Symantec™ Endpoint Protection および Symantec Network Access

Symantec™ Endpoint
Protection および Symantec
Network Access Control クラ
イアントガイド
Symantec Endpoint Protection および Symantec
Network Access Control クライアントガイド
本書で説明するソフトウェアは、使用許諾契約に基づいて提供され、その内容に同意する場合にの
み使用することができます。
Documentation version 12.01.00.00
登録商標
Copyright © 2011 Symantec Corporation. All rights reserved.
Symantec、Symantec ロゴ、Bloodhound、Confidence Online、Digital Immune System、
LiveUpdate、Norton、Sygate、TruScan は、Symantec Corporation または同社の米国およびそ
の他の国における関連会社の商標または登録商標です。その他の会社名、製品名は各社の登録
商標または商標です。
Symantec 製品には、特定のサードパーティ製ソフトウェアが配布、組み込み、または同梱されてい
る場合があります。また、本製品のインストールおよび使用にともない、サードパーティ製ソフトウェア
の使用を推奨する場合があります。このライセンス対象ソフトウェアには、オープンソースのフリーウェ
アライセンスで利用可能なサードパーティのソフトウェアプログラム（「サードパーティプログラム」）を
含めることができるものとします。本ソフトウェアに付随する使用許諾契約では、オープンソースのフ
リーウェアライセンスでお客様が有することのできる権利または義務は変更されないものとします。
サードパーティのソフトウェアの著作権に関する情報については、本製品に付属のサードパーティ
製ソフトウェアのファイルを参照してください。
本書に記載する製品は、使用、コピー、頒布、逆コンパイルおよびリバース・エンジニアリングを制限
するライセンスに基づいて頒布されています。Symantec Corporation からの書面による許可なく本
書を複製することはできません。
Symantec Corporation が提供する技術文書は Symantec Corporation の著作物であり、Symantec
Corporation が保有するものです。保証の免責: 技術文書は現状有姿で提供され、Symantec
Corporation はその正確性や使用について何ら保証いたしません。技術文書またはこれに記載さ
れる情報はお客様の責任にてご使用ください。本書には、技術的な誤りやその他不正確な点を含
んでいる可能性があります。Symantec は事前の通知なく本書を変更する権利を留保します。
本ソフトウェアは、FAR 12.212 の規定によって商業用コンピュータソフトウェアと見なされ、FAR
52.227-19 「Commercial Computer Software - Restricted Rights」、DFARS 227.7202 「Rights
in Commercial Computer Software or Commercial Computer Software Documentation」、そ
の他の後継規制の規定により制限された権利の対象となります。米国政府による本ソフトウェアの使
用、修正、複製のリリース、実演、表示または開示は、本使用許諾契約の条項に従ってのみ行われ
るものとします。
弊社製品に関して、当資料で明示的に禁止、あるいは否定されていない利用形態およびシステム
構成などについて、これを包括的かつ暗黙的に保証するものではありません。また、弊社製品が稼
動するシステムの整合性や処理性能に関しても、これを暗黙的に保証するものではありません。これ
らの保証がない状況で、弊社製品の導入、稼動、展開した結果として直接的、あるいは間接的に発
生した損害等についてこれが補償されることはありません。製品の導入、稼動、展開にあたっては、
お客様の利用目的に合致することを事前に十分に検証および確認いただく前提で、計画および準
備をお願いします。
目次
第1章
クライアントを始めましょう
................................................... 7
Symantec Endpoint Protection クライアントについて ............................... 7
Symantec Network Access Control クライアントについて .......................... 8
［状態］ページの開始 ........................................................................ 9
［状態］ページの警告アイコンについて ................................................. 11
コンピュータをただちにスキャンする .................................................... 12
スキャンの一時停止と遅延 .......................................................... 13
詳細情報の入手方法 ...................................................................... 14
第2章
警告と通知への応答
.......................................................... 15
警告と通知の種類 ..........................................................................
スキャン結果について .....................................................................
ウイルスまたはリスクの検出への対応 ...................................................
感染ファイルからのウイルスまたはリスクの削除について ......................
ダウンロードを試みるファイルを許可するか遮断するかを確認するダウン
ロードインサイトメッセージへの応答 ...............................................
アプリケーションを許可または遮断するかを確認するメッセージへの応
答 ........................................................................................
期限切れライセンスのメッセージについて .............................................
クライアントソフトウェアを更新するメッセージへの応答 ..............................
第3章
コンピュータが保護されていることの確認
15
17
18
20
21
23
23
24
...................... 27
コンピュータの保護の管理 ................................................................
コンピュータの保護の更新 ................................................................
内容の即時更新 ......................................................................
スケジュールに従って内容を更新 .................................................
クライアントが接続され、保護されているかどうかを確認する方法 ..................
通知領域アイコンの非表示と表示 .................................................
管理下クライアントと管理外クライアントについて .....................................
クライアントが管理下または管理外のどちらであるかの確認 ........................
保護の有効化と無効化について ........................................................
クライアントコンピュータでの保護の有効化または無効化 ...........................
Auto-Protect の有効化または無効化 ..................................................
改変対策の有効化、無効化、設定 ......................................................
27
29
30
30
31
33
33
35
36
37
38
39
4
目次
ログについて ................................................................................
ログの表示 ...................................................................................
パケットログの有効化 ................................................................
ログに記録されたイベントの送信元の追跡 .............................................
ログデータのエクスポート ..................................................................
第4章
スキャンの管理
.................................................................... 47
コンピュータでのスキャンの管理 .........................................................
ウイルスとスパイウェアのスキャンのしくみ ..............................................
スキャンの種類について ............................................................
Auto-Protect の種類について ....................................................
ウイルスとセキュリティリスクについて ..............................................
スキャンはウイルスまたはリスクの検出にどのように対応するか ...............
Symantec Endpoint Protection が評価データを使ってファイルに関
する決定を下す方法 ...........................................................
ユーザー定義スキャンのスケジュール ..................................................
オンデマンドまたはコンピュータの起動時に実行されるスキャンのスケジュー
ル ........................................................................................
コンピュータでのダウンロードインサイト検出の管理 ..................................
ダウンロードインサイトの設定のカスタマイズ ...........................................
ウイルスとスパイウェアのスキャン設定のカスタマイズ ................................
マルウェアとセキュリティリスクの検出時の処理の設定 ...............................
スキャンからの項目の除外について ....................................................
スキャンからの項目の除外 ................................................................
クライアントコンピュータ上の検疫ファイルの管理 .....................................
ファイルの検疫について ............................................................
リスクログまたはスキャンログからのファイルの検疫 .............................
感染の可能性があるファイルを分析のためにシマンテックセキュリティ
レスポンスに手動で提出 ......................................................
検疫からのファイルの自動削除 ....................................................
検出についての情報のシマンテックセキュリティレスポンスへの提出につい
て ........................................................................................
検出についての情報をシマンテックセキュリティレスポンスに提出する ...........
クライアントと Windows セキュリティセンターについて ..............................
クライアントコンピュータでの SONAR の管理 ..........................................
SONAR について .....................................................................
SONAR で検出されるファイルとアプリケーションについて ....................
SONAR 設定の変更 .................................................................
第5章
40
43
43
44
44
48
53
55
56
58
61
62
63
65
66
70
71
72
76
77
79
81
81
82
82
83
84
86
87
88
88
89
ファイアウォールと侵入防止の管理 ................................. 91
ネットワーク脅威防止について ........................................................... 92
ファイアウォール保護の管理 ............................................................. 92
目次
ファイアウォールのしくみ ............................................................ 94
ファイアウォールの設定 ................................................................... 95
トラフィックの設定とステルス Web 参照の設定の有効化 ...................... 96
基本的なネットワークサービスの通信の自動的な許可 ....................... 101
ネットワークでのファイルとプリンタの共有の有効化 ........................... 102
攻撃側コンピュータの遮断と遮断解除 .......................................... 104
トラフィックの遮断 ................................................................... 105
アプリケーションの許可または遮断について ......................................... 107
アプリケーションによるネットワークへのアクセスの許可または遮
断 ................................................................................ 108
アプリケーション固有の設定 ...................................................... 109
アプリケーションからの制限の削除 .............................................. 110
ネットワーク活動の表示 .................................................................. 111
クライアントのファイアウォールルールについて ...................................... 112
ファイアウォールルール、ファイアウォール設定、侵入防止の処理順につい
て ...................................................................................... 113
ファイアウォールルールの順序の変更 ................................................ 114
ファイアウォールでのステートフルインスペクションの使い方 ...................... 115
ファイアウォールルールの要素 ......................................................... 116
ファイアウォールルールの設定 ......................................................... 118
ファイアウォールルールの追加 ................................................... 119
ファイアウォールルールのエクスポートとインポート ........................... 119
ファイアウォールルールの有効化と無効化 ..................................... 120
侵入防止の管理 .......................................................................... 121
侵入防止の動作 .......................................................................... 122
侵入防止の有効化または無効化 ...................................................... 122
侵入防止の通知の設定 ................................................................. 123
第6章
Symantec Network Access Control の管理 .................. 125
Symantec Network Access Control の仕組み ....................................
クライアントがエンフォーサと連携する方法 ...........................................
ホストインテグリティ検査の実行 .........................................................
コンピュータの修復 .......................................................................
802.1x 認証向けのクライアントの設定 ................................................
コンピュータの再認証 ..............................................................
Symantec Network Access Control ログの表示 ..................................
索引
125
127
127
128
128
132
133
.................................................................................................................... 135
5
6
目次
1
クライアントを始めましょう
この章では以下の項目について説明しています。
■
Symantec Endpoint Protection クライアントについて
■
Symantec Network Access Control クライアントについて
■
［状態］ページの開始
■
［状態］ページの警告アイコンについて
■
コンピュータをただちにスキャンする
■
詳細情報の入手方法
Symantec Endpoint Protection クライアントについて
Symantec Endpoint Protection クライアントは、複数の保護層を組み合わせて、既知
や不明の脅威とネットワーク攻撃からコンピュータをプロアクティブに守ります。
表 1-1 で保護の各層について説明します。
8
第 1 章クライアントを始めましょう
Symantec Network Access Control クライアントについて
表 1-1
保護の種類
層
説明
ウイルス対策とスパイウェア対策
この層は、スパイウェア、ワーム、トロイの木馬、ルートキット、ア
ドウェアなどのさまざまな脅威と戦います。ファイルシステム
Auto-Protect は、すべてのコンピュータファイルでウイルスと
セキュリティリスクを連続的に検査します。インターネット電子
メール Auto-Protect は SSL（Secure Sockets Layer）を介し
て POP3 または SMTP 通信プロトコルを使う着信電子メール
メッセージと発信電子メールメッセージをスキャンします。
Microsoft Outlook Auto-Protect は着信と発信の Outlook
電子メールメッセージをスキャンします。
p.48 の「コンピュータでのスキャンの管理」を参照してくださ
い。
プロアクティブ脅威防止
プロアクティブ脅威技術には、ゼロデイ攻撃に対するリアルタ
イムな保護を提供する SONAR が含まれます。SONAR は従
来のシグネチャベースの定義が脅威を検出する前であっても
攻撃を止めることができます。SONAR は、ヒューリスティックと
ファイル評価データを使って、アプリケーションまたはファイル
についての決定を行います。?
p.87 の「クライアントコンピュータでの SONAR の管理」を参
照してください。
ネットワーク脅威防止
この層はファイアウォールと侵入防止で構成されます。ルール
に基づくファイアウォールは権限のないユーザーがコンピュー
タにアクセスするのを防ぎます。侵入防止システムは自動的に
ネットワーク攻撃を検出して遮断します。
p.92 の「ファイアウォール保護の管理」を参照してください。
管理者は、管理サーバーがクライアントコンピュータにダウンロードする必要のある保護
の種類を管理します。クライアントはウイルス定義、IPS 定義、製品の更新を、コンピュー
タに自動的にダウンロードします。ポータブルコンピュータを持って移動するユーザーは、
ウイルス定義と製品の更新を LiveUpdate から直接取得できます。
p.29 の「コンピュータの保護の更新」を参照してください。
Symantec Network Access Control クライアントについ
て
Symantec Network Access Control クライアントは、社内ネットワークへの接続を許可
する前に、コンピュータがセキュリティポリシーで適切に保護されているかどうか、および
準拠しているかどうかを評価します。
第 1 章クライアントを始めましょう
［状態］ページの開始
クライアントは、管理者が設定したセキュリティポリシーにコンピュータが確実に準拠する
ようにします。セキュリティポリシーは、コンピュータがウイルス防止アプリケーションやファ
イアウォールアプリケーションなどの最新セキュリティソフトウェアを実行しているかどうか
を検査します。コンピュータが必要なソフトウェアを実行していない場合は、ユーザーがソ
フトウェアを手動で更新する必要があります。または、クライアントでソフトウェアを自動的
に更新することもできます。セキュリティソフトウェアが最新のものになるまで、コンピュータ
のネットワークへの接続が遮断されることがあります。クライアントは定期的に検査を実行
して、コンピュータが継続的にセキュリティポリシーに準拠していることを確認します。
p.125 の「Symantec Network Access Control の仕組み」を参照してください。
［状態］ページの開始
クライアントを開くと、メインウィンドウと［状態］ページが表示されます。
表 1-2 に、クライアントのメニューバーとヘルプオプションから実行できる主なタスクを示
します。
クライアントのメインウィンドウ
表 1-2
クリックするオ実行するタスク
プション
ヘルプ
主要なオンラインヘルプにアクセスし、クライアントで次のタスクを実行します。
■
コンピュータ、クライアント、クライアントの保護についての情報を表示します。
管理サーバーとのクライアントの接続状態についての情報を表示します。必
要に応じて、サーバーへの接続を試みることもできます。
■ 管理外クライアントでセキュリティポリシーと通信設定のインポートとエクスポー
トを行います。
■ 管理者がクライアントまたはクライアントの保護の問題を診断するのに役立つ
ように、デバッグログとトラブルシューティングファイルを表示したりエクスポー
トしたりします。
■ クライアントの一般的な問題を診断するためのサポートユーティリティツール
をダウンロードします。
■
9
10
第 1 章クライアントを始めましょう
［状態］ページの開始
クリックするオ実行するタスク
プション
状態
コンピュータが保護されているかどうかと、コンピュータのライセンスが最新かどう
かを表示します。［状態］ページの色と警告アイコンは、どの技術が有効になって
いてクライアントを保護しているかを示します。
p.11 の「［状態］ページの警告アイコンについて」を参照してください。
次の操作を実行できます。
1 つ以上の保護技術を有効または無効にします。
p.36 の「保護の有効化と無効化について」を参照してください。
■ ウイルス対策とスパイウェア対策、プロアクティブ脅威防止、ネットワーク脅威
防止の定義ファイルが最新かどうかを表示します。
■ アクティブスキャンを実行します。
p.12 の「コンピュータをただちにスキャンする」を参照してください。
■ 脅威リストを表示し、最新のウイルスとスパイウェアのスキャン結果を表示しま
す。
■
脅威のスキャンアクセスして次のタスクを実行します。
アクティブスキャンまたは完全スキャンをただちに実行します。
p.12 の「コンピュータをただちにスキャンする」を参照してください。
■ 定時スキャン、起動時、オンデマンドスキャンを作成します。
p.63 の「ユーザー定義スキャンのスケジュール」を参照してください。
p.65 の「オンデマンドまたはコンピュータの起動時に実行されるスキャンの
スケジュール」を参照してください。
■
設定の変更
次の保護技術と機能の設定を行います。
■
■
■
■
■
■
Auto-Protect の設定を有効にして設定します。
p.71 の「ウイルスとスパイウェアのスキャン設定のカスタマイズ」を参照してく
ださい。
ファイアウォールの設定と侵入防止システムの設定を行います。
p.92 の「ファイアウォール保護の管理」を参照してください。
スキャンの例外を表示して追加します。
p.77 の「スキャンからの項目の除外」を参照してください。
通知領域アイコンを表示します。
p.31 の「クライアントが接続され、保護されているかどうかを確認する方法」
を参照してください。
改変対策の設定を指定します。
p.39 の「改変対策の有効化、無効化、設定」を参照してください。
コンテンツと製品の更新をクライアントにダウンロードするスケジュールを作成
します。
p.30 の「スケジュールに従って内容を更新」を参照してください。
p.27 の「コンピュータの保護の管理」を参照してください。
第 1 章クライアントを始めましょう
［状態］ページの警告アイコンについて
クリックするオ実行するタスク
プション
検疫の表示
クライアントが検出して検疫したウイルスとセキュリティリスクを表示します。検疫
のファイルを復元、削除、クリーニング、エクスポート、追加することができます。
p.81 の「ファイルの検疫について」を参照してください。
ログの表示
任意のクライアントログを表示します。
p.43 の「ログの表示」を参照してください。
LiveUpdate
LiveUpdate をただちに実行します。LiveUpdate は会社のネットワーク内にあ
る管理サーバーから最新のコンテンツ定義と製品の更新をダウンロードします。
p.30 の「内容の即時更新」を参照してください。
［状態］ページの警告アイコンについて
［状態］ページの上部には、コンピュータの保護状態を示すさまざまな警告アイコンが表
示されます。
［状態］ページの警告アイコン
表 1-3
アイコン説明
各保護が有効であることを示します。
クライアントコンピュータのウイルス定義が最新ではないことを警告します。最新のウイ
ルス定義を受信するには、LiveUpdate をすぐに実行できます。
クライアントコンピュータで次の問題が発生する可能性があります。
クライアントコンピュータがホストインテグリティセキュリティのコンプライアンス検査に
失敗した。この検査にパスするために何を実行する必要があるかを確認するには、
クライアント管理セキュリティログを調べてください。
■ ホストインテグリティが接続されていない。
■
p.29 の「コンピュータの保護の更新」を参照してください。
1 つ以上の保護が無効になっているか、またはクライアントのライセンスが期限切れで
あることを示します。保護を有効にするには、［修復］または［すべてを修復］をクリックし
ます。
p.36 の「保護の有効化と無効化について」を参照してください。
11
12
第 1 章クライアントを始めましょう
コンピュータをただちにスキャンする
コンピュータをただちにスキャンする
ウイルスとセキュリティリスクはいつでも手動でスキャンできます。最近クライアントをインス
トールした場合、または最近ウイルスを受信したと考えられる場合にはコンピュータをただ
ちにスキャンしてください。
単一のファイル、フロッピーディスク、コンピュータ全体などの任意のスキャン対象を選択
します。オンデマンドスキャンには、アクティブスキャンと完全スキャンがあります。オンデ
マンドで実行するカスタムスキャンを作成することもできます。
p.65 の「オンデマンドまたはコンピュータの起動時に実行されるスキャンのスケジュール」
を参照してください。
p.29 の「コンピュータの保護の更新」を参照してください。
各ダイアログボックスのオプションについて詳しくは［ヘルプ］をクリックしてください。
コンピュータをただちにスキャンするには
◆
次のいずれかの操作を実行します。
■
クライアントの［状態］ページの［ウイルス対策とスパイウェア対策］の隣で、［オプ
ション］、［アクティブスキャンの実行］の順に選択します。
■
クライアントのサイドバーで、［脅威のスキャン］をクリックします。
次のいずれかの操作を実行します。
■
［アクティブスキャンの実行］をクリックします。
■
［完全スキャンの実行］をクリックします。
