セキュリティ監査で使用する監査指針の設定方法について説明します。
なお、Systemwalker Desktop Patrolが提供する推奨監査指針を変更しない場合は、監査指針の設定をする必要はありません。
手順を以下に示します。
ACメニューにログオンします。
[レポート出力の設定]をクリックします。
→以下の画面が表示されます。
[セキュリティ監査の設定]のボタンをクリックし、[セキュリティ監査の設定]画面を表示します。
変更を行う[監査指針]を選択し、[監査指針]の[設定]ボタンをクリックします。
新規に監査指針を定義する場合は、[ユーザー定義用]を選択します。推奨指針を編集する場合は、[情報漏洩対策]または[脆弱性対策]を選択します。
なお、各監査項目の設定は、運用方法や環境に応じて組み合わせて選択します。
→[監査指針の設定]画面が表示されます。
以下の情報を設定して、[OK]ボタンをクリックします。
項目名 | 説明 | |
|---|---|---|
[監査指針名] | 監査指針の名称を設定します。 半角の英数字、半角の記号、および全角文字を合わせて、全角16文字、半角32文字以内で設定できます。 | |
[セキュリティ監査レポートの出力対象としない] | セキュリティ監査レポートを出力しない場合にチェックします。 | |
[セキュリティ監査レポートの出力対象とする] | セキュリティ監査レポートを出力する場合にチェックします。 | |
[集計対象とする部門の階層](注1) | 指定なし、または1階層目から9階層目までを選択します。 | |
[監査項目] | [ハードウェア] | BIOS状況をセキュリティ監査レポートの出力項目に含める場合にチェックします。 |
[OS(システム)] | ログオン状況や自動更新の設定などのシステムに関するOSの設定状況をセキュリティ監査レポートの出力項目に含める場合にチェックします。 | |
[OS(ユーザー)] | スクリーンセーバーなどのユーザーに関するOSの設定状況をセキュリティ監査レポートの出力項目に含める場合にチェックします。 | |
[Internet Explorer] | Internet Explorerのセキュリティゾーン状況の設定状況をセキュリティ監査レポートの出力項目に含める場合にチェックします。 | |
[Windowsの更新プログラム](注2) | OSなどのパッチ適用の設定状況をセキュリティ監査レポートの出力項目に含める場合にチェックします。 | |
[ウイルス対策ソフトウェア] | ウイルス対策ソフトウェアの導入状況やリアルタイム検索設定状況などをセキュリティ監査レポートの出力項目に含める場合にチェックします。 | |
[ウイルス対策ソフトウェアのウイルスパターン状況] | ウイルスパターンの適用状況をセキュリティ監査レポートの出力項目に含める場合にチェックします。 | |
[アクセス制御] | 操作禁止の適用状況をセキュリティ監査レポートの出力項目に含める場合にチェックします。 | |
[暗号化状況] | ファイル暗号化の設定状況をセキュリティ監査レポートの出力項目に含める場合にチェックします。 | |
[監査ソフト導入] | 監査ソフト導入状況の設定状況をセキュリティ監査レポートの出力項目に含める場合にチェックします。 | |
[アプリケーション] | Googleデスクトップの機能やファイアウォールの設定などのアプリケーションの設定状況をセキュリティ監査レポートの出力項目に含める場合にチェックします。 | |
[詳細] | 各項目に対する監査で、何を出力対象とし、何を出力対象としないかを設定する画面を表示します。 設定項目については、“監査指針の項目”を参照してください。 | |
注1)達成率の高い部門、達成率の低い部門を集計するときの部門階層です。
以下の例で、部門階層として2階層目を指定した場合、部門として表示される単位は、以下のとおりです。
上位部門
総務部(配下の部門を含む)
2階層目の「総務部」には、配下部門の「業務課」「経理課」「庶務課」「総務課」配下のPCも含めて集計され、その集計内容で達成率の高い部門、達成率の低い部門が判定されます。
また、2階層目より上位階層「ソフトウェア統括部」「ハードウェア統括部」「管理統括部」については、「上位部門」として1つの部門として集計され、その「上位部門」で達成率の高い部門、達成率の低い部門が判定されます。
なお、階層を設定しない場合は、すべての部門が達成率の高い部門、達成率の低い部門の対象となります。また、未配置に含まれるPCについては、達成率の高い部門、達成率の低い部門の判定には含まれません。
注2)Systemwalker Desktop Patrolが管理しているパッチ配信情報を使用してパッチ適用状況のチェックを行います。パッチ配信情報は、サポートセンターから配信されるソフトウェア辞書に含まれています。なお、チェックを行うパッチについては、[メインメニュー]-[配信]-[セキュリティパッチの配信]画面で、自動パッチ適用にチェックを行っておく必要があります。自動パッチ適用にチェックしていないパッチについては、チェック対象外となります。
パッチ自動適用を実施しない運用の場合、[詳細]画面において「監査対象としない」の設定を行ってください。
パッチ配信情報に含まれるすべてのパッチがPCに適用されている場合は、そのPCをパッチ適用がOKのPCとして扱い、一つでもパッチが適用されていない場合はNGのPCとして扱います。適用されていないパッチは、Systemwalker Desktop Patrolの画面から確認できます。
