーブルの項目が一部

消去されます。



2. ウイルスのマニュアルスキャンの設定を「ウイルスのマニュアルスキャン」ページで確認して、必

要に応じて設定を変更してください。

3. 「操作」タブに移動して、[ウイルスとスパイウェアスキャン]ボタンをクリックします。

注:操作を開始するには、ポリシーを配布する必要があります。


8.5.3スパイウェア/リスクウェアのコンポーネントを許可する

この例では、スパイウェアスキャンで検出されたスパイウェアまたはリスクウェアのコンポーネントを

1つのホストに許可します。


1. 「ポリシードメイン」タブで、スパイウェア/リスクウェアの使用を許可するホストを選択します。


2. 「設定」タブに移動して、「スパイウェア制御」ページを開きます。

3. 「ホストから報告されているスパイウェアとリスクウェア」テーブルから許可するスパイウェアの

コンポーネントを選択し、[アプリケーションを除外]をクリックします。

確認のダイアログが表示されます。

4. ダイアログの内容に問題がない場合、[OK]をクリックして、スパイウェア/リスクウェアを許可しま

す。

選択したスパイウェア/リスクウェアが「スパイウェアスキャンで対象外のアプリケーション」テー

ブルに移動されます。


8.6隔離保存されたオブジェクトを管理する

ホストで隔離保存されたオブジェクトを一元的に管理することができます。

ホストで隔離保存されたオブジェクト (感染したファイル、スパイウェアやリスクウェア)は設定 >隔離

保存ファイルの管理ページで表示されます。ここで、オブジェクトを隔離保存フォルダから解除した

り、削除することができます。

注:隔離保存フォルダに関するオプションは、主にトラブルシューティングに使用することを推

奨します。たとえば、業務などで重要なアプリケーションがリスクウェアとして判別された場

合、そのアプリケーションを隔離保存フォルダから解除することで使用できるように設定できま

す。

8.6.1隔離保存されたオブジェクトを削除する

ホストで隔離保存されたオブジェクト (感染したファイル、スパイウェアやリスクウェア)は隔離保存

フォルダから削除することができます。



2. 「設定」タブを開いて、「集中管理」ページを選択します。

3. 「隔離保存されたオブジェクト」テーブルから削除するオブジェクトを選択して、[削除]をクリッ

クします。

オブジェクトが「隔離保存されたオブジェクトに実行する処理」テーブルに移動され、[処理]に [削

除]が指定されます。


8.6.2隔離保存されたオブジェクトを解除する

ホストで隔離保存されたオブジェクト (感染したファイル、スパイウェアやリスクウェア)は隔離保存

フォルダから解除することができます。解除したオブジェクトはホスト上で実行できるようになりま

す。




2. オブジェクトに対する除外ルールを作成する

除外ルールは、同じオブジェクトが再び隔離保存されないようにするために必要です。オブジェク

トが感染していると表示される場合、次の手順を実行してください。

a) 設定 >隔離保存の管理ページに移動して、対象となるオブジェクトのパスをコピーします。

b) 設定 >リアルタイムスキャンページを開きます。

c) [対象外のオブジェクトを有効にする]を右クリックして、[詳細モードで表示]を選択します。

詳細ビューに切り替わります。

d) 「ポリシー」タブで [オブジェクトを除外]を選択します。

e) [追加]をクリックして、隔離保存されたオブジェクトのパスを入力します。

f) [スタンダードビュー]をクリックし、設定 >リアルタイムスキャンページで [対象外のオブジェ

クトを有効にする]が選択されていることを確認します。

オブジェクトがスパイウェアまたはリスクウェアの場合

a) 設定 >スパイウェア制御ページに移動します。

b) 「ホストから報告されているスパイウェアとリスクウェア」テーブルで除外するオブジェクトを

選択して、[アプリケーションを除外]をクリックします。

処理を確認するダイアログが表示し、指定のアプリケーションが「スパイウェアスキャンで対象

外のアプリケーション」テーブルに移動されます。

3. 「設定」タブを開いて、「隔離保存ファイルの管理」ページを選択します。

4. 「隔離されたオブジェクト」テーブルから許可するオブジェクトを選択して、[解除]をクリックし

ます。

オブジェクトが「隔離保存されたオブジェクトに実行する処理」テーブルに移動され、「処理」に

「解除」が指定されます。


8.7エンドユーザによる設定の変更をブロックする

セキュリティのため、エンドユーザがウイルス保護の設定を変更できないように指定できます。

エンドユーザによる設定の変更をブロックするには

• 特定の設定の横にある鍵型のアイコンをクリックすると、エンドユーザがその設定を変更できない

ようになります。

• スタンダードビューの「設定」タブが表示されている時に [ユーザによる変更を禁止する]をクリッ

クすると、ページ内で鍵型のアイコンが付いている設定がすべて「確定」された状態になり、エン

ドユーザは設定を変更できないようになります。

• スタンダードビューで、「設定」タブ->「一元集中管理」ウィンドウの順に移動して、[設定の変更

をユーザに許可しない]をクリックすると、ウイルス保護およびインターネット防御の全設定をエン

ドユーザからロックできます。

8.7.1ウイルス保護の設定を確定 (ロック)する

この例では、ウイルス保護に関する設定をすべて「確定」します。エンドユーザは確定された設定を変

更することはできません。





3. ページの設定に問題がないことを確認します。

4. [ユーザ変更を禁止]をクリックします。

ページの設定がすべて確定されます。

5. 「リアルタイムスキャン」を選択します。



8. 「マニュアルスキャン」を選択します。



11. 「メールスキャン」ページを選択します。




8.8警告の転送

ここでは、クライアントセキュリティのウイルス警告のポップアップを無効して、警告をメールで送る

方法について説明します。

セキュリティの対策として、ウイルスの警告を管理者にメールで通知するように設定すると便利です。

8.8.1クライアントセキュリティのウイルス警告を特定のメールアドレスに送

信する

この例では、クライアントセキュリティのホストが生成したセキュリティ警告を指定のメールアドレ

スに転送するように設定します。



2. 「設定」タブに移動して、「警告の送信」ページを開きます。

3. 警告のメール送信を設定する

警告のメール送信を事前に設定していない場合、次の方法で設定できます。

a) [メールサーバアドレス (SMTP)]フィールドに SMTPサーバのアドレスを入力します。

以下の形式を使用してください。

<host>[:<port>] -「host」はSMTPサーバのDNS名または IPアドレス、「port」はSMTPサー

バのポート番号です。

b) [送信者のメールアドレス(From)]フィールドに警告の転送先となる送信者のアドレスを入力しま

す。

c) [メールの件名]フィールドにメールの件名を入力します。

メッセージの件名で使用できるパラメータについては、MIBのヘルプを参照してください。

4. 警告の転送を設定する

「警告転送」テーブルを使用して、警告のタイプ別に異なる転送先を設定できます。


a) [セキュリティ警告]行の [メール]チェックボックスをオンにします。

[メールの受信者のアドレス (宛先)]ダイアログボックスが開きます。

b) [すべての製品で同じアドレスを使用する]チェックボックスをオンにして、有効なフィールドに

メールアドレスを入力します。

複数のメールアドレスに警告を送信する場合、アドレスをカンマ区切りで入力します。

c) 入力が完了したら、[OK]をクリックします。


8.8.2クライアントセキュリティの警告ポップアップを無効にする

この例では、エンドユーザに対して警告ポップアップを表示しないようにクライアントセキュリティを

設定します。



2. 「設定」タブに移動して、「警告の送信」ページを開きます。

3. [ローカルユーザインターフェース]列ですべての製品のチェックボックスをオフにします。


8.9ネットワーク上のウイルスを監視する

ポリシーマネージャを使用して、ネットワーク上のウイルスや感染を監視することができます。

ネットワークでウイルスの存在を監視する最良の方法は、「概要」タブの「ウイルス保護」ウィンドウ

を確認することです。新しい感染が表示される場合、[ホストの感染状況を表示]をクリックしてくださ

い。「ステータス」タブの「ウイルス保護」ページが表示され、各ホストの感染状況の詳細を確認でき

ます。

また、「警告」タブと「スキャンレポート」タブで、ホストからのスキャンレポートを確認すること

もできます。

8.10アンチウイルス保護を検証する

クライアントセキュリティが正常に機能しているか確認するために専用の検証ファイルを使用できま

す。このファイルは実際のウイルスではないもの、クライアントセキュリティはウイルスが存在してい

るかのように検出します。

このファイルは EICAR Standard Anti-Virus Testファイルと称され、他のアンチウイルスプログラムでも検

出されます。EICAR検証ファイルを使用して、メールスキャンの動作を確認することもできます。EICAR

とは、European Institute of Computer Anti-virus Researchの略です。EICARの情報ページは次の URLでご覧に

なれます。http://www.f-secure.com/v-descs/eicar.shtml

アンチウイルス保護の動作を確認するには


http://www.f-secure.com/v-descs/eicar.shtml

1. 必要な場合、EICAR検証ファイルをhttp://www.f-secure.com/v-descs/eicar.shtmlからダウンロードでき

ます。

また、テキストエディタを使用して、以下の1行を持つファイルを作成することで検証ファイルを用

意できます。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

2. ファイルに適当な名前を .comの拡張子とともに付けて保存します (たとえば EICAR.COM)。

ファイルは標準のMS-DOS ASCII形式で保存してください。また、拡張子の3番目の文字は数字の "0"

ではなく、アルファベットの大文字の "O"であることに注意してください。

3. クライアントセキュリティが正常に動作している場合、ファイルがウイルスとして検出されるはず

です。

当然のことですが、このファイルは本当のウイルスではありません。ウイルス保護が動作していな

い状態でファイルを実行すると、EICAR.COMは「EICAR-STANDARD-ANTIVIRUS-TEST-FILE!」というメッセージを表示して終了します。


http://www.f-secure.com/v-descs/eicar.shtml

第章

9インターネット防御

ここでは、インターネット防御の機能と設定について説明します。トピック :

