Central Consoleで基本ポリシーが制御されている場合

Central Consoleの管理者によって本サービスの基本ポリシーが制御されていると、Central Consoleで設定されたポリシーで基本ポリシーが上書きされます。

この場合、基本ポリシーの各画面に次のようなメッセージが表示され、制御されている項目の設定は編集できなくなります（設定内容の閲覧はできます）。

詳細については、Central Consoleの管理者にお問い合わせください。

表10-1-1.基本ポリシーで設定できる項目

PC診断

セキュリティ診断するための基本設定と、診断結果がNGの場合にWindowsクライアントに対して実行する是正アクションの設定をします。

セキュリティ診断基本設定

セキュリティ診断に含める項目と診断結果の通知方法を設定します。

OSセキュリティ更新プログラム

OSセキュリティ診断プログラムの診断方法の選択と、診断結果がNGの場合にWindowsクライアントに対して実行する是正アクションの設定をします。

また、OSセキュリティ診断プログラムを適用するまでの猶予期間として、配信日を基に診断対象から除外する日数を設定します。

ソフトウェアバージョン診断

診断結果がNGの場合にWindowsクライアントに対して実行する是正アクションを設定します。Adobe、Java、Webブラウザーのほかに任意のソフトウェア診断ができます。

また、ソフトウェアを最新版にするまでの猶予期間として、リリース日を基に診断対象から除外する日数を設定します。

ウイルス対策ソフトウェア

診断結果がNGの場合にWindowsクライアントに対して実行する是正アクションを設定します。

また、ウイルス対策ソフトウェアの最新版を適用するまでの猶予期間として、配信日を基に診断対象から除外する日数を設定します。

禁止ソフトウェア

禁止するソフトウェアの登録と禁止ソフトウェアの起動制御を設定します。

診断結果がNGの場合にWindowsクライアントに対して実行する是正アクションを設定します。

カスタム診断

Windowsクライアントから収集したインベントリを基に、独自のセキュリティ診断設定や是正アクションを設定します。

ふるまい検知^（＊1）

マルウェアの検知レベルを設定します。また、検体を収集するかどうか、ふるまい検知エージェントを自動で配布するかどうかを設定します。

PC収集

インベントリの収集スケジュールやインベントリ送信結果をユーザーに通知するかどうかを設定します。また、特定のファイル情報や管理者が任意に設定した項目の収集設定ができます。

インベントリ収集

インベントリの収集スケジュールや、インベントリ送信結果をユーザーに通知するかどうかを設定します。また、特定のファイルやレジストリ、INIファイルの情報を取得する場合に、収集対象とするファイル情報を設定します。

ハードウェア管理情報収集

管理者が任意に設定した項目について、Windows/Macクライアントからアンケート形式で情報収集することができます。収集する項目とクライアントで入力する形式を設定します。

［スマートデバイス収集］の［ハードウェア管理情報収集］の設定と連動しています。

ふるまい検知^（＊1）

管理者への日次の通知とマルウェア検知時のアラート通知を設定します。

操作ログ収集^（＊1）

収集する操作ログの種類を選択します。また、特定の操作に対してログ収集しないための設定や、アラート通知を設定します。

PC制御

Windows/Macクライアントに対しての外部デバイス制御、Windowsクライアントに対してのソフトウェア自動更新、プリンタードライバー制御、削除フォルダーを設定します。

外部デバイス制御^（＊1）

外部デバイスごとに読み取り、書き込みの制御設定をします。また、Windowsクライアントに接続された外部デバイスの自動起動抑止を設定します。

承認済み外部デバイス一覧

使用を許可する外部デバイスを登録します。

通信デバイス制御^（＊2）

Windowsクライアントに対して、許可している通信デバイスのみ接続可能にします。
Bluetoothデバイスの使用制御、IPアドレス指定による通信先やSSID指定による接続先アクセスポイントを設定します。