■
スキャンリストで任意のスキャンを右クリックしてから、［今すぐにスキャン］をク
リックします。
スキャンが開始されます。
管理者がこのオプションを無効にしていないかぎり、スキャン進行状況を表
示できます。スキャン進行状況を表示するには、現在のスキャンで表示され
るメッセージリンク［スキャン進行中］をクリックします。
p.17 の「スキャン結果について」を参照してください。
スキャンを一時停止するか中止することもできます。
p.13 の「スキャンの一時停止と遅延」を参照してください。
第 1 章クライアントを始めましょう
コンピュータをただちにスキャンする
Windows からコンピュータをスキャンするには
◆
マイコンピュータウィンドウまたは Windows エクスプローラウィンドウでファイル、フォ
ルダ、またはドライブを右クリックして、［ウイルススキャン］をクリックします。
この機能は、32 ビットと 64 ビットの両方のオペレーティングシステムでサポートされ
ます。
メモ: Insight ルックアップは、この種類のスキャンを実行するときにはフォルダやドラ
イブをスキャンしません。Insight ルックアップが実行されるのは、スキャン対象として
ファイルまたはファイルのグループを選択した場合です。
スキャンの一時停止と遅延
一時停止機能を使うと、スキャン中の任意の時点でスキャンを停止して、あとから再開で
きます。ユーザーは自分が開始したスキャンを一時停止できます。
ユーザーが管理者によるスキャンを一時停止できるかどうかは管理者が決めます。管理
者が一時停止機能を無効にすると［スキャンの一時停止］オプションは利用できません。
管理者が休止機能を有効にした場合、ユーザーは設定された時間、管理者による定時
スキャンを遅らせることができます。
スキャンを再開すると、スキャンを停止した場所から開始されます。
メモ: クライアントが圧縮ファイルをスキャン中に一時停止した場合には、クライアントが一
時停止の要求に応答するまでに数分かかることがあります。
p.48 の「コンピュータでのスキャンの管理」を参照してください。
ユーザーが開始したスキャンを一時停止するには
1
スキャンの実行中に、スキャンのダイアログボックスで［スキャンの一時停止］をクリッ
クします。
スキャンはその場で停止し、ユーザーがスキャンを再び開始するまでスキャンのダイ
アログボックスは開いたままになります。
2
スキャンを再開するにはスキャンのダイアログボックスで［スキャンの再開］をクリック
します。
管理者が開始したスキャンを一時停止または遅らせるには
1
管理者が開始したスキャンの実行中に、スキャンのダイアログボックスで［スキャンの
一時停止］をクリックします。
2
［定時スキャン一時停止］ダイアログボックスで、次のいずれかの操作をします。
■
スキャンを一時停止するには、［一時停止］をクリックします。
13
14
第 1 章クライアントを始めましょう
詳細情報の入手方法
■
スキャンを遅らせるには、［1 時間休止］または［3 時間休止］をクリックします。
管理者はユーザーに許可するスキャンの遅延時間を指定します。指定された時
間が経過すると、スキャンは最初から始まります。管理者はこの機能が無効にな
るまでにユーザーが定時スキャンを遅らせることのできる回数を指定します。
■
一時停止しないでスキャンを続行するには、［続行］をクリックします。
詳細情報の入手方法
製品にはいくつかの情報源が含まれています。
表 1-4 に、製品使用時に役立つ追加情報を入手できる Web サイトを示します。
表 1-4
情報の種類
シマンテック社の Web サイト
Web アドレス
Symantec Endpoint Protection ソフトウェ http://www.symantec.com/business/products/downloads/
ア
一般的なナレッジベース
リリースと更新情報
マニュアルとマニュアル更新
Symantec Endpoint Protection:
http://www.symantec.com/business/support/overview.jsp?pid=54619
Symantec Network Access Control:
http://www.symantec.com/business/support/overview.jsp?pid=52788
連絡方法
ウイルスなどの脅威についての情報と更新 http://www.symantec.com/ja/jp/enterprise/security_response/index.jsp
情報
製品の最新情報と更新情報
http://www.symantec.com/ja/jp/business/index.jsp
オンラインテクニカルトレーニング
http://go.symantec.com/education_septc
シマンテック社の教育サービス
http://go.symantec.com/education_sep
Symantec Connect フォーラム
Symantec Endpoint Protection:
http://www.symantec.com/connect/security/forums/
endpoint-protection-antivirus
Symantec Network Access Control:
http://www.symantec.com/connect/security/forums/
network-access-control
2
警告と通知への応答
この章では以下の項目について説明しています。
■
警告と通知の種類
■
スキャン結果について
■
ウイルスまたはリスクの検出への対応
■
ダウンロードを試みるファイルを許可するか遮断するかを確認するダウンロードインサ
イトメッセージへの応答
■
アプリケーションを許可または遮断するかを確認するメッセージへの応答
■
期限切れライセンスのメッセージについて
■
クライアントソフトウェアを更新するメッセージへの応答
警告と通知の種類
クライアントはバックグラウンドで動作して、コンピュータを悪質な活動から保護します。場
合により、クライアントは、活動に関してユーザーに通知したり、ユーザーからのフィード
バックを要求したりする必要があります。
表 2-1 に、表示される可能性があり応答する必要のあるメッセージの種類を示します。
16
第 2 章警告と通知への応答
警告と通知の種類
表 2-1
警告と通知の種類
警告
説明
［<スキャン名> 開始］また
は［Symantec Endpoint
Protection 検出結果］ダ
イアログボックス
スキャンによってウイルスまたはセキュリティリスクが検出された場合、
感染についての詳細を示すスキャン結果または［Symantec Endpoint
Protection 検出結果］ダイアログボックスが表示されます。このダイ
アログボックスには、スキャンがリスクに対して実行した処理も表示さ
れます。通常、ユーザーの側では、活動を確認してダイアログボック
スを閉じる以外の操作は必要ありません。ただし、必要に応じて処置
を行うことができます。
p.17 の「スキャン結果について」を参照してください。［<スキャン名
> 開始］または［Symantec Endpoint Protection 検出結果］
他のメッセージダイアログ
ボックス
次の理由でポップアップメッセージが表示される場合があります。
クライアントが自動的にクライアントソフトウェアを更新している場
合。
p.24 の「クライアントソフトウェアを更新するメッセージへの応答」
を参照してください。
■ クライアントからアプリケーションの許可または遮断を求められると
き。
p.23 の「アプリケーションを許可または遮断するかを確認するメッ
セージへの応答」を参照してください。
■ クライアントの評価ライセンスの期限が切れたとき。
p.23 の「期限切れライセンスのメッセージについて」を参照して
ください。
■
第 2 章警告と通知への応答
スキャン結果について
警告
説明
通知領域アイコンメッセー
ジ
通知領域アイコンの上に表示される通知は次の状況で発生します。
■
クライアントがアプリケーションを遮断している場合。
たとえば、次の通知が表示されます。
トラフィックをこのアプリケーションが遮断しました:
(アプリケーション名）
クライアントがすべてのトラフィックを遮断するように設定されてい
る場合、このような通知は頻繁に表示されます。クライアントがす
べてのトラフィックを許可するように設定されている場合、このよう
な通知は表示されません。
■ クライアントがコンピュータに対するネットワーク攻撃を検出した場
合。
次のような種類の通知が表示されることがあります。
IP アドレス 192.168.0.3 からのトラフィックは
2/14/2010 15:37:58 から 2/14/2010 15:47:58
まで遮断されます。
ポートスキャン攻撃をログに記録しました。
■
セキュリティコンプライアンス検査に失敗した場合。コンピュータと
の間のトラフィックの送受信が遮断されることがあります。
メッセージを読む以外に何もする必要はありません。
p.31 の「クライアントが接続され、保護されているかどうかを確認する
方法」を参照してください。
スキャン結果について
通常、管理下クライアントでは、完全スキャンが週に 1 回以上の割合で実行されるように
管理者が設定します。管理外クライアントでは、コンピュータの起動時に、自動生成され
たアクティブスキャンが実行されます。デフォルトでは、コンピュータ上で Auto-Protect
が常に動作しています。
スキャンが実行されると、スキャンダイアログボックスが表示されて進行状況が報告され、
スキャン結果が表示されます。スキャンが完了すると、結果がリストに表示されます。クラ
イアントでウイルスやセキュリティリスクが検出されない場合には、リストは空のままで、状
態は完了になります。
スキャン中にクライアントがリスクを検出した場合は、スキャン結果ダイアログボックスに、
次の情報と結果が表示されます。
■
ウイルスまたはセキュリティリスクの名前
■
感染ファイルの名前
17
18
第 2 章警告と通知への応答
ウイルスまたはリスクの検出への対応
■
クライアントがリスクに対して実行する処理
クライアントでウイルスやセキュリティリスクが検出される場合は、感染ファイルへの対応が
必要になることがあります。
メモ: 管理下クライアントの場合は、管理者がスキャン結果ダイアログボックスを非表示に
するように選択することがあります。クライアントが管理外の場合は、このダイアログボック
スの表示/非表示を切り替えることができます。
ユーザーまたは管理者がスキャン結果ダイアログボックスを表示するようにクライアントソ
フトウェアを設定している場合は、スキャンを一時停止、再開、中止することができます。
p.33 の「管理下クライアントと管理外クライアントについて」を参照してください。
p.18 の「ウイルスまたはリスクの検出への対応」を参照してください。
p.13 の「スキャンの一時停止と遅延」を参照してください。
ウイルスまたはリスクの検出への対応
管理者定義のスキャン、ユーザー定義のスキャン、Auto-Protect を実行すると、スキャン
結果ダイアログボックスが表示されることがあります。スキャン結果ダイアログボックスを使
うと、影響を受けたファイルをすぐに処理することができます。
たとえば、クリーニング済みファイルを元のファイルに置換する場合には、クリーニング済
みファイルを削除できます。
検疫、リスクログ、スキャンログを使って、後でファイルに対応することもできます。
p.79 の「クライアントコンピュータ上の検疫ファイルの管理」を参照してください。
第 2 章警告と通知への応答
ウイルスまたはリスクの検出への対応
スキャン結果ダイアログボックスのウイルスまたはリスクの検出に対応するには
1
スキャン結果ダイアログボックスで、処理するファイルを選択します。
2
選択項目を右クリックし、次のいずれかのオプションを選択します。
クリーニング
ファイルからウイルスを除去します。このオプション
は、ウイルスに対してのみ利用できます。
除外
ファイルが再びスキャンされないように除外します。
完全削除
感染ファイルとすべての副作用を削除します。セ
キュリティリスクについては、慎重にこの処理を行
います。セキュリティリスクを削除すると、アプリケー
ションの機能が失われる原因になることがありま
す。
適用した処理を元に戻す
適用した処理を元に戻します。
検疫に移動
感染ファイルを検疫に配置します。セキュリティリ
スクに関しては、クライアントは副作用の除去また
は修復も試みます。クライアントがセキュリティリス
クを検疫すると、アプリケーションの機能が失われ
ることがあります。
プロパティ
ウイルスまたはセキュリティリスクに関する情報を
表示します。
場合によっては、処理が利用可能ではないことがあります。
3
ダイアログボックスで、［閉じる］をクリックします。
リストに表示されるリスクで処理を必要とする場合でも、ダイアログボックスを閉じるこ
とができないこともあります。たとえば、クライアントがプロセスやアプリケーションを終
了したり、サービスを停止する必要がある場合があります。その場合は、［今すぐにリ
スクを削除する］ダイアログボックスが表示されます。
4
［今すぐにリスクを削除する］ダイアログボックスが表示されたら、次のいずれかのオ
プションをクリックします。
■
はい
クライアントがリスクを除去します。リスクを除去するには再起動が必要な場合が
あります。再起動が必要かどうかは、ダイアログボックスの情報で示されます。
■
いいえ
19
20
第 2 章警告と通知への応答
ウイルスまたはリスクの検出への対応
これは、まだ処理が必要であることを通知する結果ダイアログボックスです。ただ
し、［今すぐにリスクを削除する］ダイアログボックスはコンピュータを再起動する
まで抑止されます。
5
手順 3 で結果ダイアログボックスが閉じなかった場合は、［閉じる］をクリックしてくだ
さい。
p.61 の「スキャンはウイルスまたはリスクの検出にどのように対応するか」を参照してくだ
さい。
p.43 の「ログの表示」を参照してください。
p.48 の「コンピュータでのスキャンの管理」を参照してください。
感染ファイルからのウイルスまたはリスクの削除について
クライアントがプロセスやアプリケーションを終了、またはサービスを停止する必要がある
場合には、［今すぐにリスクを削除する］オプションが有効です。ダイアログのリスクで処理
を必要とする場合でも、ダイアログボックスを閉じることができないこともあります。
表 2-2 に、結果ダイアログボックスのオプションの説明を示します。
表 2-2
結果ダイアログボックスのオプション
オプション
説明
閉じる
どのリスクに対しても処理が必要ない場合には、結果ダイアログボックス
を閉じます。
処理が必要な場合には、次のいずれかの通知が表示されます。
リスクの削除が必要
プロセスの終了が必要なリスクの場合に表示されます。リスクの除去
を選択すると、結果ダイアログボックスに戻ります。再起動も必要な
場合には、ダイアログボックスのリスクの行の情報によって、再起動
が必要なことが示されます。
■ 再起動が必要
再起動が必要なリスクの場合に表示されます。
■ リスクの削除と再起動が必要
プロセスの終了が必要なリスクと、再起動が必要な別のリスクに対し
て表示されます。
■
第 2 章警告と通知への応答
ダウンロードを試みるファイルを許可するか遮断するかを確認するダウンロードインサイトメッセージへの応答
オプション
説明
今すぐにリスクを削除す
る
［リスクの削除］ダイアログボックスを表示します。
［リスクの削除］ダイアログボックスでは、それぞれのリスクに対して次の
いずれかの処理を選択できます。
はい
クライアントがリスクを除去します。リスクを除去するには再起動が必
要な場合があります。再起動が必要かどうかは、ダイアログボックス
の情報で示されます。
■ いいえ
結果ダイアログボックスを閉じると、［リスクの削除］ダイアログボックス
が表示されます。これは、まだ処理が必要であることを確認するダ
イアログボックスです。ただし、［リスクの削除］ダイアログボックスはコ
ンピュータを再起動するまで抑止されます。
■
再起動が必要な場合には、コンピュータを再起動するまで除去または修復が完了しませ
ん。
リスクに対する処理は必要だが、今すぐにはそれを実行したくない場合もあります。
リスクは、次の手順で後から除去または修復することができます。
■
リスクのログを開き、リスクを右クリックしてから処理を実行できます。
■
スキャンを実行してリスクを検出し、結果ダイアログボックスを再度開くことができます。
ダイアログボックスでリスクを右クリックし、処理を選択して実行することもできます。実行で
きる処理は、スキャンで検出されたリスクの種類ごとに設定した処理によって異なります。
p.18 の「ウイルスまたはリスクの検出への対応」を参照してください。
ダウンロードを試みるファイルを許可するか遮断するか
を確認するダウンロードインサイトメッセージへの応答
ダウンロードインサイト通知が有効になっている場合は、悪質なファイルや未確認のファ
イルをダウンロードしようとすると、ダウンロードインサイトが検出したそれらのファイルにつ
いてのメッセージが表示されます。
メモ: 通知が有効になっているかどうかにかかわらず、未確認ファイルに対する処理が［確
認する］である場合は検出のメッセージが表示されます。
ユーザーまたは管理者は、悪質なファイルに対するダウンロードインサイトの感度を変更
できます。感度レベルを変更すると、受信する通知の数が変わることがあります。
21
22
第 2 章警告と通知への応答
ダウンロードを試みるファイルを許可するか遮断するかを確認するダウンロードインサイトメッセージへの応答
ダウンロードインサイトは、ファイルを評価し、何百万のユーザーのグローバルコミュニティ
に基づいてファイル評価を決定するシマンテック社の技術である Insight を使います。
ダウンロードインサイト通知は、検出されたファイルについての次の情報を表示します。
■
ファイル評価
ファイル評価はファイルの信頼性を示します。悪質なファイルは信頼には値しません。
未確認のファイルは、信頼に値することも、信頼に値しないこともあります。
■
ファイルがコミュニティでどれだけ一般的であるか
ファイルが普及しているかどうかは重要です。普及していないファイルは脅威である
可能性が高いファイルです。
■
ファイルのどの程度新しいものか
ファイルが新しいほど、そのファイルについてシマンテック社が持っている情報が少な
くなります。
情報は、ファイルを許可するか遮断するかを決定するうえで役立ちます。
p.48 の「コンピュータでのスキャンの管理」を参照してください。
p.62 の「Symantec Endpoint Protection が評価データを使ってファイルに関する決定
を下す方法」を参照してください。
ファイルを許可するか遮断するかを確認するダウンロードインサイト検出に応答するに
は
1
2
ダウンロードインサイト検出メッセージで、次のいずれかの操作を実行します。
■
［マイコンピュータからこのファイルを削除する］をクリックします。
ファイルは検疫に移動します。このオプションは未確認ファイルにのみ表示され
ます。
■
［このファイルを許可する］をクリックします。
ファイルを許可したいかどうかを確認するパーミッションダイアログボックスが表示
されることがあります。
検疫されなかった未確認ファイルを許可することを選択した場合、ファイルは自
動的に実行されます。検疫ファイルを許可することを選択した場合、ファイルは
自動的に実行されません。これらのファイルはインターネット一時フォルダから実
行できます。
このフォルダの場所は通常、¥¥Documents and Settings¥ユーザー名¥Local
Settings¥Temporary Internet Files です。
管理外クライアントでファイルを許可した場合、Symantec Endpoint Protection が
自動的に、このコンピュータでのファイルの例外を作成します。管理下クライアント
で、管理者がユーザーに例外の作成を許可した場合、Symantec Endpoint
Protection が自動的に、このコンピュータでのファイルの例外を作成します。
第 2 章警告と通知への応答
アプリケーションを許可または遮断するかを確認するメッセージへの応答
アプリケーションを許可または遮断するかを確認するメッ
セージへの応答
コンピュータ上のアプリケーションがネットワークにアクセスを試みると、クライアントからア
プリケーションを許可または遮断するかを確認されることがあります。安全でないと思われ
るアプリケーションからのネットワークアクセスを遮断することを選択できます。
この種類の通知は、次のいずれかの理由で表示されます。
■
アプリケーションがネットワーク接続へのアクセスを要求しています。
■
ネットワーク接続にアクセスしたアプリケーションが更新されました。
■
管理者がクライアントソフトウェアを更新しました。
■
クライアントがユーザーの簡易切り替えを使ってユーザーを切り替えています。
次のような種類のメッセージが表示されることがあります。このメッセージは、アプリケーショ
ンがコンピュータへのアクセスを試みていることを示しています。
IEXPLORE.EXE がネットワークにアクセスしようとしています。
このプログラムにネットワークにアクセスを許可しますか?
アプリケーションを許可または遮断するかを確認するメッセージに応答するには
1
オプションで、次回アプリケーションがネットワークへのアクセスを試みるときにメッ
セージを抑止する場合は、［返答を記憶して今後このアプリケーションについて確認
しない］をクリックします。
2
オプションで、接続とアプリケーションについての詳細を学習するには、［詳細 >>］
をクリックします。
3
次のいずれかの操作を実行します。
■
アプリケーションによるネットワークへのアクセスを許可するには、［はい］をクリッ
クします。
■
アプリケーションによるネットワークへのアクセスを遮断するには、［いいえ］をク
リックします。
［実行中のアプリケーション］フィールドまたは［アプリケーション］リストでアプリケー
ションの処理を変更することもできます。
p.109 の「アプリケーション固有の設定」を参照してください。
期限切れライセンスのメッセージについて
クライアントは、ライセンスを使ってスキャンのウイルス定義の更新とクライアントソフトウェ
アの更新を行います。クライアントは、評価ライセンスまたは有償ライセンスを使うことがあ
23
24
第 2 章警告と通知への応答
クライアントソフトウェアを更新するメッセージへの応答
ります。どちらかのライセンスが期限切れになった場合、クライアントはコンテンツやクライ
アントソフトウェアを更新しません。
ライセンスの種類
表 2-3
ライセンスの種類説明
評価ライセンス
評価ライセンスが期限切れになった場合、クライアントの［状態］ペインの上
部が赤色になり、次のメッセージが表示されます。
評価ライセンスは期限切れになりました。
すべてのコンテンツのダウンロードは日付に中断します。
管理者に連絡して Symantec Endpoint Protection の
フルライセンスを購入してください
［ヘルプ］、［バージョン情報］の順にクリックすることによって、有効期限を表
示することもできます。
有償ライセンス
有償ライセンスが期限切れになると、クライアントの［状態］ペインの上部が黄
色になり、次のメッセージが表示されます。
ウイルス対策とスパイウェア対策の定義が最新ではありません
どちらの種類のライセンスの場合も、管理者に連絡してライセンスを更新するか、または
再契約する必要があります。
p.15 の「警告と通知の種類」を参照してください。
p.43 の「ログの表示」を参照してください。
クライアントソフトウェアを更新するメッセージへの応答
クライアントソフトウェアが自動更新される場合、次の通知が表示されることがあります。
Symantec Endpoint Protection has detected that
a newer version of the software is available from the
Symantec Endpoint Protection Manager.
Do you wish to download it now?
自動更新通知に応答するには
1
次のいずれかの操作を実行します。
■
ソフトウェアをすぐにダウンロードするには、［今すぐにダウンロード］をクリックしま
す。
第 2 章警告と通知への応答
クライアントソフトウェアを更新するメッセージへの応答
■
2
指定時間の経過後に通知するには、［後で通知する］をクリックします。
更新されたソフトウェアのインストール処理が始まった後にメッセージが表示された
場合、［OK］をクリックします。
25
26
第 2 章警告と通知への応答
クライアントソフトウェアを更新するメッセージへの応答
3
コンピュータが保護されてい
ることの確認
この章では以下の項目について説明しています。
■
コンピュータの保護の管理
■
コンピュータの保護の更新
■
クライアントが接続され、保護されているかどうかを確認する方法
■
管理下クライアントと管理外クライアントについて
■
クライアントが管理下または管理外のどちらであるかの確認
■
保護の有効化と無効化について
■
クライアントコンピュータでの保護の有効化または無効化
■
Auto-Protect の有効化または無効化
■
改変対策の有効化、無効化、設定
■
ログについて
■
ログの表示
■
ログに記録されたイベントの送信元の追跡
■
ログデータのエクスポート
コンピュータの保護の管理
デフォルトでは、クライアントコンピュータは保護されており、クライアントを設定する必要
はありません。ただし、次の理由のために保護を監視することをお勧めします。
28
第 3 章コンピュータが保護されていることの確認
コンピュータの保護の管理
■
コンピュータが管理外クライアントを実行する場合。
管理外クライアントがインストールされた後は、制御するのはコンピュータの保護のみ
です。管理外クライアントはデフォルトで保護されます。しかし、コンピュータの保護設
定の修正が必要な場合があります。
p.33 の「管理下クライアントと管理外クライアントについて」を参照してください。
■
1 つ以上の保護技術を有効または無効にしたい場合。
■
最新のウイルス定義があることを検証したい場合。
■
最近のウイルスについて聞いたため、スキャンを実行したい場合。
表 3-1 に、コンピュータが保護されていることを確認するための処理を示します。
表 3-1
コンピュータの保護を管理するための処理
手順
説明
警告または通知に応答
する
入力を求めるメッセージに応答します。たとえば、スキャンによってウイ
ルスやセキュリティリスクが見つかるとスキャン結果ダイアログボックスが
表示され、検出に対して対処することを求められます。
p.15 の「警告と通知の種類」を参照してください。
保護の状態を調べる
定期的にすべての種類の保護が有効であることを確認するために［状
態］ページを調べます。
p.9 の「［状態］ページの開始」を参照してください。
p.37 の「クライアントコンピュータでの保護の有効化または無効化」を
参照してください。
ウイルス定義を更新する最新のウイルス定義がコンピュータにインストールされていることを確認
します。
（管理外クライアントの
み）
■ 最新の保護情報の更新があるかどうかを調べます。各種類の保護
下のクライアントの［状態］ページで、これらの定義ファイルの日付と
番号を調べることができます。
■ 最新の保護情報の更新を入手します。
p.29 の「コンピュータの保護の更新」を参照してください。
コンピュータをスキャンすコンピュータまたは電子メールアプリケーションにウイルスがあるかどうか
る
を確認するためにスキャンを実行します。デフォルトでは、コンピュータ
をオンにするときにクライアントがスキャンしますが、コンピュータはいつ
でもスキャンできます。
p.12 の「コンピュータをただちにスキャンする」を参照してください。
第 3 章コンピュータが保護されていることの確認
コンピュータの保護の更新
手順
説明
保護設定を調整する
ほとんどの場合、デフォルトの設定はコンピュータに適切な保護を提供
します。必要に応じて、次の種類の保護を減らしたり高めたりできます。
追加スキャンのスケジュール
p.48 の「コンピュータでのスキャンの管理」を参照してください。
■ ファイアウォールルールの追加（管理外クライアントのみ）
p.92 の「ファイアウォール保護の管理」を参照してください。
■
検出または攻撃のログをクライアントがウイルス検出またはネットワーク攻撃を見つけたかどうかを
表示する
確認するためにログを調べます。
p.43 の「ログの表示」を参照してください。
セキュリティポリシーを更クライアントが最新のセキュリティポリシーを受信したことを調べます。セ
新する
キュリティポリシーはクライアントに対する最新の保護技術の設定を含ん
でいます。
（管理下クライアントの
み）
セキュリティポリシーは自動的に更新されます。最新のポリシーを使用
するために、クライアントの通知領域アイコンを右クリックして［ポリシーの
更新］をクリックすることによって、それを手動で更新できます。
p.31 の「クライアントが接続され、保護されているかどうかを確認する方
法」を参照してください。
コンピュータの保護の更新
シマンテック製品は最新情報に基づいて、新しく発見された脅威からコンピュータを保護
します。シマンテックでは、LiveUpdate を使ってこの情報を提供します。
コンテンツ更新とは、最新の脅威防止技術を使ってシマンテック製品を最新の状態に保
つファイルです。LiveUpdate はシマンテック社のインターネットサイトから新しいコンテン
ツのファイルを取り込んで、古いコンテンツのファイルを置換します。受信する更新は、コ
ンピュータにインストールされている製品に応じて異なります。コンピュータが更新を受信
する方法は、コンピュータが管理下または管理外のどちらであるかと、管理者が更新をど
のように設定したかによって異なります。
コンテンツ更新の例としては、次の種類のファイルが挙げられます。
■
ウイルス対策とスパイウェア対策のウイルス定義ファイル
■
プロアクティブ脅威防止のヒューリスティックシグネチャと商用アプリケーションリスト
■
ネットワーク脅威防止の IPS 定義ファイル
p.92 の「ネットワーク脅威防止について」を参照してください。
LiveUpdate は、インストール済みのクライアントに改良を提供することもできます。一般
的に、これらの改良は、オペレーティングシステムまたはハードウェアとの互換性の向上、
性能問題の調整、製品エラーの修正を目的として作成されます。クライアントに対するこ
29
30
第 3 章コンピュータが保護されていることの確認
コンピュータの保護の更新
れらの改良は必要に応じてリリースされます。クライアントコンピュータは LiveUpdate サー
バーからこれらの改良を直接受信できます。管理下クライアントコンピュータは会社の管
理サーバーからこれらの改良を自動的に受信することもできます。
表 3-2
コンピュータの内容を更新する方法
タスク
説明
スケジュールに従って内容を更新
デフォルトでは、LiveUpdate は自動で定期的に実行されま
す。
管理外クライアントで、LiveUpdate スケジュールを無効にし
たり変更したりすることができます。
p.30 の「スケジュールに従って内容を更新」を参照してくだ
さい。
内容をすぐに更新
セキュリティ設定に基づいて、LiveUpdate をすぐに実行す
ることもできます。
p.30 の「内容の即時更新」を参照してください。
内容の即時更新
LiveUpdate の使用によってコンテンツファイルをすぐに更新できます。次の理由のため
に LiveUpdate を手動で実行してください。
■
クライアントソフトウェアが最近インストールされた
■
前回のスキャンから長い時間が経過している
■
ウイルスやその他のマルウェア問題の疑いがある
p.30 の「スケジュールに従って内容を更新」を参照してください。
p.29 の「コンピュータの保護の更新」を参照してください。
保護をすぐに更新するには
◆
クライアントのサイドバーで、［LiveUpdate］をクリックします。
LiveUpdate はシマンテック社のサーバーに接続して利用可能な更新がないかチェッ
クし、更新がある場合には、自動的に更新をダウンロードしてインストールします。
スケジュールに従って内容を更新
ユーザーは LiveUpdate を定期的に自動で実行するためのスケジュールを作成できま
す。コンピュータを使わない期間に実行するように LiveUpdate をスケジュール設定する