インターネット防御は、インターネットからの不正なアクセスを防

ぐだけでなく、LAN内から発信される攻撃からもコンピュータを保護

します。

• セキュリティレベルとルール

• ネットワークの隔離保存

• インターネット防御の警告不正なアクセスを禁止し検出することにより、コンピュータに保存

されている重要なデータや個人情報の盗用を防ぐことができます。• アプリケーション通信制御

• 警告を使用してインターネット

防御の動作を確認するまた、有害なアプリケーションからユーザを保護し、ネットワーク

の使用を制御したり、大量の帯域幅を使用するアプリケーションを

禁止したりすることもできます。• 侵入防止

インターネット防御に含まれている「ファイアウォール」は、トラ

フィック (データの転送)をプロトコルに基づいて制限することがで

きます。「アプリケーション通信制御」は、有害なプログラムがコ

ンピュータに関する情報を送信することを防ぎます。また、アプリ

ケーションの IPアドレスやポートに基づいてトラフィックをさらに

制限することもできます。「侵入防止」機能は、ホストの空きポー

トを標的とした有害なパケットを止めることができます。

インターネット防御には7つのセキュリティレベルがあらかじめ用意

されており、各レベルにはプリセットのファイアウォールルールが

関連付けられています。セキュリティレベルは、セキュリティポリ

シーやエンドユーザの特徴、ネットワークの場所、ユーザの経験な

どに基づいて、エンドユーザ/ホスト別に割り当てることができま

す。

90 | インターネット防御

9.1セキュリティレベルとルール

ここでは、ユーザのニーズに基づいたセキュリティレベルの設定について説明します。

この例では、ホストがドメイン構造にインポートされていると仮定しています (ノートコンピュータや

デスクトップがそれぞれのサブドメインに存在している)。

特定のセキュリティレベルをドメインに適用する前に、セキュリティレベルがドメインに対して適切

であるか確認する必要があります。ドメイン別に異なるセキュリティレベルを適用することも可能で

す。

重要:特定のホストのセキュリティレベルを変更した場合、新しいセキュリティレベルが間違い

なく適用されるように、設定の横にある鍵型のアイコンをクリックしてください。

9.1.1セキュリティレベルを選択する

この例では、「Desktops/Eng」サブドメインのホストに対して「オフィス」セキュリティレベルを有効にします。


1. 「ポリシードメイン」タブで「Desktops/Eng」サブドメインを選択します。

2. 「設定」タブに移動して、「ファイアウォールのセキュリティレベル」ページを選択します。

ポリシーに含まれているデフォルトのセキュリティレベルが、ドロップダウンリストの [ホストで

のインターネット防御セキュリティレベル]に表示されます。

3. [ホストでのインターネット防御セキュリティレベル]ドロップダウンリストから [オフィス]セキュ

リティレベルを選択します。

4. 設定の横にある鍵形のアイコンをクリックすると、エンドユーザが設定を変更できないように設定

できます。


「ステータス」タブに移動し「全体の保護」ウィンドウで変更したセキュリティレベルが有効になって

いることを確認します。

注:何らかの理由で指定のセキュリティレベルを使用できない場合、デフォルトのセキュリティ

レベルが代わりに使用されます。デフォルトのセキュリティレベルは、「ファイアウォールの

セキュリティレベル」ウィンドウの「グローバルセキュリティレベル」テーブルで確認できま

す。

9.1.2ホストのデフォルトセキュリティレベルを設定する

デフォルトのセキュリティレベルはドメイン全体に対する設定で、指定のセキュリティレベルが無効の

場合にのみ使用されます。

この例では、ドメインの全ホストに対して「オフィス」のセキュリティレベルがデフォルトとして設定

されます。


1. 「ポリシードメイン」タブで「Laptops/Eng」ドメインを選択します。



3. 「ファイアウォールのセキュリティレベル」テーブルで、[オフィス]列の [デフォルト]ラジオボタ

ンをクリックします。

ポリシーマネージャがセキュリティレベルの変更を確認するメッセージを表示します。



9.1.3特定のドメインにセキュリティレベルを追加する

この例では、関連するルールを2つ持つ新しいセキュリティレベルが作成されます。

新しいセキュリティレベルがつのサブドメインに追加され、各ホストは新しいセキュリティレベルを

使用することが強制されます。サブドメインにはインターネットの閲覧のみに使用されるコンピュータ

があって、それらのコンピュータは会社の LANには接続されていません。

特定のドメインに新しいセキュリティレベルを追加するには、まずルートレベルのセキュリティレベ

ルを無効にする必要があります。その後、セキュリティレベルを適切なドメインレベルで有効にしま

す。

セキュリティレベルを作成する

セキュリティレベルを追加します。




3. [追加]をクリックします。

セキュリティレベルの名前と説明を入力するウィンドウが開きます。

4. 新しいセキュリティレベルの名前を指定します (たとえば、「ブラウザセキュリティ」など)。

[説明]フィールドにセキュリティレベルに関する説明を入力します。

5. [完了]をクリックします。


セキュリティレベルに使用するルールを作成する

セキュリティレベルに使用するルールを作成します。

新しいセキュリティレベルで使用するルールを作成するには

1. 「ファイアウォールルール」ページに移動します。

2. 作成した [ブラウザセキュリティ]セキュリティレベルを選択します。

セキュリティレベルに関連するルールが存在していないので、「ファイアウォールルールテーブ

ル」は空です。

3. [前に追加]をクリックして、発信HTTPトラフィックを許可するルールをリスト上の最初のルールと

して追加します。

「ファイアウォールルール」ウィザードが開きます。


4. 「ファイアウォールルール」ウィザードで設定を行います。

a) 「ルールのタイプ」ウィンドウでルールのタイプに [許可]を選択します。

b) 「リモートホスト」ウィンドウで[任意のリモートホスト]を選択して、すべてのインターネット

接続にルールを適用します。

c) 「サービス」ウィンドウにある [サービス]列で [HTTP]を選択して、ルールをHTTPトラフィック

に適用します。

d) 「サービス」ウィンドウにある [方向]列で [=>]を選択して、ルールを発信接続に適用します。

e) 「詳細設定」ウィンドウでデフォルトの設定を使用します。

f) 「概要」ウィンドウで新しいルールを確認します。

ルールに関するコメントを追加します (たとえば「Web から発信する HTTP トラフィックを許

可するルール」など)。

g) [完了]をクリックします。

5. [後に追加]をクリックして、他のトラフィック (発着信の両方)を拒否するルールをリストの最後の

ルールとして追加します。

6. 「ファイアウォールルール」ウィザードで設定を行います。

a) 「ルールのタイプ」ウィンドウでルールのタイプに [拒否]を選択します。

b) 「リモートホスト」ウィンドウで[任意のリモートホスト]を選択して、すべてのインターネット

接続にルールを適用します。

c) 「サービス」ウィンドウにある [サービス]列で [すべてのトラフィック]を選択して、ルールをす

べてのトラフィックに適用します。

d) 「サービス」ウィンドウにある [方向]列で [<=>]を選択して、ルールを発着信接続に適用します。

e) 「詳細設定」ウィンドウでデフォルトの設定を使用します。

f) 「概要」ウィンドウで新しいルールを確認します。

ルールに関するコメントを追加します(たとえば、「他のトラフィックを拒否するルール」など)。

g) [完了]をクリックします。

新しいセキュリティレベルを適用する

新しいセキュリティレベルを適用します。

新しいセキュリティレベルを指定のサブドメインにのみ適用するには、ルートレベルでセキュリティ

レベルを無効にし、ポリシードメイン階層の低レベルでセキュリティレベルを有効にする必要があり

ます。


2. 「ファイアウォールサービス」ページに移動します。

3. 「ファイアウォールのセキュリティレベル」テーブルの [有効]チェックボックスをオフにして [ブラ

ウザセキュリティ]セキュリティレベルを無効にします。

4. 「ポリシードメイン」タブでセキュリティレベルを使用するサブドメインを選択します。

5. 「ファイアウォールのセキュリティレベル」テーブルの [有効]チェックボックスをオンにして [ブラ

ウザセキュリティ]セキュリティレベルを有効にします。

6. [ホストでのインターネット防御セキュリティレベル]ドロップダウンリストから新しいセキュリティ

レベルを選択します。



9.2ネットワークの隔離保存

「ネットワークの隔離保存」は、ホストのパターンファイルが古くなっている、および/またはリアル

タイムスキャンが無効になっている場合、ホストのネットワークアクセスを制限する機能です。

ネットワークの隔離保存が行われているホストは、パターンファイルが更新されたとき、および/また

はリアルタイムスキャンが有効にされたときに、ネットワークのアクセスが復元されます。

ここでは、ネットワークの隔離保存の機能と設定について説明します。

9.2.1ドメイン全体にネットワークの隔離保存を有効にする

ドメイン全体にネットワーク隔離を有効にするには




3. [ネットワーク隔離を有効にする]を選択します。

4. [ネットワーク隔離を有効にするために必要なパターンファイルの経過日数]を指定します。

5. [リアルタイムスキャンが無効な場合、ホスト上でネットワーク隔離を有効にする]を選択すると、

リアルタイムスキャンが無効にされた際にネットワークの隔離保存が有効になります。


9.2.2ネットワークの隔離保存を調整する

ネットワークの隔離保存は、ホストのセキュリティレベルを[ネットワークの隔離保存]に強制変更する

ことによって有効にできます。[ネットワークの隔離保存]のセキュリティレベルには制限されている

ファイアウォールルールが含まれています。

[ネットワークの隔離保存]のセキュリティレベルにファイアウォールの許可ルールを追加して、ネット

ワークのアクセスを必要に応じて許可することが可能です。

9.3インターネット防御の警告

インターネット防御は、特定のマルウェアがコンピュータにアクセスしようとした際に警告を表示する

ことができます。

特定のファイアウォールルールが適用される際に、または不正なデータグラムが受信される際など、特

定の動作が行われるときに警告を発生することが可能です。警告を活用することで、システムで転送さ

れているデータの監視が容易になります。

警告の設定を行う際には、セキュリティレベルが適切に設定されていることが必要です。一般的には、

1つの警告に対して1つのルールを設けると効率的です。複数のルールを対象とした警告を設定すること

も可能ですが、その場合には大量の警告が生成される可能性が高くなります。警告の数が多くなると、

管理と運用の負担もその分増えます。


9.3.1警告ルールを追加する

この例では、警告を発する [拒否]ルールが特定のサブドメインの着信 ICMPトラフィックに対して作成

されます。対象のコンピュータに pingを実行すると警告が表示するようになります。

ルールは、サブドメインにあるコンピュータにpingを行うことで検証します。また、ファイアウォール

のルールウィザードでルールを作成する際に選択できるオプションについても説明します。

ルールのタイプと拒否するサービスを選択する

ルールのタイプを選択して、拒否するサービスを定義します。


1. 「ポリシードメイン」タブでルールの対象となるサブドメインを選択します。

2. 「設定」タブに移動して、「ファイアウォールルール」ページを開きます。

3. [編集するインターネット防御セキュリティレベル]ドロップダウンメニューから、ルールの対象と

なるセキュリティレベルを選択します。

選択したセキュリティレベルに関連しているルールがテーブルに表示されます。

4. [前に追加]をクリックして、新しいルールをリストの最初のルールに指定します。

「ファイアウォールのルール」ウィザードが開きます。

5. [拒否]を選択して着信 ICMP接続を拒否します。

6. 対象のホストを指定する

ルールをすべての接続に適用するか、特定の接続に適用するか選択します。

• [任意のリモートホスト]オプションをオンにして、ルールをすべてのインターネット接続に適用

します。

• [ローカル接続しているネットワーク上のすべてのホスト]をオンにすると、ローカルネットワー

クからの全接続に対してルールが適用されます。

• [指定したリモートホスト]オプションをオンにして、IPアドレス、IPアドレスの範囲、またはDNS

アドレスにルールを適用します。このオプションを選択すると、テキストフィールドにアドレス

を指定することができます。複数のアドレスまたはアドレス範囲をフィールドに入力する場合、

スペースで区切ります。

ここでは、[任意のリモートホスト]を選択します。

7. 拒否するサービスと方向を選択する

ルールの対象となるサービスをリストから選択します。複数のサービスを選択することが可能です。

すべてのサービスにルールを適用する場合、リストの最上部にある [すべて]を選択します。

選択したサービスの [方向]列の矢印をクリックしてルールを適用する方向を選択します。クリック

を繰り返すと、方向が変わります。次の表を参照してください。

説明方向

サービスを着信/発信の両方向で許可/拒否しま

す。

<=>

サービスが定義されたリモートホストやネット

ワークからコンピュータに着信する場合に、サー

ビスを許可/拒否します。

<=

サービスが定義されたリモートホストやネット

ワークからコンピュータに発信する場合に、サー

ビスを許可/拒否します。

=>

ここでは次をように選択します。


• [サービス]ドロップダウンリストから [ICMP]を選びます。

• [方向]列から「<=」を選択します。

詳細オプションを指定する

ルールの詳細オプションを指定します。

次のように実行します。

1. チェックボックスのオン/オフを選択して、ダイヤルアップリンクが開かれているときだけルールを

適用するかどうか定義します。

a) チェックボックスのオン/オフを選択して、ダイヤルアップリンクが開かれているときだけルー

ルを適用するかどうか定義します。

b) [警告を送信]ドロップダウンリストから警告のタイプを選択します。

ここでは [セキュリティ警告]を選択します。

c) [警告トラップ]ドロップダウンリストから発信する警告トラップを選択します。

d) [警告コメント]に警告に関するコメントを入力します。

e) 他の設定はデフォルトのままにします。

2. [警告を送信]ドロップダウンリストから警告のタイプを選択します。

3. [警告トラップ]ドロップダウンリストから発信する警告トラップを選択します。

ここでは [ネットワークイベント:着信サービスが拒否されました。]を選択します。

4. [警告コメント]に警告に関するコメントを入力します。

このコメントはクライアントセキュリティのローカルユーザインターフェースに表示されます。

5. 他の設定はデフォルトのままにします。

6. ルールを確認および適用する

作成したルールを確認します。ルールにコメントを追加すると、「ファイアウォールルール」テー

ブルにコメントがルールと一緒に表示されるようになります。ルールを変更する必要があれば、[戻

る]をクリックして作成画面に戻れます。

7. ルールの内容に問題がない場合、[完了]をクリックします。

新しいルールが「ファイアウォールルール」ページにあるルールリストの一番上に表示されます。

警告の転送を設定する

ルールに警告の転送を設定します。


1. 「設定」タブに移動して、「警告を送信」ウィンドウを開きます。

2. 「警告転送」ウィンドウでセキュリティ警告がポリシーマネージャコンソールに送信されることを

確認します。

3. 必要の場合、[ポリシーマネージャコンソール]列の [セキュリティ警告]チェックボックスをオンに

します。

ルールの適用と検証

ルールを適用および検証します。


1. 「ポリシードメイン」タブでサブドメインが正しく選択されていることを確認します。

2. 「設定」タブで「ファイアウォールのセキュリティレベル」ページを開きます。


3. ルールの対象となるセキュリティレベルを [ホストでのインターネット防御セキュリティレベル]ド

ロップダウンリストから選択し、有効なセキュリティレベルとして設定します。


5. ルールの動作を確認する

サブドメインに管理されているホストをドメイン外部のコンピュータから pingすることによって、

作成したルールの動作を検証することができます。これを行った後、次のようにルールを確認しま

す。

a) 「ポリシードメイン」タブで作成したルールのサブドメインを選択します。

b) 「概要」タブに進み、新しいセキュリティ警告がドメインに対して表示されているか確認しま

す。

c) [重大度別に警告を表示]をクリックすると、警告の詳細を表示できます。

「警告」タブが開き、セキュリティ警告の詳細リストが表示されます。

9.4アプリケーション通信制御

アプリケーション通信制御は、Webページのアクセスや有害なプログラムに対する保護を提供します。

トロイの木馬などのマルウェアがネットワークに接続することを拒否できるため、有効なツールであり

ます。

アプリケーション通信制御は、ファイアウォールルールで定義された制限に加え、さらに具体的な制限

をネットワークトラフィックに対して行うことができます。固定ファイアウォールルールにより拒否

されているトラフィックを許可することはできませんが、許可しているネットワークトラフィックに対

しては、アプリケーション通信制御の設定を適用できます。つまり、トラフィックを許可するファイア

ウォールルールを作成し、アプリケーション通信制御でそのルールをさらに制限することが可能です。

集中管理の環境では、アプリケーション通信制御を利用して、ホストが使用できるプログラムを指定で

きます。これにより、ネットワークのセキュリティポリシーに反するプログラムが使用されることを阻

止でき、エンドユーザがどのプログラムを実際に使用しているかを監視することも可能になります。

アプリケーション通信制御を使用する場合、必要なアプリケーション、および安全と断定できるアプリ

ケーションのみを許可してください。

アプリケーション通信制御とディープガード

アプリケーションの発信接続を検出したときにユーザに確認のメッセージを表示するように設定されて

いる場合、アプリケーション通信制御はディープガードと通信して、接続の許可/拒否を自動的に確認

することができます。この機能を使用することで、ユーザに表示されるポップアップの数を減らすこと

ができます。

例:

1. 「既知のアプリケーションのルール」テーブルで、発信接続を試行しているアプリケーションに対

するルールがある場合、アプリケーション通信制御はルールに従ってアプリケーションの接続を許

可または拒否します。

2. 「既知のアプリケーションのルール」テーブルで、試行しているアプリケーションに適用できるルー

ルがない場合、アプリケーション通信制御は[クライアントアプリケーションに対するデフォルト処

理]で設定されている処理を基にアプリケーションの接続を許可または拒否します。

3. 選択されている処理が [ユーザに確認する]で、[システム制御が許可しているアプリケーションには

プロンプトを表示しない]がオンになっている場合、アプリケーション通信制御はディープガードと

通信し、接続を許可または拒否するかを確認します。ディープガードがアプリケーションを安全と


判断できる場合、エンドユーザに確認メッセージは表示せず、アプリケーションの接続が許可され

ます。

4. ディープガードがアプリケーションを認識できない場合、確認メッセージが表示され、ユーザが接

続の許可または拒否を選ぶことになります。

9.4.1アプリケーション通信制御をはじめて設定する

アプリケーション通信制御をはじめて設定する際には、検証用にいくつかのアプリケーションを許可す

ると効率的です。

許可するアプリケーションをポリシーに含み、ポリシーをドメイン全体に配布します。

1. 既知のアプリケーションのリストを作成する

a) 許可するプログラムをインストールした2台のコンピュータを用意します。

b) コンピュータをドメインにインポートし、管理対象のホストにします。

c) [新しいアプリケーションの通知を送信]ドロップダウンリストから [レポート]を選択します。新

しいアプリケーションが「ホストによってレポートされる不明なアプリケーション」リストに表

示されるようになります。

d) アプリケーションに対して許可ルールを定義します。

e) 必要なアプリケーションに対して既存のルールがある場合、ルールをドメイン全体のポリシーと

して配布することができます。

2. アプリケーション通信制御の基本的な設定を指定します。

a) 不明なアプリケーションが発信接続を試行した場合のデフォルト処理を[クライアントアプリケー

ションに対するデフォルトの処理]ドロップダウンリストから選択します。

b) 不明なアプリケーションが着信接続を試行した場合のデフォルト処理を [サーバアプリケーショ

ンに対するデフォルトの処理]ドロップダウンリストから選択します。

c) [新しい不明なアプリケーションをレポート]チェックボックスをオンにして、新しいアプリケー

ションを管理者にレポートするようにします。

この設定により、エンドユーザがどのアプリケーションを起動しようとしているのかを知ること

ができ、必要に応じてアプリケーションに新しいルールを定義できるようになります。

d) [不明なアプリケーションにはデフォルトメッセージを表示する]チェックボックスをオンにする

と、不明なアプリケーションが着発信の接続を試行した際にデフォルトのメッセージをユーザに

表示するようになります。

3. 設定の確認と適用

次の方法で、アプリケーション通信制御をドメイン全体で有効にできます。

a) 「ポリシードメイン」タブで [ルート]を選択します。

b) 「設定」タブで「ファイアウォールのセキュリティレベル」を選択し、[アプリケーション通信

制御を有効にする]チェックボックスが選択されていることを確認します。

c) ポリシーを配信するために次のアイコンをクリックします:

9.4.2ルートレベルで不明なアプリケーションに対するルール

この例では Internet Explorer 4の使用を拒否するルールを作成します。

[ホストによってレポートされる不明なアプリケーション]リストに Internet Explorer 4が含まれているこ

とが仮定されます。



1. ルールの対象となるアプリケーションを選択する

a) 「設定」タブに移動して、「アプリケーション通信制御」ページを開きます。

b) 「ホストによってレポートされる不明なアプリケーション」テーブルから「InternetExplorer4.01」

を選択します。

c) [ルールの作成]をクリックして、アプリケーション通信制御のルールウィザードを開始させま

す。

2. アプリケーションのルールタイプを選択する

a) アプリケーションがクライアントとして機能し、発信接続を試行した場合の処理に [拒否]を選択

します。

b) アプリケーションがサーバとして機能し、着信接続を試行した場合の処理に [拒否]を選択しま

す。

3. ユーザに表示するメッセージを選択する

a) 接続の試行が行われたときユーザにメッセージを表示するか選択します。

[メッセージなし]、[デフォルトのメッセージ]、または[カスタマイズされたメッセージ]のいずれ

かを選択します。

[デフォルトのメッセージ]を選択した場合、[デフォルトのメッセージを定義]をクリックして定

義されているデフォルトのメッセージを確認できます。

b) [カスタマイズされたメッセージ]を選択した場合、カスタムのメッセージをテキストボックスに

入力することができます。

例:「Internet Explorer 4 を使用することは会社のセキュリティポリシーによって禁止さ

れています。他のブラウザを代わりに使用してください。」

4. ルールのタイプを選択する

a) ルールの対象となるドメインとホストを選択します。

アプリケーションに対するルールが選択したホストやドメインにすでにある場合、既存のルール

を上書きするか確認されます。

この例では、[ルート]を選択します。

b) ルールを設定したら、[完了]をクリックします。

新しいルールが「既知のアプリケーションのアプリケーションルール」テーブルに表示されま

す。「ホストによってレポートされる不明なアプリケーション」テーブルが更新されます。


9.4.3アプリケーション通信制御のルールを変更する

この例では、上記で作成したルールを変更し、「Engineering/Testing」というサブドメインでInternet Explorer 4の使用を検証用に一時的に許可します。


1. 変更するルールを選択する

a) 「設定」タブに移動して、「アプリケーション通信制御」ページを開きます。

b) 「既知のアプリケーションのルール」で編集するルールを選択します。

c) [編集]をクリックしてアプリケーション通信制御のルールウィザードを開始させます。

2. アプリケーションルールのタイプを変更する


a) クライアントとして機能しているアプリケーションが発信接続を試行した場合の処理を選択しま

す。

ここでは、「クライアントとして機能 (発信)」で [許可]を選択します。

b) サーバとして機能しているアプリケーションが着信接続を試行した場合の処理を選択します。

3. ユーザに表示するメッセージを選択します。

接続の試行が行われたときユーザにメッセージを表示するかどうかを選択します。

4. 新しいルールの対象を選択する

a) ルールの対象となるドメインまたはホストを選択します。

ここでは、[Engineering/Testing]を選択します。

アプリケーションに対するルールが選択したホストやドメインにすでにある場合、既存のルール

を上書きするか確認されます。

b) ルールを設定したら、[完了]をクリックします。

変更されたルールは「既知のアプリケーションのアプリケーションルール」テーブルに表示され

ます。


9.4.4アプリケーション通信制御のポップアップを有効/無効にする

アプリケーション通信制御のポップアップを有効/無効にするには



2. 「設定」タブに移動して、「アプリケーション通信制御」ページを開きます。

次の設定を行います。

• [サーバアプリケーションに対するデフォルト処理]ドロップダウンリストから [許可]を選びま

す。

• [クライアントアプリケーションに対するデフォルト処理]ドロップダウンリストから [許可]を選

びます。

3. 「アプリケーション通信制御のルール」ウィザードを使用して、アプリケーション通信制御のルー

ルを作成する場合

• 「アプリケーションルールタイプ」ウィンドウで、着発信接続が試行された場合の処理に[許可]

または [拒否]を指定します。

• 「ユーザに表示するメッセージ」ウィンドウの [メッセージなし]を指定します。



9.5警告を使用してインターネット防御の動作を確認する

通常の使用では、インターネット防御から警告が発生することはありません。警告が多く発生する場

合、設定に問題があるかもしれません。

原則として、各警告にルールをつ設定すると効率的です。複数のルールを対象とする警告を設計する

と、無用の警告が大量に発生される可能性があるため、重要な情報を見落としてしまう可能性もありま

す。

インターネット防御の動作を検証するために特定のルールを作成できます。この例では、pingの使用を

許可するルールを作成します。ルールに警告のオプションを含むことで、警告の動作を検証することも

可能です。


1. 「設定」タブに移動して、「ファイアウォールルール」ページを選択します。

2. 検証用に使用するセキュリティレベルを選択します。

3. [前に追加]をクリックします。

「ファイアウォールのルールウィザード」が開始します。

4. 「ルールのタイプ」ウィンドウで [許可]を選択します。

5. 「リモートホスト」ウィンドウで [任意のリモートホスト]を選択します。

6. 「サービス」ウィンドウで、 [サービス]ドロップダウンリストから [Ping]を選択し、[方向]ドロッ

プダウンリストから [両方]を選択します。

7. 「詳細オプション」ウィンドウから、次のオプションを選択します。

• [警告を送信]ドロップダウンリストから [セキュリティ警告]を選択します。

• [警告トラップ]ドロップダウンリストから [ネットワークイベント:危険性があるサービスが許可

されました]を選択します。

• [警告コメント]フィールドに警告に関するコメントを入力します。

8. 「概要」ウィンドウでルールを確認して、ルールに関するコメントを入力します。


10.ルールを検証します。管理ホストに pingコマンドを送信し、「警告」タブに警告が表示されるか確

認します。

9.6侵入防止

侵入防止機能は、着信トラフィックを監視することでシステムに対する不審な侵入や処理を検出しま

す。

また、LANやコンピュータを攻撃するウイルスを監視するためにも使用できます。侵入防止は、ペイ

ロード (転送されてデータの内容)と IPパケットのヘッダ情報を分析し、情報を既知の攻撃パターンと比

較します。情報が既知の攻撃パターンと類似しているか同類である場合、侵入防止機能によって警告が

発生し、指定の処理が行われます。


9.6.1デスクトップとノートコンピュータに IPSを設定する

この例では、2つのサブドメインにあるデスクトップとノートコンピュータに対して IPS (侵入防止)を有

効にします。

デスクトップとノートコンピュータはそれぞれ異なるサブドメイン (「Desktops/Eng」と「Laptops/Eng」)に割り当てられていると仮定します。デスクトップは会社のファイアウォールで保

護されているため、警告の発生頻度は低く設定されます。ノートコンピュータは定期的にセキュリティ

が保護されていないリモートのネットワークなどに接続するため警告の発生頻度は高く設定されます。

1. デスクトップに IPSを設定する

a) 「ポリシードメイン」タブで「Desktops/Eng」サブドメインを選択します。

b) 「設定」タブに移動して、「ファイアウォールのセキュリティレベル」ページを選択します。

c) [侵入防止を有効にする]チェックボックスをオンにします。

d) [有害なパケットへの処理]ドロップダウンリストから [パケットを削除せずに記録]を選択しま

す。

e) [警告の重大度]ドロップダウンリストから [警告]を選択します。

f) [検出精度]ドロップダウンリストから [25%]を選択します。

2. ノートコンピュータに IPSを設定する

a) 「ポリシードメイン」タブで「Laptops/Eng」サブドメインを選択します。

b) 「設定」タブに移動して、「ファイアウォールのセキュリティレベル」ページを選択します。

c) [侵入防止を有効にする]チェックボックスをオンにします。

d) [有害なパケットへの処理]ドロップダウンリストから [パケットを削除せずに記録]を選択しま

す。

e) [一元集中管理された警告の重大度]ドロップダウンリストから [警告]を選択します。

f) [警告およびパフォーマンスレベル]ドロップダウンリストから [100%]を選択します。



第章

10ユーザの機密データを保護する

接続制御は、銀行サイトのアクセスや取引を行うときに発生する可

能性がある危険な処理に対する追加の保護をホストに提供します。

トピック :

• ホストの安全な接続 (セキュア

接続)を保護する接続制御は銀行サイトに対する接続の安全性を識別子し、危険な接

続をブロックします。認識されている銀行サイトに一旦アクセスす

ると、安全とみなされているWebサイト以外のWebサイトにアクセ

スできなくなります。

銀行サイトのアクセス中にエンドユーザがブロックされているWeb

サイトにアクセスする必要がある場合、ブロックされているページ

に対してアクセスを一時的に許可することが可能です。また、接続

制御のセッションを終了することもできます。

接続制御はWindowsを実行しているホストで次のブラウザに対応して

います。

• Google Chrome (最新のバージョンおよびその前のバージョン)

• Mozilla Firefox (最新のバージョンおよびその前のバージョン)

• Internet Explorer 11 (Windows 8.1 /Windows 7、32/64ビットバージョン)

• Internet Explorer 10 (Windows 8 / Windows 7、32/64ビットバージョン)

• Internet Explorer 8/9 (Windows Vista、32/64ビットバージョン)

10.1ホストの安全な接続 (セキュア接続)を保護する

ブラウザ保護の設定からポリシーに対して接続制御を有効にできます。

注:接続制御を使用するにはブラウザ保護を有効にする必要があります。

接続制御の有効時にユーザが認識されている銀行サイトをブラウザで開くと、接続制御のセッション開

始通知が画面の上に表示されます。ユーザは銀行の取引が終了した後にセッションを閉じて通常のWeb

ブラウジングに戻れます。

注:接続制御は拡張機能 (追加機能を提供するプラグインアプリケーション)をホストのブラウザ

にインストールします。拡張機能が使用されていない場合、接続制御が正常に動作しない可能性

があります。

スタンダードビューで接続制御を有効にするには


2. 「設定」タブに移動して、「ブラウザ保護」ページを開きます。

3. [接続制御を有効にしました]を選択します。

4. 接続制御のセッションを開く追加のWebサイトを機密データサイトリストに入力します。

たとえば、企業の中でよくアクセスするサイトを保護したい場合、このリストに追加することでそ

のサイトのアクセスを保護できます。

注:接続制御はHTTPSを使用しているWebサイトにのみ対応しています。


ブラウザの拡張機能 (プラグイン)を手動で有効にするには

• Firefoxの場合、ツール >アドオンをメニューから選択して、アドオンの横にある [有効化]をクリック

します。

• Chromeの場合、[設定]をメニューから選択し、[拡張機能]をクリックしてから [有効にする]を選択

します。

• Internet Explorerの場合、ツール >アドロンの管理を選択し、アドオンを選択してから [有効にする]を


104 | ユーザの機密データを保護する

第章

11望ましくないWebコンテンツをブロックする

Webコンテンツ制御を使用することで不適切なコンテンツを含むWeb

ページのアクセスをブロックすることができます。

トピック :