適用されていないパッチの確認方法については、“3.2.1 インベントリ情報を参照する”を参照してください。
→各監査項目の出力基準を変更する場合は、各監査項目を選択し、[詳細]ボタンをクリックします。以下は、[ハードウェア]を選択した場合の画面です。
以下の情報を設定して、[OK]ボタンをクリックします。
項目名 | 説明 | |
|---|---|---|
[BIOS起動パスワード] | BIOSの起動パスワードについてレポートへの出力を設定するときに選択します。 | |
[BIOS設定パスワード] | BIOSの設定パスワードについてレポートへの出力を設定するときに選択します。 | |
[BIOSハードディスクパスワード] | BIOSのハードディスクパスワードについてレポートへの出力を設定するときに選択します。 | |
設定内容 (注) | [出力対象としない] | 選択した項目を出力対象としない場合に選択します。 |
[出力対象とする] | 選択した項目を出力対象とする場合に選択します。 | |
[OKと判定する項目] | [収集不可]、[設定なし]、[設定あり]について監査OKと判定する項目を選択します。 | |
注) [アクセス制御状況]、[ディスク暗号化状況]の各監査項目は、判断基準の設定を行うことができます。
[ハードウェア]以外の監査項目についても同様に設定します。
なお、設定画面で表示される[項目名]は、監査指針の項目により異なります。ほかの監査項目については、“監査指針の項目”を参照してください。
監査結果のしきい値を変更する場合は、[監査結果のしきい値]の[変更]ボタンをクリックします。
[監査結果のしきい値]画面では、アイコンの出力基準を変更することができます。
以下の情報を設定して、[OK]ボタンをクリックします。
項目名 | 説明 |
|---|---|
[晴れ]アイコンのしきい値 | 半角の数字のみ設定できます。 初期値は90%以上です。 |
[曇り]アイコンのしきい値 | 半角の数字のみ設定できます。 初期値は70%以上です。 [晴れ]アイコンのしきい値より小さい値を設定します。 |
[雨]アイコンのしきい値 | 半角の数字のみ設定できます。 初期値は50%以上です。 [曇り]アイコンのしきい値より小さい値を設定します。 |
以下のフォルダにアイコンを格納することで、アイコンを変更することができます。
画像ファイルの登録フォルダ
ACインストールディレクトリ\images |
画像ファイル/ファイル名
画像ファイル | ファイル名 |
| best.bmp |
| better.bmp |
| bad.bmp |
| worse.bmp |
画像ファイルのサイズ/形式
サイズ/形式 | |
幅 | 82ピクセル(注) |
高さ | 36ピクセル(注) |
形式 | bmp形式 |
注)異なるサイズの画像ファイルを使用した場合も、上記のサイズで表示されます。
ポイント
画像ファイルの変更
画像ファイルの変更は、変更したAC端末だけで有効となります。すべてのAC端末で画像ファイルを統一する場合は、すべてのAC端末の画像ファイルを入れ替えてください。
画像ファイルを元に戻す場合、以下の方法があります。
変更する前に、製品側のアイコンを待避している場合は、退避しているアイコンを登録フォルダに再配置してください。
変更する前に、製品側のアイコンを退避していない場合は、変更後のアイコンを削除し、本製品のACを再インストールしてください。(上書きインストールでアンインストールする必要はありません)
画像ファイルが空白で表示されている場合は、ファイルが壊れている、または不足していることが考えられます。空白で表示された場合は、アイコンの格納先を見直し、新しい画像を準備するか、もしくは上記の画像ファイルを元に戻す方法により、復元させてください。
監査指針の項目
監査指針の項目について説明します。
各項目の内容については、“3.2.6 セキュリティ情報を参照する”を参照してください。
以下の項目については、それぞれの項目単位で監査レポートの出力対象とするか監査レポートの出力対象としないかを選択できます。
ハードウェア(注)
情報 | 推奨監査指針の初期値 | |
|---|---|---|
脆弱性対策 | 情報漏洩対策 | |
BIOS起動パスワード | 出力対象としない | 出力対象とする |
BIOS設定パスワード | 出力対象としない | 出力対象とする |
BIOSハードディスクパスワード | 出力対象としない | 出力対象とする |
注)仮想PCの場合は、ハードウェアは「監査不可」となるため、レポートでは、「ハードウェア種別」は「仮想PC」、「ハードウェア」は[-]と表示されます。
OS(システム)
情報 | 推奨監査指針の初期値 | |
|---|---|---|
脆弱性対策 | 情報漏洩対策 | |
自動ログオン | 出力対象としない | 出力対象とする |
ようこそ画面 | 出力対象としない | 出力対象としない |
最後のユーザー名 | 出力対象としない | 出力対象としない |
Guestアカウントのセキュリティ | 出力対象としない | 出力対象とする |
自動更新の設定 | 出力対象としない | 出力対象としない |
ユーザーアカウント制御(UAC) | 出力対象としない | 出力対象としない |
安全でない共有フォルダ | 出力対象としない | 出力対象とする |
スタンバイ回復時のパスワード入力 | 出力対象としない | 出力対象としない |