と便利です。
p.30 の「内容の即時更新」を参照してください。
第 3 章コンピュータが保護されていることの確認
クライアントが接続され、保護されているかどうかを確認する方法
メモ: 管理下のクライアントがある場合は、管理者が有効にしている場合のみスケジュー
ルに従って実行するように LiveUpdate を設定できます。南京錠のアイコンが表示され、
オプションがグレー表示される場合は、スケジュールの内容を更新することはできません。
スケジュールに従って保護を更新するには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［クライアント管理］の隣にある［オプションの設定］をクリックします。
3
［クライアント管理の設定］ダイアログボックスで［LiveUpdate］をクリックします。
4
［LiveUpdate］タブで［自動更新を有効にする］にチェックマークを付けます。
5
［頻度と時間］グループボックスで、更新を日単位、週単位、月単位のいずれで実行
するか選択します。次に、更新を実行する曜日または週と時刻を選択します。
時間の設定は［頻度］グループボックスから選択する内容によって決まります。この
ダイアログボックスでその他のオプションを利用できるかどうかは、選択する頻度に
よっても異なります。
6
［再試行時間帯］グループボックスで［試し続ける期間］にチェックマークを付けてか
ら、クライアントが LiveUpdate の再実行を試みる時間間隔を指定します。
7
［ランダム実行オプション］グループボックスで［開始日時を時間単位の±でランダム
化する］にチェックマークを付けてから、時間数または日数を指定します。
このオプションは更新を開始する予定時刻の前後の時間の範囲を設定します。
8
［アイドル検出］グループボックスで、［コンピュータがアイドル状態になるまで定時
LiveUpdate を延期します。遅滞セッションは最終的に無条件で実行されます］に
チェックマークを付けます。
社内 LiveUpdate サーバーへのプロキシサーバー接続のオプションを設定すること
もできます。オプションについては、オンラインヘルプを参照してください。
9
［OK］をクリックします。
クライアントが接続され、保護されているかどうかを確認
する方法
クライアントでは、通知領域アイコンによって、クライアントがオンラインになっているかオ
フラインになっているか、およびクライアントコンピュータが十分に保護されているかどうか
が示されます。このアイコンを右クリックすると、使う頻度が高いコマンドが表示されます。
このアイコンは、クライアントコンピュータデスクトップの右下に表示されます。
31
32
第 3 章コンピュータが保護されていることの確認
クライアントが接続され、保護されているかどうかを確認する方法
メモ: 管理下クライアントでは、管理者がこの機能を利用不能にしている場合、通知領域
アイコンは表示されません。
Symantec Endpoint Protection クライアントの状態アイコン
表 3-3
アイコン
説明
クライアントは問題なく動作しています。オフラインになっているか管理外であるか
のいずれかです。管理外クライアントは管理サーバーに接続されません。アイコン
は何も付いていない黄色のシールドです。
クライアントは問題なく動作しています。管理サーバーに接続され、サーバーと通信
しています。セキュリティポリシーのすべてのコンポーネントがコンピュータを保護し
ています。アイコンは緑のドットが付いた黄色のシールドです。
クライアントに軽度な問題があります。たとえば、ウイルス定義が最新ではないなど
です。アイコンは中に黒い感嘆符のある明るい黄色のドットが付いた黄色のシール
ドです。
クライアントが実行されていないか、クライアントに重度の問題があるか、少なくとも
1 つの保護技術が無効になっています。たとえば、ネットワーク脅威防止が無効で
ある可能性があります。アイコンは真ん中に赤い斜線のある赤く縁取られた白いドッ
ト付きの黄色のシールドです。
表 3-4 に、通知領域に表示される Symantec Network Access Control クライアントの
状態アイコンを示します。
Symantec Network Access Control クライアントの状態アイコン
表 3-4
アイコン
説明
クライアントは問題なく実行されており、ホストインテグリティ検査に成功し、セキュリ
ティポリシーが更新されています。オフラインになっているか管理外であるかのいず
れかです。管理外クライアントは管理サーバーに接続されません。アイコンは何も
付いていない金色のキーです。
クライアントは問題なく実行されており、ホストインテグリティ検査に成功し、セキュリ
ティポリシーが更新されています。サーバーと通信しています。アイコンは緑のドッ
トが付いた金色のキーです。
クライアントは、ホストインテグリティ検査に失敗したか、セキュリティポリシーが更新
されていないかのいずれかです。アイコンは中に白色の「x」がある赤のドットが付い
た金色のキーです。
p.33 の「通知領域アイコンの非表示と表示」を参照してください。
第 3 章コンピュータが保護されていることの確認
管理下クライアントと管理外クライアントについて
通知領域アイコンの非表示と表示
通知領域アイコンの非表示と表示たとえば、Windows タスクバー上に空き領域が必要
な場合、通知領域アイコンを隠すことができます。
p.31 の「クライアントが接続され、保護されているかどうかを確認する方法」を参照してく
ださい。
メモ: 管理下クライアントでは、管理者がこの機能を制限している場合、ユーザーは通知
領域アイコンを隠すことができません。
通知領域アイコンを表示または非表示にするには
1
メインウィンドウのサイドバーで、［設定の変更］をクリックします。
2
［設定の変更］ページで、［クライアント管理］に対して［オプションの設定］をクリックし
ます。
3
［クライアント管理の設定］ダイアログボックスの［全般］タブにある［表示オプション］
で、［通知領域にシマンテック製品のセキュリティアイコンを表示する］のチェックマー
クをはずすか、チェックマークを付けます。
4
［OK］をクリックします。
管理下クライアントと管理外クライアントについて
管理者は管理下クライアント（管理者が管理するインストール）または管理外クライアント
（スタンドアロンインストール）としてクライアントをインストールできます。
33
34
第 3 章コンピュータが保護されていることの確認
管理下クライアントと管理外クライアントについて
表 3-5
管理下クライアントと管理外クライアントの違い
クライアントの種
類
説明
管理下クライアント
管理下クライアントはネットワークの管理サーバーと通信します。管理者は保
護とデフォルトのオプションを設定し、管理サーバーはクライアントに設定を
ダウンロードします。管理者が保護の変更を行う場合、変更はクライアントに
ほぼすぐにダウンロードされます。
管理者はクライアントと相互作用するレベルを次のように変更できます。
管理者がクライアントを完全に管理します。
ユーザーはクライアントを設定するように要求されません。すべての設定
はロックされるか利用不能ですが、クライアントがコンピュータで実行す
ることについての情報を表示できます。
■ 管理者がクライアントを管理しますが、ユーザーは一部のクライアント設
定を変更して一部のタスクを実行できます。たとえば、ユーザーは自分
自身でスキャンを実行してクライアントの更新と保護の更新を手動で取り
込めます。
クライアント設定の可用性と設定されている値は、定期的に変化すること
があります。たとえば、管理者がクライアント保護を制御するポリシーを更
新すると、設定が変化する場合があります。
■ 管理者がクライアントを管理しますが、ユーザーはすべてのクライアント
設定を変更してすべての保護タスクを実行できます。
■
管理外クライアント
管理外クライアントは管理サーバーと通信しないため管理者はクライアントを
管理しません。
管理外クライアントは次のいずれかの種類になります。
ホームコンピュータまたはノートパソコンなど、ネットワークに接続してい
ないスタンドアロンコンピュータ（コンピュータには、デフォルトのオプショ
ン設定または管理者が事前設定したオプション設定を使う Symantec
Endpoint Protection がインストールされている必要がある）。
■ 社内ネットワークに接続するリモートコンピュータ（接続前にセキュリティ
の必要条件を満たす必要がある）
■
最初にインストールされるときクライアントにはデフォルト設定が適用されま
す。クライアントがインストールされた後、すべてのクライアント設定を変更し
てすべての保護タスクを実行できます。
p.35 の「クライアントが管理下または管理外のどちらであるかの確認」を参照してくださ
い。
表 3-6 に、管理下クライアントと管理外クライアントのユーザーインターフェースの違いを
示します。
第 3 章コンピュータが保護されていることの確認
クライアントが管理下または管理外のどちらであるかの確認
管理下クライアントと管理外クライアントの機能領域ごとの違い
表 3-6
機能領域
集中管理下クライアント
自己管理クライアント
ウイルス対策とスパイ
ウェア対策
クライアントはロックされた南京錠オクライアントはロックされた南京錠ま
プションを表示してユーザーが設定たはロック解除された南京錠を表示
できないオプションはグレーで表示しません。
されます。
プロアクティブ脅威防
止
クライアントはロックされた南京錠オクライアントはロックされた南京錠ま
プションを表示してユーザーが設定たはロック解除された南京錠を表示
できないオプションはグレーで表示しません。
されます。
クライアント管理とネッ管理者が制御する設定は表示されすべての設定は表示されます。
トワーク脅威防止の設ません。
定
p.15 の「警告と通知の種類」を参照してください。
クライアントが管理下または管理外のどちらであるかの
確認
クライアントに保護を設定するためにどの程度の制御権があるかを確認するには、最初
にクライアントが管理下または管理外のどちらであるかを確認します。管理下クライアント
より管理外クライアントのほうが多くの設定を設定できます。
p.33 の「管理下クライアントと管理外クライアントについて」を参照してください。
クライアントが管理下または管理外のどちらであるかを確認するには
1
［状態］ページで、［ヘルプ］、［トラブルシューティング］の順にクリックします。
2
［トラブルシューティング］ダイアログボックスで［管理］をクリックします。
3
［管理］パネルの［一般情報］の下の［サーバー］の横で、次の情報を見つけます。
4
■
クライアントが管理下の場合は、［サーバー］フィールドに管理サーバーのアドレ
スかテキスト［オフライン］が表示されます。
アドレスは IP アドレス、DNS 名、NetBIOS 名のいずれかです。たとえば、DNS
名は SEPMServer1 です。クライアントが管理されているが管理サーバーに現
在接続されていない場合、このフィールドは［オフライン］です。
■
クライアントが管理外の場合、［サーバー］フィールドは［自己管理］です。
［閉じる］をクリックします。
35
36
第 3 章コンピュータが保護されていることの確認
保護の有効化と無効化について
保護の有効化と無効化について
一般に、クライアントコンピュータの保護技術は常に有効にしておきます。
クライアントコンピュータに問題がある場合は、一時的にすべての保護技術または個別の
保護技術を無効にする必要が生じる場合があります。たとえば、アプリケーションが動作
しない、または正しく動作しない場合は、ネットワーク脅威防止を無効にすることができま
す。すべての保護技術を無効にした後も問題がある場合は、問題がクライアントではない
ことを確認できます。
警告: トラブルシューティングの操作が完了したら、コンピュータの保護を継続できるよう
に、必ずすべての保護を有効にしてください。
表 3-7 に各保護技術を無効にする理由を記述します。
表 3-7
保護技術
保護技術を無効にする目的
保護技術を無効にする目的
ウイルス対策とスパイウェこの保護を無効にする場合は、Auto-Protect のみを無効にします。
ア対策
ユーザーまたは管理者が設定している場合は定時スキャンまたは起動時スキャンが動作します。
Auto-Protect は次の理由で有効と無効を切り替える場合があります。
Auto-Protect はドキュメントを開くのを遮断することがあります。たとえば、マクロがある Microsoft
Word を開く場合に、Auto-Protect が開くことを許可しないことがあります。ドキュメントが安全
であることがわかっている場合には、Auto-Protect を無効にできます。
■ ウイルスの影響によるものでないことがわかっていてもウイルスのような活動が確認された場合
には、Auto-Protect が警告することがあります。たとえば、新しいコンピュータアプリケーション
のインストール時に警告が表示されることがあります。インストールするアプリケーションが複数
あり、このような警告の表示を避けたい場合、Auto-Protect を一時的に無効にできます。
■ Auto-Protect は Windows のドライバの交換と干渉することがあります。
■
■
Auto-Protect はクライアントコンピュータの速度を低下させることがあります。
メモ: Auto-Protect を無効にすると、ダウンロードインサイトを有効にしていてもダウンロードインサ
イトも無効になります。SONAR もヒューリスティックな脅威を検出できません。ホストファイルとシステ
ムの変更の SONAR 検出は引き続き機能します。
p.38 の「Auto-Protect の有効化または無効化」を参照してください。
Auto-Protect によってアプリケーションで問題が起きる場合は、永続的に保護を無効にするよりも
例外を作成する方が適切です。
p.77 の「スキャンからの項目の除外」を参照してください。
第 3 章コンピュータが保護されていることの確認
クライアントコンピュータでの保護の有効化または無効化
保護技術
保護技術を無効にする目的
プロアクティブ脅威防止次の理由でプロアクティブ脅威防止を無効にすることがあります。
■
脅威ではないことがわかっている脅威について表示される警告が多すぎます。
■
プロアクティブ脅威防止はクライアントコンピュータの速度を低下させることがあります。
p.37 の「クライアントコンピュータでの保護の有効化または無効化」を参照してください。
ネットワーク脅威防止
次の理由でネットワーク脅威防止を無効にすることがあります。
■
ファイアウォールが遮断することがあるアプリケーションをインストールします。
ファイアウォールルールまたはファイアウォールの設定が管理者の間違いによりアプリケーショ
ンを遮断します。
■ ファイアウォールまたは侵入防止システムによりネットワーク接続に関係する問題が発生します。
■
■
ファイアウォールはクライアントコンピュータの速度を低下させることがあります。
■
アプリケーションを開くことができません。
p.122 の「侵入防止の有効化または無効化」を参照してください。
p.37 の「クライアントコンピュータでの保護の有効化または無効化」を参照してください。
ネットワーク脅威防止が問題の原因であることがわからない場合は、すべての保護技術を無効にす
る必要があることがあります。
管理下クライアントでは、管理者がネットワーク脅威防止を完全にロックして、ユーザーがこの機能
を有効または無効にできないようにすることがあります。
改変対策
改変対策は通常は有効にしておくことをお勧めします。
誤認検出が行われないようにするために、改変対策を一時的に無効にすることもできます。
p.39 の「改変対策の有効化、無効化、設定」を参照してください。
クライアントコンピュータでの保護の有効化または無効
化
クライアントでいずれかの保護が無効にされていると、次のようになります。
■
［状態］ページの先頭のステータスバーは赤くなります。
■
クライアントのアイコンに一般的な禁止記号（赤の円に斜線）が付きます。クライアント
アイコンは、Windows デスクトップの右下のタスクバーに盾の形で表示されます。設
定によってアイコンは表示されません。
p.31 の「クライアントが接続され、保護されているかどうかを確認する方法」を参照し
てください。
管理下クライアントでは、管理者は保護をいつでも有効にできます。
37
38
第 3 章コンピュータが保護されていることの確認
Auto-Protect の有効化または無効化
トラブルシューティングを行うために、Auto-Protect、プロアクティブ脅威防止、ネットワー
ク脅威防止を無効にすることもできます。管理下クライアントでは、ユーザーが保護を無
効にできないように、管理者がロックすることがあります。
p.36 の「保護の有効化と無効化について」を参照してください。
p.38 の「Auto-Protect の有効化または無効化」を参照してください。
［状態］ページから保護技術を有効にするには
◆
クライアントの［状態］ページの先頭で、［修復］または［すべてを修復］をクリックしま
す。
タスクバーから保護技術の有効と無効を切り替えるには
◆
Windows デスクトップの通知領域でクライアントアイコンを右クリックして、次のいず
れかの操作をします。
■
［ Symantec Endpoint Protection を有効にする］をクリックします。
■
［ Symantec Endpoint Protection を無効にする］をクリックします。
プロアクティブ脅威防止またはネットワーク脅威防止を有効または無効にするには
◆
クライアントで［状態］ページの［<保護の種類>］の隣から、次のいずれかのタスクを
実行します。
■
［オプション］、［<保護の種類> を有効にする］の順に選択します。
■
［オプション］、［すべての <保護の種類> 機能を無効にする］の順に選択します。
Auto-Protect の有効化または無効化
ファイルとプロセス、インターネット電子メール、電子メールのグループウェアアプリケー
ションに対して Auto-Protect を有効または無効にできます。いずれかの Auto-Protect
が無効になっている場合、ウイルスとスパイウェアの状態が［状態］ページに赤色で表示
されます。
アイコンを右クリックすると、［Symantec Endpoint Protection を有効にする］が表示さ
れます。
p.11 の「［状態］ページの警告アイコンについて」を参照してください。
p.36 の「保護の有効化と無効化について」を参照してください。
メモ: 管理下クライアントでは、ユーザーが Auto-Protect を無効にできないように、管理
者がロックすることがあります。また、ユーザーが Auto-Protect を一時的に無効にできて
も、指定の時間が経過した時点で Auto-Protect が再び自動的に有効になるように管理
者が指定することもあります。
第 3 章コンピュータが保護されていることの確認
改変対策の有効化、無効化、設定
デフォルトのオプション設定を変更しなければ、コンピュータの起動時に Auto-Protect
がロードされて、コンピュータをウイルスとセキュリティリスクから保護します。Auto-Protect
はプログラムの実行時にプログラムにウイルスとセキュリティリスクがないか調べます。コン
ピュータを監視して、ウイルスまたはセキュリティリスクの存在を示す可能性のある活動が
ないかも調べます。ウイルス、ウイルスらしい活動（ウイルスの影響と考えられるイベント）、
セキュリティリスクが検出されると、Auto-Protect が警告します。
メモ: Auto-Protect を無効にすると、ダウンロードインサイトを有効にしていてもダウンロー
ドインサイトも無効になります。SONAR でもヒューリスティックな脅威を検出できませんが、
SONAR はホストファイルとシステムの変更は検出し続けます。
ファイルシステム用 Auto-Protect を有効または無効にするには
◆
クライアントで［状態］ページの［ウイルスとスパイウェアの対策］の隣から、次のいず
れかの操作をします。
■
［オプション］、［ウイルス対策とスパイウェア対策を有効にする］の順に選択しま
す。
■
［オプション］、［すべてのウイルスとスパイウェアの対策機能を無効にする］の順
にクリックします。
電子メール用 Auto-Protect を有効または無効にするには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ウイルス対策とスパイウェア対策］の隣にある［オプションの設定］をクリックします。
3
次のいずれかの操作を実行します。
4
■
［インターネット電子メール Auto-Protect］タブで、［インターネット電子メール
Auto-Protect を有効にする］にチェックマークを付けるか、チェックマークをはず
します。
■
［Outlook Auto-Protect］タブで、［Microsoft Outlook Auto-Protect を有効
にする］にチェックマークを付けるか、チェックマークをはずします。
■
［Notes Auto-Protect］タブで、［Lotus Notes Auto-Protect を有効にする］に
チェックマークを付けるか、チェックマークをはずします。
［OK］をクリックします。
改変対策の有効化、無効化、設定
改変対策は、サーバーとクライアントで実行されるシマンテック製アプリケーションにリア
ルタイム保護を提供します。ワーム、トロイの木馬、ウイルスなどのシマンテック製品以外
のプロセスが、シマンテック製品のリソースに影響を与えることがないようにします。ソフト
39
40
第 3 章コンピュータが保護されていることの確認
ログについて
ウェアを設定して、シマンテック製品のリソースを変更しようとする試みを遮断またはログ
に記録することができます。
改変対策を有効にすると、シマンテック製ソフトウェアの改変の試みが検出されたときに
実行される処理を選択できます。改変対策が改変の試みを知らせるメッセージを表示す
るように設定することもできます。メッセージをカスタマイズする場合、改変対策が適切な
情報を埋め込む変数として事前定義済み変数を使うことができます。
メモ: 管理下クライアントでは、管理者が改変対策の設定をロックすることがあります。
事前定義済み変数については、［改変対策］タブの［ヘルプ］を参照してください。
p.36 の「保護の有効化と無効化について」を参照してください。
改変対策を有効または無効にするには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［クライアント管理］の隣にある［オプションの設定］をクリックします。
3
［改変対策］タブで、［シマンテック製セキュリティソフトウェアを改変または終了から
保護する］にチェックマークを付けるかはずします。
4
［OK］をクリックします。
改変対策を設定するには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［クライアント管理］の隣にある［オプションの設定］をクリックします。
3
［改変対策］タブの［アプリケーションがシマンテック製セキュリティソフトウェアを改変
または終了しようとした場合に適用する処理］リストボックスで、［遮断してイベントを
ログ記録する］または［イベントをログに記録のみする］をクリックします。
4
改変対策が疑わしい動作を検出したときに通知するように設定する場合は、［改変
の検出時に通知メッセージを表示する］にチェックマークを付けます。
このような通知メッセージを有効にすると、シマンテック製品の処理と Windows の
処理に関して通知を受け取ることがあります。
5
表示されるメッセージをカスタマイズするには、メッセージフィールドのテキストを更
新します。
6
［OK］をクリックします。
ログについて
ログにはクライアント設定の変更、セキュリティに関する活動、エラーについての情報が含
まれています。これらの記録はイベントと呼ばれます。ログには、これらのイベントと追加
の関連情報が表示されます。
第 3 章コンピュータが保護されていることの確認
ログについて
セキュリティに関する活動にはウイルス検出、コンピュータ状態、コンピュータから送受信
されるトラフィックについての情報が含まれています。管理下クライアントを使用する場合
は、ログが定期的に管理サーバーにアップロードされます。管理者はこれらのデータを使
用して、ネットワーク全体のセキュリティ状態を分析することができます。
ログは、コンピュータの活動や、他のコンピュータやネットワークとの通信を追跡するため
の重要な手段です。ログに記録された情報を使用して、ウイルス、セキュリティリスク、コン
ピュータに対する攻撃に関する傾向を追跡できます。複数のユーザーが同じコンピュー
タを使用する場合、誰がリスクを持ち込んだかを識別し、そのユーザーに予防措置を取
らせることができます。
ログについて詳しくは、F1 キーを押してそのログのヘルプを表示できます。
表 3-8 に各ログが表示するイベントの種類を記述します。
表 3-8
クライアントログ
ログ
説明
スキャンログ
期間内にコンピュータで実行したスキャンに関するエントリが含まれま
す。
リスクログ
コンピュータに感染したウイルスとセキュリティリスク（アドウェアやスパイ
ウェアなど）に関するエントリが含まれます。セキュリティリスクには、詳
細情報を提供するシマンテックセキュリティレスポンス Web ページへの
リンクが含まれます。
p.81 の「リスクログまたはスキャンログからのファイルの検疫」を参照し
てください。
ウイルス対策とスパイウェウイルスとセキュリティリスクに関連するコンピュータシステムの活動に関
ア対策のシステムログ
する情報が含まれます。この情報には、設定の変更、エラー、定義ファ
イルの情報が含まれます。
脅威ログ
SONAR がコンピュータで検出した脅威に関する情報が含まれます。
SONAR は不審な動作をしているファイルをすべて検出します。また、
システムの変更を検出します。
プロアクティブ脅威防止 TruScan プロアクティブ脅威スキャンに関連するコンピュータシステム
のシステムログ
の活動に関する情報が含まれます。 SONAR に関連するコンピュータ
システムの活動に関する情報が含まれます。
41
42
第 3 章コンピュータが保護されていることの確認
ログについて
ログ
説明
トラフィックログ
ファイアウォールのトラフィックと侵入防止攻撃にかかわるイベントが含
まれます。ログにはコンピュータがネットワークを通じて行った接続に関
する情報が含まれます。
ネットワーク脅威防止のログでは、ポートスキャンなどの脅威となる可能
性のある活動を検出できます。また、トラフィックの送信元を突きとめるた
めに使用することもできます。ネットワーク脅威防止のログを使用して、
接続に関する問題を解決したり、ネットワーク攻撃の可能性を検出する
こともできます。ログから、コンピュータがいつネットワークから遮断され
たかを確認したり、アクセスが遮断された理由を判断することができま
す。
パケットログ
コンピュータのポートを通過するデータのパケットに関する情報が含ま
れます。
デフォルトでは、パケットログは無効になります。管理下クライアントで
は、パケットログを有効にできません。管理外クライアントでは、パケット
ログを有効にできます。
p.43 の「パケットログの有効化」を参照してください。
制御ログ
制御ログには、アプリケーションがアクセスする Windows レジストリキー、
ファイル、DLL に関する情報や、コンピュータが実行するアプリケーショ
ンに関する情報が含まれます。
セキュリティログ
コンピュータに脅威を与えることがある活動に関する情報が含まれます。
たとえば、サービス拒否攻撃、ポートスキャン、実行可能ファイルの改変
などの活動に関する情報が表示されることがあります。
クライアント管理のシステコンピュータで起きたすべての操作上の変更に関する情報が含まれま
ムログ
す。
次の活動が変更として含まれることがあります。
■
サービスが開始または停止された
■
コンピュータがネットワークアプリケーションを検出した
■
ソフトウェアが設定された
■
グループ更新プロバイダとして機能しているクライアントの状態
改変対策ログ
コンピュータのシマンテック製アプリケーションを改変する試みに関する
エントリが含まれます。これらのエントリには、改変対策が検出した試
み、または検出および阻止した試みに関する情報が含まれます。
デバッグログ
トラブルシューティングを行うためのクライアント、スキャン、ファイアウォー
ルに関する情報が含まれます。管理者はログを有効または設定してか
らエクスポートするように要求することがあります。
p.43 の「ログの表示」を参照してください。
第 3 章コンピュータが保護されていることの確認
ログの表示
ログの表示
コンピュータでログを表示して、発生したイベントの詳細を確認することができます。
メモ: ［ネットワーク脅威防止］または［Symantec Network Access Control］がインストー
ルされていない場合、セキュリティログ、システムログ、制御ログを表示することはできませ
ん。
ログを表示するには
1
メインウィンドウのサイドバーで、［ログの表示］をクリックします。
2
次のいずれかの項目の横にある［ログの表示］をクリックします。
■
ウイルス対策とスパイウェア対策
■
プロアクティブ脅威防止
■
ネットワーク脅威防止
■
クライアント管理
■
Symantec Network Access Control
インストールの状況によっては一部の項目が表示されないことがあります。
3
ドロップダウンメニューで、表示するログを選択します。
p.40 の「ログについて」を参照してください。
パケットログの有効化
ネットワーク脅威防止ログとクライアント管理ログは、パケットログを除き、デフォルトで有効
です。管理外クライアントでは、パケットログを有効または無効にできます。
管理下クライアントでは、ユーザーがパケットログを有効または無効にできるかを管理者
が指定します。
p.40 の「ログについて」を参照してください。
パケットログを有効にするには
1
クライアントで、［状態］ページの［ネットワーク脅威防止］の右側にある［オプション］
をクリックし、次に［設定の変更］をクリックします。
2
［ネットワーク脅威防止の設定］ダイアログボックスで、［ログ］をクリックします。
3
［パケットログを有効にする］にチェックマークを付けます。
4
［OK］をクリックします。
43
44
第 3 章コンピュータが保護されていることの確認
ログに記録されたイベントの送信元の追跡
ログに記録されたイベントの送信元の追跡
ログに記録された一部のイベントをさかのぼって、データの送信元を突きとめることができ
ます。バックトレースには、着信トラフィックの正確な足跡（ホップ）が示されます。ホップ
は、パケットがインターネットでコンピュータからコンピュータに移動するときに通る、ルー
ターなどの通過点です。データがコンピュータに届くまでにどのルーターを利用したかを
明らかにすることで、データパケットを逆方向に追跡します。
p.40 の「ログについて」を参照してください。
一部のログエントリでは、攻撃の試みに使用されたデータパケットを追跡できます。デー
タパケットが通過した各ルーターには、IP アドレスが割り当てられています。この IP アド
レスとその他の情報を確認できます。表示される情報が、本当のハッカーを示していると
は限りません。最終的なホップの IP アドレスは、ハッカーが接続したルーターの所有者
のリストを示し、この人物がハッカー自身であるとは限りません。
セキュリティログやトラフィックログに記録された一部のイベントを追跡できます。
ログに記録されたイベントを追跡するには
1
クライアントのサイドバーで、［ログの表示］をクリックします。
2
［ネットワーク脅威防止］または［クライアント管理］の右側にある［ログの表示］をクリッ
クします。次に、追跡するエントリを含むログをクリックします。
3
ログ表示ウィンドウで、追跡するエントリの行を選択します。
4
［処理］をクリックし、次に［バックトレース］をクリックします。
5
［バックトレース情報］ダイアログボックスで、［Who is >>］をクリックし、各ホップの詳
細情報を表示します。
ドロップパネルに、トラフィックイベントが発生した IP アドレスの所有者に関する詳細
な情報が表示されます。Ctrl+C と Ctrl+V を使用してパネルの情報をコピーし、管
理者への電子メールメッセージに貼り付けることができます。
6
［Who is <<］をもう一度クリックして、情報を非表示にします。