高速スタートアップ

Windowsの高速スタートアップの有効/無効の設定をします。

ソフトウェア自動更新

Windows 10 / 11 Update設定やWindows Update、Adobe製品、Webブラウザーの自動更新を設定します。

プリンタードライバー制御

プリンターポートや印刷のお気に入りを設定します。

削除フォルダー

緊急操作の［指定フォルダーの削除］を実行するための事前準備として、削除フォルダーを設定します。

スマートデバイス診断

セキュリティ診断するための設定と、禁止ソフトウェアの設定、root化/JailBreak検知時の通知設定をします。

セキュリティ診断基本設定

システム管理者に送信する日次アラートメールに、一定期間インベントリが収集されていないクライアント情報を含めるかどうかを設定します。

iOS

禁止ソフトウェアの設定とJailBreak検知時の通知設定をします。

Android

セキュリティ診断の設定とroot化検知時の通知設定をします。

スマートデバイス収集

スマートデバイスのインベントリ収集スケジュールと位置情報、ハードウェア管理情報を設定します。

インベントリ収集

インベントリの収集スケジュールや未収集判定日数を設定します。

位置情報収集

iOS/Androidクライアントの位置情報を収集する設定をします。

ハードウェア管理情報収集

管理者がハードウェアを管理するために必要な任意の項目を設定します。設定した項目については、ユーザーコンソールから情報を入力できます。

［PC収集］の［ハードウェア管理情報収集］の設定と連動しています。

スマートデバイス制御

ポリシー構成プロファイルによるiOS制御とAndroidへのBluetooth機能/SDカードアクセス/Wi-Fiの無効化を設定します。

iOS

デバイス制御設定をしたポリシー構成プロファイルをアップロードできます。

Android

Bluetooth機能/SDカードアクセス/Wi-Fiの無効化やソフトウェア制御を設定します。

ハードウェア棚卸設定

ハードウェアの棚卸期間と、棚卸期間が近づいたことを管理者に通知するための設定をします。

個別ポリシー使用許可設定

設定を有効にすると、個別ポリシーが使用できます。変更を許可する項目を指定できます。

システム設定

通知メールで使用する言語の設定、Windowsクライアントに関する設定、位置情報を表示する際のサービス、ユーザーコンソールへの接続を許可するIPアドレスを設定します。

(1)

メニューから、を選択します。

(2)

左メニューから、［基本ポリシー］を選択します。

基本ポリシーの編集画面が表示されます。

(1)

左メニューから、［PC診断］→［禁止ソフトウェア］を選択します。

(2)

［禁止ソフトウェア一覧］のをクリックします。

「禁止ソフトウェア登録」画面が表示されます。

(3)

禁止するソフトウェア情報を選択します。

例：［禁止ソフトウェアリストから選択］の［ファイル交換ソフトウェア］にチェックを入れる

(4)

［追加］ボタンをクリックします。

追加が完了し、「PC診断」画面に戻ります。

(1)

［禁止ソフトウェアの起動を制御する］にチェックを入れます。

チェックを入れると、禁止ソフトウェアに登録したソフトウェアが起動できなくなります。

［通知設定］ボタンをクリックして表示される「禁止ソフトウェア起動制御通知設定」画面で、禁止ソフトウェアの起動制御時に、任意のメッセージをユーザーに通知するかどうかを設定できます。

(1)

是正サイトのURL、クライアントで実行させる是正コマンドなどを設定します。

項目詳細については、以下を参照してください。

   11-5-1-5. 禁止ソフトウェア

(2)

［登録］ボタンをクリックします。

(3)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

［PC診断］の登録が完了します。

(1)

左メニューから、［PC収集］→［インベントリ収集］を選択します。

(2)

