4.3. HIP機能の設定をする

FRAポータルにて設定するHIP機能の利用手順について説明します。
HIP機能を使用する場合HIPオブジェクトを作成しHIPプロファイルに紐づけした上で、セキュリティポリシーへ作成したHIPプロファイルを適用する必要があります。

4.3.1. 注意事項、前提条件

  • 設定は必ず0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で同じ設定にしてください。
  • 設定変更後、0系/1系で必ずコミットを実施してください。
  • 設定変更後、FRAクライアントソフトを再接続すると設定が反映されます。
  • エージェントコンフィグを複数作成されている場合、 4.3.4.4. HIPオブジェクト追加(カスタムチェック)/HIPデータ収集 の設定はすべてのエージェントコンフィグに行ってください。

4.3.3. お申し込みの流れ、全体説明

図4.3.3.1. 設定変更の流れ

4.3.4. HIP機能の設定手順

4.3.4.1. HIPオブジェクトを作成する

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ➀[Objects]をクリックします。
    ➁[HIPオブジェクト]をクリックします。
    ➂[追加]をクリックします。

図4.3.4.1.1. HIPオブジェクト画面

  1. 以下の項目を設定します。

図4.3.4.1.2. 新規HIPオブジェクト(全般)

表 4.3.4.1.1. HIPオブジェクトの設定項目

項番

項目

設定値

1

名前

任意の名前を入力します。名前は必須項目です。

2

ホスト情報

ホスト情報にチェックを入れます。

3

OS

OSバージョンを指定したい場合は選択欄からOSバージョンを選択します。

4

クライアントバージョン

クライアント(端末)のバージョンを指定したい場合は選択欄にクライアントバージョンを指定します。

5

ホスト名

ホスト名を指定したい場合は、選択欄にホスト名を指定します。

6

ホストID
ホストIDを指定したい場合は選択欄から[である]を選択しホストIDを入力します。ホストIDを除外したい場合は選択欄から[除く]を選択しホストIDを入力します。
一括で登録を行いたい場合は 4.3.5. HIPオブジェクト一括登録の設定をする をご参照ください。

注釈

  • iPadOSはOS-Apple-iOSとして識別されます。
  • Android端末をOSで識別する場合「google」&「all」を指定する必要があります。OSバージョン毎の制御はできません。

  1. [OK]ボタンを押下します。

図4.3.4.1.3. [OK]ボタン

  1. 以下はWindowsのGUIDをホストIDに指定する場合の設定例です。

図4.3.4.1.4. WindowsのGUIDをホストIDに指定する場合の設定例

注釈

  • 端末側のGUIDを確認する場合はコマンドプロンプトで以下のコマンドを実行する事で確認可能です

図4.3.4.1.5. GUID確認

  1. 以下はMacのMACアドレスをホストIDに指定する場合の設定例です。

図4.3.4.1.6. MacのMACアドレスをホストIDに指定する場合の設定例

4.3.4.2. WindowsのHIPオブジェクト追加(パッチ管理)

  1. ➀[パッチ管理]をクリックします。
    ➁パッチ管理にチェックを入れます。
    ➂[基準]にて有効をyesに変更します。
    ➃[追加]をクリックします。

図4.3.4.2.1. パッチ管理(基準)

  1. ➀管理対象のファイル名を入力します。
    ➁[OK]ボタンを押下します。

図4.3.4.2.2. パッチ管理(管理対象のファイル追加)

4.3.4.3. HIPオブジェクト追加(アンチマルウェア)

  1. ➀[アンチマルウェア]をクリックします。
    ➁以下の項目を入力します。
    ➂[OK]ボタンを押下します。

図4.3.4.3.1. HIPオブジェクト追加(アンチマルウェア)

表 4.3.4.3.1. HIPオブジェクトの追加可能な項目

項番

項目

設定値

1

ウイルス定義バージョン

ウイルス定義バージョンの管理を行いたい場合は選択欄に対象バージョンを指定します。

2

製品バージョン

製品バージョンの管理を行いたい場合は選択欄に対象バージョンを指定します。

3

最終スキャン時間

最終スキャン時間の管理を行いたい場合は選択欄に更新間隔を指定します。

注釈

  • 最終スキャン時間は「UTC時間のHIP情報の時間(クライアントのUTC時間)」と「JST時間のFRAノード内の時間」で比較されます。

4.3.4.4. HIPオブジェクト追加(カスタムチェック)/HIPデータ収集

  1. ➀[カスタムチェック]をクリックします。
    ➁管理対象にしたいプロセスリスト/レジストリキー/Plistのいずれかをクリックします。
    ➂管理対象のプロセスなどを入力します。
    ➃[OK]ボタンを押下します。

図4.3.4.4.1. HIPオブジェクト追加(カスタムチェック)

  1. ①[Network]をクリックします。
    ②[ポータル]をクリックします。
    ③[GP-Portal]をクリックします。

図4.3.4.4.2. ポータル画面

  1. ①[エージェント]をクリックします。
    ②変更対象のエージェントをクリックします。

図4.3.4.4.3. エージェント選択

4-1. Windows端末の場合
①[HIPデータ収集]をクリックします。
②[Windows]をクリックします。
③以下の項目を設定します。

図4.3.4.4.4. エージェント設定(HIPデータ収集/Windows)