複雑なパスワードを必要とする設定 | 出力対象としない | 出力対象としない |
OS(ユーザー)
情報 | 推奨監査指針の初期値 | |
|---|---|---|
脆弱性対策 | 情報漏洩対策 | |
スクリーンセーバー | 出力対象としない | 出力対象とする |
スクリーンセーバーパスワード | 出力対象としない | 出力対象とする |
ログオンユーザーのパスワード | 出力対象としない | 出力対象とする |
Internet Explorer
情報 | 推奨監査指針の初期値 | |
|---|---|---|
脆弱性対策 | 情報漏洩対策 | |
インターネットゾーン | 出力対象とする | 出力対象とする |
監査ソフト導入
情報 | 推奨監査指針の初期値 | |
|---|---|---|
脆弱性対策 | 情報漏洩対策 | |
Systemwalker Desktop Patrol CTがインストールされているか(インベントリが収集されているか)のチェックを行う | 出力対象とする | 出力対象とする |
Windowsの更新プログラム
設定項目 | 推奨監査指針の初期値 | |
|---|---|---|
脆弱性対策 | 情報漏洩対策 | |
Systemwalker Desktop Patrolが管理しているパッチ配信情報を使用してパッチ適用状況のチェックを行う | 出力対象とする | 出力対象とする |
ウイルス対策ソフトウェア
情報 | 推奨監査指針の初期値 | |
|---|---|---|
脆弱性対策 | 情報漏洩対策 | |
ウイルス対策ソフトウェア導入 | 出力対象とする | 出力対象とする |
ウイルス対策ソフトウェアのリアルタイム検索 | 出力対象とする | 出力対象とする |
ウイルス対策ソフトウェアの定時スキャン状況 | 出力対象としない | 出力対象としない |
ウイルス対策ソフトウェアのスキャン対象範囲 | 出力対象としない | 出力対象としない |
ウイルス対策ソフトウェアのウイルスパターン状況
情報 | 推奨監査指針の初期値 | |
|---|---|---|
脆弱性対策 | 情報漏洩対策 | |
最新のウイルスパターンが適用されているかのチェックを行う | 出力対象とする | 出力対象とする |
アクセス制御状況
Systemwalker Desktop KeeperV13.0.0以降を導入している場合に使用できます。
情報 | 内容 | 推奨監査指針の初期値 | |
|---|---|---|---|
脆弱性対策 | 情報漏洩対策 | ||
ファイル持ち出し禁止 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
通常持ち出し | |||
暗号化持ち出し | |||
持ち出し不可 | |||
印刷禁止 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
PrintScreenキー禁止 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
ログオン禁止 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
アプリケーション起動禁止 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
メール添付禁止 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
暗号化ファイルのみ許可 | |||
指定拡張子のみ禁止 | |||
指定拡張子のみ許可 | |||
アプリケーション起動ログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
アプリケーション終了ログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
ウィンドウタイトルログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
メール送信ログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
コマンドプロンプトログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
デバイス構成変更ログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
印刷操作ログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
ファイル持ち出しログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
ファイル操作ログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
ログオン/ログオフログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
連携アプリケーションログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
PrintScreenキーログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