スケジュール設定を変更します。

例：［日］を選択
［開始時刻］で“12:00”と入力
［繰り返す間隔］で“1”日と入力

   インベントリを即時収集するには

［ハードウェア］メニュー→［ハードウェア一覧］で、インベントリを今すぐ収集するWindowsクライアントのチェックボックスにチェックを入れ、から［インベントリ収集］を選択します。

なお、インベントリを即時収集するには、サービスプロバイダー/サービス管理者で機能を提供するよう設定されている必要があります。

(1)

［登録］ボタンをクリックします。

(2)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

登録が完了します。

   設定をクライアントに即時反映するには

［ハードウェア］メニュー→［ハードウェア一覧］で、設定を反映するクライアントのチェックボックスにチェックを入れ、から、［クライアント設定同期］を選択します。

なお、クライアント設定同期を実行するには、サービスプロバイダー/サービス管理者で機能を提供するよう設定されている必要があります。

(1)

メニューから、を選択します。

(2)

左メニューから、［基本ポリシー］を選択します。

基本ポリシーの編集画面が表示されます。

(1)

左メニューから、［PC診断］→［カスタム診断］を選択します。

(2)

をクリックします。

カスタム診断の新規作成画面が表示されます。

(3)

設定名を入力します。

例：“RCクライアントのインストール診断”と入力

(4)

［ログオン時のみ診断する］にチェックを入れます。

チェックを入れると、インベントリ収集時にユーザーがログオンしている場合のみ診断します。

(5)

［対象クライアント条件］のから、インベントリ種別を選択します。

例：［ハードウェアインベントリ］を選択

対象クライアント条件の作成画面が表示されます。

対象クライアント条件を指定しない場合、すべてのクライアントが診断対象になります。

(1)

［条件名］欄に、条件名を入力します。

例：“Windows 10”と入力

(2)

［項目］で、診断対象とする項目を選択します。

例：［OS］を選択

(3)

［キーワード］で、キーワードを入力し、対象クライアント条件を指定します。

例：［次の値を含む］を選択し、
“Microsoft Windows 10”と入力

(4)

［登録］ボタンをクリックします。

対象クライアント条件の登録が完了し、カスタム診断の新規作成画面に戻ります。

(5)

［診断項目］のから、インベントリ種別を選択します。

例：［ソフトウェアインベントリ］を選択

カスタム診断項目の作成画面が表示されます。

(1)

［条件名］欄に、条件名を入力します。

例：“RCクライアントのインストール診断”と入力

(2)

［項目］で、診断対象とする項目を選択します。

例：［製品名］を選択

(3)

［比較条件］で、条件を選択します。

例：［条件に一致すればOK］を選択

(4)

［キーワード］で、キーワードを入力し、対象クライアント条件を指定します。

例：［次の値と等しい］を選択し、“RC Client”と入力

(5)

［登録］ボタンをクリックします。

診断項目の登録が完了し、カスタム診断の新規作成画面に戻ります。

(6)

［登録］ボタンをクリックします。

カスタム診断の登録が完了し、基本ポリシーの設定画面に戻ります。

(1)

［登録］ボタンをクリックします。

(2)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

［PC診断］の登録が完了します。

表10-1-4.検知レベル設定項目

ブロックモード

マルウェアと判定されたプログラムの動作をブロックします。通常運用時に設定してください。

ログモード（デフォルト）

マルウェアと判定されたプログラムの動作をブロックしません。事前検証時、マルウェアの誤検知を把握する目的で設定してください。

カスタム

検知レベルをカスタマイズする場合に設定してください。

(1)

メニューから、を選択します。

(2)

左メニューから、［基本ポリシー］を選択します。

基本ポリシーの編集画面が表示されます。

(1)

左メニューから、［PC診断］→［ふるまい検知］を選択します。

(2)

［検知レベル設定］で検知レベルを選択します。

例：［カスタム］を選択

(3)

［カスタム設定］ボタンをクリックします。

「検知レベルカスタム設定」画面が表示されます。

(1)