7
確認が終わったら、［OK］をクリックします。
ログデータのエクスポート
ログの情報を、カンマ区切りの値（.csv）または Access データベース（*.mdb）形式でエク
スポートすることができます。.csv 形式は、多くのスプレッドシートプログラムやデータベー
スプログラムで、データをインポートするために使用される一般的なファイル形式です。
データを別のプログラムにインポートすると、データを使用してプレゼンテーションやグラ
フを作成したり、他の情報と組み合わせることができます。ネットワーク脅威防止ログやク
ライアント管理ログの情報は、タブ区切りのテキストファイルにエクスポートできます。
p.40 の「ログについて」を参照してください。
第 3 章コンピュータが保護されていることの確認
ログデータのエクスポート
メモ: Windows Server 2008 Server Core でクライアントソフトウェアを実行する場合に
は、ログデータを .mdb ファイルにエクスポートできません。.mdb 形式には Server Core
で利用できないいくつかの Microsoft アプリケーションが必要です。
次のログを .csv または .mdb ファイルにエクスポートできます。
■
ウイルスとスパイウェアのシステムログ
■
ウイルスとスパイウェアのリスクログ
■
ウイルスとスパイウェアのスキャンログ
■
プロアクティブ脅威防止のシステムログ
■
プロアクティブ脅威防止の脅威ログ
■
改変対策ログ
メモ: ログデータをフィルタ処理してからエクスポートすると、現在フィルタ処理されている
データだけがエクスポートされます。この条件は、タブ区切りのテキストファイルにエクス
ポートするログには適用されません。これらのログでは、すべてのデータがエクスポートさ
れます。
次のログをタブ区切りの .txt ファイルにエクスポートできます。
■
クライアント管理の制御ログ
■
クライアント管理のセキュリティログ
■
クライアント管理のシステムログ
■
ネットワーク脅威防止のパケットログ
■
ネットワーク脅威防止のトラフィックログ
メモ: タブ区切りのテキストファイルに加え、パケットログのデータを Network Monitor 形
式または NetXray 形式でエクスポートすることもできます。
Windows Server 2008 の Server Core のインストールでは、ユーザーインターフェース
のダイアログボックスが、以下の手順で説明するものと異なることがあります。
データを .csv ファイルにエクスポートするには
1
クライアントのサイドバーで、［ログの表示］をクリックします。
2
［ウイルスとスパイウェアの対策］または［プロアクティブ脅威防止］のいずれかの隣に
ある［ログの表示］をクリックします。
3
エクスポートするログの名前をクリックします。
45
46
第 3 章コンピュータが保護されていることの確認
ログデータのエクスポート
4
ログウィンドウで、保存するデータが表示されていることを確認し、［エクスポート］を
クリックします。
5
［保存する場所］ドロップダウンリストで、ファイルの保存先ディレクトリを参照します。
6
［ファイル名］テキストボックスで、ファイルの名前を入力します。
7
［保存］をクリックします。
8
［OK］をクリックします。
ネットワーク脅威防止ログデータまたはクライアント管理ログデータをテキストファイルに
保存するには
1
クライアントのサイドバーで、［ログの表示］をクリックします。
2
［ネットワーク脅威防止］または［クライアント管理］の右側にある［ログの表示］をクリッ
クします。
3
データをエクスポートするログの名前をクリックします。
4
［ファイル］、［エクスポート］の順に選択します。
パケットログを選択した場合は、［Network Monitor 形式にエクスポート］または
［Netxray 形式にエクスポート］をクリックできます。
5
［保存する場所］ドロップダウンリストで、ファイルの保存先ディレクトリを参照します。
6
［ファイル名］テキストボックスで、ファイルの名前を入力します。
7
［保存］をクリックします。
8
［ファイル］、［終了］の順に選択します。
4
スキャンの管理
この章では以下の項目について説明しています。
■
コンピュータでのスキャンの管理
■
ウイルスとスパイウェアのスキャンのしくみ
■
ユーザー定義スキャンのスケジュール
■
オンデマンドまたはコンピュータの起動時に実行されるスキャンのスケジュール
■
コンピュータでのダウンロードインサイト検出の管理
■
ダウンロードインサイトの設定のカスタマイズ
■
ウイルスとスパイウェアのスキャン設定のカスタマイズ
■
マルウェアとセキュリティリスクの検出時の処理の設定
■
スキャンからの項目の除外について
■
スキャンからの項目の除外
■
クライアントコンピュータ上の検疫ファイルの管理
■
検出についての情報のシマンテックセキュリティレスポンスへの提出について
■
検出についての情報をシマンテックセキュリティレスポンスに提出する
■
クライアントと Windows セキュリティセンターについて
■
クライアントコンピュータでの SONAR の管理
48
第 4 章スキャンの管理
コンピュータでのスキャンの管理
コンピュータでのスキャンの管理
デフォルトでは、管理下クライアントは毎日午後 12 時 30 分にアクティブスキャンを実行
します。管理外クライアントは、事前設定アクティブスキャンが無効な状態でインストール
されます。
管理外クライアントがある場合は、独自のスキャンを管理できます。管理下クライアントで
は、管理者がこれらの設定を利用可能にしている場合には、独自のスキャンを設定でき
ます。
表 4-1
スキャンの管理
手順
説明
スキャンのしくみを確認す
る
スキャンの種類と、ウイルスとセキュリティリスクの種類を確認してくだ
さい。
p.53 の「ウイルスとスパイウェアのスキャンのしくみ」を参照してくださ
い。
ウイルス定義を更新する
コンピュータに最新のウイルス定義がインストールされていることを確
認してください。
p.29 の「コンピュータの保護の更新」を参照してください。
Auto-Protect が有効に
なっていることを確認する
Auto-Protect はデフォルトで有効になっています。Auto-Protect は
常に有効にしておくことをお勧めします。Auto-Protect を無効にする
場合は、ダウンロードインサイトも無効にして、SONAR がヒューリス
ティック検出を行わないようにします。
p.38 の「Auto-Protect の有効化または無効化」を参照してくださ
い。
コンピュータをスキャンする定期的にコンピュータをスキャンして、ウイルスとセキュリティリスクを
チェックしてください。前回のスキャンの日付を調べることによって、ス
キャンが定期的に実行されることを確認してください。
p.12 の「コンピュータをただちにスキャンする」を参照してください。
p.63 の「ユーザー定義スキャンのスケジュール」を参照してください。
第 4 章スキャンの管理
コンピュータでのスキャンの管理
手順
説明
スキャンを一時停止またはオンデマンド、定時、起動時、ユーザー定義のいずれかのスキャンが
遅延させる
実行されたとき、Symantec Endpoint Protection では、デフォルト
でスキャン進行状況ダイアログボックスが表示されて進行状況が報告
されます。また、Auto-Protect はウイルスまたはセキュリティリスクを
検出すると常に結果ダイアログを表示します。これらの通知を無効に
することができます。
一時停止機能を使うと、スキャン中の任意の時点でスキャンを停止し
て、あとから再開できます。ユーザーは自分が開始したスキャンを一
時停止できます。
管理下ネットワークでは、ユーザーが管理者によるスキャンを一時停
止できるかどうかは管理者が決めます。管理者が一時停止機能を無
効にすると［スキャンの一時停止］オプションは利用できません。管理
者が休止機能を有効にした場合、ユーザーは設定された時間、管理
者による定時スキャンを遅らせることができます。
スキャンを再開すると、スキャンを停止した場所から開始されます。
メモ: クライアントが圧縮ファイルをスキャン中に一時停止した場合に
は、クライアントが一時停止の要求に応答するまでに数分かかること
があります。
p.13 の「スキャンの一時停止と遅延」を参照してください。
スキャン結果を対話的に操スキャンが実行されると、スキャン結果ダイアログボックスが表示され
作する
ることがあります。このスキャン結果ダイアログボックスを使って、スキャ
ンによって検出された項目に対する処理を実行できます。
管理ネットワークでは、管理者が開始したスキャンの進行状況ダイア
ログボックスが表示されないことがあります。管理者によっては、クライ
アントがウイルスまたはセキュリティリスクを検出したときに結果を表示
しないように選択することもあります。管理者が、スキャン結果を表示
することはできてもスキャンの一時停止または再開はできないようにす
ることもあります。
メモ: オペレーティングシステムの言語によっては、スキャン結果ダイ
アログボックスに表示されるウイルス名に使われている文字の一部を
解釈できないことがあります。オペレーティングシステムが解釈できな
い文字は、通知で疑問符として表示されます。たとえば、Unicode の
ウイルス名には 2 バイト文字が含まれることがあります。英語版のオペ
レーティングシステムでクライアントが動作しているコンピュータでは、
このような文字が疑問符として表示されます。
p.18 の「ウイルスまたはリスクの検出への対応」を参照してください。
49
50
第 4 章スキャンの管理
コンピュータでのスキャンの管理
手順
説明
コンピュータのパフォーマ
ンスを改善するためにス
キャンを調整する
デフォルトでは、Symantec Endpoint Protection は、コンピュータの
パフォーマンスに対する影響を最小限に抑えながら、高いレベルの
セキュリティを提供します。コンピュータのパフォーマンスをさらに高め
るために、設定をカスタマイズできます。
スケジュールされたスキャンやオンデマンドスキャンの場合は、次のオ
プションを変更することができます。
スキャン調整
スキャン調整を［アプリケーションに最適なパフォーマンス］に設定
します。
■ 圧縮ファイル
圧縮ファイルをスキャンするレベル数を変更します。
■ 再開可能スキャン
スキャンの最大実行時間を指定できます。スキャンはコンピュータ
がアイドル状態のときに再開します。
■ ランダム化されたスキャン
特定の期間内でスキャンの開始時間をランダム化することを指定
できます。
■
起動時スキャンを無効にしたり、定時スキャンのスケジュールを変更
することもできます。
p.71 の「ウイルスとスパイウェアのスキャン設定のカスタマイズ」を参
照してください。
p.63 の「ユーザー定義スキャンのスケジュール」を参照してください。
第 4 章スキャンの管理
コンピュータでのスキャンの管理
手順
説明
スキャンを調整してコン
ほとんどの場合、デフォルトのスキャン設定はコンピュータに適切な保
ピュータでの保護レベルを護を提供します。場合によっては保護を高めたいことがあります。保
高める
護を高めると、コンピュータのパフォーマンスに影響することがありま
す。
スケジュールされたスキャンやオンデマンドスキャンの場合は、次のオ
プションを変更することができます。
スキャンパフォーマンス
スキャン調整を［スキャンに最適なパフォーマンス］に設定します。
■ スキャン処理
ウイルスが検出されたときに実行する修復処理を変更する
■ スキャン期間
定時スキャンはデフォルトで、指定された期間が期限切れになる
まで実行され、クライアントコンピュータがアイドル状態になると再
開されます。このスキャン期間を［完了するまでスキャン］に設定す
ることができます。
■ Insight ルックアップ
Insight ルックアップは最新の定義セットを使ってスキャンを実行
し、ファイルについての決定を行います。また、シマンテック社の
評価技術も使います。Insight ルックアップは必ず有効にしてくだ
さい。Insight ルックアップの設定はダウンロードインサイトの設定
に類似しています。
■
Bloodhound 保護のレベルを上げることもできます。Bloodhound は、
ウイルスのような動作を検出するため、ファイルの論理的な領域を見
つけて隔離します。検出レベルを［自動］から［拡張］に変更すると、コ
ンピュータでの保護を強化できます。ただし［拡張］設定では、おそら
くより多くの誤認が生成されます。
p.71 の「ウイルスとスパイウェアのスキャン設定のカスタマイズ」を参
照してください。
51
52
第 4 章スキャンの管理
コンピュータでのスキャンの管理
手順
説明
コンピュータのパフォーマ Auto-Protect の場合は、次のオプションを変更することもできます。
ンスを改善したり保護を高
■ ファイルキャッシュ
めたりするために
ファイルキャッシュが有効になっていることを確認してください（デ
Auto-Protect 設定を修正
フォルトは有効）。ファイルキャッシュを有効にすると、Auto-Protect
する
はスキャンした未感染のファイルを記憶し、それらのファイルを再
スキャンしません。
■ ネットワークの設定
リモートコンピュータで Auto-Protect が有効になっている場合
は、［ファイルの実行時のみ］が有効になっていることを確認してく
ださい。
■ Auto-Protect がリモートコンピュータ上のファイルを信頼し、ネッ
トワークキャッシュを使うことを指定することもできます。
デフォルトでは、Auto-Protect は、お使いのコンピュータからリ
モートコンピュータにファイルを書き込むときにスキャンします。リ
モートコンピュータからお使いのコンピュータにファイルを書き込
むときにスキャンすることもできます。
ネットワークキャッシュは、Auto-Protect がリモートコンピュータか
らスキャンしたファイルの記録を格納します。ネットワークキャッシュ
を使うと、Auto-Protect が同じファイルを複数回スキャンすること
を回避できます。
p.71 の「ウイルスとスパイウェアのスキャン設定のカスタマイズ」を参
照してください。
ダウンロードインサイト検出ダウンロードインサイトは、Web ブラウザ、テキストメッセージクライア
を管理する
ント、その他のポータルを介してダウンロードを試みるファイルを検査
します。ダウンロードインサイトは Symantec Insight からの評価情報
を使って、ファイルに関する決定を下します。
p.66 の「コンピュータでのダウンロードインサイト検出の管理」を参照
してください。
SONAR を管理する
SONAR はプロアクティブ脅威防止の一部です。
p.87 の「クライアントコンピュータでの SONAR の管理」を参照してく
ださい。
スキャン例外を識別する
安全なファイルやプロセスがスキャンされないように除外します。
p.77 の「スキャンからの項目の除外」を参照してください。
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャンのしくみ
手順
説明
シマンテック社に検出につデフォルトでは、クライアントコンピュータはシマンテックセキュリティレ
いての情報を提出する
スポンスに検出についての情報を送信します。提出をオフにすること
も、提出する情報の種類を選択することもできます。
シマンテック社では提出を常に有効にすることを推奨しています。こ
の情報はシマンテック社が脅威に対処するために役立ちます。
p.84 の「検出についての情報をシマンテックセキュリティレスポンス
に提出する」を参照してください。
検疫ファイルを管理する
Symantec Endpoint Protection は感染ファイルを検疫し、それらの
ファイルをコンピュータ上の他のファイルに感染しない場所に移動し
ます。
検疫ファイルを修復できない場合は、そのファイルに対して何を実行
するかを決定する必要があります。
次の操作を実行することもできます。
バックアップファイルが存在する場合、または置換ファイルが信頼
に値するソースから入手可能な場合は、検疫ファイルを削除しま
す。
■ シマンテック社が新しいウイルス定義をリリースするまで、未知の
感染ファイルを検疫に残します。
■ 多数のファイルが蓄積されないように、定期的に検疫ファイルを調
べます。ネットワークで新しいウイルスのアウトブレークが現れたと
きには、検疫ファイルを調べてください。
■
p.79 の「クライアントコンピュータ上の検疫ファイルの管理」を参照し
てください。
p.81 の「ファイルの検疫について」を参照してください。
ウイルスとスパイウェアのスキャンのしくみ
ウイルスとスパイウェアのスキャンはコンピュータのウイルスとセキュリティリスクを識別して
中和または除去します。スキャンは次のプロセスを使ってウイルスまたはリスクを除去しま
す。
■
スキャンエンジンはコンピュータのファイルと他のコンポーネントからファイル内のウイ
ルスの痕跡を検索します。各ウイルスにはシグネチャと呼ばれる認識可能なパターン
があります。有害なウイルスコードのない既知のウイルスシグネチャを含んでいるウイ
ルス定義ファイルがクライアントにインストールされます。スキャンエンジンは各ファイ
ルまたはコンポーネントをウイルス定義ファイルと比較します。スキャンエンジンが一
致を見つけた場合、そのファイルは感染しています。
■
スキャンエンジンはウイルスまたはリスクが感染を引き起こしたかどうかを判断するた
めに定義ファイルを使います。スキャンエンジンは感染ファイルに修復処理を適用し
53
54
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャンのしくみ
ます。感染ファイルを修復するには、クライアントはファイルをクリーニングするか、削
除するか、検疫します。
p.61 の「スキャンはウイルスまたはリスクの検出にどのように対応するか」を参照して
ください。
表 4-2 に、クライアントがコンピュータでスキャンするコンポーネントの説明を示します。
表 4-2
クライアントがスキャンするコンピュータのコンポーネント
コンポーネント
説明
選択したファイル
クライアントは個々のファイルをスキャンします。ほとんどのスキャンでは、
スキャン対象のファイルを選択します。
クライアントソフトウェアは、パターンに基づくスキャンを使ってファイルのウ
イルスの形跡を検索します。ウイルスの形跡は、パターンまたはシグネチャ
と呼ばれます。特定のウイルスを識別する方法として、各ファイルをウイル
ス定義に含まれる無害なシグネチャと比較します。
ウイルスが見つかった場合、デフォルトでクライアントはファイルからウイル
スをクリーニングしようとします。ファイルをクリーニングできない場合は、コ
ンピュータがさらに感染するのを防止するために感染ファイルを検疫しま
す。
また、クライアントは、ファイルと Windows レジストリキー内のセキュリティ
リスクの形跡をパターンに基づくスキャンによって検索します。セキュリティ
リスクが見つかった場合、デフォルトでクライアントは感染ファイルを検疫し
て、リスクの影響を修復します。検疫できない場合は、その試行をログに
記録します。
コンピュータメモリ
クライアントはコンピュータのメモリを検索します。ファイル感染ウイルス、
ブートセクタ感染ウイルス、マクロウイルスはメモリに常駐する可能性があ
ります。メモリ常駐型のウイルスは、自己をコンピュータのメモリにコピーし
ています。ウイルスはトリガイベントが起きるまでメモリ上に隠れることがで
きます。その後、ウイルスはディスクドライブのフロッピーディスクやハード
ディスクドライブに伝染します。ウイルスがメモリ上にある場合はクリーニン
グできません。しかし、メッセージに従ってコンピュータを再起動すればメ
モリからウイルスを除去できます。
ブートセクタ
クライアントは、コンピュータのブートセクタにブートウイルスがないかどうか
をチェックします。パーティションテーブルとマスターブートレコードの 2 つ
がチェックされます。
フロッピーディスクドラウイルスが伝染する典型的な方法として、フロッピーディスクを介した伝染
イブ
があります。コンピュータを起動または停止するとき、フロッピーディスクが
ディスクドライブに入ったままになっていることがあります。スキャンが開始
されると、クライアントはディスクドライブに入っているフロッピーディスクの
ブートセクタとパーティションテーブルを検索します。コンピュータの電源
を切るときには、感染の可能性を防止するためにディスクの取り出しを促
すメッセージが表示されます。
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャンのしくみ
スキャンの種類について
Symantec Endpoint Protection には、さまざまな種類のウイルス、脅威、リスクに対す
る保護を提供するために、さまざまな種類のスキャンが用意されています。
デフォルトでは、Symantec Endpoint Protection は毎日午後 12 時 30 分にアクティブ
スキャンを実行します。Symantec Endpoint Protection は、新しい定義がクライアントコ
ンピュータに届いたときにもアクティブスキャンを実行します。管理外コンピュータでは、
無効にされたデフォルトの起動時スキャンも含まれます。
管理外クライアントでは、コンピュータで毎日アクティブスキャンを実行していることを確認
する必要があります。コンピュータに非アクティブな脅威があると疑われる場合は、週また
は月に 1 回、完全スキャンを実行するようにスケジュールすることをお勧めします。完全
スキャンではコンピュータのリソースがより多く消費され、コンピュータのパフォーマンスに
影響することがあります。
p.48 の「コンピュータでのスキャンの管理」を参照してください。
表 4-3
スキャンの種類
スキャンの種類
説明
Auto-Protect
Auto-Protect はファイルや電子メールデータがコンピュータに対して読み書きされるときに、そ
れらを連続的に検査します。Auto-Protect は検出されたウイルスとセキュリティリスクを自動的に
中和または除去します。
また、送受信する電子メールの一部を保護します。
p.56 の「Auto-Protect の種類について」を参照してください。
ダウンロードインサイト
ダウンロードインサイトは、ユーザーがブラウザや他のポータルからファイルのダウンロードを試み
たときにファイルを検査することで、Auto-Protect のセキュリティを向上させます。
ダウンロードインサイトは評価情報を使ってファイルに関する決定を下します。ファイルの評価ス
コアは Insight と呼ばれるシマンテック社の技術によって決定されます。Insight はファイルのソー
スだけでなく、ファイルのコンテキストも使います。Insight はダウンロードインサイトがファイルに
関する決定を下すために使うセキュリティ評価を提供します。
ダウンロードインサイトは Auto-Protect の一部として機能するので、Auto-Protect が有効になっ
ている必要があります。Auto-Protect を無効にして、ダウンロードインサイトを有効にした場合、
ダウンロードインサイトは動作できません。
p.62 の「Symantec Endpoint Protection が評価データを使ってファイルに関する決定を下す
方法」を参照してください。
55
56
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャンのしくみ
スキャンの種類
説明
管理者スキャンとユーザー管理下クライアントの場合は、管理者が定時スキャンを作成したりオンデマンドでスキャンを実行
定義のスキャン
することがあります。管理外クライアント、またはスキャン設定がロック解除されている管理下クライ
アントの場合は、独自のスキャンを作成して実行することができます。
管理者またはユーザー定義のスキャンは、クライアントコンピュータ上のすべてのファイルとプロセ
スを調べて、ウイルスとセキュリティリスクを検出します。これらの種類のスキャンはメモリとロードポ
イントも検査できます。
次の種類の管理者またはユーザー定義のスキャンを利用できます。
定時スキャン
定時スキャンは指定した時刻にクライアントコンピュータで実行されます。同じ時刻に設定さ
れた定時スキャンがあれば順次実行されます。定時スキャンの間にコンピュータがオフになっ
た場合には、未実行のスキャンを再試行するように設定されていなければスキャンは実行され
ません。アクティブスキャン、完全スキャン、カスタムスキャンをスケジュール設定できます。
定時スキャンの設定はテンプレートとして保存できます。テンプレートとして保存した任意のス
キャンを、異なるスキャンのベースとして使うことができます。スキャンテンプレートを使うと、複
数のポリシーを設定するときに時間を節約できます。定時スキャンのテンプレートは、デフォル
トでポリシーに含まれています。デフォルト定時スキャンでは、すべてのファイルとディレクトリ
がスキャンされます。
■ 起動時スキャンとトリガのスキャン
起動時スキャンはユーザーがコンピュータにログオンするときに実行されます。トリガのスキャ
ンは新しいウイルス定義がコンピュータにダウンロードされたときに実行されます。
■ オンデマンドスキャン
オンデマンドスキャンは手動で開始するスキャンです。［脅威のスキャン］ページからオンデマ
ンドでスキャンを実行できます。
■
SONAR
SONAR はゼロデイ攻撃に対するリアルタイム保護を提供します。SONAR は従来のシグネチャ
ベースの定義が脅威を検出する前であっても攻撃を止めることができます。SONAR は、ヒューリ
スティックとファイル評価データを使って、アプリケーションまたはファイルについての決定を行い
ます。?
SONAR はプロアクティブ脅威スキャンのように、キーロガー、スパイウェア、悪質または潜在的に
悪質な可能性がある他のすべてのアプリケーションを検出します。
Auto-Protect の種類について
Auto-Protect は、ファイルのほか、特定の種類の電子メールと電子メールの添付ファイ
ルをスキャンします。
クライアントコンピュータが Symantec Mail Security などのその他の電子メールセキュリ
ティ製品を実行している場合は、電子メール用の Auto-Protect を有効にする必要はあ
りません。
Auto-Protect は、サポートされている電子メールクライアントに対してのみ動作します。
電子メールサーバーは保護しません。
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャンのしくみ
メモ: 電子メールを開くときにウイルスが検出された場合には、Auto-Protect がスキャン
を完了するため、電子メールを開くのに数秒かかることがあります。
Auto-Protect の種類
表 4-4
Auto-Protect の種類
説明
Auto-Protect
ファイルがコンピュータに対して読み書きされるときに、それらを連続的にスキャンします
Auto-Protect はデフォルトで、ファイルシステムに対して有効になります。Auto-Protect
はコンピュータの起動時にロードされます。Auto-Protect はウイルスやセキュリティリスク
がないかすべてのファイルを検査し、インストールされないようにセキュリティリスクを遮断
します。オプションで、拡張子によるファイルのスキャン、リモートコンピュータでのファイ
ルのスキャン、ブートウイルスを探すフロッピーディスクのスキャンが可能です。また、オ
プションで、ファイルの修復を試みる前のバックアップ、プロセスの終了、サービスの停止
サービスが可能です。
選択した拡張子のファイルだけをスキャンするように Auto-Protect を設定できます。
Auto-Protect は選択した拡張子のファイルをスキャンするとき、ウイルスによってファイ
ルの拡張子が変更された場合でもファイルの種類を判定することができます。
電子メールに Auto-Protect を実行しない場合でも、Auto-Protect が有効になってい
ればクライアントコンピュータは保護されます。ほとんどの電子メールアプリケーションは、
ユーザーが電子メールの添付ファイルを開くと、それを一時ディレクトリに保存します。
Auto-Protect は一時ディレクトリに書き込まれときにファイルをスキャンし、ウイルスやセ
キュリティリスクを検出します。Auto-Protect では、感染した添付ファイルをユーザーが
ローカルドライブまたはネットワークドライブに保存しようとした場合にもウイルスが検出さ
れます。
インターネット電子メール
Auto-Protect
ウイルスとセキュリティリスクがないかインターネット電子メール（POP3 または SMTP）と添
付ファイルをスキャンし、アウトバウンド電子メールのヒューリスティックスキャンも実行しま
す。
デフォルトでは、インターネット電子メール Auto-Protect で、POP3 と SMTP 接続によ
る暗号化パスワードと電子メールがサポートされています。SSL（Secure Sockets Layer）
を利用する POP3 または SMTP を使う場合に、クライアントはセキュリティで保護された
接続を検出しますが、暗号化メッセージはスキャンしません。
メモ: パフォーマンス上の理由により、POP3 のインターネット電子メール Auto-Protect
は、サーバーオペレーティングシステムではサポートされていません。インターネット電
子メールスキャンは、64 ビットコンピュータでもサポートされません。
電子メールスキャンは Hotmail または Yahoo のような IMAP、AOL、または HTTP ベー
スの電子メールをサポートしません電子メールスキャンは、IMAP、AOL、Hotmail や
Yahoo! メールなどの HTTP ベースの電子メールをサポートしません。
57
58
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャンのしくみ
Auto-Protect の種類
説明
Microsoft Outlook Auto-Protect
ウイルスとセキュリティリスクがないか Microsoft Outlook 電子メール（MAPI とインター
ネット）と添付ファイルをスキャンします。
Microsoft Outlook 98/2000/2002/2003/2007/2010（MAPI とインターネット）がサポー
トされます。
クライアントソフトウェアをインストールするときに Microsoft Outlook がコンピュータにイ
ンストール済みの場合には、クライアントソフトウェアが電子メールアプリケーションを検
出します。クライアントは自動的に Microsoft Outlook Auto-Protect をインストールしま
す。
Microsoft Outlook（MAPI 経由）または Microsoft Exchange クライアントを使ってい
て、電子メールでの Auto-Protect を有効にしている場合、添付ファイルはすぐにダウン
ロードされます。添付ファイルは、開かれたときにスキャンされます。低速な接続でサイズ
の大きな添付ファイルをダウンロードすると、メールのパフォーマンスに影響があります。
定期的に大きい添付ファイルを受信する場合には、この機能を無効にすると便利です。
メモ: Microsoft Exchange サーバーには、Microsoft Outlook Auto-Protect をインス
トールしないでください。
Lotus Notes Auto-Protect
ウイルスとセキュリティリスクがないか Lotus Notes 電子メールと添付ファイルをスキャン
します。
Lotus Notes 4.5x、4.6、5.0、6.x がサポートされます。
クライアントソフトウェアをインストールするときに Lotus Notes がコンピュータにインストー
ル済みの場合には、クライアントソフトウェアが電子メールアプリケーションを検出します。
クライアントは自動的に Lotus Notes Auto-Protect をインストールします。
ウイルスとセキュリティリスクについて
Symantec Endpoint Protection はウイルスとセキュリティリスクの両方をスキャンします。
セキュリティリスクには、スパイウェア、アドウェア、ルートキット、コンピュータまたはネット
ワークを危険にさらす可能性があるその他のファイルが含まれます。
ウイルスとセキュリティリスクは、電子メールメッセージやインスタントメッセンジャープログ