ファイル持ち出しユーティリティ | 収集不可 | 出力対象としない | 出力対象としない |
通常持ち出し | |||
暗号化持ち出し | |||
持ち出し不可 | |||
リムーバブルドライブの読み込み禁止 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
USBデバイス個体識別 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
Web操作ログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
FTP操作ログ | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
メール送信時宛先確認 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
URLアクセス禁止 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
FTPサーバ接続禁止 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
Webダウンロード禁止 | 収集不可 | 出力対象としない | 出力対象としない |
しない | |||
する | |||
ディスク暗号化状況
Systemwalker Desktop EncryptionV13.0.0を導入している場合に使用できます。
情報 | 内容 | 推奨監査指針の初期値 | ||
|---|---|---|---|---|
脆弱性対策 | 情報漏洩対策 | |||
鍵の有効化 | 収集不可 | 出力対象としない | 出力対象としない | |
使用不可 | ||||
使用可 | ||||
鍵の設定 | 収集不可 | 出力対象としない | 出力対象としない | |
使用不可 | ||||
使用可 | ||||
Desktop Encryptionの詳細設定 | 収集不可 | 出力対象としない | 出力対象としない | |
使用不可 | ||||
使用可 | ||||
自動暗号フォルダ | 収集不可 | 出力対象としない | 出力対象としない | |
使用不可 | ||||
使用可 | ||||
Windowsログオン連携 | 収集不可 | 出力対象としない | 出力対象としない | |
使用不可 | ||||
使用可 | ||||
Desktop Encryptionの終了 | 収集不可 | 出力対象としない | 出力対象としない | |
不可 | ||||
可 | ||||
すべての鍵の無効化 | 収集不可 | 出力対象としない | 出力対象としない | |
使用不可 | ||||
使用可 | ||||
鍵の設定にすべての鍵を表示するか否か | 収集不可 | 出力対象としない | 出力対象としない | |
表示しない | ||||
表示する | ||||
Windowsログオン連携を使用するか否か | 収集不可 | 出力対象としない | 出力対象としない | |
使用しない | ||||
使用する | ||||
鍵の無効化にスクリーンセーバーを起動するか否か | 収集不可 | 出力対象としない | 出力対象としない | |
起動しない | ||||
起動する | ||||
標準アルゴリズムの指定 | 収集不可 | 出力対象としない | 出力対象としない | |
TRIPLE-DES | ||||
AES | ||||
リムーバブルメディア自動認識機能 | 収集不可 | 出力対象としない | 出力対象としない | |
使用しない | ||||
使用する | ||||
リムーバブルメディア自動認識オプション | USB-HDD | 収集不可 | 出力対象としない | 出力対象としない |
認識しない | ||||
認識する | ||||
IEEE-HDD | 収集不可 | 出力対象としない | 出力対象としない | |
認識しない | ||||
認識する | ||||
FDD | 収集不可 | 出力対象としない | 出力対象としない | |
認識しない | ||||
認識する | ||||
アプリケーション
情報 | 推奨監査指針の初期値 | |
|---|---|---|
脆弱性対策 | 情報漏洩対策 | |
ファイアウォール | 出力対象とする | 出力対象とする |
暗号化ソフトウェアの導入状況 | 出力対象としない | 出力対象としない |
Googleデスクトップ「複数コンピュータ上のデータ検索」 | 出力対象としない | 出力対象とする |
禁止ソフトウェアの検出状況 | 出力対象としない | 出力対象としない |
各監査項目の監査を行うか否かの設定については、“4.2.2.1 セキュリティ設定の監査項目を設定する”を参照してください。
また、セキュリティ監査レポートで出力される監査結果は、運用設定の診断結果(セキュリティ監査)での監査結果と一致しています。判定方法については、“4.3.1.2 セキュリティの診断結果画面の構成”の“診断結果”を参照してください。
Systemwalker Desktop Patrolの他製品連携で取り込まれたPCについては、監査結果は以下のようになります。
監査OKと判定する監査項目
[監査ソフト導入]
[Windowsの更新プログラム]
監査NGと判定する監査項目
[ウイルス対策ソフトウェア]
[ウイルス対策ソフトウェアのウイルスパターン状況]
上記以外の項目について
監査OKと判定されます。