• Webコンテンツカテゴリ「Webコンテンツ制御」は、F-Secureの評価分析データを使用して

Webサイトを分類し、ポリシーで特定されている禁止コンテンツを

含むサイトのアクセスをブロックします。

• ブロックするコンテンツカテゴ

リを選択する

11.1 Webコンテンツカテゴリ

以下のカテゴリを指定することでF-SecureNetworkReputationService (NRS)コンテンツ分析の結果に応じて

Webサイトをブロックできます。

中絶、中絶手術を行う病院やクリニックなど中絶の一般的な情報を含むWebサイ

ト。例:中絶反対派や賛成派のインターネット掲示板。

中絶

Flash、テキスト、動画や画像ファイルなどの広告コンテンツをユーザに誘導する

Webリンク。

広告

成人向けなページや性的な要素があるページ。例:アダルトグッズショップや性

的描写。

成人

お酒とたばこ製品、および製造者、製造所、ブドウ園、醸造所などを紹介する

Webサイト。例:ビールの祭り (ビアガーデンなど)を紹介するサイトやバーやナ

イトクラブのWebサイトなど。

お酒とタバコ

ネットワークのフィルタを回避する方法を説明するWebサイト、Webベースの翻

訳サイトを含む。例:公開プロキシの一覧を記載しているサイト。

アノニマイザ

オンラインオークションなど、ユーザがインターネットで製品やサービスを売買

できるWebサイト。製品やサービスの取引が実際には別の場所で行われるサイト

も含まれる。

オークション

銀行や金融機関のWebサイト。投資銀行や証券取引、為替取引に関するサイトを

含む。

バンキング

ニュース、動画、写真などに関する情報を発信・共有できるインターネットのブ

ログサイト。ブログは個人が情報を発信するためのものであるため、トピックや

コンテンツが大きく異なることがある。

ブログ

オンラインポータルやメッセンジャーなど、ユーザがパソコンからテキスト、音

声、動画を通じてチャットできるサイト。例: Webベースのチャットとインスタ

ントメッセージアプリケーション、チャットサイト。

チャット

出会い系のWebサイト。例:出会い系サイトや結婚相談所サイト。出会い系

麻薬の使用を推奨するサイト。例:違法薬物の購入、栽培、販売に関する情報を

提供するサイト。

麻薬

テレビ番組、書籍、漫画、映画、画廊など、芸能界に関するWebサイト。例:テ

レビやラジオ番組のガイドや音楽/テレビ/映画のレビューサイト。

芸能

ユーザが実際にお金や電子マネーなどをインターネットで賭けることができる

Webサイト。例:オンラインギャンブル、宝くじサイトやインターネットおよび

実世界のギャンブルに関する情報を含むブログ/掲示板。

ギャンブル

ユーザがゲームのプレイ、ダウンロード、購入を行えるサイトやオンラインゲー

ムのWebサイト。

ゲーム

コンピュータのシステムやネットワークへの侵入に関する情報を説明するWebサ

イト。例:ハッキングガイドやツールを紹介/含むサイト。

ハッキング

宗教、人種、国籍、性別、年齢、障害、性的指向などに対して差別を行っている

Webサイト。例:人権侵害、動物虐待などに関する情報や暴行を想起させるサイ

ト。

憎悪表現

106 | 望ましくないWebコンテンツをブロックする

求人サイトなど仕事情報を掲載しているサイト。例:キャリアに特化した検索エ

ンジン、ネットワーキンググループ。

就活

クレジットカードなどのショッピングサイト、銀行あるいはその他の金融サービ

ス間の支払い処理向けWebサイト。一般的な支払いに使用されるサイトが含まれ

る。

支払いサービス

オンライン調査、クイズもしくは同類のものに記入後にユーザを賞品で誘導しよ

うとするWebサイト。例:賞品を配っている大企業と提携していると思わせるよ

うなサイト。

詐欺

オンラインショッピング向け商品カタログを掲載しており、ユーザがオンライン

で商品やサービスを購入できるWebサイト。もしくはオンラインで注文や購入で

きる商品の情報を提供しているサイト。

ショッピング

一般ユーザ同士を結びつけたり、特定のグループのメンバー間の交流、ビジネス

交流などを助けるネットワークポータル。例えば、自分の個人的、仕事上の関心

SNS

事などをシェアするためのメンバープロフィールを作成できるようなサイト。

Twitterなどのソーシャルメディアサイトがこれに含まれる。

各種ソフトウェアをダウンロードするためのオンラインポータル。ソフトウェアダウ

ンロード

スパムメールから収集されたWebサイト。スパム

ストリーミング動画または音声コンテンツを無料あるいはライセンス形式で提供

するWebサイト。

ストリーミングメ

ディア

暴力を扇動したり、陰惨で暴力的な画像もしくは動画を含むWebサイト。例え

ば、レイプ、ハラスメント、スナッフ、爆弾、暴行、殺人あるいは自殺について

の情報を含むサイト。

暴力

不正ファイル共有やソフトウェアの違法コピーに用いられるWebサイト。例え

ば、ソフトウェアへの違法または疑わしいアクセスを提供するサイト、そして

違法ダウンロード

ネットワークおよびシステムへ損害を与える可能性のあるプログラムを開発、配

布するサイト。

人間、もしくは動物に害を与える武器等に使用可能な情報、画像、もしくは動画

などを含むWebサイト。これには狩猟や射撃クラブなど、これらの武器の普及を

武器

援助している組織が含まれる。またこのカテゴリにはペイントボールガンや BB

ガンなどのおもちゃの武器も含まれる。

Webブラウザを通じてメールアカウントの作成とアクセスを提供するWebサイ

ト。例: Yahoo! Mail、GmailやローカルプロバイダのWebメールサービス。

Webメール

11.2ブロックするコンテンツカテゴリを選択する

Webコンテンツ制御の設定からブロックするWebコンテンツカテゴリを選択できます。


1. 対象のドメインまたはホストを選択します。

2. 「設定」タブに移動して、「Webコンテンツ制御」ページを開きます。

3. 「拒否したサイトカテゴリ」でホストに対してブロックするカテゴリを選択します。

4. コンテンツカテゴリに関係なく、ブロックまたは許可するWebサイトのアドレスを「拒否したサイ

ト」リストおよび「信頼済みのサイト」のリストにそれぞれ入力します。



108 | 望ましくないWebコンテンツをブロックする

第章

12デバイス制御を使用する

デバイス制御は、ネットワークを保護するために特定のハードウェ

アデバイスをブロックします。

トピック :

• デバイス制御を設定するデバイス制御は、USBストレージ、DVD/CD-ROMドライブなど、外部

ネットワークからマルウェアがネットワークに広がることを阻止し• リムーバブルドライブのアクセ

ス権限を制限するます。ブロックされているデバイスがクライアントコンピュータに

接続すると、デバイス制御はデバイスのアクセスを無効にします。• ハードウェアデバイスをブロッ

クする

• デバイスにアクセスを許可する

12.1デバイス制御を設定する

デバイス制御は、F-Secureポリシーマネージャを使用して設定できます。

デバイス制御を設定するには

1. 設定 >デバイス制御ページを開きます。

2. デバイス制御を有効にするために、[デバイス制御を有効にする]を選択します。

3. デバイスがブロックされたときに管理者に送る通知の種類を選択します。

4. 「デバイスアクセスルール」テーブルには、デバイスをブロックするためのルールが含まれていま

す。

[アクセスレベル]が [ブロック]に設定されているデバイスに該当するルールが有効な場合、デバイ

スにアクセスすることはできません。

12.2リムーバブルドライブのアクセス権限を制限する

デバイス制御では、リムーバブルドライブ (USBメモリやポータブルハードドライブなど)へのアクセ

ス権限を指定できます。


2. [リムーバブルストレージデバイス]でアクセス権限を選択します。

• [書き込み権限を許可する]を選択すると、ユーザがファイルをリムーバブルドライブにコピーで

きるようになります。選択しない場合、ユーザは許可されているリムーバブルドライブに対して

読み取り専用のアクセス権限を持ちます。

• [実行可能ファイルの実行を許可する]を選択すると、リムーバブルドライブにある.実行可能ファ

イル (EXEや MSIファイルなど)をユーザが実行できるようになります。

12.3ハードウェアデバイスをブロックする

プリセットのルールを使用してデバイスをブロックすることができます。

デフォルトでは、ルールはデバイスをブロックしません。デバイスをブロックするには


2. 「デバイスアクセスルール」テーブルで、ブロックするデバイスの行を選択し、[編集]をクリック

します。

3. [アクセスレベル]を [ブロック]に設定すると、選択したデバイスをブロックできます。

注:USBWi-Fiアダプタの中にはUSB\Class_E0 hardwareの IDを使用せず、デバイス制御と

動作するためにカスタムルールを必要とするものもあります。

12.4デバイスにアクセスを許可する

特定なデバイスを許可するルールを設定することができます。

アクセスの許可するルールを作成する前に該当するデバイスのハードウェア IDを事前に知っておく必

要があります。

ルールに除外設定を追加するには

1. 許可するデバイスのハードウェア IDを用意しておきます。

ハードウェア IDはデバイスをブロックする IDより具体的である必要があります。

110 | デバイス制御を使用する


3. 「デバイスアクセスルール」で [追加]をクリックします。

4. デバイスのハードウェア IDを新しいルールのハードウェア IDとして入力します。

5. デバイスのアクセスを許可するために [アクセスレベル]を [フルアクセス]を設定します。

6. 新しいルールに対して [有効]を [はい]に設定します。

12.4.1デバイスのハードウェア IDを見つける

デバイスのハードウェア IDはいくつかの方法で確認できます。

F-SecureポリシーマネージャまたはWindowsデバイスマネージャを使用してハードウェア IDを確認する

には

詳細ビュー:

1. F-Secureポリシーマネージャを開き、F-Secureデバイス制御 >統計情報の順にクリックします。

[ハードウェア ID]、[互換性 ID]、[デバイスクラス]の各列を参照してブロックされているデバイスの

IDを見つけます。

2. IDを見つけられない場合、クライアントコンピュータでWindowsのデバイスマネージャを開いてく

ださい。

3. デバイスの一覧からデバイスの IDを見つけます。

4. デバイスを右クリックして [プロパティ]を選択します。

5. 「詳細設定」タブを開きます。

6. ドロップダウンメニューから次の IDを選択し、その値をメモします。

• ハードウェア ID

• 互換性 ID

• デバイスクラス GUID


第章

13ソフトウェアアップデートを管理する

ネットワーク内の管理対象コンピュータに対するソフトウェアアッ

プデートの管理とインストールを行うことができます。

トピック :

• ソフトウェアアップデートを自

動的にインストールするソフトウェアのアップデートによりセキュリティの脆弱性は解決す

ることがよくあるため、管理対象コンピュータにインストールされ• ソフトウェアアップデートを自

動インストールから除外するているソフトウェアが最新のアップデートを適用していることは重

要です。• ネットワーク内のソフトウェア

アップデートを確認するセキュリティのアップデートをコンピュータに自動的にインストー

ルするようにポリシーマネージャを設定できます。また、ソフトウェ• ソフトウェアアップデーターに

サードパーティHTTPプロキシ

を設定する

アアップデートのステータスを確認して手動でインストールするこ

とも可能です。

注:この機能はすべての管理製品またはバージョンに対応して

いません。バージョンの対応状況については製品のリリース

ノーツを確認してください。

注:ポリシーマネージャソフトウェアアップデーターをイン

ストールしているホストが存在する場合にソフトウェアアッ

プデーターのデータベースがダウンロード・アップデートさ

れます。

112 | ソフトウェアアップデートを管理する

13.1ソフトウェアアップデートを自動的にインストールする

ネットワーク内の管理対象コンピュータのソフトウェアに対するセキュリティアップデートを自動的に

インストールするようにポリシーマネージャを設定できます。



2. 「設定」タブから「ソフトウェアアップデーター」を選択します。

3. [ソフトウェアを有効にする]を選択します。

4. 管理対象ホストがどのようにしてソフトウェアアップデートを入手するか[Downloadsoftwareupdatesfrom PolicyManager]

• 常に使用:管理対象ホストがアップデートをポリシーマネージャまたはプロキシからダウンロー

ドします。

• 利用できる場合:管理対象のホストがポリシーマネージャサーバまたはプロキシからアップデー

トをダウンロードします。ダウンロードできない場合、インターネットからアップデートをダウ

ンロードします。

• しない:管理対象ホストが常にインターネットからアップデートをダウンロードします。

5. 「自動インストール」で、セキュリティアップデートの対象カテゴリとスケジュールを選択します。


13.2ソフトウェアアップデートを自動インストールから除外する

ソフトウェアアップデーターの自動インストールの対象から特定のソフトウェアを除外することができ

ます。

管理対象ホストが報告するインストールステータスによってアップデートの除外が判断されます。アッ

プデートのインストール開始時に除外されているインストールの確認が行われ、管理者に除外された

アップデートが通知されます。ホストはインストールステータスのみ通知するため、除外されたアップ

デートは「ソフトウェアアップデート」タブにある一覧からすぐに非表示になりません。



2. 除外するソフトウェアアップデートの詳細を手動で入力するには

a) 「ソフトウェアを自動インストールから除外」で [追加]をクリックします。

b) 除外するアップデートの詳細を入力します。

特定のアップデートに該当するソフトウェアの名前およびセキュリティ情報番号を指定できま

す。ソフトウェアの名前には製品名とサービスパックの名前を含むことができます。たとえば、

「windows sp3」は SP3に関するすべてのWindowsアップデートに一致します。セキュリティ情報

番号を指定した場合、セキュリティ情報番号に一致するアップデートのみ除外されます。

3. 利用可能なアップデートの一覧から特定のソフトウェアアップデートを除外するには

a) 「ソフトウェアアップデート」ページで除外するアップデートを右クリックします。

b) [ソフトウェアで除外]を選択すると、[ソフトウェア]列にある名前を使用します。[セキュリティ

情報番号で除外]を選択すると、セキュリティ情報番号を使用します。


注:ソフトウェアの名前でアップデートを除外すると、同じ名前を使用している他のアッ

プデートも除外されます。


入力した文字列、選択したソフトウェアの名前、またセキュリティ情報番号に一致するソフトウェアに

対する自動インストールが除外されます。「ソフトウェアを自動インストールから除外」の「一致する

アップデート」列でで[表示]をクリックすると、入力したソフトウェアに該当するアップデートの一覧

を確認できます。

13.3ネットワーク内のソフトウェアアップデートを確認する

「ソフトウェアアップデート」ページでネットワーク内のソフトウェアアップデートに関するステー

タスを確認できます。

「ソフトウェアアップデート」ページでは、ネットワーク内で使用されているソフトウェアに対する

アップデートの一覧が確認されます。一覧の各項目には該当するソフトウェア、カテゴリ、ID、アップ

デートの説明、対象のナレッジベース (KB)番号、およびアップデートのステータス (単一のホストを選

択した場合)が含まれます。ドメインまたは複数のホストを選択している場合、[ホストを表示]をクリッ

クすることでアップデートのステータスを表示できます。また、このページからアップデートが適用さ

れていないコンピュータを確認できます。

ヒント:「ソフトウェアアップデート」ページの [適用されていないアップデートの検索]フィー

ルドを使用して、アップデートが適用されていないホストを見つけることもできます。アップ

デートに関連する情報や条件を検索のキーワードとして使用できます。

ヒント:詳細モードでは、適用されていないサービスパックやセキュリティに関連しないアップ

デートの確認を無効にできます。

13.3.1不足しているソフトウェアアップデートをインストールする

不足しているソフトウェアアップデートを手動でインストールすることができます。

不足しているソフトウェアアップデートをインストールするには


2. 「ソフトウェアアップデート」ページでインストールするアップデートを選択します。

3. [インストール]をクリックします。

13.4ソフトウェアアップデーターにサードパーティHTTPプロキシを設定する

ソフトウェアアップデーターがアップデートを外部HTTPプロキシから受信するように設定することが

できます。

バージョン 12.20では、ポリシーマネージャはデフォルトでソフトウェアアップデートパッケージのプ

ロキシとして機能し、デフォルトのキャッシュサイズは10 GBに設定されています (ポリシーマネージャ

コンソールで設定を変更できます)。ネットワークの構成に応じて専用のサードパーティプロキシを使

用できます。

ソフトウェアアップデーターにプロキシとキャッシュの設定を行うには

1. 対象のプロキシをインストール・設定します。

114 | ソフトウェアアップデートを管理する

たとえば、Squidの場合、squid.confに次の設定を適用します。

a) ディスクキャッシュを 100 GBに設定します:

cache_dir ufs /var/spool/squid 100000 16 256

b) ファイルの最大キャッシュサイズを設定します:

maximum_object_size 2048 MB

c) ソフトウェアアップデーターだけがプロキシを使用するように設定します (ソフトウェアアップ

データーは User-Agentの名前で認識されます):

acl FSecSwUp browser F-SecureSoftwareUpdater

http_access allow FSecSwUp

http_access deny all

キャッシュプロキシが起動したら、ソフトウェアアップデーターのポリシーを追加する必要があり

ます。

2. 詳細モードでソフトウェアアップデータを設定します:

a) F-Secureソフトウェアアップデーター >設定 >通信 >HTTPプロキシを使用を [ユーザ定義]に設定

します

b) F-Secureソフトウェアアップデーター >設定 >通信 >ユーザ定義のプロキシでプロキシのアドレス

とポート (http://<プロキシアドレス>:<ポート番号>)を入力します。


第章

14ネットワークを保護する

ここでは、ネットワークが保護されていることを確認するための確

認事項について説明します。

トピック :

• ホストが最新のポリシーを使用

しているか確認するここで紹介するタスクは、ネットワークのセキュリティを監視およ

び管理するために定期的に行うと効率的です。• ホストが最新のパターンファイ

ルを使用しているか確認する

• ホストの接続状態を確認する

• スキャンレポートを表示する

• 警告を表示する

• 週次感染レポートを作成する

• ネットワーク攻撃の兆候を監視

する

116 | ネットワークを保護する

14.1ホストが最新のポリシーを使用しているか確認する

管理対象のホストが最新のポリシーを使用しているかを確認するには


2. 「概要」タブを選択し、最新のポリシーを使用しているホストの数を確認します。

3. すべてのホストが最新のポリシーを使用していない場合、[ホストの最新のポリシー更新を表示]を


「ステータス」タブの「集中管理」ページが表示されます。

4. 「集中管理」ページで、最新のポリシーを使用していないホストを確認できます。

また、最新ポリシーファイルが使用されていない理由も確認できます(ホストが切断されている、ホ

ストに重大なエラーが発生したなど)。

14.2ホストが最新のパターンファイルを使用しているか確認する

ホストが最新のパターンファイルを使用しているかを確認するには


2. 「概要」タブを選択し、「パターンファイル」の横にある「ワークステーションのウイルス保護」

ウィンドウに表示されている情報を確認します。

3. ホストのパターンファイルが古い場合、次の2つの方法でパターンファイルを更新できます。

• 「全体の保護」ページの「ステータス」タブを選択して、最新のパターンファイルを使用してい

ないホストを確認します。該当するホストが検出された場合、「ポリシードメイン」タブで対象

のホストを選択して、「操作」タブにある [パターンファイルの更新]ボタンをクリックすること

で、パターンファイルの更新を実行できます。

• [パターンファイルの更新]をクリックし、「操作」タブを表示させます。「操作」タブが表示さ

れたら、[パターンファイルの更新]ボタンをクリックします。対象のホストに対して、最新のパ

ターンファイルが適用されます。

14.3ホストの接続状態を確認する

ホストの接続状態を確認するには


2. 「概要」タブを選択し、[切断されたホスト]の横にある「ドメイン」ウィンドウに表示されている

情報を確認します。

3. 切断されたホストが存在する場合、[切断されたホストを表示]をクリックします。

「ステータス」タブの「集中管理」ページが表示されます。

4. 切断されているホスト、および考えられる理由を確認します。

注:ホストが切断されているとみなすまでの時間を指定できます。ツール >サーバの構成の順

にメニューをクリックして、「ホスト」タブを選択します。ホストが切断されているとみな

すまでの指定時間が表示されます。

14.4スキャンレポートを表示する

ホストからのスキャンレポートを確認できます。

特定のホストからのスキャンレポートを確認するには


1. 「ポリシードメイン」タブでホストを選択します。

2. 「スキャンレポート」タブを選択します。

ホストのスキャン情報が [スキャンレポート]テーブルに表示されます。

3. テーブルの行をクリックして、1つのホストを選択します。

ウィンドウ下部に、ホストに関連するスキャンレポートが表示されます。

14.5警告を表示する

プログラムや操作に問題がある場合、ホストは警告とレポートを送信できます。

警告の確認と削除を定期的に行うことを推奨します。

警告を受信したら、

ボタンが点灯します。警告を表示するには

1. 次のボタンをクリックします:

または、「概要」タブの []をクリックして、

「警告」タブが開きます。受信した警告が次のように表示されます。

警告を確認したことを示します。[確認]をクリックすると警告を確認したこと

になります。すべての警告を確認すると、ボタンが淡色に変わります。

確認

問題の重大度。以下のアイコンで重大度を示します。重大度

ホストからの通常の操作情報情報

ホストからの警告警告

ホスト上の回復可能なエラーエラー

ホスト上の回復不能なエラー重大なエラー

ホスト上のセキュリティ危険

要因

セキュリティ警告

警告が発生した日付と時刻日付/時間

警告の説明説明

ホストまたはユーザの名前。ホスト/ユーザ

警告を送信したF-Secure製品製品

リストから警告を選択すると、テーブルの下に警告の詳細が表示されます。

2. [確認]をクリックすると、指定の警告を確認済みにできます。

3. 「概要」タブに表示される警告の情報は自動的に更新されません。[警告概要の再表示]をクリック

して、情報を更新できます。

118 | ネットワークを保護する

14.6週次感染レポートを作成する

Webレポートツールを使用して週次感染レポート(またはその他の定期レポート)を作成することができ

ます。

Webレポート - Webベースのツールで、クライアントセキュリティの警告およびステータス情報からグ

ラフィカルなレポートを作成できます。

14.7ネットワーク攻撃の兆候を監視する

ローカルネットワークがネットワーク攻撃を受けていると思われる場合、次の方法でネットワークを監

視できます。


2. 「概要」タブを開きます。

3. [最も頻度の高い最新の攻撃]の横に表示されている情報を確認します。

4. 攻撃が行われた場合、[インターネット防御のステータスを表示]をクリックして、さらに詳しい情

報を参照できます。

「ステータス」タブの「インターネット防御」ページが表示され、ホストにおける最新および最近

の攻撃に関する詳細な情報を確認できます。


第章

15ウイルス情報

ここでは、ウイルスに関する情報について説明します。トピック :

ウイルスの対処法やその他に関する情報を参照できます。• マルウェア情報とF-SecureのWeb

ページにあるツール

• ウイルスのサンプルをF-Secure

に送る

120 | ウイルス情報

15.1マルウェア情報とF-SecureのWebページにあるツール

F-Secureは、マルウェアの情報と便利なセキュリティツールを F-SecureのWebサイトで公開していま

す。

次のWebサイトで最新のセキュリティ脅威に関する情報を確認できます。

• F-Secureのブログ: https://labsblog.f-secure.com/

• 脆弱性に関する情報 - https://www.f-secure.com/en/web/labs_global/vulnerability-protection

• 脅威の対処法に関するガイドライン: https://www.f-secure.com/en/web/labs_global/removal-instructions

F-Secureのリカバリ CDを利用してサンプルを分析できる場合もあります。このツールは、独自のオペ

レーティングシステムを搭載しているため、Windowsでは検出されないマルウェアを検出することが可

能です。ツールは http://www.f-secure.com/security_center/からダウンロードできます。

リカバリ CDの使い方は、ダウンロードファイルに含まれています。

15.2ウイルスのサンプルをF-Secureに送る

ここでは、F-Secureのラボへウイルスのサンプルを送る方法について説明します。

15.2.1ウイルスサンプルのパッケージを作成・送信する

サンプルは ZIP形式に圧縮して送信してください。

ZIPファイルをWindowsやオペレーティングシステムで作成できない場合、WinZip(http://www.winzip.com/)

や InfoZIP (http://www.info-zip.org/pub/infozip/)などのツールを使用できます。

ZIPファイルの名前には半角英数字のみを使用してください。ファイル名は長くてもかまいません。

当社に送信いただくファイルは、かならずZIPアーカイブにしてください。そして、ZIPファイルはパス

ワードにinfectedを指定してください。それ以外の方法でマルウェアのサンプルを送信されますと、セキュリティ対策として、媒介サーバにより除去されてしまうことがございます。パスワードに

「infected」を使用することは業界標準であり、HTTPSトラフィックをスキャンするコンテンツゲート

ウェイは通常、それを通過させるからです。送信途中でファイルが破損してしまう場合には、ご利用の

コンテンツスキャンゲートウェイのベンダーにお問い合わせください。また、ゲートウェイの設定で、

analysis.f-secure.comサーバをホワイトリストしてください。

パッケージしたサンプルをF-Secureのサンプル送信ポータルへ送信します(https://www.f-secure.com/sas)。

15.2.2新しいマルウェアを発見する

ご使用のアンチウイルスソフトでは検出できない感染が疑われる場合、このチェックリストを使用し

て、さらに情報を得ることができます。

1. exeファイルあるいはディレクトリ名が、ランダムに生成されているように思われる場合、それらの%PROGRAMFILES%、%APPDATA%、%PROGRAMDATA%のルートを調べてください。

2. Autoruns、Process Explorer、および Sigcheckを、Microsoft Sysinternals (http://sysinternals.com)よりダウン

ロードしてください。

注:この操作は、他のシステムでツールに別の名前をつけて、行うようにしてください。マル

ウェアが、Sysinternalsツールを検知して自分が探知されそうだいうことがわかると、自己終

端を行うことが非常によく起こるからです。

3. Autorunsによって自動的に起動するプログラムは、すべて調べてください。

読取可能な結果を取得するには、フィルタリングオプションを使用し、符号付およびMicrosoftファ

イルを隠しファイルにしてください。ただし、マルウェアの中には盗んだ証明書を使用したり、偽


https://labsblog.f-secure.com/

https://www.f-secure.com/en/web/labs_global/vulnerability-protection

https://www.f-secure.com/en/web/labs_global/removal-instructions

https://www.f-secure.com/en/web/labs_global/rescue-cd

http://www.winzip.com/

http://www.info-zip.org/pub/infozip/

https://www.f-secure.com/sas

http://sysinternals.com

ルート証明書をインストールするものがあるので、この方法を用いる際には十分注意をしておこなっ

てください。

発行元の列より、「(認証済み)」として入ってくるものはマルウェアである可能性が低いです。

4. Autorunsにより発見がされなかった場合、Process Explorerを使用してシステムのチェックを行なって

ください。

5. ファイル署名の整合性の確認には、Sigcheckを使用してください。

破損した署名は、ウイルス感染があるか、またはディスクに問題があることを示しています。

6. システムを GMERルートキット検出ツールで確認します (http://www.gmer.net/)。

15.2.3送信するパッケージについて

サンプルのパッケージに含めるものはウイルスの種類によって異なります。

注:ファイルがすでに検知されており、誤報が出されていない場合、サンプル送信の必要はあり

ません。

パッケージに含めるもの (ウイルス別)

1. マルウェア (悪意のあるプログラム):

スタンドアロン形式のマルウェア (ワーム、バックドア、トロイの木馬、ドロッパなど)の疑いがあ

るサンプルを送信する場合、ファイルが感染したシステムのどこにあるか (パス)、およびどのよう

にして起動されたか (レジストリ、INIファイル、Autoexec.batなど)を明記してください。

2. F-Secureアンチウイルス製品による誤検出

検知がなされなかった、または誤検知、ないしはクライアントセキュリティ誤報があった場合、使

用しているパターンファイルが最新のものであるかどうかを確認する必要があります。最新のウイ

ルス定義ファイルでも誤検知が発生する場合、次のファイルと情報を当社へ送信してください。

• 問題のファイル

• クライアントセキュリティのバージョン番号

• パターンファイルが最後に更新された日付

• システムの構成

• 問題を再現する方法

• クライアントセキュリティのスキャンレポートファイル

3. CDの感染または誤検出

CDの感染や誤検出があった場合、CDをフィンランドのエフセキュアオフィスに送付することがで

きます。

問題の説明と、可能であればクライアントセキュリティのレポートを印刷して添付してください。

感染がなければ CDを返却いたします。CDと関連情報は次へお送りください。

Virus information

Security Labs

F-Secure Corporation

Tammasaarenkatu 7

PL 24

00181 Helsinki

Finland

122 | ウイルス情報

http://www.gmer.net/

第章

16高度な機能 -ウイルスとスパイウェア防御

ここでは、アンチウイルスプロキシやスケジュールスキャンを詳細

モードから設定する方法など、ウイルス防御に関連するタスクの設

定について説明します。

トピック :