ラムを通して到着する可能性があります。ソフトウェアプログラムのエンドユーザー使用許
諾契約を受け入れることで、気付かずにリスクをダウンロードしてしまうこともあります。
多くのウイルスとセキュリティリスクは「ドライブバイダウンロード」としてインストールされま
す。これらのダウンロードは通常、悪質な Web サイトや感染した Web サイトにアクセスし
たときに発生し、アプリケーションのダウンローダが本物の脆弱性を通してコンピュータに
インストールされます。
特定のリスクについての情報は、シマンテックセキュリティレスポンスの Web サイトで参照
できます。
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャンのしくみ
シマンテックセキュリティレスポンス Web サイトでは、脅威とセキュリティリスクに関する最
新情報を提供しています。この Web サイトには、ウイルスとセキュリティリスクについての
白書や詳しい情報など、広範な参照情報もあります。
p.61 の「スキャンはウイルスまたはリスクの検出にどのように対応するか」を参照してくだ
さい。
図 4-1
他の
コンピュータ、
ネットワーク上のファイルの
共有
ウイルスとセキュリティリスクがコンピュータをどのように攻撃するか
USB フラッシュ
ドライブ
インターネット
ウイルス、
マルウェア、
電子メール、インスタント
メッセージ
セキュリティ
リスク
ウイルス、マルウェア、
セキュリティリスク
ウイルス、マルウェア、
セキュリティリスク
クライアントコンピュータ
表 4-5 に、コンピュータを攻撃する可能性があるウイルスとリスクの種類を示します。
59
60
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャンのしくみ
表 4-5
ウイルスとセキュリティリスク
リスク
説明
ウイルス
実行時に自身のコピーを別のコンピュータプログラムまたはファイルに
添付するプログラムまたはコード。感染したプログラムを実行すると、添
付されたウイルスプログラムがアクティブになり、自身を他のプログラム
やファイルに添付します。
ウイルスのカテゴリには、次の種類の脅威が含まれます。
■
■
■
■
■
悪意のあるインターネットボット
インターネット介して自動化されたタスクを実行するプログラム。ボッ
トは、コンピュータへの攻撃を自動化したり、Web サイトから情報を
収集したりする目的で使用できます。
ワーム
他のプログラムに影響を与えることなく複製されるプログラム。ワー
ムには、ディスク間で自身をコピーすることで広がるものや、メモリ
内で自己複製してコンピュータのパフォーマンスを低下させるもの
があります。
トロイの木馬
ゲームやユーティリティなどの良性なものの中に隠れたプログラム。
複合型脅威
ウイルス、ワーム、トロイの木馬、サーバーの特性と、インターネット
の脆弱性を利用して攻撃を開始、伝搬、拡散させるコードが複合
された脅威。複合型脅威は複数の方法や技法を使って急速に広
がり、広範な損傷を引き起こします。
ルートキット
コンピュータのオペレーティングシステムから自身を隠蔽するプロ
グラム。
アドウェア
広告コンテンツを配信するプログラム。
ダイヤラー
ユーザーの許可なく、またはユーザーが気付かないうちに、コンピュー
タを使ってインターネット経由でダイヤル Q2 や FTP サイトにダイヤル
するプログラム。一般に、課金により利益を得るためにこれらの番号に
ダイヤルします。
ハッキングツール
コンピュータへの権限のないアクセスを可能にするためにハッカーが
使うプログラムです。ハッキングツールの例としては、キーストロークを
追跡して記録し、この情報をハッカーに送信するキーロガーがありま
す。ハッカーはこの情報を使って、ポートスキャンまたは脆弱性スキャ
ンを実行できます。ハッキングツールは、ウイルスの作成にも使うことが
できます。
ジョークプログラム
ユーモラスであったり、怖がらせるように、コンピュータの操作を改変し
たり妨害したりするプログラム。たとえば、ジョークプログラムはユーザー
がそれを削除しようとすると、ごみ箱を動かしたりします。
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャンのしくみ
リスク
説明
紛らわしいアプリケーショコンピュータのセキュリティの状態を意図して不正に表現するアプリケー
ン
ション。これらのアプリケーションは通常、削除する必要がある偽の感
染に関するセキュリティの通知を偽装します。
保護者機能プログラム
コンピュータの使用を監視または制限するプログラム。これらのプログ
ラムは検出されることなく動作する可能性があり、通常は監視情報を別
のコンピュータに伝送します。
リモートアクセスプログラムインターネット経由で別のコンピュータからのアクセスを可能にし、情報
収集、攻撃、ユーザーのコンピュータを改変できるようにするプログラ
ム。
セキュリティ評価ツール
コンピュータへの権限のないアクセスを目的とした情報の収集に使わ
れるプログラム。
スパイウェア
密かにシステムの動作を監視し、パスワードやその他の機密情報を検
出して別のコンピュータに中継するスタンドアロンプログラム。
トラックウェア
インターネット上でのユーザーのパスを追跡して、管理者やハッカーの
システムに情報を送信するスタンドアロンアプリケーションまたは追加
されたアプリケーション。
スキャンはウイルスまたはリスクの検出にどのように対応するか
ファイルがウイルスやセキュリティリスクに感染したとき、クライアントの対応は脅威の種類
によって異なります。クライアントは脅威の種類ごとに第 1 の処理を行い、それが失敗し
た場合には第 2 の処理を適用します。
ウイルスとセキュリティリスクに対するスキャンの対応
表 4-6
脅威の種類
処理
ウイルス
デフォルトでは、クライアントがウイルスを検出すると、クライアントは次の処理を
行います。
■
最初に感染ファイルからのウイルスのクリーニングを試みます。
ファイルをクリーニングした場合、クライアントはコンピュータからリスクを完全
に除去します。
■ ファイルをクリーニングできない場合、クライアントはエラーをログに記録し、
感染ファイルを検疫に移動します。
p.81 の「ファイルの検疫について」を参照してください。
■
61
62
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャンのしくみ
脅威の種類
処理
セキュリティリスクデフォルトでは、クライアントがセキュリティリスクを検出すると、クライアントは次
の処理を行います。
■
感染ファイルを検疫します。
■
セキュリティリスクによって加えられた変更の削除または修正を試みます。
■
セキュリティリスクを検疫できない場合は、そのリスクをログに記録して放置し
ます。
場合によっては、アドウェアやスパイウェアのようにセキュリティリスクを含むアプ
リケーションを、それと気付かずインストールすることがあります。検疫してもコン
ピュータに支障がないことをシマンテック社がすでに確認している場合には、ク
ライアントがリスクを検疫します。クライアントがリスクをすぐに検疫すると、その処
理によってコンピュータが不安定な状態になることがあります。そのため、クライ
アントはアプリケーションのインストール完了を待ってからリスクを検疫します。そ
の後、リスクの影響を修正します。
スキャンの各種類に対して、クライアントによるウイルスとセキュリティリスクの処理方法に
関する設定を変更できます。リスクのカテゴリごとに、また各セキュリティリスクごとに異なる
処理を設定することができます。
Symantec Endpoint Protection が評価データを使ってファイルに関する
決定を下す方法
シマンテック社は、数百万ユーザーのグローバルなコミュニティと、Symantec Global
Intelligence Network からファイルについての情報を収集しています。収集された情報
は、シマンテック社によってホストされている評価データベースになります。シマンテック
製品はこの情報を活用して、新しい脅威、対象となる脅威、変異する脅威からクライアン
トコンピュータを保護します。データはクライアントコンピュータ上には存在しないため、「ク
ラウド内」に存在していると表現される場合もあります。クライアントコンピュータは評価デー
タベースを要求またはクエリーする必要があります。
シマンテック社は Insight と呼ばれる技術を使って、各ファイルの危険度、すなわち「セ
キュリティ評価」を決定します。
Insight はファイルとそのコンテキストについて次の特性を調べ、ファイルのセキュリティ
評価を決定します。
■
ファイルの状態を
■
ファイルのどの程度新しいものか
■
ファイルがコミュニティでどれだけ一般的であるか
■
ファイルがマルウェアとどのように関係している可能性があるかなど、その他のセキュ
リティ基準
第 4 章スキャンの管理
ユーザー定義スキャンのスケジュール
Symantec Endpoint Protection のスキャン機能は Insight を活用して、ファイルとアプ
リケーションについての決定を下します。ウイルスとスパイウェアの対策には、ダウンロー
ドインサイトと呼ばれる機能が含まれます。ダウンロードインサイトは、評価情報を使って
検出を行います。Insight ルックアップを無効にすると、ダウンロードインサイトは実行され
ますが検出を行うことができません。Insight ルックアップや SONAR などの他の保護機
能も、評価情報を使って検出を行います。ただし、それらの機能は他の技術を使って検
出を行うことができます。
デフォルトでは、クライアントコンピュータは分析のため、シマンテックセキュリティレスポン
スに評価検出についての情報を送信します。この情報は、Insight の評価データベース
を調整する助けとなります。情報を提出するクライアントが多いほど、評価データベース
は有用になります。
評価情報の提出は無効にできます。ただし、シマンテック社は提出を有効にしておくこと
を推奨します。
クライアントコンピュータは検出に関する他の種類の情報もシマンテックセキュリティレス
ポンスに提出します。
p.66 の「コンピュータでのダウンロードインサイト検出の管理」を参照してください。
p.84 の「検出についての情報をシマンテックセキュリティレスポンスに提出する」を参照
してください。
ユーザー定義スキャンのスケジュール
定時スキャンは、脅威とセキュリティリスク防止のための重要なコンポーネントです。少な
くとも 1 週間に 1 回はスキャンを実行するように設定して、コンピュータにウイルスやセキュ
リティリスクがないことを確認する必要があります。新しく作成したスキャンは、［脅威のス
キャン］ペインのスキャンリストに表示されます。
メモ: 管理者がすでに定時スキャンを作成している場合は、［脅威のスキャン］ペインのス
キャンリストに表示されます。
スケジュール設定によってスキャンが実行されるときには、コンピュータが起動され、
Symantec Endpoint Protection サービスがロードされる必要があります。デフォルトで
は、Symantec Endpoint Protection サービスはコンピュータの起動時にロードされま
す。
管理下クライアントの場合は、管理者がこれらの設定を無効にすることがあります。
複数のスキャンを同じコンピュータ上で実行するようにスケジュール設定し、スキャンが同
時に始まる場合には、スキャンは順次実行されます。1 つのスキャンが終わってから次の
スキャンが始まります。たとえば、同じコンピュータ上で 3 つの別々のスキャンが午後 1 時
に実行されるように設定するとします。それぞれのスキャンが別のドライブをスキャンしま
す。1 つのスキャンがドライブ C、2 つ目のスキャンがドライブ D、3 つ目のスキャンがドラ
63
64
第 4 章スキャンの管理
ユーザー定義スキャンのスケジュール
イブ E をスキャンします。この例では、ドライブ C、D、E をスキャンする 1 つの定時スキャ
ンを作成するほうがよいでしょう。
p.12 の「コンピュータをただちにスキャンする」を参照してください。
p.48 の「コンピュータでのスキャンの管理」を参照してください。
各ダイアログボックスのオプションについて詳しくは［ヘルプ］をクリックしてください。
ユーザー定義スキャンをスケジュールするには
1
クライアントのサイドバーで、［脅威のスキャン］をクリックします。
2
［新しいスキャンの作成］をクリックします。
3
［新しいスキャンの作成 - スキャンの対象］ダイアログボックスで、スケジュール設定
するスキャンの種類を次の中から選択します。
アクティブスキャン
ウイルスとセキュリティリスクによる感染の可能性が高いコンピュータ領
域をスキャンします。
アクティブスキャンは毎日実行してください。
完全スキャン
コンピュータ全体をスキャンして、ウイルスとセキュリティリスクをチェック
します。
完全スキャンは週または月に 1 回実行することをお勧めします。完全
スキャンはコンピュータのパフォーマンスに影響することがあります。
カスタムスキャン
選択したコンピュータ領域をスキャンして、ウイルスとセキュリティリスク
をチェックします。
4
［次へ］をクリックします。
5
［カスタムスキャン］を選択した場合は、該当するチェックボックスにチェックマークを
付けてスキャンする場所を指定し、［次へ］をクリックします。
記号の意味は次のとおりです。
ファイル、ドライブ、フォルダが選択されていません。項目がドライブまたはフォル
ダの場合には、その中のフォルダとファイルも選択されていません。
個々のファイルまたはフォルダが選択されています。
個々のフォルダまたはドライブが選択されています。フォルダまたはドライブ内の
項目もすべて選択されています。
個々のフォルダまたはドライブは選択されていませんが、そのフォルダまたはドラ
イブ内の項目が 1 つ以上選択されています。
第 4 章スキャンの管理
オンデマンドまたはコンピュータの起動時に実行されるスキャンのスケジュール
6
［新しいスキャンの作成 - スキャンオプション］ダイアログボックスでは、次のオプショ
ンを変更できます。
ファイルの種類
クライアントがスキャンする拡張子を変更します。デフォルト設定ではす
べてのファイルをスキャンします。
処理
ウイルスやセキュリティリスクが見つかったときの第 1 の処理と第 2 の処
理を変更します。
通知
ウイルスまたはセキュリティリスクが見つかったときに表示するメッセージ
を作成します。修復処理を実行する前に通知するかどうかも設定できま
す。
拡張
スキャン結果のダイアログボックスの表示のような付加的なスキャン機能
を変更します。
スキャン拡張
クライアントがスキャンするコンピュータコンポーネントを変更します。利
用可能であるオプションはステップ 3 で選択したものによって決まります。
7
［次へ］をクリックします。
8
［新しいスキャンの作成 - スキャンのタイミング］ダイアログボックスで、［指定時］をク
リックしてから、［次へ］をクリックします。
オンデマンドスキャンまたは起動時スキャンを作成することもできます。
p.65 の「オンデマンドまたはコンピュータの起動時に実行されるスキャンのスケジュー
ル」を参照してください。
9
［新しいスキャンの作成 - スケジュール］ダイアログボックスの［スキャンスケジュール］
の下で、スキャンの頻度とタイミングを指定し、［次へ］をクリックします。
10 ［スキャン期間］の下で、スキャンが完了する必要がある期間を指定できます。スキャ
ン開始日時をランダム化することもできます。
11 ［未実行の定時スキャン］の下で、スキャンを再試行できる間隔を指定できます。
12 ［新しいスキャンの作成 - スキャン名］ダイアログボックスで、スキャンの名前と説明を
入力します。
たとえば、スキャンの名前を「金曜午前」にします。
13 ［完了］をクリックします。
オンデマンドまたはコンピュータの起動時に実行される
スキャンのスケジュール
コンピュータの起動時またはログオン時に必ず自動スキャンを実行して、定時スキャンを
補うことができます。多くの場合、起動時スキャンは Windows フォルダや Microsoft
65
66
第 4 章スキャンの管理
コンピュータでのダウンロードインサイト検出の管理
Word と Excel のテンプレートを格納するフォルダなど、重要で危険度の高いフォルダに
制限されます。
定期的に同じファイルセットやフォルダセットをスキャンする場合には、それらの項目のみ
を対象にしたオンデマンドスキャンを作成できます。指定したファイルやフォルダにウイル
スとセキュリティリスクがないことを、いつでもすばやく確認することができます。オンデマ
ンドスキャンは手動で実行する必要があります。
複数の起動時スキャンを作成した場合は、作成された順序で順次実行されます。管理者
は起動時スキャンを作成できないようにクライアントを設定することがあります。
p.12 の「コンピュータをただちにスキャンする」を参照してください。
各ダイアログボックスのオプションについて詳しくは［ヘルプ］をクリックしてください。
オンデマンドまたはコンピュータの起動時に実行されるスキャンをスケジュールするには
1
クライアントのサイドバーで、［脅威のスキャン］をクリックします。
2
［新しいスキャンの作成］をクリックします。
3
スキャンの対象と定時スキャンのスキャンオプションを指定します。
p.63 の「ユーザー定義スキャンのスケジュール」を参照してください。
4
［新しいスキャンの作成 - スキャンのタイミング］ダイアログボックスで、次のいずれか
の操作をします。
■
［起動時］をクリックします。
■
［オンデマンド］をクリックします。
5
［次へ］をクリックします。
6
［新しいスキャンの作成 - スキャン名］ダイアログボックスで、スキャンの名前と説明を
入力します。
たとえば、スキャンの名前を「マイスキャン1」にします。
7
［完了］をクリックします。
コンピュータでのダウンロードインサイト検出の管理
Auto-Protect には、Web ブラウザ、テキストメッセージクライアント、その他のポータルを
通してダウンロードを試みたファイルを検査する、ダウンロードインサイトと呼ばれる機能
が含まれています。ダウンロードインサイトが機能するには、Auto-Protect を有効にする
必要があります。
サポート対象のポータルには、Internet Explorer、Firefox、Microsoft Outlook、Outlook
Express、Windows Live Messenger、Yahoo! Messenger が含まれます。
第 4 章スキャンの管理
コンピュータでのダウンロードインサイト検出の管理
メモ: リスクログでは、ダウンロードインサイト検出のリスクの詳細に、ダウンロードを試みた
最初のポータルアプリケーションのみが表示されます。たとえば、Internet Explorer を
使って、ダウンロードインサイトが検出したファイルのダウンロードを試みたとします。次に
Firefox を使ってこのファイルのダウンロードを試みると、リスクの詳細の［ダウンロード実
行元］フィールドには、ポータルとして Internet Explorer が表示されます。
ダウンロードインサイトは、ファイルの評価についての証拠に基づいて、ダウンロードされ
たファイルがリスクである可能性があることを判断します。ダウンロードインサイトは、決定
を下すためにシグネチャやヒューリスティックを使いません。ダウンロードインサイトは、ユー
ザーがファイルを開いたとき、または実行するときに、ファイルスキャン、Auto-Protect、
SONAR にファイルのスキャンを許可します。
メモ: Auto-Protect では、ユーザーが電子メールの添付ファイルとして受信するファイル
をスキャンすることもできます。
コンピュータでのダウンロードインサイト検出の管理
表 4-7
タスク
説明
ダウンロードインサイトがどのように評ダウンロードインサイトは、ダウンロードされたファイルについて決定を下すときに評価
価情報を使ってファイルに関する決情報のみを使います。決定を下すためにシグネチャやヒューリスティックを使いません。
定を下すかを学習する
ダウンロードインサイトは、ユーザーがファイルを開いたとき、または実行するときに、ファ
イルスキャン、Auto-Protect、SONAR にファイルのスキャンを許可します。
p.62 の「Symantec Endpoint Protection が評価データを使ってファイルに関する決
定を下す方法」を参照してください。
ダウンロードインサイト検出に応答すダウンロードインサイトが検出を行うときに、通知が表示されることがあります。管理下ク
る
ライアントの場合、管理者はダウンロードインサイト検出の通知を無効にするように選択
することがあります。
通知が有効になっている場合は、ダウンロードインサイトが悪質なファイルや未確認の
ファイルを検出したときにメッセージが表示されます。未確認のファイルの場合は、ファ
イルを許可するかどうかを選択する必要があります。
p.21 の「ダウンロードを試みるファイルを許可するか遮断するかを確認するダウンロー
ドインサイトメッセージへの応答」を参照してください。
67
68
第 4 章スキャンの管理
コンピュータでのダウンロードインサイト検出の管理
タスク
説明
特定のファイルまたは Web ドメインのユーザーがダウンロードするアプリケーションの例外を作成できます。信頼に値すると
例外を作成する
信じる特定の Web ドメインの例外も作成できます。
デフォルトでは、ダウンロードインサイトは、ユーザーが信頼できるインターネットサイトま
たはイントラネットサイトからダウンロードするファイルを検査しません。信頼できるサイト
は、Windows の［コントロールパネル］、［Trusted Internet Sites］、［セキュリティ］タ
ブの順に選択して設定されます。［イントラネット Web サイトからダウンロードしたファイ
ルを自動的に信頼する］オプションが有効になっている場合、Symantec Endpoint
Protection はユーザーが信頼できるサイトからダウンロードするファイルを許可します。
ダウンロードインサイトは明示的に設定された信頼できるサイトのみを認識します。ワイ
ルドカードは許可されますが、ルーティング不可能な IP アドレス範囲はサポートされま
せん。たとえば、ダウンロードインサイトは 10.*.*.* を信頼できるサイトとして認識できま
せん。また、ダウンロードインサイトは、［インターネットオプション］、［セキュリティ］、［イ
ントラネットのネットワークを自動的に検出する］オプションによって発見されるサイトをサ
ポートしません。
p.77 の「スキャンからの項目の除外」を参照してください。
Insight ルックアップが有効になってダウンロードインサイトには、ファイルに関する決定を下すための評価データが必要で
いることを確認する
す。Insight ルックアップを無効にすると、ダウンロードインサイトは実行されますが検出
を行うことができません。Insight ルックアップはデフォルトでは有効になっています。
p.84 の「検出についての情報をシマンテックセキュリティレスポンスに提出する」を参
照してください。
第 4 章スキャンの管理
コンピュータでのダウンロードインサイト検出の管理
タスク
説明
ダウンロードインサイトの設定をカスタ次の理由でダウンロードインサイトの設定をカスタマイズしたい場合があります。
マイズする
■ ダウンロードインサイト検出の数を増加または減少させます。
悪質なファイルの感度スライダーを調整し、検出数を増加または減少させることがで
きます。ダウンロードインサイトは低い感度レベルでは、より少ない数のファイルを悪
質だと検出し、より多くのファイルを未確認として検出します。検出が少ないと誤認
検出となります。
ダウンロードインサイトは高い感度レベルでは、より多くのファイルを悪質だと検出
し、より少ないファイルを未確認として検出します。検出が多いと誤認検出となりま
す。
■ 悪質なファイルや未確認ファイルの検出の処理を変更します。
ダウンロードインサイトが悪質なファイルや未確認ファイルを処理する方法を変更で
きます。たとえば、未確認のファイルが検出されてもそれらの通知を受信しないよう
に変更できます。
■ ダウンロードインサイト検出についての警告を取得する場合。
ダウンロードインサイトは、悪質だと見なしたファイルを検出すると、処理が［検疫］に
設定されている場合、クライアントコンピュータでメッセージを表示します。検疫処理
を元に戻すことができます。
ダウンロードインサイトは、悪質だと見なしたファイルを検出すると、未確認ファイル
の処理が［確認する］または［検疫］に設定されている場合、クライアントコンピュータ
でメッセージを表示します。処理が［確認する］に設定されている場合は、ファイル
を許可または遮断できます。処理が［検疫］の場合は、検疫処理を元に戻すことが
できます。
未確認のファイルと見なされているファイルが検出されたときに処理を選択できない
ように、ユーザーへの通知をオフにできます。通知を有効のままにしておく場合、こ
れらの検出が常に許可され、通知が行われないように、未確認ファイルの処理を［無
視］に設定できます。
通知が有効になっている場合、悪質なファイルの感度設定が、受信する通知の数
に影響します。感度を高めると、検出の合計数が増加するためユーザーへの通知
の数が増加します。
p.70 の「ダウンロードインサイトの設定のカスタマイズ」を参照してください。
シマンテック社に評価検出についてデフォルトでは、クライアントは評価検出についての情報をシマンテック社に送信しま
の情報を提出する
す。
評価検出の提出は、有効にすることを推奨します。この情報はシマンテック社が脅威に
対処するために役立ちます。
p.84 の「検出についての情報をシマンテックセキュリティレスポンスに提出する」を参
照してください。
69
70
第 4 章スキャンの管理
ダウンロードインサイトの設定のカスタマイズ
ダウンロードインサイトの設定のカスタマイズ
クライアントコンピュータでの誤認検出を減らすため、ダウンロードインサイトの設定をカス
タマイズしたいことがあります。悪質なファイルを特徴付けるために使われるファイル評価
データに対するダウンロードインサイトの感度を変更できます。ダウンロードインサイトが
検出を行った場合にクライアントコンピュータに表示する通知も変更できます。
p.66 の「コンピュータでのダウンロードインサイト検出の管理」を参照してください。
ダウンロードインサイトの設定のカスタマイズ
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ウイルス対策とスパイウェア対策］の隣にある［オプションの設定］をクリックします。
3
［ダウンロードインサイト］タブで、［ダウンロードインサイトのファイル評価に基づく潜
在的リスク検出を有効にする］にチェックマークが付いていることを確認します。
Auto-Protect が無効になっている場合、ダウンロードインサイトが有効になってい
てもダウンロードインサイトは動作できません。
4
スライダーを移動して、悪質なファイルの感度を変更します。
メモ: ユーザーまたは管理者が基本のウイルス対策とスパイウェア対策をインストー
ルした場合、悪質なファイルの感度は自動的にレベル 1 に設定され、変更はできま
せん。
レベルを高く設定すると、より多くのファイルを悪質だと検出し、より少ないファイルを
未確認として検出します。しかし、高い設定であるほど、より多くの誤認が返されま
す。
5
6
次のオプションにチェックマークを付けるかはずして、未確認ファイルを調べるため
の追加条件として使います。
■
次の値未満のファイル: x ユーザー
■
ユーザーに知られてからの経過期間が次の日数未満のファイル: x 日
未確認ファイルがこの基準を満たすと、ダウンロードインサイトはファイルが悪質
であると検出します。
［イントラネット Web サイトからダウンロードしたファイルを自動的に信頼する］にチェッ
クマークが付いていることを確認します。
このオプションは Insight ルックアップ検出にも適用されます。
7
［処理］をクリックします。
8
［悪質なファイル］の下で、第 1 の処理と第 2 の処理を指定します。
9
［未確認ファイル］で処理を指定します。
第 4 章スキャンの管理
ウイルスとスパイウェアのスキャン設定のカスタマイズ
10 ［OK］をクリックします。
11 ［通知］をクリックし、ダウンロードインサイトが検出を行ったときに通知を表示するか
どうかを指定します。
表示される警告メッセージのテキストをカスタマイズできます。
12 ［OK］をクリックします。
ウイルスとスパイウェアのスキャン設定のカスタマイズ
デフォルトでは、ウイルスとセキュリティリスクに対する必要な保護は、クライアントがコン
ピュータに提供します。管理外クライアントがある場合は、いくつかのスキャン設定を行う
ことをお勧めします。
p.48 の「コンピュータでのスキャンの管理」を参照してください。
ユーザー定義スキャンをカスタマイズするには
1
クライアントのサイドバーで、［脅威のスキャン］をクリックします。
2
［脅威のスキャン］ページで、スキャンを右クリックし、［編集］をクリックします。
3
［スキャンオプション］タブで、次のいずれかのタスクを実行します。
■
Insight ルックアップの設定を変更するには、［インサイトルックアップ］をクリック
します。
Insight ルックアップの設定はダウンロードインサイトの設定に類似しています。
p.70 の「ダウンロードインサイトの設定のカスタマイズ」を参照してください。
■
スキャンするファイルの種類を少なくするには、［選択した拡張子］をクリックし、
次に［拡張子］をクリックします。
■
クライアントが感染ファイルに対して実行する第 1 の処理と第 2 の処理を指定す
るには、［処理］をクリックします。
■
通知オプションを指定するには、［通知］をクリックします。
■
圧縮ファイル、バックアップ、調整の拡張オプションを設定するには、［拡張］をク
リックします。
クライアントコンピュータのパフォーマンスを改善するために調整オプションを変
更することもできます。
各ダイアログボックスのオプションについて詳しくは［ヘルプ］をクリックしてください。
4
［OK］をクリックします。
グローバルスキャン設定を変更するには
1
次のいずれかの操作を実行します。
■
クライアントのサイドバーで、［設定の変更］をクリックし、［ウイルスとスパイウェア
の対策］の隣にある［オプションの設定］をクリックします。
71
72
第 4 章スキャンの管理
マルウェアとセキュリティリスクの検出時の処理の設定
■
クライアントのサイドバーで、［脅威のスキャン］をクリックしてから、［グローバルス
キャン設定の表示］をクリックします。
2
［グローバル設定］タブの［スキャンオプション］の下で、Insight または Bloodhound
の設定を変更します。
3
スキャン例外を表示または作成するには、［リストの表示］をクリックします。例外を表
示または作成した後、［閉じる］をクリックします。
4
［ログの保持］または［インターネットブラウザ保護］の下で、必要な変更を行います。
5
［OK］をクリックします。
Auto-Protect をカスタマイズするには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ウイルス対策とスパイウェア対策］の隣にある［オプションの設定］をクリックします。
3
［Auto-Protect］タブで、次のタスクを実行します。
■
スキャンするファイルの種類を少なくするには、［選択］をクリックし、次に［拡張
子］をクリックします。
■
クライアントが感染ファイルに対して実行する第 1 の処理と第 2 の処理を指定す
るには、［処理］をクリックします。
■
通知オプションを指定するには、［通知］をクリックします。
各ダイアログボックスのオプションについて詳しくは［ヘルプ］をクリックしてください。
4
［Auto-Protect］タブで、［拡張］をクリックします。
ファイルキャッシュのオプションと、リスク追跡とバックアップのオプションを変更する
ことができます。コンピュータのパフォーマンスを改善するためにこれらのオプション
を変更することもできます。
5
［ネットワーク］をクリックして、リモートコンピュータ上のファイルを信頼したりネットワー
クキャッシュを設定したりするための設定を変更します。
6
［OK］をクリックします。
マルウェアとセキュリティリスクの検出時の処理の設定
マルウェアやセキュリティリスクを検出したときに Symantec Endpoint Protection クライ