各項目を設定します。

項目詳細については、以下を参照してください。

   11-5-1-7. ふるまい検知

(2)

［登録］ボタンをクリックします。

登録が完了し、［ふるまい検知］に戻ります。

(1)

［検体を保存する］にチェックを入れます。

(2)

各項目を設定します。

項目詳細については、以下を参照してください。

   11-5-1-7. ふるまい検知

   検体収集に関する注意点

Windowsサービスプロセスから実行されたファイルをマルウェアとして検知した場合、検体は収集されません。また、Windows Defender連携でマルウェアを検知した場合も、検体は収集されません。

   ドメインコントローラーサーバーを利用する場合

検出された検体をドメインコントローラーサーバーに保存する場合や、ドメインに所属するWindowsクライアントから検出された検体をファイルサーバーに保存する場合は、デフォルトドメインポリシーをローカルログオン許可に設定する必要があります。

   付録-5. ドメインコントローラーサーバーを利用する場合

(1)

［エージェントを自動配布する］にチェックを入れます。

チェックを入れると、クライアントの状態が“運用中”でふるまい検知ライセンスが有効な端末に、ふるまい検知エージェントが配布され、自動でインストールされます。

   10-11-2. ふるまい検知ライセンスを設定する

(1)

［登録］ボタンをクリックします。

(2)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

ふるまい検知の登録が完了し、基本ポリシーの設定画面に戻ります。

(1)

左メニューから［PC収集］→［ふるまい検知］を選択します。

(2)

システム管理者にマルウェア検知情報を日次メールとして送信する場合は、［システム管理者にマルウェア検知結果を毎日メールで通知する］にチェックを入れます。

(3)

マルウェア検知時にシステム管理者、またはグループ管理者にすぐに通知する場合は、［マルウェア検知時、即時にメール通知する］にチェックを入れます。

［通知の詳細設定］ボタンをクリックして表示される「マルウェア検知通知設定」画面で通知先やメール本文などを設定できます。

(1)

［登録］ボタンをクリックします。

(2)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

［PC収集］の登録が完了します。

   ふるまい検知診断の例外設定

正常なソフトウェアがマルウェアとして検知された場合、対象のソフトウェアを検知対象から除外するための例外登録ができます。

   10-8-4. ふるまい検知診断

   11-12-5. ふるまい検知診断例外設定

   関連顧客のコンソールに切り替える場合

関連顧客のコンソールに切り替えてログインする際には、接続元IPアドレスの制御はされません。

(1)

メニューから、を選択します。

(2)

左メニューから、［基本ポリシー］を選択します。

基本ポリシーの編集画面が表示されます。

(1)

左メニューから、［システム設定］を選択します。

(2)

［接続元IPアドレス制御］で［ユーザーコンソールへの接続を許可するIPアドレスを指定する］にチェックを入れます。

(3)

をクリックします。

「接続許可IPアドレス登録」画面が表示されます。

(4)

［現在接続しているIPアドレス］を確認します。

(5)

［IPアドレス（開始）］欄に、ユーザーコンソールへの接続を許可するIPv4アドレスの範囲（開始）を入力します。

(6)

［IPアドレス（終了）］欄に、ユーザーコンソールへの接続を許可するIPv4アドレスの範囲（終了）を入力します。

(7)

［備考］欄に、備考を入力します（256文字まで）。

項目詳細については、以下を参照してください。

   11-5-9. システム設定

(8)

［登録］ボタンをクリックします。

接続を許可するIPアドレスの登録が完了します。

   接続元IPアドレス制御に関する注意点

接続元IPアドレス制御ついて、次の注意点があります。

･接続元IPアドレス制御を有効にする場合は、必ず現在接続しているIPアドレスを含むIPアドレス範囲を設定してください。

･接続元IPアドレス制御は、IPv6には対応していません。

(1)

［登録］ボタンをクリックします。

(2)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

［システム設定］の登録が完了します。