• スケジュールスキャンを設定す

る

• 高度な機能 -ディープガード

• ポリシーマネージャプロキシ

を設定する

• プログラムをWebスキャンから

除外する

16.1スケジュールスキャンを設定する

詳細ビューでスケジュールタスクを追加することができます。

次の例では、スケジュールスキャンのタスクがドメイン全体のポリシーに追加されます。スキャンは

2009年8月25日から毎週月曜日の午後8時に実行されるように設定します。

詳細ビュー:


2. 「ポリシー」タブで F-Secure > F-Secureアンチウイルス >設定 >スケジューラ >スケジュールタスクの

順に選択します。

設定されているスケジュールタスクが「スケジュールタスク」に表示されます。このテービルで新

しいスキャンタスクを追加することができます。

3. [追加]をクリックします。

「スケジュールタスク」テーブルに新しい行が追加されます。

4. 新しい行の [名前]セルをクリックして、[編集]をクリックします。

5. [名前]セルに新しいタスクの名前を指定します。

たとえば、「全ホストに対するスケジュールスキャン」のように名前を付けます。

6. 次に、[スケジュールパラメータ]セルをクリックして、[編集]をクリックします。

7. ここで、スケジュールスキャンのパラメータを入力します。

2009年8月25日から毎週月曜日の午後8時に実行されるスケジュールスキャンを設定するには、

「/t20:00 /b2009-08-25 /rweekly」と指定します。

注: [スケジュールパラメータ]セルを選択すると、「スケジュールタスク」テーブルの下に

ある「メッセージ」ウィンドウで、使用できるパラメータとその形式が参考として表示され

ます。

8. [タスクの種類]セルをクリックし、[編集]を選択します。

9. ドロップダウンリストから [ローカルドライブをスキャン]を選択します。

スキャンタスクが追加されます。


特定の日時に実行されるスケジュールスキャンを設定する

特定の日や曜日に実行されるスキャンを設定することができます。特定の日や曜日を指定するには、

「/Snn」のパラメータを使用します。

• 週単位のスキャンには、「/rweekly」を「/s1」～「/s7」のパラメータと組み合わせることで、細かいスケジュールが指定できるようになります。「/s1」は月曜日を、「/s7」は日曜日を指しします。

たとえば、「/t18:00 /rweekly /s2 /s5」と指定すると、毎週火曜日と金曜日の18時にスキャ

ンが実行されます。

• 月単位のスキャンには、「/rmonthly」と「/s1」～「/s31」のパラメータを使用します。

たとえば、「/t18:00 /rmonthly /s5 /s20」と指定すると、毎月の5日と20日の18時にスキャン

が実行されます。

124 | 高度な機能 -ウイルスとスパイウェア防御

注:週単位のスケジュールスキャンは毎週月曜日にも自動的に実行されます。月単位のスケジュー

ルスキャンは、毎月の1日に自動的に実行されます。

16.2高度な機能 -ディープガード

ここでは、ディープガードの設定について説明します。

16.2.1他のプログラムからのイベントを管理者権限のユーザが許可または拒否

する

他のユーザが開始したプログラムのイベントを管理者が許可または拒否するには

詳細ビュー:


2. 「ポリシー」タブで、F-Secure >ディープガード >設定 >ローカル管理者制御を選択します。

3. [すべてのプロセス]を選択します。


16.2.2特定のプログラムからのイベントを許可または拒否する

特定のプログラムが発生するイベントを許可または拒否することができます。たとえば、安全と判断で

きるプログラムがある場合、そのプログラムからのイベントをすべて許可できます。また、危険なプロ

グラムからのイベントは拒否するようにも設定できます。

プログラムの SHA-1ハッシュ値をまず計算する必要があります。

SHA-1の値はインターネットの無料ツール (「Microsoft File Checksum Integrity Verifier」など)を利用して計

算できます。「Microsoft File Checksum Integrity Verifier」は次の URLでアクセスできます。http://support.microsoft.com/kb/841290

注:SHA-1ハッシュ関数は、プログラムを構成する一連の情報を識別します。新しいプログラムを

利用できる場合、新しいプログラムが別のSHA-1ハッシュを持つため、ハッシュ値をもう一度計

算する必要があります。

詳細ビュー:


2. 「ポリシー」タブで、F-Secure >ディープガード >設定 >アプリケーションの順に選択します。

3. [追加]をクリックして、新しいルールを追加します。

4. る新しいエントリの [SHA-1ハッシュ]セルをダブルクリックして、SHA-1ハッシュをセルに貼り付け

ます。

5. [メモ]をダブルクリックして、メモを入力します。

メモには、SHA-1ハッシュが認識するアプリケーションの名前を入力すると便利です。

6. [信頼済み]セルをダブルクリックします。

• [はい]をクリックすると、アプリケーションのイベントをすべて許可します。

• [いいえ]をクリックすると、アプリケーションのイベントをすべて拒否します。

7. [有効]セルをダブルクリックします。


http://support.microsoft.com/kb/841290

8. [はい]を選択して、ルールを有効にします。


アプリケーションのルールはローカルで変更することはできません。

16.3ポリシーマネージャプロキシを設定する

ポリシーマネージャは、低速なネットワーク接続での負荷を大幅に減少させることにより、分散インス

トールにおける帯域幅の問題を解決することができます。

ポリシーマネージャプロキシは、F-Secure更新サーバまたはポリシーマネージャサーバから自動的に取

得した更新をキャッシュし、対象のホストに対してデータベースの配布ポイントとして機能するために

ホストと同じリモートネットワークに配置されます。ポリシーマネージャプロキシは低速な回線を使

用しているネットワークに適切な機能で、帯域や回線速度に問題があるネットワークに導入することを

推奨します。

クライアントセキュリティを実行しているホストは、パターンファイルをポリシーマネージャプロキ

シから取得します。ポリシーマネージャプロキシは必要な際に、ポリシーマネージャサーバおよび

F-Secureの配布サーバと通信します。

ネットワークにリモートのホストがある場合、それらのホストはメインのポリシーマネージャサーバ

と通信しますが、この通信はリモートのポリシー管理、ステータスの監視、および警告に制限されま

す。大量のデータベース更新のデータ転送が同じローカルネットワーク内のポリシーマネージャプロ

キシによってリダイレクトされるため、ホストとポリシーマネージャサーバのネットワーク接続の負

荷は大幅に軽減されます。

注:ポリシーマネージャプロキシのインストールと設定については、ポリシーマネージャプロ

キシの管理者ガイドを参照してください。

16.4プログラムをWebスキャンから除外する

特定のプログラムを安全と判断できる場合、そのプログラムをWebスキャンから除外することができま

す。

詳細ビュー:

1. 「ポリシー」タブで F-Secureクライアントセキュリティ >設定 >プロトコルスキャナの選択 >信頼済

みのアプリケーション >信頼済みのプロセスの順に選択します。

2. Webスキャンから除外するプロセスの名前を入力します。

複数のプロセスを入力する場合、各プロセスをカンマで区切ります。各プロセス名の間には空白を

入れないでください。

ヒント:Windowsを利用している場合、アプリケーションのプロセス名はWindowsのタスクマ

ネージャから確認できます。

たとえば、Webトラフィックスキャンから「メモ帳」と「Skype」を除外するには

「notepad.exe,skype.exe」を入力します。


126 | 高度な機能 -ウイルスとスパイウェア防御

第章

17高度な機能 -インターネット防御

また、インターネット防御のトラブルシューティングに関する情報

についても説明します。

トピック :

• インターネット防御をリモート

から管理する

• セキュリティレベルの自動選択

• 接続に関するトラブルシュー

ティング

• サービスを追加する

128 | 高度な機能 -インターネット防御

17.1インターネット防御をリモートから管理する

ここでは、インターネット防御の設定をリモートから管理する方法について説明します。

17.1.1パケットロギング

「パケットロギング」は、ローカルネットワークの動作や処理を監視するために便利なデバッグツー

ルです。

その反面、使い方によって、LAN上の他のユーザの操作を傍受するためにエンドユーザが悪用できる強

力なツールでもあります。次の方法で、パケットロギングを無効にすることができます。

詳細ビュー:


2. F-Secureインターネット防御 >設定 >パケットロギング >有効の順に選択します。

この変数は、パケットロギングのステータスを示します。「無効」の場合、パケットロギングは実

行されていません。「有効」の場合、パケットロギングがホスト上で実行されています。

3. ロギングを完全に無効にするには、変数が「無効」に設定されていることを確認してから[ユーザ変

更を禁止]を選択します。


変更を後で元に戻すには、[ユーザ変更を許可]を選択して、新しいポリシーを配布します。

注:ドメイン全体に対して変数を [有効]に設定すると、すべての対象ホスト上でロギングセッ

ションが開始しますので、操作を行う際には注意してください。

17.1.2信頼済みのインターフェース

「信頼済みのインターフェース」は、ホストがファイアウォールなどによってブロックされている場合

でもホストを接続共有サーバとして許可します。

信頼済みのインターフェースを利用するトラフィックにはファイアウォールのルールは適用されませ

ん。このため、ホストがネットワークから攻撃を受ける可能性がありますので、必要がない場合はセ

キュリティの対策として信頼済みのインターフェースを無効にすることを推奨します。

詳細ビュー:

1. ポリシードメインツリーで、信頼済みインターフェースを有効にするサブドメインを選択します。

2. 「ポリシー」タブで、F-Secureインターネット防御 >設定 >ファイアウォールエンジン >信頼済みの

インターフェースを許可の順に選択します。

3. [有効]を選択すると、信頼済みのインターフェースが対象のサブドメインで有効になります。

サブドメイン内のエンドユーザがネットワークインターフェースを信頼済みのインターフェースと

して設定できるようになります。



17.1.3パケットのフィルタリング

「パケットフィルタリング」はファイアウォールの基本的なセキュリティ対策方法の1つで、IPネット

ワークのトラフィックをパケットのプロトコルヘッダの情報に基づいてフィルタリング(分別)します。

パケットフィルタリングは、[ネットワーク保護]の設定にある「詳細」タブで有効または無効にできま

す。パケットフィルタリングは試験的に無効にする必要がある場合もありますが、無効にしたらセキュ

リティが危険な状態となります。このため、パケットフィルタリングを常に有効にすることを推奨しま

す。

詳細ビュー:


2. 「ポリシー」タブで、F-Secureインターネット防御 >設定 >ファイアウォールエンジン >ファイア

ウォールエンジンを有効にするの順に選択します。

3. パケットフィルタリングを常に有効にするには、変数を [はい]に設定して、[ユーザ変更を禁止]

チェックボックスをオンにします。


17.2セキュリティレベルの自動選択

この例では、セキュリティレベルの自動選択が、ノートコンピュータだけが含まれているサブドメイ

ンに対して設定されています。ノートコンピュータが企業のLANに接続されている場合、[オフィス]セ

キュリティレベルが使用され、ダイヤルアップ接続を使用する際にはセキュリティレベルが[モバイル]

に変更されます。

セキュリティレベルの自動選択を指定する前に、DNSサーバのIPアドレスおよびデフォルトゲートウェ

イのアドレスを知っている必要があります。IPアドレスとデフォルトゲートウェイは、コマンドプロ

ンプトから ipconfig -allを実行することで確認できます。

詳細ビュー:

1. [ポリシードメイン]ツリーから対象となるサブドメインを選択します。

2. 「Policy」タブで F-Secure > F-Secureインターネット防御 >設定 >セキュリティレベル >自動選択モー

ドの順に選択します。

3. [セキュリティレベルの自動選択]が有効になっていることを確認します。

有効になっていない場合、[自動選択モード]ドロップダウンリストから [ユーザが変更可能]または

[管理者のフルコントロール]を選択します。

4. 「自動選択」ページで [追加]をクリックして、最初のセキュリティレベルを追加します(この例では

[オフィス])。

5. セルを選択して [編集]をクリックすると、セルにデータを入力できます。

[オフィス]セキュリティレベルの場合は、次のデータを追加する必要があります。

• 優先度 -優先番号が小さいルールの順に確認されます。

• セキュリティレベル -セキュリティレベルの IDを入力します (番号および名前で構成されます。

たとえば、「40office」)。

• 方法1 -ドロップダウンリストから [DNSサーバ IPアドレス]を選択します。

• 引数1 -ローカル DNSサーバの IPアドレスを入力します (たとえば、「10.128.129.1」)。

• 方法 2 -ドロップダウンリストから [デフォルトゲートウェイの IPアドレス]を選択します。


• 引数2 -デフォルトゲートウェイの IPアドレスを入力します (たとえば、「10.128.130.1」)。

注: [引数]フィールドには、引数を1つだけ入力できます (たとえば1つの IPアドレス)。複数の

デフォルトゲートウェイをセキュリティレベルの自動選択で使用する場合、各ゲートウェイ

に対して個別のルールを作成してください。

以上、最初のセキュリティレベルの設定は完了です。

6. [追加]をクリックして、自動選択の対象となる2つ目のセキュリティレベルを追加します。この例で

は、[モバイル]です。

7. セルを選択し、[編集]をクリックして、セルにデータを入力します。

[モバイル]セキュリティレベルの場合、次のデータを追加する必要があります。

• 優先番号 -優先番号が小さいルールの順から確認されます。

• セキュリティレベル -セキュリティレベルの IDを入力します (たとえば、「20mobile」)。

• 方法1 -ドロップダウンリストから [ダイヤルアップ]を選択します。

• 引数1 -空白のままにします。

• 方法2 -ドロップダウンリストから [常に使用]を選択します。

• 引数2 -空白のままにします。

以上で、設定は完了です。


17.3接続に関するトラブルシューティング

接続の問題(ホストがインターネットにアクセスできないなど)が発生し、インターネット防御が原因と

思われる場合、以下の事項を確認してください。

1. コンピュータが正しく接続されていることを確認します。

2. 問題がネットワークケーブルでないことを確認します。

3. イーサネットが起動して正しく稼動していることを確認します。

4. DHCPアドレスが有効であることを確認します。

コマンドプロンプトで ipconfigを実行すると、アドレスを確認できます。

5. 次に、デフォルトゲートウェイに pingコマンドを行います。

アドレスが分からない場合、コマンドプロンプトでipconfig -allを入力することによりアドレスを確認できます。

6. インターネットのWebサイトなどにアクセスできない場合、DNSサーバに pingを実行します。

• nslookupを実行して、DNSサービスが動作していることを確認します。

• また、特定のWebアドレスにpingを実行して、対象のコンピュータが動作していることを確認で

きます。

7. 集中管理ドメインが変更されたか確認します。新しいポリシーが使用されているか、問題を引き起

こす可能性がある設定がポリシーに含まれているかなどを確認します。

• 発信HTTP接続が許可されているかファイアウォールのルールで確認します。

• ユーザが接続しようとしている IPアドレスが拒否されたアドレスのリストに誤って追加されてな

いか、ホストのアプリケーション通信制御で確認します。


8. 問題が解決されない場合、F-Secureをアンロードするか、インターネット防御を [すべて許可]モード

に設定します。

問題がそれでも解決されない場合、ルーティングまたはユーザが接続しようとしているコンピュータ内

の他のコンポーネントに問題がある可能性があります。

17.4サービスを追加する

ここで言うサービスとは、ネットワーク上で利用可能なネットワークサービスのことを意味します(ファ

イル共有、リモートコントロールアクセス、Web閲覧など)。

ほとんどのサービスは使用するプロトコルとポートで定義されます。

17.4.1デフォルトのHTTPサービスに基づいたインターネットサービスを作成

する

この例では、Webサーバが非標準のポートを使用した上で起動していると仮定します。

通常、Webサーバは TCP/IPポート 80を利用しますが、この例ではポート 8000を利用するように設定さ

れています。ホストからサーバへの接続を有効にするには、新しいサービスを作成する必要がありま

す。標準のHTTPポートを使用していないため、標準のHTTPサービスはここでは動作しません。新しい

サービスは「HTTP ポート 8000」で、デフォルトの「HTTP」サービスに基づいています。


1. 「ポリシードメイン」タブで新しいサービスの対象となるサブドメインを選択します。

2. 「設定」タブに移動して、「ファイアウォールサービス」を開きます。

ファイアウォールサービスのテーブルが表示されます。

3. [追加]ボタンをクリックして、ファイアウォールサービスのウィザードを起動させます。

4. サービスの名前を入力します。

a) [サービス名]フィールドでサービスの名前を指定します。同じ名前を2つのサービスに付けること

はできません。

例: HTTP port 8000。b) [サービスのコメント]フィールドで、サービスに関するコメントを入力します。

コメントがファイアウォールサービスのテーブルに表示されます。

5. IPプロトコル番号を選択します。

a) このサービスの対象となるプロトコル番号を [プロトコル]ドロップダウンリストから選択しま

す。

リストから一般的のプロトコル(TCP、UDP、ICMP)を選択できます。サービスが他のプロトコルを

使用する場合、以下の表を参照して、対応するプロトコルの番号を入力してください。

この例では、[IPプロトコル番号]ドロップダウンリストから [TCP (6)]を選択します。

説明プロトコル番号プロトコル

ICMP / Internet Control Message

Protocol (インターネット制御通

知プロトコル)

1ICMP

InternetGroupManagementProtocol

(インターネットグループマネ

ジメントプロトコル)

2IGMP

IPIPトンネル (IP内の IP)4IPIP


説明プロトコル番号プロトコル

Transmission Control Protocol (伝送

制御プロトコル)

6TCP

ExteriorGatewayProtocol (エクステ

リアゲートウェイプロトコル)

8EGP

Xerox PUPルーティングプロトコ

ル

12PUP

User Datagram Protocol (ユーザ

データグラムプロトコル)

17UDP

XeroxNS InternetDatagramProtocol

(インターネットデータグラム

プロトコル)

22IDP

IPバージョン 4にカプセル化さ

れた IPバージョン 6

41IPV6

Resource Reservation Protocol (リ

ソースリザベーションプロトコ

ル)

46RSVP

Ciscoの Generic Routing

Encapsulation (総称ルーティング

カプセル化)トンネル

47GRE

Encapsulation Security Payload (暗号

ペイロード)プロトコル

50ESP

AuthenticationHeader(認証ヘッダ)

プロトコル

51AH

Protocol Independent Multicast (プ

ロトコルインディペンデントマ

ルチキャスト)

103PIM

Compression Header (圧縮ヘッダ)

プロトコル

108COMP

Raw IPパケット255RAW

6. イニシエータポートを指定します。

サービスが TCPまたは UDPプロトコルを使用している場合、サービスのイニシエータポートを指定

する必要があります。ポートとポート範囲の入力形式は次のとおりです。

• >ポート番号 -「ポート番号」より大きいすべてのポート

• >=ポート番号 -「ポート番号」以上のすべてのポート

• <ポート番号 -「ポート番号」より小さいすべてのポート

• <=ポート番号 -「ポート番号」以下のすべてのポート

• ポート番号 -指定の「ポート番号」のみ

• [最小ポート番号-最大ポート番号] -「最小ポート番号」と「最大ポート番号」およびその間のす

べてのポート (ダッシュの両側にはスペースを入れないでください)。


これらの項目をカンマで区切って一緒に定義することができます。例えば、ポート10、11、12、100、

101、200および 1023以上は、「10-12, 100-101, 200, >1023」と定義できます。

この例では、イニシエータポートに「>1023」を指定します。

7. リスポンダポートを指定します。

サービスが TCPまたは UDPプロトコルを使用している場合、サービスのリスポンダポートを指定す

る必要があります。

この例では、リスポンダポートに「8000」を指定します。

8. サービスに適用する分類番号をドロップダウンリストから選択します。

デフォルトの値を使用します。

9. サービスが許可するトラフィックに、標準のパケットフィルタリングと状態検査フィルタリング以

外に他のフィルタリングを適用するか選択します。

この例では、デフォルトの [無効]を選択します。

注:サービスがTCPプロトコルを使用し、アプリケーション通信制御を有効にしない場合、[そ

の他のフィルタリング]ドロップダウンメニューから [アクティブモード FTP]を選択できま

す。接続に開く必要があるポートに関する情報が転送されるデータに含まれるため、アクティ

ブモード FTPに対してファイアウォールから特別な操作を行うことが必要です。

10.作成したルールを確認します。

ルールを変更する必要があれば、[戻る]をクリックしてルール作成画面に戻ってください。

11. [完了]をクリックして、スキャンウィザードを閉じます。

作成したルールがファイアウォールルールのテーブルに表示されます。

12. 新しいルールを適用します。

新しいサービスを適用するには、使用中のセキュリティレベルで「HTTP 8000」ファイアウォール

サービスの使用を許可する新しいインターネット防御ルールを作成する必要があります。ルールウィ

ザード >サービスウィンドウで新しいサービスを選択できます。ルールウィザード >詳細オプション

ウィンドウで警告を定義する必要はありません。


第章

18WindowsManagement Instrumentation

ポリシーマネージャはWindowsManagement Instrumentation (WMI)との

連携機能を提供し、RemoteMonitoringandManagement (RMM)ツールを

クライアントセキュリティに統合することができます。

トピック :

• WMIの連携

• 連携用のWMIクラスサービスプロバイダの多くはアセット(資産)ディスカバリー、管理、

設定、プロセス・サービスの自動化、セキュリティサービス、バッ

クアップなどの管理機能を強化するためにWMIの連携を使用します。

18.1 WMIの連携

F-SecureポリシーマネージャはWindows Management Instrumentation (WMI)インターフェースを使用して

F-Secureクライアントアプリケーションの読み取り専用ステータス情報を収集します。

WMIインターフェースはホストにインストールされているベンダー固有のエージェントを使用して収集

した情報を管理コンソールサーバに転送します。構成オプションまたは一般的なセキュリティ管理機能

はWMIインターフェースを通して通知されることはありません。

管理者はWMIインターフェースを使用してホストコンピュータに対してフルスキャンをリモートから

開始することもできます。

WMIインターフェースを通じてクライアントセキュリティから次のクラスを取得できます。

• 製品のバージョン

• リアルタイムスキャンのステータス

• パターンファイルのデータベース情報

• ファイアウォールのステータス

• ファイアウォールのセキュリティレベル (プロフィール)

• ファイアウォールのバージョン

• アプリケーション通信制御のステータス

• ポリシーマネージャの前回の接続時間

• ポリシーマネージャからの前回のポリシーアップデート時間

• 使用中のポリシーマネージャプロフィールの名前

• ディープガードのステータス

• ブラウザ保護のステータス

• メールフィルタのステータス

• ソフトウェアアップデーターのステータス (セキュリティアップデートの自動インストールステー

タス、インストールされていないアップデート (タイプ別:重大、重要、その他))

136 | WindowsManagement Instrumentation

18.2連携用のWMIクラス

付属書に F-SecureポリシーマネージャのWMI連携機能で使用されるWindows Management Instrumentation

(WMI)クラスの詳細が提供されます。

18.2.1 WMIクラス

ここでは、F-SecureポリシーマネージャのWMI連携機能で使用されるクラスの詳細を説明します。

AvDefinition

アンチウイルスエンジンの情報。

種類説明プロパティ名

uint32該当するエンジンの一意識別子。EngineId

string該当するエンジンのユーザフレ

ンドリ名。

EngineName

string該当するエンジンのバージョン。EngineVersion

stringインストールしたアップデートの

一意識別子。

UpdateSerialNumber

datetimeアップデートがインストールされ

た時間

UpdateTime

AvScanResult

ウイルススキャンの結果。


datetimeスキャンが開始された時間。StartTime

datetimeスキャンが終了した時間。EndTime

uint32スキャン中に検出した感染ファイ

ルの数。

InfectedFilesCount

uint32スキャン中に検出した感染セク

ターの数。

InfectedSectorsCount

stringスキャンレポートのパス。ScanningReportFilePath


Profile

インストールされているプロフィールの情報。


stringプロフィールのユーザフレンド

リ名。

ProfileName

stringプロフィールパッケージの名前。SeriesName

datetimeプロフィールがインストールされ

た時間

InstallationTime

Component

製品コンポーネントの概要情報。


booleanコンポーネントのステータス。Enabled

SimpleComponent : Component

ベースクラスのデフォルト導入。


booleanEnabled

API

F-Secure WMIネームスペース APIの基本情報。


stringAPIの実バージョン。Version

Product

インストールされているセキュリティ製品の情報。


string製品の名前。Name

string製品のバージョン。Version

string製品のビルド。Build


AntiVirus

アンチウイルスモジュールの情報、フルコンピュータスキャンの実行許可。


Componentリアルタイムスキャンのステー

タス情報。

RealTimeScanning

Componentディープガードのステータス情

報。

DeepGuard

datetimeアンチウイルス定義ファイルの前

回のアップデート時間。

AvDefinitionsUpdateTime

AvDefinitionインストールされているアンチウ

イルスエンジンの一覧。

AvDefinitions

戻り型説明メソッド名

AvScanResultフルコンピュータスキャンの開

始と完了までの待機。

ScanComputer

Firewall : Component

F-Secureファイアウォールの情報。


booleanF-Secureファイアウォールの現在

のステータス。

Enabled

stringF-Secureファイアウォールの現在

のセキュリティレベル。

SecurityLevel

Componentアプリケーション通信制御の現在

のステータス。

ApplicationControl

stringF-Secureファイアウォールのバー

ジョン。

Version

stringF-Secureファイアウォールのビル

ド。

Build

CentralManagement

プロテクションサービスの相互作用に関する情報。



datetimeプロテクションサービスの前回

の接続時間。

LastConnectionTime

datetime前回のポリシーアップデート時

間。

PolicyUpdateTime

Profileインストールされているプロ

フィール。

Profile

SoftwareUpdater : Component

F-Secureソフトウェアアップデーターの情報。


booleanF-Secureソフトウェアアップデー

ターのステータス。

Enabled

uint32ソフトウェアアップデーターに

より自動的にインストールされた

アップデートの種類。

InstallSecurityUpdatesAutomatically

• 0:なし

• 1:重大

• 2:重大および重要

• 3:すべて

uint32インストールされていない重大な

アップデートの数。

MissingCriticalUpdatesCount

uint32インストールされていない重要な

アップデートの数。

MissingImportantUpdatesCount

uint32インストールされていないアップ

デート (重大・重要なアップデー

トを除く)の数。

MissingOtherUpdatesCount

Internet

インターネットセキュリティのコンポーネントの情報。


Componentブラウザ保護のステータス。BrowsingProtection

Componentメールフィルタのステータス。EmailFiltering


第章

19トラブルシューティング

ここでは、ポリシーマネージャに関するトラブルシューティング情

報と FAQ (よくある問い合わせ)を紹介します。

トピック :

• ポリシーマネージャサーバと

ポリシーマネージャコンソー

ル

製品で問題が発生した場合、ここで解決方法を見つけられるかもし

れません。

• ポリシーマネージャWebレポー

ト

• ポリシーの配布

19.1ポリシーマネージャサーバとポリシーマネージャコンソール

ポリシーマネージャサーバとポリシーマネージャコンソールに関する問題を説明します。

次のファイルに、ランタイムエラー、警告、およびその他の情報が含まれて

います。

ポリシーマネージャ

サーバが起動しませ

ん。 <F-Secure>\Management Server 5\logs\fspms-webapp-errors.logと <F-Secure>\Management Server 5\logs\fspms-service.log