アントで実行する処理を設定できます。設定できるのは、第 1 の処理と、それが失敗した
場合に実行する第 2 の処理です。
メモ: 管理者がコンピュータを管理しており、これらのオプションに南京錠のアイコンが表
示される場合には、管理者によってロックされているためこれらのオプションを変更するこ
とはできません。
第 4 章スキャンの管理
マルウェアとセキュリティリスクの検出時の処理の設定
どの種類のスキャンでも、処理の設定方法は同じです。スキャンごとに固有の処理の設
定があります。スキャンごとに異なる処理の設定が可能です。
メモ: ダウンロードインサイトと SONAR の処理は別に設定します。
p.71 の「ウイルスとスパイウェアのスキャン設定のカスタマイズ」を参照してください。
p.70 の「ダウンロードインサイトの設定のカスタマイズ」を参照してください。
p.89 の「SONAR 設定の変更」を参照してください。
このオプションについて詳しくは［ヘルプ］を参照してください。
マルウェアとセキュリティリスクの検出時の処理を設定するには
1
クライアントのサイドバーで、［設定の変更］または［脅威のスキャン］をクリックします。
2
次のいずれかの操作を実行します。
■
［ウイルスとスパイウェアの対策］の隣にある［オプションの設定］をクリックし、
［Auto-Protect］タブで［処理］をクリックします。
■
スキャンを選択し、右クリックして［編集］を選択してから［スキャンオプション］をク
リックします。
3
［処理］をクリックします。
4
［スキャン処理］ダイアログボックスのツリーで、［マルウェア］または［セキュリティリス
ク］の下にあるカテゴリまたはサブカテゴリを選択します。
デフォルトでは、各サブカテゴリは自動的に、カテゴリ全体に設定されている処理を
使うように設定されます。
これらのカテゴリは、シマンテック社がリスクに関する新しい情報を入手するにつれ
て動的に変化します。
5
サブカテゴリに対する処理のみを設定するには、次のいずれかを実行します。
■
［マルウェアに対して設定した処理を上書きする］にチェックマークを付け、その
サブカテゴリ専用の処理を設定します。
メモ: シマンテック社がリスクを分類する方法に応じて、1 つのカテゴリの下に 1
つのサブカテゴリだけが存在する場合があります。たとえば、［マルウェア］の下
に［ウイルス］という名前のサブカテゴリが 1 つ存在することもあります。
■
［セキュリティリスクに設定した処理を上書きする］にチェックマークを付け、その
サブカテゴリ専用の処理を設定します。
73
74
第 4 章スキャンの管理
マルウェアとセキュリティリスクの検出時の処理の設定
6
第 1 と第 2 の処理を次のオプションから選択します。
リスクをクリーニング
感染ファイルからウイルスを除去します。これは、ウイルスに対する
第 1 の処理のデフォルト設定です。
メモ: この処理は、ウイルスに対する第 1 の処理としてのみ利用可
能です。セキュリティリスクには適用されません。
この設定は、必ずウイルスに対する第 1 の処理とする必要があり
ます。ファイルから正常にウイルスがクリーニングされた場合には、
他の処理を実行する必要はありません。コンピュータからはウイル
スが除去され、そのウイルスがコンピュータの他の領域に伝染する
危険性はなくなります。
ファイルをクリーニングするとき、クライアントは感染ファイル、ブー
トセクタ、パーティションテーブルからウイルスを除去します。これ
により、ウイルスは伝染する能力がなくなります。クライアントは通
常、コンピュータが損傷を受ける前にウイルスを見つけてクリーニ
ングできます。デフォルトでは、クライアントはファイルのバックアッ
プを作成します。
ただし、場合によってはクリーニングの済んだファイルが利用不可
能なこともあります。ウイルスによる損傷が大きすぎるためです。
クリーニングできない感染ファイルもあります。
リスクを検疫
感染ファイルを元の場所から検疫に移動します。検疫に置かれた
感染ファイルからウイルスが伝染することはありません。
ウイルスの場合は、感染ファイルを元の場所から検疫に移動しま
す。これは、ウイルスに対する第 2 の処理のデフォルト設定です。
セキュリティリスクの場合には、感染ファイルを元の場所から検疫
に移動し、副作用がある場合にはその除去または修復を試みます
これは、セキュリティリスクに対する第 1 の処理のデフォルト設定で
す。
検疫には、実行されたすべての処理の記録があります。クライアン
トがリスクを除去する前の状態にコンピュータを戻すことができま
す。
第 4 章スキャンの管理
マルウェアとセキュリティリスクの検出時の処理の設定
リスクを削除
感染ファイルをコンピュータのハードディスクドライブから削除しま
す。ファイルを削除できない場合は、クライアントが実行した処理
についての情報が［通知］ダイアログボックスに表示されます。同
じ情報がイベントログにも表示されます。
この処理は、ウイルスまたはセキュリティリスクの影響を受けていな
いバックアップコピーに置き換えることのできるファイルに対しての
み使うようにしてください。クライアントがリスクを削除するとき、そ
の削除は完全です。感染ファイルをごみ箱から回復することはで
きません。
メモ: セキュリティリスクに対する処理を設定するとき、この処理は
慎重に行ってください。セキュリティリスクを削除するとアプリケー
ションの機能が失われることがあります。場合によっては、セキュリ
ティリスクを削除するとアプリケーションの機能性が失われることが
あります。
放置する（ログのみ）
ファイルをそのまま放置します。
ウイルスに対してこの処理を使った場合には、ウイルスが感染ファ
イルに残ります。ウイルスはコンピュータの他の部分に伝染する可
能性があります。感染ファイルの記録を残すために、リスク履歴に
エントリが記録されます。
［放置する (ログのみ)］は、マルウェアとセキュリティリスクの両方に
対して、第 2 の処理として使うことができます。
この処理は、定時スキャンのように大規模な自動化スキャンを実行
するときには選択しないでください。スキャン結果を表示し、後で
追加の処理を実行しようと予定している場合には、この処理を使う
と便利です。このときの追加の処理には、ファイルを検疫に移動
することなどが考えられます。
セキュリティリスクの場合には、この処理によって感染ファイルがそ
のまま放置され、リスクの記録を残すためにリスク履歴にエントリが
記録されます。クライアントによるセキュリティリスクの処理方法を
手動で制御する場合には、このオプションを使います。これは、セ
キュリティリスクに対する第 2 の処理のデフォルト設定です。
対応方法を説明するカスタムのメッセージを、管理者が送信する
場合があります。
7
特定の処理を設定したいカテゴリごとに、これらの手順を繰り返し、［OK］をクリックし
ます。
75
76
第 4 章スキャンの管理
スキャンからの項目の除外について
8
セキュリティリスクのカテゴリを選択した場合には、そのセキュリティリスクカテゴリの 1
つ以上の特定インスタンスに対してカスタム処理を選択することができます。セキュ
リティリスクをスキャンから除外することもできます。たとえば、業務で使う必要がある
アドウェアは除外すると便利です。
9
［OK］をクリックします。
スキャンからの項目の除外について
例外はスキャンから除外したい既知のセキュリティリスク、ファイル、拡張子、プロセスで
す。コンピュータをスキャンして特定のファイルが安全であることがわかっている場合、そ
れらを除外できます。場合によっては、例外はスキャン時間を減らしてシステムパフォー
マンスを高めることができます。通常は、例外を作成する必要はありません。
管理下クライアントの場合は、管理者がスキャンに対する例外を作成していることがありま
す。管理者定義の例外と競合するような例外を作成した場合には、管理者定義の例外が
優先されます。管理者は、例外の一部またはすべての種類の設定を禁止することもでき
ます。
メモ: 電子メールアプリケーションがすべての電子メールを単一のファイルに格納する場
合には、ファイル例外を作成して、受信ボックスファイルをスキャンから除外する必要があ
ります。デフォルトでは、ウイルスが検疫されます。受信ボックス内でウイルスが検出され
ると、受信ボックス全体が検疫されます。受信ボックスが検疫されると、電子メールにアク
セスできなくなります。
表 4-8
例外の種類
例外の種類
説明
ファイル
ウイルスとスパイウェアのスキャンに適用されます
選択するファイルが無視されます。
フォルダ
ウイルスとスパイウェアのスキャンまたは SONAR、あるいはその
両方に適用されます
選択するフォルダが無視されます。
既知のリスク
ウイルスとスパイウェアのスキャンに適用されます
選択する既知のリスクが無視されます。
拡張子
ウイルスとスパイウェアのスキャンに適用されます
指定された拡張子を持つファイルが無視されます。
第 4 章スキャンの管理
スキャンからの項目の除外
例外の種類
説明
信頼できる Web ドメイン
ウイルスとスパイウェアのスキャンに適用されます
ダウンロードインサイトで、指定した信頼できる Web ドメインが無
視されます。
アプリケーション
ウイルスとスパイウェアのスキャンと SONAR に適用されます
ここで指定するアプリケーションが無視されるか、ログに記録され
るか、検疫されるか、または終了します。
p.77 の「スキャンからの項目の除外」を参照してください。
スキャンからの項目の除外
例外とは、スキャンから除外したい既知のセキュリティリスク、ファイル、フォルダ、拡張子、
Web ドメイン、アプリケーションのことです。コンピュータをスキャンして特定のファイルが
安全であることがわかっている場合、それらを除外できます。場合によっては、例外はス
キャン時間を減らしてシステムパフォーマンスを高めることができます。通常は、例外を作
成する必要はありません。
管理下クライアントの場合は、管理者がスキャンに対する例外を作成していることがありま
す。管理者定義の例外と競合するような例外を作成した場合には、管理者定義の例外が
優先されます。
セキュリティリスク例外はすべてのセキュリティリスクスキャンに適用されます。アプリケー
ション例外もすべてのセキュリティリスクスキャンに適用されます。SONAR フォルダ例外
は SONAR のみに適用されます。
SONAR はファイル例外をサポートしません。SONAR からファイルを除外するには、アプ
リケーション例外を使います。
p.48 の「コンピュータでのスキャンの管理」を参照してください。
p.76 の「スキャンからの項目の除外について」を参照してください。
メモ: Windows Server 2008 の Server Core のインストールでは、ダイアログボックスの
表示が以下の手順で説明するものと異なることがあります。
各ダイアログボックスのオプションについて詳しくは［ヘルプ］をクリックしてください。
項目をセキュリティリスクスキャンから除外するには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［例外］の隣にある［オプションの設定］をクリックします。
77
78
第 4 章スキャンの管理
スキャンからの項目の除外
3
［例外］ダイアログボックスの［ユーザー定義の例外］の下で、［追加］、［セキュリティ
リスク例外］の順に選択します。
4
次のいずれかの例外の種類を選択します。
5
■
既知のリスク
■
ファイル
■
フォルダ
■
拡張子
■
Web ドメイン
次のいずれかの操作を実行します。
■
既知のリスクの場合は、スキャンから除外したいセキュリティリスクにチェックマー
クを付けます。
セキュリティリスクが検出されて無視されたときにイベントのログを記録する場合
には、［セキュリティリスクの検出時にログに記録する］にチェックマークを付けま
す。
■
ファイルまたはフォルダの場合は、除外したいファイルまたはフォルダを選択し、
［追加］をクリックします。
フォルダの場合は、［サブフォルダを含める］にチェックマークを付けるか、チェッ
クマークをはずします。
■
拡張子の場合は、除外したい拡張子を入力します。
テキストボックスには 1 つの拡張子名のみを入力できます。複数の拡張子を入
力すると、クライアントはそのエントリを 1 つの拡張子名として処理します。
■
ドメインの場合は、ダウンロードインサイトの検出から除外したい Web サイトを入
力します。
6
［OK］をクリックします。
7
［例外］ダイアログボックスで、［閉じる］をクリックします。
フォルダを SONAR から除外するには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［例外］の隣にある［オプションの設定］をクリックします。
3
［例外］ダイアログボックスの［ユーザー定義の例外］の下で、［追加］、［SONAR 例
外］、［フォルダ］の順に選択します。
4
除外したいフォルダを選択し、［サブフォルダを含める］にチェックマークを付けるか、
またはチェックマークをはずしてから、［追加］をクリックします。
フォルダではなくファイルを選択すると、クライアントは例外の親フォルダを使います。
5
［例外］ダイアログボックスで、［閉じる］をクリックします。
第 4 章スキャンの管理
クライアントコンピュータ上の検疫ファイルの管理
すべてのスキャンがアプリケーションをどのように処理するかを変更するには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［例外］の隣にある［オプションの設定］をクリックします。
3
［例外］ダイアログボックスの［ユーザー定義の例外］の下で、［追加］、［アプリケー
ション例外］の順に選択します。
4
アプリケーションのファイル名を選択します。
5
［処理］ドロップダウンボックスで、［無視］、［ログのみ］、［検疫］、［終了］のいずれか
を選択します。
6
［追加］をクリックします。
7
［例外］ダイアログボックスで、［閉じる］をクリックします。
クライアントコンピュータ上の検疫ファイルの管理
デフォルトでは、Symantec Endpoint Protection は、ウイルスが検出されると感染ファ
イルからウイルスをクリーニングしようとします。ファイルをクリーニングできない場合は、コ
ンピュータ上の検疫にファイルが置かれます。セキュリティリスクの場合、感染ファイルは
検疫に移動され、セキュリティリスクの副作用が修復されます。ダウンロードインサイトと
SONAR によってファイルが検疫されることもあります。
p.81 の「ファイルの検疫について」を参照してください。
表 4-9
クライアントコンピュータ上の検疫ファイルの管理
タスク
説明
検疫ファイルを元の場所に復元する
未感染のファイルでも、戻る場所がなくなることがあり
ます。たとえば、感染した添付ファイルが電子メール
からはく離されて検疫に置かれた場合などです。この
ようなファイルは、解放して場所を指定する必要があ
ります。
項目を手動で検疫する
検疫に追加するか、またはウイルスとスパイウェアのロ
グまたは SONAR ログから選択することによって、ファ
イルを手動で検疫できます。
p.81 の「リスクログまたはスキャンログからのファイル
の検疫」を参照してください。
79
80
第 4 章スキャンの管理
クライアントコンピュータ上の検疫ファイルの管理
タスク
説明
ファイルを検疫から完全に削除する
不要になったファイルは検疫から手動で削除できま
す。ファイルが自動的に削除されるまでの時間を設定
することもできます。
メモ: 項目を検疫に残すことのできる最大日数を、管
理者が指定することがあります。その制限日数を超え
ると項目は自動的に検疫から削除されます。
新しい定義の受信後に検疫にあるファイル定義ファイルを更新すると、検疫にあるファイルがス
を再スキャンする
キャン、クリーニング、または自動的に復元されます。
一部のファイルでは、修復ウィザードが表示されます。
画面に表示される操作手順に従って再スキャンと修復
を完了します。
検疫にあるウイルス感染したファイルを手動で再スキャ
ンすることもできます。
検疫情報をエクスポートする
検疫の内容を、カンマ区切り（*.csv）ファイルまたは
Microsoft Access データベース（.mdb）ファイルにエ
クスポートできます。
検疫にある感染ファイルをシマンテックセ
キュリティレスポンスに提出する
検疫にある項目が再スキャンされた後、まだ感染して
いるファイルは詳しい分析のためにシマンテックセキュ
リティレスポンスに提出することをお勧めします。
p.82 の「感染の可能性があるファイルを分析のため
にシマンテックセキュリティレスポンスに手動で提出」
を参照してください。
バックアップ項目を消去する
デフォルトでは、クライアントは感染した項目のクリー
ニングまたは修復を試みる前に、その項目のバックアッ
プコピーを作成します。クライアントがウイルスを正常
にクリーニングしてもバックアップファイルは感染した
ままなので、クリーニング後に手動で削除する必要が
あります。
検疫からファイルを自動的に削除する
指定された期間が経過すると自動的に検疫から項目
を削除するようにクライアントを設定することができま
す。また、項目を格納するフォルダが一定のサイズに
達したときに項目を削除する設定も可能です。このよ
うに設定すると、手動で削除するのを忘れてファイル
がたまることがなくなります。
p.82 の「検疫からのファイルの自動削除」を参照して
ください。
第 4 章スキャンの管理
クライアントコンピュータ上の検疫ファイルの管理
ファイルの検疫について
クライアントが感染したファイルを検疫に移動すると、そのウイルスやリスクは自己をコピー
して、コンピュータ上のその他のファイルやネットワーク上のコンピュータのその他のコン
ピュータに感染することはできなくなります。ただし、検疫ではリスクのクリーニングは行わ
れません。クライアントによりリスクがクリーニングされるかファイルが削除されるまで、リス
クはコンピュータ上に残ります。このファイルにアクセスすることはできません。しかし、検
疫からファイルを削除することができます。
コンピュータを新しいウイルス定義で更新すると、クライアントは検疫を自動的に調べま
す。ユーザーは検疫にある項目を再スキャンできます。最新の定義を使うと、前に検疫さ
れたファイルをクリーニングまたは修復できることがあります。
ウイルスは検疫できません。ブートウイルスはコンピュータのブートセクタまたはパーティ
ションテーブルに存在するため、検疫に移動できません。クライアントは、最新のウイルス
定義セットでも除去できない未知のウイルスを検出することがあります。ファイルに感染の
疑いがあってもスキャンでは感染が検出されない場合は、ファイルを検疫する必要があり
ます。
メモ: クライアントが動作しているオペレーティングシステムの言語によっては、リスク名に
使われている文字の一部を解釈できない場合があります。オペレーティングシステムが解
釈できない文字は、通知で疑問符として表示されます。たとえば、Unicode のリスク名に
は 2 バイト文字が含まれることがあります。英語版のオペレーティングシステムでクライア
ントが動作しているコンピュータでは、このような文字が疑問符として表示されます。
p.79 の「クライアントコンピュータ上の検疫ファイルの管理」を参照してください。
リスクログまたはスキャンログからのファイルの検疫
脅威が検出されたときに選択した処理をクライアントが実行するかどうかは、事前設定に
基づいて決まります。リスクログまたはスキャンログを使って、ファイルを後で検疫すること
ができます。
p.81 の「ファイルの検疫について」を参照してください。
p.79 の「クライアントコンピュータ上の検疫ファイルの管理」を参照してください。
リスクログまたはスキャンログからファイルを検疫するには
1
クライアントで、［ログの表示］をクリックします。
2
［ウイルスとスパイウェアの対策］の隣で、［ログの表示］をクリックしてから、［リスクロ
グ］または［スキャンログ］を選択します。
3
検疫するファイルを選択し、次に［検疫］をクリックします。
4
［OK］をクリックしてから、［閉じる］をクリックします。
81
82
第 4 章スキャンの管理
クライアントコンピュータ上の検疫ファイルの管理
感染の可能性があるファイルを分析のためにシマンテックセキュリティレ
スポンスに手動で提出
感染項目を検疫リストからシマンテックセキュリティレスポンスに提出すると、シマンテック
セキュリティレスポンスがこの項目を分析して、感染していないことを確認することができ
ます。シマンテックセキュリティレスポンスはこのデータを、新しい脅威や発生中の脅威か
ら保護するためにも使います。
メモ: 提出オプションは、管理者がこれらの種類の提出を無効にしている場合は利用でき
ません。
p.79 の「クライアントコンピュータ上の検疫ファイルの管理」を参照してください。
検疫からシマンテックセキュリティレスポンスにファイルを提出するには
1
クライアントのサイドバーで、［検疫の表示］をクリックします。
2
検疫項目のリストでファイルを選択します。
3
［提出］をクリックします。
4
ウィザード画面の指示に従って必要な情報を収集し、分析用にファイルを提出しま
す。
検疫からのファイルの自動削除
指定された期間が経過すると自動的に検疫から項目を削除するように設定することがで
きます。また、項目を格納するフォルダが一定のサイズに達したときに項目を削除する設
定も可能です。このように設定すると、手動で削除するのを忘れてファイルがたまることが
なくなります。
p.79 の「クライアントコンピュータ上の検疫ファイルの管理」を参照してください。
検疫からファイルを自動削除するには
1
クライアントのサイドバーで、［検疫の表示］をクリックします。
2
［パージオプション］をクリックします。
3
［パージオプション］ダイアログボックスで、次のいずれかのタブを選択します。
4
■
検疫項目
■
バックアップ項目
■
修正項目
設定した時間が経過するとクライアントがファイルを削除する機能は、［格納時間の
限度］にチェックマークを付けるかはずして有効または無効にします。
第 4 章スキャンの管理
検出についての情報のシマンテックセキュリティレスポンスへの提出について
5
［格納時間の限度］チェックボックスにチェックマークを付けた場合は、時間を入力す
るか矢印をクリックして指定します。
6
ドロップダウンリストから時間の単位を選択します。デフォルトは 30 日です。
7
［合計フォルダサイズの限度］チェックボックスにチェックマークを付けた場合は、許
可する最大フォルダサイズを MB 単位で入力します。デフォルトは 50 MB です。
両方にチェックマークを付けた場合には、設定した時間が経過したすべてのファイ
ルが先に削除されます。フォルダサイズが設定した上限をまだ超えている場合は、
古い順に 1 つずつファイルが削除されます。ファイルサイズが制限範囲を下回るま
で、クライアントは古いファイルから削除します。
8
他のタブについても、ステップ 4 から 7 を繰り返します。
9
［OK］をクリックします。
検出についての情報のシマンテックセキュリティレスポン
スへの提出について
分析のために、検出についての情報をシマンテックセキュリティレスポンスに自動的に提
出するようにコンピュータを設定できます。
シマンテックセキュリティレスポンスと Global Intelligence Network は提出されたこの情
報を使って、発生中の新しいセキュリティの脅威への対応をすばやくまとめています。ユー
ザーが提出するデータによって、脅威に対応し、保護をカスタマイズするシマンテック社
の能力が強化されています。シマンテック社は提出を常に許可することを推奨します。
p.7 の「Symantec Endpoint Protection クライアントについて」を参照してください。
次に示す種類の任意のデータを提出することを選択できます。
■
ファイル評価
評価に基づいて検出されたファイルについての情報。これらのファイルについての情
報は、新種のリスクや広がりつつあるリスクからコンピュータを保護するための Symantec
Insight 評価データベースに寄与しています。
■
ウイルス対策の検出
ウイルスとスパイウェアスキャンの検出についての情報。
■
ウイルス対策の拡張ヒューリスティック検出
Bloodhound などのウイルスとスパイウェアのスキャンヒューリスティックによって検出
された潜在的な脅威についての情報。
これらの検出はリスクログに表示されないサイレントな検出です。これらの検出につい
ての情報は統計分析のために使われます。
■
SONAR 検出
83
84
第 4 章スキャンの管理
検出についての情報をシマンテックセキュリティレスポンスに提出する
危険度が高い検出や危険度が低い検出、システム変更イベント、信頼できるアプリ
ケーションによる疑わしい動作などの、SONAR が検出する脅威についての情報。
■
SONAR ヒューリスティック
SONAR ヒューリスティック検出はリスクログに表示されないサイレントな検出です。こ
の情報は統計分析のために使われます。
検疫から手動でシマンテックセキュリティレスポンスにサンプルを提出することもできます。
p.84 の「検出についての情報をシマンテックセキュリティレスポンスに提出する」を参照
してください。
p.62 の「Symantec Endpoint Protection が評価データを使ってファイルに関する決定
を下す方法」を参照してください。
p.88 の「SONAR で検出されるファイルとアプリケーションについて」を参照してくださ
い。
検出についての情報をシマンテックセキュリティレスポン
スに提出する
Symantec Endpoint Protection はコンピュータで送受信される情報を監視したり、攻撃
の試みを遮断することでコンピュータを保護できます。
コンピュータが検出された脅威に関する情報をシマンテックセキュリティレスポンスに提出
できるようにすることができます。シマンテックセキュリティレスポンスは、この情報を使っ
て、新しい脅威、対象となる脅威、変異する脅威からクライアントコンピュータを保護しま
す。提出されるデータは、シマンテック社がコンピュータに対する脅威に対処して対策を
カスタマイズするために役立ちます。シマンテック社では、可能なかぎり多くの検出情報
を提出することを推奨しています。
［検疫］ページからシマンテックレスポンスに手動でサンプルを提出することもできます。
［検疫］ページで、項目をシマンテックセキュリティレスポンスに提出する方法を決定する
こともできます。
p.79 の「クライアントコンピュータ上の検疫ファイルの管理」を参照してください。
p.83 の「検出についての情報のシマンテックセキュリティレスポンスへの提出について」
を参照してください。
第 4 章スキャンの管理
検出についての情報をシマンテックセキュリティレスポンスに提出する
シマンテックセキュリティレスポンスへの提出を設定するには
1
［設定の変更］、［クライアント管理］の順に選択します。
2
［提出］タブで、［選択した匿名セキュリティ情報をこのコンピュータでシマンテック社
に自動的に転送する］にチェックマークを付けます。このオプションによって、
Symantec Endpoint Protection はユーザーのコンピュータで見つかった脅威に
関する情報を送信できます。
シマンテック社はこのオプションを有効のままにしておくことを推奨します。
3
4
提出する情報の種類を選択します。
■
ファイル評価
評価に基づいて検出されたファイルについての情報。これらのファイルについて
の情報は、新種のリスクや広がりつつあるリスクからコンピュータを保護するため
の Symantec Insight 評価データベースに寄与しています。
■
ウイルス対策の検出
ウイルスとスパイウェアスキャンの検出についての情報。
■
ウイルス対策の拡張ヒューリスティック検出
Bloodhound などのウイルスとスパイウェアのスキャンヒューリスティックによって
検出された潜在的な脅威についての情報。
これらの検出はリスクログに表示されないサイレントな検出です。これらの検出に
ついての情報は統計分析のために使われます。
■
SONAR 検出
危険度が高い検出や危険度が低い検出、システム変更イベント、信頼できるア
プリケーションによる疑わしい動作などの、SONAR が検出する脅威についての
情報。
■
SONAR ヒューリスティック
SONAR ヒューリスティック検出はリスクログに表示されないサイレントな検出で
す。この情報は統計分析のために使われます。
脅威について決定するためにシマンテック社の評価データベースを使うことを許可
するには、［脅威検出のインサイトルックアップを許可する］を有効にします。
Insight ルックアップはデフォルトでは有効になっています。Insight ルックアップを
許可することを推奨します。この機能を無効にするとダウンロードインサイトが無効に
なり、SONAR と Insight ルックアップの機能が損なわれることがあります。
ただし、シマンテック社に Symantec Insight のクエリーを許可したくない場合は、
このオプションを無効にできます。
85
86
第 4 章スキャンの管理
クライアントと Windows セキュリティセンターについて
クライアントと Windows セキュリティセンターについて
Windows XP Service Pack 2 で Windows セキュリティセンター（WSC）を使ってセキュ
リティの状態を監視する場合、WSC で Symantec Endpoint Protection の状態を確認
できます。
WSC での保護の状態報告を表 4-10 に示します。
表 4-10
WSC の保護の状態報告
シマンテック製品の状態
保護の状態
Symantec Endpoint Protection がインストールされていない
見つかりません（赤）
Symantec Endpoint Protection が保護状態でインストールされていオン（緑）
る
Symantec Endpoint Protection がインストールされているが、ウイル最新の状態ではありませ
スとセキュリティリスクの定義が最新ではない
ん（赤）
Symantec Endpoint Protection がインストールされているが、ファイオフ（赤）
ルシステムの Auto-Protect が有効ではない
Symantec Endpoint Protection がインストールされているが、ファイオフ（赤）
ルシステムの Auto-Protect が有効ではなく、ウイルスとセキュリティリ
スクの定義が最新ではない
Symantec Endpoint Protection がインストールされているが、Rtvscan オフ（赤）
が手動で無効にされている
WSC での Symantec Endpoint Protection ファイアウォールの状態報告を表 4-11 に
示します。
表 4-11
WSC のファイアウォールの状態報告
シマンテック製品の状態
ファイアウォールの状
態
シマンテック製ファイアウォールがインストールされていない
見つかりません（赤）
シマンテック製ファイアウォールがインストールされ有効である
オン（緑）
シマンテック製ファイアウォールがインストールされているが、有効ではオフ（赤）
ない
シマンテック製ファイアウォールがインストールされていないか有効で
ないが、他社製ファイアウォールがインストールされ有効である
オン（緑）
第 4 章スキャンの管理
クライアントコンピュータでの SONAR の管理
メモ: Symantec Endpoint Protection では、Windows ファイアウォールはデフォルトで
無効になります。
複数のファイアウォールが有効である場合、WSC は複数のファイアウォールがインストー
ルされて有効であることを報告します。
クライアントコンピュータでの SONAR の管理
SONAR はプロアクティブ脅威防止の一部として管理します。管理下クライアントでは、管
理者がこれらの設定の一部をロックすることがあります。
p.48 の「コンピュータでのスキャンの管理」を参照してください。
p.55 の「スキャンの種類について」を参照してください。
表 4-12
クライアントコンピュータでの SONAR の管理
タスク
説明
SONAR が有効であることを確認する
クライアントコンピュータを最大限に保護するために
は、SONAR を有効にすることをお勧めします。SONAR
はデフォルトで有効になっています。
プロアクティブ脅威防止を有効にすることによって
SONAR を有効にします。
p.36 の「保護の有効化と無効化について」を参照し
てください。
Insight ルックアップが有効になっているこ SONAR はヒューリスティックに加えて評価データを