表 4.3.4.4.1. エージェント設定(HIPデータ収集/Windows)の設定項目

項番

項目

設定値

1

レジストリキー

管理対象のレジストリキーを追加します。

2

レジストリ値

管理対象のレジストリ値を追加します。

3

プロセスリスト

エンドポイントで実行中か否かをチェックしたいプロセスを追加します。
4-2. Mac端末の場合
①[MAC]をクリックします。
②以下の項目を設定します。
③[OK]ボタンを押下します。

図4.3.4.4.5. エージェント設定(HIPデータ収集/Mac)

表 4.3.4.4.2. エージェント設定(HIPデータ収集/Mac)の設定項目

項番

項目

設定値

1

PLIST

管理対象のPLISTを追加します。

2

キー

管理対象のキー値を追加します。

3

プロセスリスト

エンドポイントで実行中か否かをチェックしたいプロセスを追加します。

4.3.4.5. HIPプロファイルを作成する

  1. ➀[Objects]をクリックします。
    ➁[HIPプロファイル]をクリックします。
    ➂[追加]をクリックします。

図4.3.4.5.1. HIPプロファイル画面

  1. 以下の項目を入力します。

図4.3.4.5.2. 新規HIPプロファイル

表 4.3.4.5.1. 新規HIPプロファイルの設定可能な項目

項番

項目

設定値

1

名前

任意の名前を入力します。名前は必須項目です。

2

内容

HIPプロファイルの説明を記載します。省略可能です。

3

一致(条件の追加)

作成するHIPプロファイルに一致するHIPオブジェクトを追加します。HIPオブジェクトを追加する場合は条件の追加をクリックします。

4

HIPオブジェクト/プロファイルビルダー

HIPプロファイルに追加したいHIPオブジェクトの+をクリックします。HIPプロファイルの一致欄にHIPオブジェクトが追加されます。

  1. [OK]ボタンを押下します。

図4.3.4.5.3. [OK]ボタン

4.3.4.6. セキュリティポリシーに適用する

  1. ➀[Policies]をクリックします。
    ➁[セキュリティ]をクリックします。
    ➂HIPプロファイル適用対象のポリシーを選択します。

図4.3.4.6.1. ポリシー選択

  1. ➀[送信元]をクリックします。
    ➁[送信元デバイス]の[追加]をクリックし適用対象のHIPプロファイルを選択します。
    ➂[OK]ボタンを押下します。

図4.3.4.6.2. セキュリティポリシールール(ユーザー)

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

4.3.5. HIPオブジェクト一括登録の設定をする

4.3.5.1. 注意事項、前提条件

  • 作成済みのHIPオブジェクトの変更や削除はFRAポータルから行ってください。

  • HIPオブジェクトの登録はFRAポータルからも登録が可能です。
    FRAポータルから登録する場合は、4.3.4.1. HIPオブジェクトを作成する を参照してください。

4.3.5.2. 事前に準備いただくもの

  • 作成済みのFRAグループ
  • HIPオブジェクト登録用のcsvファイル

4.3.5.3. HIPオブジェクト一括登録手順

  1. HIPオブジェクト登録用のcsvファイルを作成します。
    1行ごとに1オブジェクト、カンマ(,)区切りで記載してください。

図4.3.5.3.1. csvファイル例

表 4.3.5.3.1. HIPオブジェクトの設定項目

項番

項目

設定値

HIPオブジェクト名
任意の名前を入力します。名前は必須項目です。

端末固有ID
Windows端末の場合はGUID、Mac端末の場合はMACアドレス が指定可能です。

注釈

  • 既にFRAノードに登録済みのHIPオブジェクト名をCSVファイルで指定した場合、既存のHIPオブジェクトの内容がCSVファイルの内容で上書きされますのでご注意ください。
  • 入力できる最大数(csvの最大行数)は最大接続ID数までです。
  • HIPオブジェクトの一括登録で設定される項目は以下箇所に該当します。

図4.3.5.3.2. HIPオブジェクト一括登録設定箇所

  1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。

  2. ①左メニューの「サービスグループ情報」から対象のサービスグループを選択します。
    ②[Flexible Remote Access]をクリックします。

図4.3.5.3.3. サービスグループ選択

  1. 「FRAグループ」画面で対象のFRAグループの[操作]プルダウンメニューより、[HIPオブジェクトの一括登録]をクリックします。

図4.3.5.3.4. 操作プルダウンメニューの[HIPオブジェクトの一括登録]

  1. ①[ファイル追加]ボタンを押下し、端末ローカル上にある該当のcsvファイルを選択します。
    ②CSVファイルが追加されたことを確認します。
    ③[確認]ボタンを押下します。

図4.3.5.3.5. リモートアクセスユーザーIDの新規追加

  1. 入力内容の確認を行い、[実行]ボタンを押下します。

図4.3.5.3.6. HIPオブジェクトの一括登録確認

  1. [OK]ボタンを押下します。

図4.3.5.3.7. 申し込み完了

  1. 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。

4.2. UTM機能の推奨設定をする
4.4. SSL復号化機能の設定をする