アクセス権 (properties/security/permissions)にローカルのユーザアカウントが含まれていることを確認します。アカウントが認証済みのユー

ザとして含まれていない場合、ユーザを手動で追加し、アクセス権を[フルコ

ントロール]に設定します。管理サーバ5のフォルダ (デフォルトでは

C:\Program Files\F-Secure\Management Server 5またはC:\Program Files (x86)\F-Secure\Management Server 5 (64ビッ

トのOSの場合))とサブフォルダにアクセス権を同様に設定します。変更後、

ポリシーマネージャサーバを再開します。または、コンピュータを再起動し

ます。

ローカルサービスのアカウントはWindowsのシステムアカウントで、ポリ

シーマネージャサーバのサービスはこのユーザアカウントで起動されます。

通常のインストールでは、管理サーバ5フォルダのアクセス権限が自動的に設定されますが、フォルダをコピーしたり、復元したりした場合、アクセス権

が正しく設定されていない可能性があります。そのような場合、上記の方法

でアクセス権を正しく設定してください。

ログファイルは次の場所にあります。ポリシーマネージャ

サーバ機能のログファ <F-Secure>\Management Server 5\logsイルと設定ファイルは

どこにありますか? 設定ファイルは次の場所にあります。

<F-Secure>\Management Server 5\config

ログファイルは次の場所にあります。ポリシーマネージャコ

ンソールのログファイ

ルはどこにありますか?<F-Secure>\Administrator\lib\administrator.error.log

[ポリシーを配布]で適用されるポリシーの変更は次のログに記録されます。

fspms-policy-audit.log

adminユーザのパスワードを忘れた場合、またはアカウントを削除した場合、次のツールでポリシーマネージャのWindows版のユーザアカウントをリセッ

トできます。

管理者のパスワードを

忘れました。パスワー

ドを回復またはリセッ

トできますか? <F-Secure>\bin\reset-admin-account.bat

ポリシーマネージャの Linux版の場合、次のスクリプトでユーザアカウント

をリセットしてください:

/opt/f-secure/fspms/bin/fspms-reset-admin-account

注:リセットツールを実行する前にポリシーマネージャサーバを停止

する必要があります。

ドメインコントローラのサーバとメンバー/スタンドアロンのサーバは異なる

アカウントを使用します。ドメインコントローラではドメインアカウントが、

サーバの機能を変更し

たら、ポリシーマネー

メンバーサーバではローカルのアカウントが使用されます。ポリシーマネージャサーバは停止しま

すか?

142 | トラブルシューティング

ジャサーバは固有のアカウントを使用するため、サーバの機能を変更したら

このアカウントは無効になります。

サーバの機能を変更した場合、ポリシーマネージャサーバを最も簡単に復元

する方法は、ポリシーマネージャサーバを [既存の設定を保存する]を選択し

た状態で再インストールすることです。これを行うと、ポリシーマネージャ

サーバのアカウントは更新され、ファイルのアクセス権限も正しい設定にリ

セットされます。

アクセス権の制限、特に %SystemRoot%フォルダ (c:\windowsまたはc:\winnt)で指定される制限がポリシーマネージャサーバの起動を停止する

Windowsのセキュリ

ティを強化すると、ポ

可能性があります。ポリシーマネージャ固有のアカウント (ローカルサービ

ス)はネットワーク関連の DLLと SYSファイルを読み取る権限が必要です。

リシーマネージャサー

バの動作はどのように

影響されますか?ローカルサービスのアカウントに、次のフォルダを読み取れる権限を許可し

てください。

%SystemRoot%

%SystemRoot%\system32

%SystemRoot%\system32\drivers

サービス制限の中では、ポリシーマネージャサーバの起動を拒否するものも

あります。詳細については、Microsoft Windows Serverの取扱説明を参照してく

ださい。

ポリシーマネージャコンソールとポリシーマネージャサーバが別々のコン

ピュータで動作している場合、ネットワークの問題で接続が影響される可能

ポリシーマネージャコ

ンソールとポリシーマ

性があります。ネットワークスイッチの変更などで、ポリシーマネージャコネージャサーバの接続

が切断します。ンソールとポリシーマネージャサーバの間で接続が失われた問題がいくつか

あります。通常、このような問題は影響されているマシンのネットワークド

ライバを更新すること、またはポリシーマネージャコンソールとポリシーマ

ネージャサーバの新しいスイッチとネットワークカードを更新することによっ

て解消されます。

ポリシーマネージャコンソールがポリシーマネージャサーバと同じコン

ピュータにインストールされている場合、ポリシーマネージャサーバのネッ

トワーク負荷が多い理由で、利用可能のネットワーク接続が1つもない可能性

があります。その結果、ポリシーマネージャコンソールとすべてのホストが

ネットワークのリソースを競合している可能性もあります。

また、ホストのポーリング間隔を長くしたり、Windowsのネットワークタイ

ムアウト設定を短くしたり、Windowsのネットワークポート数を増やしたり

することで、ネットワークの負荷を軽くすることができます。

下記の設定は本製品を効率的に使用するためのWindowsのネットワーク設定

です。

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MaxUserPort(ネットワークの最大ポート数、デフォルト=5000)

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpTimedWaitDelay(非アクティブのネットワーク接続を閉じるまでの待ち時間、デフォルト=240 seconds).

netstat -anのコマンドを使用すると、サーバの接続数を確認できます。

デフォルトでは、ポリシーマネージャサーバの管理モジュール (ポリシーマ

ネージャコンソールからの要求を処理するコンポーネント)はポート8080を

サーバが要求を受信す

るポートを変更するに


はどうすれば良いです

か?

利用し、ポリシーマネージャサーバのホストモジュール (ワークステーショ

ンからの要求を処理するコンポーネント)はポート80を利用します。これらの

ポートはインストール中に変更できます。

次の方法でインストール後にポートを変更できます。


2. HKEY_LOCAL_MACHINE\SOFTWARE\DataFellows\F-Secure\Management Server 5レジストリキーを開きます。64ビットのOSの場合、レジストリキーのパスはHKEY_LOCAL_MACHINE\Wow6432Node\SOFTWARE\DataFellows\F-Secure\Management Server 5になります。

3. AdminPortNum (管理モジュール)とHttpPortNum (ホストモジュール)の

値を変更し、新しいポート番号を指定します。

ポートを指定する際には、Decimalが Baseオプションとして選択されてい

ることを確認してください。

4. ポリシーマネージャサーバを起動します。

注意:ホストが (ポリシーマネージャサーバホストモジュールを通じ

て)ポリシーマネージャサーバにアクセスするように設定されている

場合、ポリシーマネージャサーバのホストポートを変更しないでく

ださい。エージェントがこのポートを通信に使用しているため、ワー

クステーションがサーバに接続できなくなる可能性があります。

19.2ポリシーマネージャWebレポート

ログファイルと設定ファイルのパスです。

ログファイルは次の場所にあります。

<F-Secure>\Management Server 5\Web Reporting\logs

設定ファイルは次の場所にあります。

HKEY_LOCAL_MACHINE\SOFTWARE\Data Fellows\F-Secure\Management Server 5のレジストリキー

次の場所にあるポリシーマネージャサーバの設定ファイルを確認します。

<F-Secure>\Management Server 5\config

19.3ポリシーの配布

ポリシーの配信中に発生する可能性があるエラーメッセージに関する情報です。

原因1:"<setting name>" に制限外の値があります。指定した値がサブドメインまたはホストで選択できる値ではない可能性が

あります。または、値が制限範囲より低いまたは高い値であること。ある

いは、選択した値が空であります。

"<setting name>" に無効な制限があります。

"<setting name>" に無効な値があります:"<value>"

ドメインに異なるバージョンの製品をインストールしているホストがある

場合、製品の最新バージョンのMIB設定がポリシー値の編集に使用されま

す。製品の旧バージョンは新しいポリシーの設定や値に対応していないた

め、旧バージョンをインストールしているホストに対するポリシーの配布

は失敗する可能性があります。

144 | トラブルシューティング

原因2:

入力した整数がポリシー値が制限外である可能性があります。

解決方法:

ホストをサブドメイン別にグループ化します。最新のバージョンには新し

いポリシー値を、旧バージョンには別のポリシー値を使用できるようにな

ります。次の方法でこのドメイン構造を構築できます。

1. ホストを、使用している製品のバージョンに応じてグループ化します。

たとえば、クライアントセキュリティ6.xをインストールしている各ホ

ストを1つのサブドメインに指定して、クライアントセキュリティ7.xを

インストールしている各ホストを別のサブドメインに指定することがで

きます。

2. 主な設定をルートドメインで指定して、例外を処理するためのサブド

メインを作成します。このドメイン構造は旧バージョンをインストール

しているホストの数が少ない場合に効率的です。

原因:"<settingname>" が必要ですが、定義されていま

せん。設定に対する値が指定されていません。

解決方法:

値を入力するか、または [消去]の操作を適用して、親ドメインまたはMIB

から値を再継承します。値が複数のドメイン階層で空の場合、[消去]の操

作を数回実行する必要があるかもしれません。


第章

AポリシーマネージャをMySQLデータベースで使用する

バージョン12.30からポリシーマネージャのデータを標準のH2データ

ベースの代わりにMySQLデータベースに保存できます。

トピック :

• コマンドラインからH2データ

をMySQLに移行する MySQLをポリシーマネージャと使用する場合、ポリシマネージャが

インストールされているマシン、またはアクセス可能な別のノード

にMySQLがインストールされている必要があります。

ポリシーマネージャのデータは、移行ツールに記載されている手順

を実行することでH2からMySQLに移行することができます。

• Windowsの場合、C:\Program Files(x86)\F-Secure\Management Server5\bin\fspms-db-migrate-to-mysql.exeを実行します

• Linuxの場

合、/opt/f-secure/fspms/bin/fspms-db-migrate-to-mysqlを実行します

また、コマンドラインからH2データをMySQLに移行するページ147

の手順に従ってコマンドラインからも移行処理を実行できます。

ポリシーマネージャはOracle MySQL 5.5/5.6/5.7に対応しています。

注: TLSの接続は現在対応されていません。

146 | ポリシーマネージャをMySQLデータベースで使用する

A.1コマンドラインからH2データをMySQLに移行する

次の手順にしたがって、MySQLを構成してポリシーマネージャのデータをコマンドラインを通じてH2

からMySQLに移行できます。

注:コマンドラインから移行する必要がない場合、移行ツール (Windowsの場合、C:\ProgramFiles (x86)\F-Secure\Management Server 5\bin\fspms-db-migrate-to-mysql.exeを実行、Linuxの場合、/opt/f-secure/fspms/bin/fspms-db-migrate-to-mysqlを実行)

を実行して、指示に従ってください。

注:データベースに保存されているデータの量によって移行処理が完了するまで数分から1時間か

かることがあります。

1. MySQLサービスを停止します。

2. my.ini構成ファイルを変更します。

[mysqld]の次のエントリを変更・追加します: max_allowed_packet = 100M

3. MySQLサービスを開始します。

4. MySQLコマンドラインクライアントを開き、次のコマンドを実行してデータベーススキーマとユー

ザを作成します:

a) CREATE SCHEMA <schema>;

<schema>:ポリシーのマネージャのデータを保存するデータベースの名前を指定します。名前はMySQLで有効なものを指定できます。例: fspmsまたは policy_manager.

b) CREATE USER <pm_all> IDENTIFIED BY '<all_password>';

<pm_all>:ポリシーマネージャがデータベーススキーマの初期化 (必要なテーブルの作成など)

に使用するMySQLユーザを指定します。名前はMySQLで有効なものを指定できます。

<all_password>: <pm_all>MySQLユーザのパスワードを指定します。

c) CREATE USER <pm_rw> IDENTIFIED BY '<rw_password>';

<pm_rw>:ポリシーマネージャが実行しているデータベースのアクセスに使用するMySQLユーザ

を指定します。名前はMySQLで有効なものを指定できます。

<rw_password>: <pm_rw>MySQLユーザのパスワードを指定します。

d) GRANT ALTER, ALTER ROUTINE, CREATE, CREATE ROUTINE, CREATE TEMPORARYTABLES, CREATE VIEW, DELETE, DROP, EXECUTE, INDEX, INSERT, LOCK TABLES,REFERENCES, SELECT, UPDATE ON <schema>.* TO <pm_all>@'%';

e) GRANT CREATE TEMPORARY TABLES, DELETE, EXECUTE, INSERT, LOCK TABLES,SELECT, UPDATE ON <schema>.* TO <pm_rw>@'%';


6. 次のコマンドを実行して移行処理を開始します。

• Windowsの場合、C:\Program Files (x86)\F-Secure\Management Server5\bin\fspms-db-migrate-to-mysql.exeを実行します

• Linuxの場合、/opt/f-secure/fspms/bin/fspms-db-migrate-to-mysqlを実行します

注: Linuxのヘッドレスモードで移行を実行している場

合、/var/opt/f-secure/fspms/data/fspms.db.config構成ファイルを使用して、MySQLの構成パラメータを設定する必要があります。

active.db=mysqlmysql.type=mysqlmysql.host=<MySQL server address>mysql.port=<MySQL server port>mysql.schema=<schema>


mysql.init.user=<pm_all>mysql.init.password=<all_password>mysql.user=<pm_rw>mysql.password=<rw_password>

MySQLでレプリケーションを使用する場合、MySQLのコマンドラインクライアントで次のコマンドを実

行してポリシーマネージャのデータベースユーザに追加の権限を付与できます。

• GRANT REPLICATION CLIENT, SUPER ON *.* TO <pm_all>@'%';• GRANT REPLICATION CLIENT ON *.* TO <pm_rw>@'%';

保存しているルーティンの複製を行う場合、スキーマの変更を行うユーザは SUPER権限を必要とします。

注: binlogを有効にした場合、行レベルのレプリケーションのみ対応されます。

148 | ポリシーマネージャをMySQLデータベースで使用する

f-secure policy manager...目次 1: はじめに.....8 1.1 新機能.....9

Documents