とを確認する
使って検出を行います。Insight ルックアップ（評価ク
エリー）を無効にすると、SONAR はヒューリスティック
のみを使って検出を行います。誤認の比率が増える
可能性があり、SONAR が提供する保護は限られたも
のになります。
p.84 の「検出についての情報をシマンテックセキュリ
ティレスポンスに提出する」を参照してください。
SONAR 設定を変更する
SONAR の有効と無効を切り替えることができます。
SONAR が検出する一部の種類の脅威については、
検出処理を変更することもできます。誤認検出を減ら
すために、検出処理を変更したい場合があります。
p.89 の「SONAR 設定の変更」を参照してください。
87
88
第 4 章スキャンの管理
クライアントコンピュータでの SONAR の管理
タスク
説明
安全であることがわかっているアプリケー
ションの例外を作成する
コンピュータで実行したいアプリケーションやファイル
が SONAR によって検出されることがあります。アプリ
ケーションまたはフォルダの例外を作成することがで
きます。検疫からの例外を作成することもできます。
p.77 の「スキャンからの項目の除外」を参照してくだ
さい。
SONAR 検出についての情報をシマンテッシマンテック社では、検出についての情報をシマン
クセキュリティレスポンスに提出する
テックセキュリティレスポンスに送信することを推奨して
います。この情報はシマンテック社が脅威に対処する
ために役立ちます。提出オプションはデフォルトでは
有効です。
p.84 の「検出についての情報をシマンテックセキュリ
ティレスポンスに提出する」を参照してください。
SONAR について
SONAR は、潜在的に悪質なアプリケーションがコンピュータで実行されたときにそれらを
検出するリアルタイム保護です。SONAR は、脅威に対応するために従来のウイルスやス
パイウェアの検出定義が作成される前に脅威を検出するため、「ゼロデイ」対策となりま
す。
SONAR はヒューリスティックに加えて評価データを使って、広がりつつある未知の脅威を
検出します。SONAR はクライアントコンピュータで保護のレベルを追加し、既存のウイル
スとスパイウェアの対策、侵入防止、ファイアウォール保護を補います。
メモ: Auto-Protect も、Bloodhound と呼ばれるヒューリスティックの 1 種類を使ってファ
イル内の疑わしい動作を検出します。
p.87 の「クライアントコンピュータでの SONAR の管理」を参照してください。
p.88 の「SONAR で検出されるファイルとアプリケーションについて」を参照してくださ
い。
SONAR で検出されるファイルとアプリケーションについて
SONAR は、コンピュータでローカルに行うプロアクティブな監視とともに、シマンテック社
のオンラインインテリジェンスネットワークを利用するヒューリスティックシステムを使って、
広がりつつある脅威を検出します。SONAR は監視する必要があるコンピュータで変更や
動作も検出します。
第 4 章スキャンの管理
クライアントコンピュータでの SONAR の管理
SONAR は、アプリケーションの種類に対してではなく、処理の動作方法について検出を
行います。SONAR はアプリケーションが悪質な動作を行う場合にのみ、アプリケーション
の種類とは無関係に、そのアプリケーションに対してのみ作用します。たとえば、トロイの
木馬やキーロガーが悪質な動作を行わない場合、SONAR では検出されません。
SONAR は以下の項目を検出します。
ヒューリスティック脅威
SONAR はヒューリスティックを使って、不明なファイル
が不審な動作をしているかどうかと、ファイルの危険度
が高いか低いかを判断します。また、評価データを
使って、脅威の危険度が高いか低いかを判断します。
システム変更
SONAR はクライアントコンピュータで DNS 設定やホ
ストファイルの修正を試みるアプリケーションやファイ
ルを検出します。
不適切な動作を示している信頼できるアプ適切で信頼できるファイルの一部が、疑わしい動作と
リケーション
関連付けられることがあります。SONAR はこれらのファ
イルを、疑わしい動作のイベントとして検出します。た
とえば、よく知られた文書共有アプリケーションが実行
可能ファイルを作成することがあります。
Auto-Protect を無効にすると、高危険度と低危険度のファイルの検出を行う SONAR の
機能を制限することになります。Insight ルックアップ（評価クエリー）を無効にすると、
SONAR の検出機能も制限することになります。
p.87 の「クライアントコンピュータでの SONAR の管理」を参照してください。
SONAR 設定の変更
誤認検出の比率を下げるために、SONAR の処理を変更したい場合があります。SONAR
ヒューリスティック検出の通知を変更することもできます。
p.87 の「クライアントコンピュータでの SONAR の管理」を参照してください。
メモ: 管理下クライアントでは、管理者がこれらの設定をロックすることがあります。
SONAR 設定を変更するには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［プロアクティブ脅威防止］の隣にある［オプションの設定］をクリックします。
3
［SONAR］タブで、高危険度または低危険度のヒューリスティック脅威の処理を変更
します。
低危険度検出の拡張モードを有効にできます。この設定では、低危険度検出に対
する SONAR の感度を高めます。誤認検出が増加する可能性があります。
89
90
第 4 章スキャンの管理
クライアントコンピュータでの SONAR の管理
4
オプションで、通知設定を変更します。
5
［疑わしい動作の検出］タブで、高危険度または低危険度の検出の処理を変更しま
す。SONAR は信頼できるファイルが疑わしい動作と関連付けられているときにこれ
らの検出を行います。
6
［システム変更イベント］タブで、DNS サーバー設定またはホストファイルへの変更の
検出に対するスキャン処理を変更します。
7
［OK］をクリックします。
5
ファイアウォールと侵入防止
の管理
この章では以下の項目について説明しています。
■
ネットワーク脅威防止について
■
ファイアウォール保護の管理
■
ファイアウォールの設定
■
アプリケーションの許可または遮断について
■
ネットワーク活動の表示
■
クライアントのファイアウォールルールについて
■
ファイアウォールルール、ファイアウォール設定、侵入防止の処理順について
■
ファイアウォールルールの順序の変更
■
ファイアウォールでのステートフルインスペクションの使い方
■
ファイアウォールルールの要素
■
ファイアウォールルールの設定
■
侵入防止の管理
■
侵入防止の動作
■
侵入防止の有効化または無効化
■
侵入防止の通知の設定
92
第 5 章ファイアウォールと侵入防止の管理
ネットワーク脅威防止について
ネットワーク脅威防止について
Symantec Endpoint Protection クライアントは、コンピュータが送受信する情報を監視
してネットワーク攻撃を遮断する、ネットワーク脅威防止を提供します。
表 5-1 で、ネットワーク脅威防止を管理するために使うことができる Symantec Endpoint
Protection 機能について説明します。
表 5-1
ネットワーク脅威防止機能
ツール
説明
ファイアウォール
ファイアウォールは、権限のないユーザーが、インターネットに接続して
いるコンピュータやネットワークにアクセスするのを防ぎます。ファイア
ウォールはハッカーの攻撃の可能性を検出し、個人情報を保護し、迷
惑なネットワークトラフィックの原因を除去します。ファイアウォールはイ
ンバウンドとアウトバウンドのトラフィックを許可または遮断します。
p.94 の「ファイアウォールのしくみ」を参照してください。
p.92 の「ファイアウォール保護の管理」を参照してください。
侵入防止システム
IPS（Intrusion Prevention System の略で侵入防止システムの意味）
は自動的にネットワーク攻撃を検出して遮断します。IPS は攻撃シグネ
チャのためにコンピュータに送受信されるすべてのパケットをスキャンし
ます。
IPS は攻撃シグネチャの広範なリストを利用し、疑わしいネットワーク活
動を検出して遮断します。シマンテック社は既知の脅威リストを提供しま
す。このリストは、クライアントで Symantec LiveUpdate を使用すること
で更新できます。シマンテック社の IPS エンジンと対応する IPS シグネ
チャのセットは、デフォルトでクライアントにインストールされます。
p.122 の「侵入防止の動作」を参照してください。
p.121 の「侵入防止の管理」を参照してください。
ファイアウォール保護の管理
デフォルトでは、ファイアウォールはすべてのネットワークトラフィックの着発信を許可しま
す。特定のトラフィックの種類を許可または遮断するためにファイアウォールを設定できま
す。
管理者はファイアウォールルール設定とファイアウォール設定を許可することで、クライア
ントで操作できるレベルを決定します。管理者は、新しいネットワーク接続と問題が発生
している可能性を通知されたときのみユーザーがクライアントを操作できるようにするな
ど、ユーザーの使用を制限することができます。管理者は、ユーザーにユーザーインター
フェースへのフルアクセスを許可することもできます。
第 5 章ファイアウォールと侵入防止の管理
ファイアウォール保護の管理
表 5-2 で、コンピュータを保護するために実行できるファイアウォールタスクについて説
明します。これらのタスクはすべて省略可能で、任意の順序で実行できます。
表 5-2
ファイアウォール保護の管理
タスク
説明
ファイアウォールのしくファイアウォールがネットワーク攻撃からコンピュータをいかに保護するか
みの理解
学習します。
p.94 の「ファイアウォールのしくみ」を参照してください。
ファイアウォール設定
を行う
ファイアウォールルールの作成に加え、ファイアウォール設定を有効にし、
ファイアウォールの保護をさらに高めるようにファイアウォール設定を行う
ことができます。
p.95 の「ファイアウォールの設定」を参照してください。
ファイアウォールログを次の内容を確認するためにコンピュータのファイアウォール保護の状態を
表示する
定期的に確認することができます。
■
作成したファイアウォールルールが正しく機能する。
■
クライアントがネットワーク攻撃を遮断した。
■
実行すると期待したアプリケーションをクライアントが遮断した。
ファイアウォールの保護の状態を調べるためにトラフィックログとパケットロ
グを使うことができます。
p.40 の「ログについて」を参照してください。
メモ: 管理下クライアントでは、デフォルトでパケットログは無効になります。
アプリケーションの設
定
アプリケーション設定をカスタマイズすることによってコンピュータの保護を
高めることができます。アプリケーションとは、ユーザーがタスクを実行する
ために役立つように設計されているソフトウェアプログラムです。たとえば、
Microsoft Internet Explorer はアプリケーションです。ファイアウォール
設定は、ネットワークにアクセスできるアプリケーションを制御するように設
定できます。
p.107 の「アプリケーションの許可または遮断について」を参照してくださ
い。
ネットワーク活動を監
視する
クライアントからのインバウンドトラフィックとアウトバウンドトラフィックについ
ての情報を表示できます。クライアントサービスの開始以降に実行された
アプリケーションとサービスのリストを表示することもできます。
p.111 の「ネットワーク活動の表示」を参照してください。
93
94
第 5 章ファイアウォールと侵入防止の管理
ファイアウォール保護の管理
タスク
説明
ファイアウォールルー
ルを追加したりカスタ
マイズしたりする
ファイアウォール設定を有効にすることに加え、デフォルトのファイアウォー
ルルールを修正して、ファイアウォールの保護をさらにカスタマイズするこ
とができます。新しいファイアウォールルールを作成することもできます。
たとえば、アドウェアアプリケーションのようなコンピュータで実行したくな
いアプリケーションを遮断すると安全です。
p.112 の「クライアントのファイアウォールルールについて」を参照してくだ
さい。
p.118 の「ファイアウォールルールの設定」を参照してください。
p.120 の「ファイアウォールルールの有効化と無効化」を参照してください。
ファイアウォールの有トラブルシューティングを行うためにネットワーク脅威防止を一時的に無効
効と無効を切り替えるにできます。たとえば、ある特定のアプリケーションを開くために無効にす
る必要があることがあります。
p.37 の「クライアントコンピュータでの保護の有効化または無効化」を参
照してください。
p.92 の「ネットワーク脅威防止について」を参照してください。
ファイアウォールのしくみ
ファイアウォールは、以下のタスクをすべて行います。
■
権限がないユーザーが、インターネットに接続した組織内のコンピュータおよびネット
ワークにアクセスできないようにする
■
使用中のコンピュータとインターネット上の他のコンピュータ間の通信を監視する
■
コンピュータ上の情報へのアクセス試行を許可または遮断するシールドを作成する
■
他のコンピュータから接続の試みがあることを警告する
■
他のコンピュータに接続するコンピュータのアプリケーションによって接続の試みが
あったことを警告する
ファイアウォールは、インターネット上で送受信されるデータのパケットを調べます。パケッ
トは 2 つのコンピュータ間の情報の流れの一部である個別のデータチャンクです。パケッ
トは送信先で組み立てられ連続したデータストリームとして表示されます。
パケットには、以下の要素に関する情報が含まれます。
■
送信元コンピュータ
■
本来の受信者
■
パケットデータの処理方法
■
パケットを受信するポート
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
ポートはインターネットから受信するデータのストリームを分割するチャネルです。コン
ピュータで動作するアプリケーションはポートで応答準備を行います。アプリケーションは
ポートに送られるデータを受け入れます。
ネットワーク攻撃は脆弱なアプリケーションの弱点を利用します。攻撃者はこうした弱点を
利用して悪質なプログラムコードが含まれたパケットをポートに送信します。脆弱なアプリ
ケーションがポートで応答準備を行うとき、攻撃者は悪質なコードによってコンピュータへ
アクセスできるようになります。
p.92 の「ネットワーク脅威防止について」を参照してください。
p.92 の「ファイアウォール保護の管理」を参照してください。
ファイアウォールの設定
表 5-3 で、ファイアウォール保護をさらにカスタマイズするために設定できるファイアウォー
ル設定の種類について説明します。
これらの設定がユーザーインターフェースに表示されない場合や修正できない場合は、
管理者からこれらの設定を行うための適切な権限が与えられていません。ファイアウォー
ル設定の修正は省略可能で、任意の順序で実行できます。
表 5-3
ファイアウォールの設定
カテゴリ
説明
トラフィックとステルス Web 参照クライアントを特定の種類のネットワーク攻撃から保護するために
各種トラフィックの設定やステルス Web 参照の設定を有効にで
きます。トラフィックの設定を有効にすることでドライバ、NetBIOS、
トークンリングを使って通信するトラフィックの検出と遮断を実行
できます。オプションを設定することでより不可視の攻撃を使うト
ラフィックを検出できます。どのファイアウォールルールにも一致
しない IP トラフィックの動作を制御することもできます。
p.96 の「トラフィックの設定とステルス Web 参照の設定の有効
化」を参照してください。
基本的なネットワークサービス
の組み込みルール
Symantec Endpoint Protection は、特定の基本的なネットワー
クサービスの通常の交換を可能にする組み込みルールを提供し
ます。組み込みルールにより、それらのサービスを明示的に許可
するファイアウォールルールを作成する必要がなくなります。処
理の間、これらの組み込みルールはファイアウォールルールの前
に評価されるため、アクティブな組み込みルールに一致するパ
ケットが許可されます。組み込みルールは、DHCP、DNS、WINS
の各サービスに対して定義できます。
p.101 の「基本的なネットワークサービスの通信の自動的な許可」
を参照してください。
95
96
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
カテゴリ
説明
ネットワーク上のファイルとプリ
ンタの共有
クライアントで、ローカルネットワーク上のファイルの共有や共有
されたファイルとプリンタの参照を有効にできます。ネットワーク型
攻撃を防止するために、ネットワーク上のファイルとプリンタの共
有を無効にできます。
p.102 の「ネットワークでのファイルとプリンタの共有の有効化」を
参照してください。
攻撃側コンピュータの遮断
Symantec Endpoint Protection クライアントがネットワーク攻撃
を検出した場合、自動的に接続を遮断して、クライアントコンピュー
タの安全を確保できます。クライアントはアクティブレスポンスをア
クティブにします。クライアントは、一定期間の間、攻撃側コン
ピュータの IP アドレスとのすべての通信を自動的に遮断します。
攻撃側コンピュータの IP アドレスは単一の場所で遮断されます。
p.104 の「攻撃側コンピュータの遮断と遮断解除」を参照してくだ
さい。
p.112 の「クライアントのファイアウォールルールについて」を参照してください。
p.118 の「ファイアウォールルールの設定」を参照してください。
トラフィックの設定とステルス Web 参照の設定の有効化
クライアントを特定の種類のネットワーク攻撃から保護するために各種トラフィックの設定
やステルス Web 参照の設定を有効にできます。トラフィックの設定を有効にすることでド
ライバ、NetBIOS、トークンリングを使って通信するトラフィックの検出と遮断を実行できま
す。オプションを設定することでより不可視の攻撃を使うトラフィックを検出できます。どの
ファイアウォールルールにも一致しない IP トラフィックの動作を制御することもできます。
ファイアウォールがある特定の操作を完了した後、制御はいくつかのコンポーネントに渡
されます。各コンポーネントは異なる種類のパケット分析を実行するように設計されていま
す。
トラフィックの設定とステルス Web 参照の設定を有効にするには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ネットワーク脅威防止］の隣にある［オプションの設定］をクリックします。
3
［ファイアウォール］タブの［トラフィックの設定］の下で、有効にしたい次のような機能
のボックスにチェックマークを付けます。
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
NetBIOS の保護を有効にする NetBIOS トラフィックを外部ゲートウェイから遮断します。
LAN 上でネットワークコンピュータのファイルやプリンタの共
有を使い、外部ネットワークから NetBIOS が悪用されない
ようにコンピュータを保護できます。このオプションは、定義
された ICANN 内部範囲外の IP アドレスから発信された
NetBIOS パケットを遮断します。ICANN 内部範囲には、
10.x.x.x、172.16.x.x、192.168.x.x、169.254.x.x が含まれ
ます。ただし、169.254.0.x と 169.254.255.x サブネットを
除きます。NetBIOS パケットには、UDP 88、UDP 137、UDP
138、TCP 135、TCP 139、TCP 445、TCP 1026 が含まれ
ます。
メモ: クライアントコンピュータが別のサブネットにある
Microsoft Exchange Server に接続している場合、
NetBIOS の保護により、Microsoft Outlook で問題が生じ
る可能性があります。これらの特定のサーバーへのアクセ
スを許可するファイアウォールルールを作成できます。
トークンリングトラフィックを許可クライアントのファイアウォールルールにかかわらず、トーク
する
ンリングアダプタを通して接続しているクライアントコンピュー
タが、ネットワークにアクセスすることを許可します。
この設定を無効にすると、トークンリングアダプタを通して接
続しているコンピュータからのトラフィックは、企業ネットワー
クにアクセスできません。ファイアウォールは、トークンリン
グトラフィックをフィルタ処理しません。すべてのトークンリン
グトラフィックを許可するか、すべてのトークンリングトラフィッ
クを遮断するかのいずれかです。
MAC 詐称対策を有効にする
特定のホストに ARP（Address Resolution Protocol の略
でアドレス解決プロトコルの意味）要求が行われたときにの
み、インバウンドおよびアウトバウンド ARP トラフィックを許
可します。その他の予想されない ARP トラフィックはすべて
遮断され、セキュリティログに記録されます。
一部のハッカーは、MAC 詐称を使って 2 台のコンピュータ
間の通信セッションの乗っ取りを試みます。MAC（Media
Access Control）アドレスは、コンピュータ、サーバー、ルー
ターなどを識別するハードウェアアドレスです。コンピュータ
A がコンピュータ B と通信する場合、コンピュータ A は ARP
パケットを送信します。
MAC 詐称対策は、別のコンピュータによって MAC アドレ
ステーブルがリセットされないようにコンピュータを保護しま
す。コンピュータが ARP REQUEST メッセージを送信する
場合、クライアントは対応する ARP RESPOND メッセージを
10 秒間許可します。すべてのクライアントは、要求していな
い ARP RESPOND メッセージをすべて拒否します。
97
98
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
ネットワークアプリケーション監
視を有効にする
クライアントは、クライアントコンピュータ上で実行されている
ネットワークアプリケーションに対する変更を監視できます。
ネットワークアプリケーションはトラフィックを送受信します。
クライアントはアプリケーションの内容が変更されているかど
うかを検出します。
ファイアウォールの停止後にファファイアウォールが何らかの理由で動作しないときに、クラ
イアウォールが起動するまですイアントコンピュータのインバウンドトラフィックとアウトバウン
べてのトラフィックを遮断する
ドトラフィックをすべて遮断します。
コンピュータは、次のいずれかのイベントの発生時は保護
されません。
クライアントコンピュータが起動してから、ファイアウォー
ルサービスが開始されるまで
■ ファイアウォールサービスとクライアントコンピュータが停
止した後
■
この期間は、権限のない通信が許可される小さなセキュリ
ティホールになります。この設定により、権限のないアプリ
ケーションが他のコンピュータと通信することを防ぐことがで
きます。
メモ: ネットワーク脅威防止が無効の場合、クライアントはこ
の設定を無視します。
サービス拒否検出を有効にす
る
この設定を有効になっている場合、Symantec Endpoint
Protection は、ポート番号やインターネットプロトコルの種
類に関係なく、複数のパケットに基づいて既知の攻撃を識
別します。
シグネチャベースの侵入検知と侵入防止システムでは、こ
の種類の検出を提供できません。
ポートスキャン検出を有効にすこの設定を有効にすると、セキュリティルールによって遮断
る
されるすべての着信パケットが監視されます。ルールによっ
て短時間に異なるポートの複数の異なるパケットが遮断さ
れる場合、Symantec Endpoint Protection はセキュリティ
ログエントリを作成します。
ポートスキャン検出ではパケットは遮断されません。ポート
スキャンの実行時にトラフィックを遮断するには、セキュリティ
ポリシーを作成する必要があります。
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
4
［不一致 IP トラフィックの設定］の下で、有効にしたい機能のボックスにチェックマー
クを付けます。
これらのオプションは、どのファイアウォールルールにも一致しない着信 IP トラフィッ
クと発信 IP トラフィックを制御します。IP トラフィックには、IP ネットワークで送信され、
TCP、UDP、ICMP の各プロトコルを使うデータパケットが含まれます。アプリケーショ
ン、メール交換、ファイル転送、ping プログラム、Web 伝送は、いずれも IP トラフィッ
クです。
次の 1 つ以上の IP トラフィック設定を有効にすることができます。
IP トラフィックを許可する
ファイアウォールで別のルールが指定されていない限り、着
信トラフィックと発信トラフィックを許可します。たとえば、VPN
トラフィックを遮断するファイアウォールルールを追加した場
合、ファイアウォールは VPN トラフィックを除く他のすべて
のトラフィックを許可します。
アプリケーショントラフィックのみアプリケーションとの間で送受信されるトラフィックを許可し、
を許可する
アプリケーションと関連付けられていないすべてのトラフィッ
クを遮断します。たとえば Internet Explorer は許可されま
すが、VPN トラフィックは遮断されます（別途ルールが指定
されていない場合）。
アプリケーショントラフィックを許アプリケーションを遮断するか許可するかを質問するメッ
可する前に確認する
セージを表示します。たとえば、メディアファイルを遮断する
かどうかを選択したい場合や、NTOSKRNL.DLL プロセス
からのブロードキャストが表示されないようにしたい場合な
どに使用できます。スパイウェアは NTOSKRNL.DLL プロ
セスをダウンロードしてインストールすることがよくあり、
NTOSKRNL.DLL プロセスはスパイウェアを示している可能
性があります。
99
100
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
5
［ステルスの設定］で、次のうち有効にしたい機能のボックスにチェックマークを付け
ます。
TCP 再順序付けを有効にする侵入者が個人の IP アドレスを偽造または詐称することを防
ぎます。
ハッカーは IP 詐称を使用して、2 台のコンピュータ（たとえ
ば、コンピュータ A と B）間の通信セッションを乗っ取ります。
ハッカーは、コンピュータ A に通信をドロップさせるデータ
パケットを送信します。続いて、コンピュータ A と偽ってコン
ピュータ B と通信し、このコンピュータを攻撃します。コン
ピュータを保護するために、TCP 再順序付けは TCP シー
ケンス番号をランダム化します。
メモ: OS フィンガープリントの隠ぺいは、TCP 再順序付け
が有効なときに最もよく機能します。
警告: TCP の再順序付けでは、クライアントサービスが実
行されるときに TCP 連番が変更されます。サービスが実行
されているときと実行されていないときでは、連番が異なり
ます。ファイアウォールサービスを停止または起動するとネッ
トワーク接続が終了します。TCP/IP パケットは、連続する
セッション番号を使って他のコンピュータと通信します。クラ
イアントが実行されていない場合、クライアントコンピュータ
では Windows の番号方式が使われます。クライアントが実
行中で、TCP 再順序付けが有効になっている場合は、クラ
イアントでは別の番号方式が使われます。クライアントサー
ビスが突然停止した場合、番号方式は Windows の番号
方式に戻り、その後 Windows によってトラフィックパケット
がドロップされます。さらに、TCP 再順序付けには特定の
NIC との互換性の問題がある可能性があり、インバウンドと
アウトバウンドのすべてのトラフィックがクライアントで遮断さ
れる原因になります。
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
ステルスモード Web 参照を有 Web ブラウザからポート 80 に着信する HTTP トラフィック
効にする
をすべて検出し、ブラウザ名とバージョン番号、オペレーティ
ングシステム、参照 Web ページの情報を削除します。これ
により、Web サイトがコンピュータで使用されているオペレー
ティングシステムとブラウザを認識できなくなります。 HTTPS
（SSL）トラフィックは検出しません。
警告: ステルスモードの Web 参照により、一部の Web サ
イトが正しく機能しなくなる可能性があります。Web サーバー
の中には、Web ブラウザに関する情報に基づいて Web
ページを構築するものがあります。このオプションではブラ
ウザの情報が削除されるため、一部の Web ページが正し
く表示されない場合や、まったく表示されない場合がありま
す。ステルスモードの Web 参照では、
HTTP_USER_AGENT と呼ばれるブラウザのシグネチャが
HTTP 要求ヘッダーから削除され、汎用シグネチャで置換
されます。
OS フィンガープリントの隠ぺいクライアントコンピュータのオペレーティングシステムの検出
を有効にする
を防止します。クライアントは、TCP/IP パケットの TTL と識
別値を変更して、オペレーティングシステムが識別されない
ようにします。
メモ: OS フィンガープリントの隠ぺいは、TCP 再順序付け
が有効なときに最もよく機能します。
警告: TCP 再順序付けには特定の NIC との互換性の問題
がある可能性があり、インバウンドとアウトバウンドのすべて
のトラフィックがクライアントで遮断される原因になります。
6
［OK］をクリックします。
p.95 の「ファイアウォールの設定」を参照してください。
p.105 の「トラフィックの遮断」を参照してください。
基本的なネットワークサービスの通信の自動的な許可
Symantec Endpoint Protection は、特定の基本的なネットワークサービスの通常の交
換を可能にする組み込みルールを提供します。組み込みルールにより、それらのサービ
スを明示的に許可するファイアウォールルールを作成する必要がなくなります。処理の
間、これらの組み込みルールはファイアウォールルールの前に評価されるため、アクティ
ブな組み込みルールに一致するパケットが許可されます。組み込みルールは、DHCP、
DNS、WINS の各サービスに対して定義できます。
101
102
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
要求が行われた場合、組み込みルールフィルタはパケットを許可します。これらのフィル
タはパケットを遮断しません。パケットはファイアウォールルールにより許可または遮断さ
れます。
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ネットワーク脅威防止］の隣にある［オプションの設定］をクリックします。
3
［ファイアウォール］タブの［組み込みルール］の下で、次のオプションの 1 つまたは
複数にチェックマークを付けます。
4
■
スマート DHCP を有効にする
■
スマート DNS を有効にする
■
スマート WINS を有効にする
［OK］をクリックします。
p.96 の「トラフィックの設定とステルス Web 参照の設定の有効化」を参照してください。
p.95 の「ファイアウォールの設定」を参照してください。
ネットワークでのファイルとプリンタの共有の有効化
クライアントで、ローカルネットワーク上のファイルの共有や共有されたファイルとプリンタ
の参照を有効にできます。ネットワーク型攻撃を防止するために、ネットワーク上のファイ
ルとプリンタの共有を無効にできます。
次の方法でネットワーク上のファイルとプリンタの共有を有効にできます。
［Microsoft Windows ネットファイアウォールルールでこのトラフィックが遮断される場合、この
ワーク］タブで、ネットワーク上の設定よりもファイアウォールルールが優先されます。
ファイルとプリンタの共有設定を
「ネットワーク上のファイルとプリンタの共有を自動的に有効にす
自動的に有効にします。
るには」
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
ファイアウォールルールを追加
することによって、ネットワーク上
のファイルとプリンタの共有を手
動で有効にします。
設定での柔軟性よりも高い柔軟性が必要な場合には、ファイア
ウォールルールを追加します。たとえば、ルールを作成すると、
すべてのホストではなく特定のホストを指定できます。ファイア
ウォールルールにより、ポートにアクセスしてファイルとプリンタを
参照したり共有したりすることができます。
クライアントがそのファイルを共有できるように、1 組のファイア
ウォールルールを作成します。クライアントが他のファイルとプリン
タを参照できるように、もう 1 組のファイアウォールルールを作成
します。
「クライアントを手動で有効にしてファイルとプリンタを参照するに
は」
「他のコンピュータを手動で有効にしてクライアント上のファイル
を参照するには」
ネットワーク上のファイルとプリンタの共有を自動的に有効にするには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ネットワーク脅威防止］の隣にある［オプションの設定］をクリックします。
3
［Microsoft Windows ネットワーク］タブの［設定］の下で、ドロップダウンメニューを
クリックし、これらの設定が適用されるアダプタを選択します。
4
ネットワーク上の他のコンピュータやプリンタを参照するには、［ネットワーク上のファ
イルとプリンタを参照する］をクリックします。
5
他のコンピュータがコンピュータ上のファイルを参照できるようにするには、［ネット
ワーク上の他のユーザーとファイルとプリンタを共有する］をクリックします。
6
［OK］をクリックします。
クライアントを手動で有効にしてファイルとプリンタを参照するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ファイアウォールルールの設定］の
順に選択します。
3
［ファイアウォールルールの設定］ダイアログボックスで、［追加］をクリックします。
4
［全般］タブにルールの名前を入力し、［このトラフィックを許可する］をクリックします。
5
［ポートとプロトコル］タブの［プロトコル］ドロップダウンリストで、［TCP］をクリックしま
す。
6
［リモートポート］ドロップダウンリストで、88, 135, 139, 445 と入力します。
7
［OK］をクリックします。
8
［ファイアウォールルールの設定］ダイアログボックスで、［追加］をクリックします。
9
［全般］タブにルールの名前を入力し、［このトラフィックを許可する］をクリックします。
103
104
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
10 ［ポートとプロトコル］タブの［プロトコル］ドロップダウンリストで、［UDP］をクリックしま
す。
11 ［リモートポート］ドロップダウンリストで、88 と入力します。
12 ［ローカルポート］ドロップダウンリストで、137, 138 と入力します。
13 ［OK］をクリックします。
他のコンピュータを手動で有効にしてクライアント上のファイルを参照するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ファイアウォールルールの設定］の
順に選択します。
3
［ファイアウォールルールの設定］ダイアログボックスで、［追加］をクリックします。
4
［全般］タブにルールの名前を入力し、［このトラフィックを許可する］をクリックします。
5
［ポートとプロトコル］タブの［プロトコル］ドロップダウンリストで、［TCP］をクリックしま
す。
6
［ローカルポート］ドロップダウンリストで、88, 135, 139, 445 と入力します。
7
［OK］をクリックします。
8
［ファイアウォールルールの設定］ダイアログボックスで、［追加］をクリックします。
9
［全般］タブにルールの名前を入力し、［このトラフィックを許可する］をクリックします。
10 ［ポートとプロトコル］タブの［プロトコル］ドロップダウンリストで、［UDP］をクリックしま
す。
11 ［ローカルポート］ドロップダウンリストで、88, 137, 138 と入力します。
12 ［OK］をクリックします。
p.95 の「ファイアウォールの設定」を参照してください。
攻撃側コンピュータの遮断と遮断解除
Symantec Endpoint Protection クライアントがネットワーク攻撃を検出した場合、自動
的に接続を遮断して、クライアントコンピュータの安全を確保できます。クライアントはアク
ティブレスポンスをアクティブにします。この機能は、設定した期間のみ攻撃側コンピュー
タの IP アドレスを使用するすべての通信を自動的に遮断します。攻撃側コンピュータの
IP アドレスは単一の場所で遮断されます。
攻撃側コンピュータの IP アドレスは、セキュリティログで確認できます。セキュリティログで
アクティブレスポンスを停止することで、攻撃の遮断を解除することもできます。
デフォルトの時間を待たずに IP アドレスの遮断を解除する場合は、すぐに遮断解除でき
ます。
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
攻撃側コンピュータを遮断するには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ネットワーク脅威防止］の隣にある［オプションの設定］をクリックします。
3
［ファイアウォール］タブの[アクティブレスポンスの設定]の下で、［Number of seconds
to automatically block an attacker's IP address］にチェックマークを付けて秒数
を入力します。
1 から 999,999 秒までの数値を入力します。デフォルトは 600 秒（10 分）です。
4
［OK］をクリックします。
攻撃側コンピュータを遮断解除するには
1
クライアントのサイドバーで、［ログの表示］をクリックします。
2
［クライアント管理］の隣で、［ログの表示］、［セキュリティログ］の順に選択します。
3
［セキュリティログ］の［イベントの種類］列で［アクティブレスポンス］を含む行を選択
し、［処理］、［アクティブレスポンスを停止する］の順に選択します。
遮断された IP アドレスを遮断解除するには、［処理］、［すべてのアクティブレスポン
スを停止する］の順に選択します。アクティブレスポンスを遮断解除すると、［イベント
の種類］列に［アクティブレスポンスを中止しました］が表示されます。アクティブレス
ポンスがタイムアウトすると、［イベントの種類］列に［アクティブレスポンスを解除しま
した］が表示されます。
4
表示されるメッセージボックスで、［OK］をクリックします。
5
［ファイル］、［終了］の順に選択します。
p.105 の「トラフィックの遮断」を参照してください。
p.95 の「ファイアウォールの設定」を参照してください。
トラフィックの遮断
次の状況で、インバウンドトラフィックとアウトバウンドトラフィックを遮断するようにコンピュー
タを設定できます。
コンピュータのスクリーンセー
バーがアクティブなとき
コンピュータのスクリーンセーバーがアクティブなときに、ネットワー
クコンピュータのすべてのインバウンドおよびアウトバウンドトラ
フィックを遮断するように、コンピュータを設定できます。スクリー
ンセーバーがオフになると、コンピュータは設定以前に割り当て
られていたセキュリティレベルに戻ります。
「スクリーンセーバーがアクティブなときにトラフィックを遮断する
には」
105
106
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールの設定
ファイアウォールを実行してい
ないとき
クライアントコンピュータが起動してからファイアウォールサービス
が開始されるまで、およびファイアウォールサービスが停止して
からコンピュータがオフになるまで、コンピュータは保護されませ
ん。この期間は、権限のない通信が許可される小さなセキュリティ
ホールになります。
「ファイアウォールを実行していないときにトラフィックを遮断する
には」
インバウンドトラフィックとアウト
バウンドトラフィックをすべて遮
断したいとき
特定の破壊的なウイルスが自社のネットワークやサブネットを攻
撃している場合は、すべてのトラフィックを遮断できます。通常の
状況では、トラフィックをすべて遮断する必要はありません。
メモ: 管理者はこのオプションを使用できないように設定している
場合があります。管理外クライアントではトラフィックを遮断できま
せん。
「任意の時間にすべてのトラフィックを遮断するには」
ネットワーク脅威防止を無効にすると、すべてのトラフィックを許可できます。
p.37 の「クライアントコンピュータでの保護の有効化または無効化」を参照してください。
スクリーンセーバーがアクティブなときにトラフィックを遮断するには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ネットワーク脅威防止］の隣にある［オプションの設定］をクリックします。
3
［Microsoft Windows ネットワーク］タブの［スクリーンセーバーモード］の下で、［ス
クリーンセーバーの実行中に Microsoft Windows ネットワークトラフィックを遮断す
る］をクリックします。
4
［OK］をクリックします。
ファイアウォールを実行していないときにトラフィックを遮断するには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ネットワーク脅威防止］の隣にある［オプションの設定］をクリックします。
3
［ファイアウォール］タブ［トラフィックの設定］の下で、［ファイアウォールの停止後に
ファイアウォールが起動するまですべてのトラフィックを遮断する］をクリックします。
4
［DHCP と NetBIOS の初期トラフィックを許可する］をクリックするかどうかは任意で
す。
5
［OK］をクリックします。
第 5 章ファイアウォールと侵入防止の管理
アプリケーションの許可または遮断について
任意の時間にすべてのトラフィックを遮断するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ネットワーク活動の表示］の順に選
択します。
3
［ツール］、［すべてのトラフィックを遮断］の順に選択します。
4
［はい］をクリックして確認します。
5
クライアントが使う以前のファイアウォール設定に戻すには、［ツール］、［すべてのト
ラフィックを遮断］の順に選択して、チェックマークをはずします。
p.104 の「攻撃側コンピュータの遮断と遮断解除」を参照してください。
p.95 の「ファイアウォールの設定」を参照してください。
アプリケーションの許可または遮断について
アプリケーションは、あるタスクを実行するために使うソフトウェアプログラムです。たとえ
ば、Internet Explorer や iTunes はアプリケーションです。クライアントをカスタマイズす
ることで、ネットワークを攻撃から保護するように特定のアプリケーションを制御できます。
次に、アプリケーションのファイアウォール保護をカスタマイズするために実行できるタス
クについて説明します。これらのタスクはすべて省略可能で、任意の順序で実行できま
す。
■
アプリケーションがネットワークにアクセスすることをクライアントで許可または遮断す
ることができます。
p.108 の「アプリケーションによるネットワークへのアクセスの許可または遮断」を参照
してください。
■
クライアントサービスの開始以降に実行されたアプリケーション、またはネットワークへ
のアクセスの許可を求めてきたアプリケーションのオプションを設定できます。IP アド
レスやポートなど、そのアプリケーションで使うことができる制限を設定することもでき
ます。ネットワーク接続を通じてアクセスしようとする各アプリケーションに対してクライ
アントが実行する処理を表示して変更できます。特定のアプリケーションを設定するこ
とにより、アプリケーションベースのファイアウォールルールを作成します。
p.109 の「アプリケーション固有の設定」を参照してください。
■
ファイアウォールがアプリケーションを遮断する時刻など、アプリケーションの制限は
解除できます。制限を削除すると、クライアントがアプリケーションに対して実行する処
理も消去されます。アプリケーションまたはサービスが再度ネットワークに接続しようと
したときに、アプリケーションの許可または遮断を確認するメッセージが再度表示され
ます。コンピュータの再起動などで、アプリケーションがコンピュータに再度アクセスを
試みるまで、アプリケーションまたはサービスの実行を停止することもできます。
p.110 の「アプリケーションからの制限の削除」を参照してください。
107
108
第 5 章ファイアウォールと侵入防止の管理
アプリケーションの許可または遮断について
p.92 の「ファイアウォール保護の管理」を参照してください。
アプリケーションによるネットワークへのアクセスの許可または遮断
アプリケーションがネットワークにアクセスすることをクライアントで許可または遮断するこ
とができます。
表 5-4 で、クライアントがネットワークトラフィックに対して実行する処理について説明しま
す。
表 5-4
アプリケーションがクライアントかネットワークにアクセスするときに
ファイアウォールが実行する処理
処理
説明
許可
インバウンドトラフィックがクライアントコンピュータにアクセスし、アウトバウンドトラ
フィックがネットワークにアクセスするのを許可します。
クライアントがトラフィックを受信すると、左下に小さい青色のドットのアイコンが表
示されます。クライアントがトラフィックを送信すると、右下にドットのアイコンが表示
されます。
遮断
インバウンドトラフィックとアウトバウンドトラフィックによるネットワークまたはインター
ネット接続へのアクセスを遮断します。
確認
次にアプリケーションの実行を試みるときにアプリケーションがネットワークにアク
セスするようにするかどうかを確認します。
終了
処理を停止します。
アプリケーションによるネットワークへのアクセスを許可または遮断するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ネットワーク活動の表示］の順に選
択します。
3
［ネットワーク活動］ダイアログボックスの［実行中のアプリケーション］フィールドで、
アプリケーションまたはサービスを右クリックして、目的のオプションをクリックします。
4
［閉じる］をクリックします。
p.111 の「ネットワーク活動の表示」を参照してください。
p.105 の「トラフィックの遮断」を参照してください。
p.107 の「アプリケーションの許可または遮断について」を参照してください。
第 5 章ファイアウォールと侵入防止の管理
アプリケーションの許可または遮断について
アプリケーション固有の設定
クライアントサービスの開始以降に実行されたアプリケーション、またはネットワークへの
アクセスの許可を求めてきたアプリケーションのオプションを設定できます。
IP アドレスやポートなど、そのアプリケーションで使うことができる制限を設定できます。
ネットワーク接続を通じてアクセスしようとする各アプリケーションに対してクライアントが実
行する処理を表示して変更できます。特定のアプリケーションを設定することにより、アプ
リケーションベースのファイアウォールルールを作成します。
メモ: ファイアウォールルールとアプリケーション固有の設定の間に矛盾がある場合には、
ファイアウォールルールが優先されます。たとえば、午前 1 時から午前 8 時の間のすべ
てのトラフィックを遮断するファイアウォールは、特定のビデオアプリケーションのスケジュー
ルよりも優先されます。
［ネットワーク活動］ダイアログボックスに表示されるアプリケーションは、クライアントサー
ビスの開始以降に実行されたアプリケーションとサービスです。
アプリケーション固有の設定を行うには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［アプリケーション設定の表示］の順
に選択します。
3
［アプリケーション設定の表示］ダイアログボックスで、設定するアプリケーションを選
択して［設定］をクリックします。
4
［アプリケーションの設定］ダイアログボックスで、［アプリケーションの信頼できる IP］
ボックスに IP アドレスまたは IP アドレス範囲を入力します。
5
［リモートサーバーのポート］または［ローカルポート］のグループボックスで、TCP
ポートまたは UDP ポートを選択します。
6
トラフィックの方向を指定するには、次の項目を 1 つまたは両方クリックします。
アウトバウンドトラフィックを許可［発信接続を許可する］をクリックします。
するには
インバウンドトラフィックを許可す［着信接続を許可する］をクリックします。
るには
7
スクリーンセーバーの実行中もルールを適用するには、［スクリーンセーバーモード
の間は許可する］をクリックします。
8
制限を有効にするまたは有効にしない期間のスケジュールを設定するには、［スケ
ジュールを有効にする］をクリックします。
109
110
第 5 章ファイアウォールと侵入防止の管理
アプリケーションの許可または遮断について
9
次のいずれかの項目を選択します。
制限を有効にする時間を指定
するには
［以下の期間］をクリックします。
制限を有効にしない時間を指
定するには
［下の期間を除外する］をクリックします。
10 スケジュールを設定します。
11 ［OK］をクリックします。
12 アプリケーションの処理を変更するには、［アプリケーション設定の表示］ダイアログ
ボックスでアプリケーションを右クリックしてから［許可］と［遮断］のいずれかをクリック
します。
13 ［OK］をクリックします。
アプリケーションまたはサービスを停止するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ネットワーク活動の表示］の順に選
択します。
3
［実行中のアプリケーション］フィールドで、アプリケーションを右クリックし、［終了］を
クリックします。
4
［はい］をクリックして確定し、［閉じる］をクリックします。
p.119 の「ファイアウォールルールの追加」を参照してください。
p.111 の「ネットワーク活動の表示」を参照してください。
p.107 の「アプリケーションの許可または遮断について」を参照してください。
アプリケーションからの制限の削除
ファイアウォールがアプリケーションを遮断する時刻など、アプリケーションの制限は解除
できます。制限を削除すると、クライアントがアプリケーションに対して実行する処理も消
去されます。アプリケーションまたはサービスが再度ネットワークに接続しようとしたときに、
アプリケーションの許可または遮断を確認するメッセージが再度表示されます。
コンピュータの再起動などで、アプリケーションがコンピュータに再度アクセスを試みるま
で、アプリケーションまたはサービスの実行を停止できます。
アプリケーションから制限を削除するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［アプリケーション設定の表示］の順
に選択します。
第 5 章ファイアウォールと侵入防止の管理
ネットワーク活動の表示
3
［アプリケーション設定の表示］ダイアログボックスで、次のいずれかの操作を行いま
す。
アプリケーションをリストから削
除するには
アプリケーションを選択し、次に［削除］をクリックします。
すべてのアプリケーションをリス［すべてを削除］をクリックします。
トから削除するには
4
［はい］をクリックします。
5
［OK］をクリックします。
p.109 の「アプリケーション固有の設定」を参照してください。
p.107 の「アプリケーションの許可または遮断について」を参照してください。
ネットワーク活動の表示
コンピュータからのインバウンドトラフィックとアウトバウンドトラフィックについての情報を表
示できます。クライアントサービスの開始以降に実行されたアプリケーションとサービスの
リストを表示することもできます。
メモ: PDA（Personal Digital Assistant）からのネットワークトラフィックは、クライアントで
は検出されません。
ネットワークトラフィックはブロードキャストトラフィックまたはユニキャストトラフィックとして表
示できます。ブロードキャストトラフィックは、特定のサブネット内のすべてのコンピュータ
に送信されるネットワークトラフィックです。特定のコンピュータに向けたトラフィックではあ
りません。ユニキャストトラフィックは、特定のコンピュータに送信されるトラフィックです。
ネットワーク活動履歴を表示するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ネットワーク活動の表示］の順に選
択します。
3
［閉じる］をクリックします。
Windows サービスとブロードキャストトラフィックの表示/非表示を切り替えるには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ネットワーク活動の表示］の順に選
択します。
111
112
第 5 章ファイアウォールと侵入防止の管理
クライアントのファイアウォールルールについて
3
［ネットワーク活動］ダイアログボックスで、［実行中のアプリケーション］を右クリックし、
次のいずれかの操作を実行します。
Windows サービスの表示/非表示を切り替え［Windows サービスを表示する］にチェック
るには
マークを付けるか、またはチェックマークをは
ずします。
4
ブロードキャストトラフィックを表示するには
［ブロードキャストトラフィックを表示する］に
チェックマークを付けます。
ユニキャストトラフィックを表示するには
［ブロードキャストトラフィックを表示する］の
チェックマークをはずします。
［閉じる］をクリックします。
アプリケーション情報の表示方法を変更するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ネットワーク活動の表示］の順に選
択します。
3
［実行中のアプリケーション］フィールドで、アプリケーションを右クリックし、見たい表
示をクリックします。たとえば、［詳細］をクリックできます。
4
［閉じる］をクリックします。
p.109 の「アプリケーション固有の設定」を参照してください。
p.108 の「アプリケーションによるネットワークへのアクセスの許可または遮断」を参照して
ください。
p.105 の「トラフィックの遮断」を参照してください。
p.92 の「ファイアウォール保護の管理」を参照してください。
クライアントのファイアウォールルールについて
表 5-5 で、クライアントのファイアウォールルールについて把握しておく必要のある事柄
について説明します。
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールルール、ファイアウォール設定、侵入防止の処理順について
表 5-5
クライアントのファイアウォールルールについてのトピック
トピック
説明
ファイアウォールルール、設定、ルール、ファイアウォール設定、侵入防止設定がどのように処理
侵入防止設定がどのように処理されるかを理解すると、有効なファイアウォールルールの作成に
されるかを理解する
役立ちます。ルールと設定がどのように処理されるかを理解する
ことで、ファイアウォールルールの順序をそれに応じて設定する
ことができます。
p.113 の「ファイアウォールルール、ファイアウォール設定、侵入
防止の処理順について」を参照してください。
p.114 の「ファイアウォールルールの順序の変更」を参照してくだ
さい。
特定のルールを作成する必要
がなくなるように、クライアントに
よるステートフルインスペクショ
ンの使い方を学習する
Symantec Endpoint Protection はステートフルインスペクショ
ンを使います。これは、1 方向で開始されるトラフィックの場合は、
リターントラフィックを許可するルールの必要がないことを意味し
ます。ステートフルインスペクションのしくみについて理解すると、
ルールを作成する必要がなくなります。
p.115 の「ファイアウォールでのステートフルインスペクションの使
い方」を参照してください。
ファイアウォールルールの要素有効なファイアウォールルールを作成するには、ルールを構成
を知る
するコンポーネントについて理解する必要があります。
p.116 の「ファイアウォールルールの要素」を参照してください。
p.92 の「ファイアウォール保護の管理」を参照してください。
ファイアウォールルール、ファイアウォール設定、侵入防
止の処理順について
ファイアウォールルールには、優先度の最も高いものから最も低いものへ、またはルール
リストの一番上から一番下までの連続した順序が付けられます。1 つ目のルールでパケッ
トの処理方法が指定されていない場合は、2 つ目のルールで検査されます。この処理は
ファイアウォールが一致するものを検出するまで継続します。一致するルールが見つか
ると、ファイアウォールではそのルールによって指定された処理が行われます。それよりも
優先度の低いルールは検査されません。たとえば、最初のルールがすべてのトラフィック
を遮断し、次のルールがすべてのトラフィックを許可する場合、クライアントはすべてのト
ラフィックを遮断します。
排他的にルールの順序を変更できます。最も制限の厳しいルールが最初に評価され、
最も制限の緩いルールが最後に評価されます。たとえば、トラフィックを遮断するルール
113
114
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールルールの順序の変更
はルールリストの先頭の近くに配置します。リストの後ろにあるルールではトラフィックを許
可します。
ルールベースを作成するためのベストプラクティスは以下の順序でルールを含んでいま
す。
1 番目
すべてのトラフィックを遮断するルール。
2 番目
すべてのトラフィックを許可するルール。
3 番目
特定のコンピュータを許可または遮断するルール。
4 番目
特定のアプリケーション、ネットワークサービス、ポートを許可または遮断するルー
ル。
ルール、ファイアウォール設定、侵入防止設定がファイアウォールで処理される順序を
表 5-6 に示します。
表 5-6
処理順
優先度
設定
1 番目
カスタム IPS シグネチャ
2 番目
侵入防止の設定、トラフィックの設定、ステルスの設定
3 番目
組み込みルール
4 番目
ファイアウォールルール
5 番目
ポートスキャンチェック
6 番目
LiveUpdate でダウンロードした IPS シグネチャ
p.114 の「ファイアウォールルールの順序の変更」を参照してください。
p.94 の「ファイアウォールのしくみ」を参照してください。
p.122 の「侵入防止の動作」を参照してください。
p.112 の「クライアントのファイアウォールルールについて」を参照してください。
ファイアウォールルールの順序の変更
ファイアウォールはファイアウォールルールのリストを上から順に処理します。ファイアウォー
ルがファイアウォールルールを処理する方法を決めるにはルールの順序を変更します。
順序の変更は、現在選択している場所での順序にのみ影響します。
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールでのステートフルインスペクションの使い方
メモ: 保護を改善するには、最も制限の厳しいルールを最初に、最も制限の緩いルール
を最後に配置します。
ファイアウォールルールの順序を変更するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ファイアウォールルールの設定］の
順に選択します。
3
［ファイアウォールルールの設定］ダイアログボックスで、移動するルールを選択しま
す。
4
次のいずれかの操作を実行します。
5
■
選択しているルールを、上のルールよりも前にファイアウォールに処理させる場
合は、上向きの矢印をクリックします。
■
選択しているルールを、下のルールよりも後にファイアウォールに処理させる場
合は、下向きの矢印をクリックします。
ルールの移動が終わったら、［OK］をクリックします。
p.113 の「ファイアウォールルール、ファイアウォール設定、侵入防止の処理順について」
を参照してください。
p.112 の「クライアントのファイアウォールルールについて」を参照してください。
ファイアウォールでのステートフルインスペクションの使
い方
ファイアウォール保護は、現在の接続の追跡にステートフルインスペクションを使います。
ステートフルインスペクションは、送信元と送信先の IP アドレス、ポート、アプリケーショ
ン、およびその他の接続情報を追跡します。クライアントは、ファイアウォールルールを検
査する前に、接続情報に基づいてトラフィックフローを決定します。
たとえば、ファイアウォールルールでコンピュータが Web サーバーに接続することが許
可されている場合、ファイアウォールは接続情報をログに記録します。サーバーが応答す
ると、ファイアウォールは、Web サーバーからコンピュータに応答が送信されるものと判断
します。ルールベースを検査することなく、接続を開始したコンピュータに Web サーバー
のトラフィックが送信されることを許可します。ファイアウォールが接続をログに記録する前
に、ルールが最初のアウトバウンドトラフィックを許可する必要があります。
ステートフルインスペクションにより、新しいルールを作成する必要性がなくなります。1 方
向で開始されるトラフィックについては、両方向のトラフィックを許可するルールを作成す
る必要はありません。一方向に開始されるクライアントのトラフィックには、Telnet（ポート
23）、HTTP（ポート 80）、HTTPS（ポート 443）があります。クライアントコンピュータは、こ
のアウトバウンドトラフィックを開始します。これらのプロトコルに対してアウトバウンドトラ
115
116
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールルールの要素
フィックを許可するルールを作成します。ステートフルインスペクションは、自動的にアウト
バウンドトラフィックに応答するリターントラフィックを可能にします。ファイアウォールは事
実上ステートフルであるため、特定のパケットの性質ではなく、接続を開始するルールを
作成すれば済みます。許可した接続に属するすべてのパケットはそれと同じ接続の一部
として暗黙に許可されます。
ステートフルインスペクションは TCP トラフィックを方向付けるすべてのルールをサポート
します。
ステートフルインスペクションは、ICMP トラフィックをフィルタ処理するルールをサポートし
ません。ICMP トラフィックの場合は、両方向のトラフィックを許可するルールを作成する
必要があります。たとえば、クライアントが ping コマンドを使い応答を受信するには、両
方向の ICMP トラフィックを許可するルールを作成する必要があります。
p.94 の「ファイアウォールのしくみ」を参照してください。
p.112 の「クライアントのファイアウォールルールについて」を参照してください。
ファイアウォールルールの要素
ファイアウォールルールは、クライアントがコンピュータを悪質なネットワークトラフィックか
らどのように保護するかを制御します。コンピュータが別のコンピュータへの接続を試み
ると、ファイアウォールがその接続の種類をファイアウォールルールと比較します。ファイ
アウォールはこのルールを使って、自動的にすべてのインバウンドトラフィックパケットとア
ウトバウンドトラフィックパケットをチェックします。ファイアウォールはこのルールに基づい
てパケットを許可または遮断します。
ファイアウォールルールを定義するために、アプリケーション、ホスト、プロトコルなどのトリ
ガを使うことができます。たとえば、ルールは送信先アドレスに関連するプロトコルを識別
できます。ファイアウォールがルールを評価するとき、ルールを適用するにはすべてのト
リガが true である必要があります。現在のパケットのトリガが false の場合、ファイアウォー
ルはルールを適用しません。
ファイアウォールルールがトリガされるとすぐに、他のファイアウォールルールは評価され
なくなります。ルールがトリガされない場合、パケットは自動的に遮断され、イベントはログ
に記録されません。
ファイアウォールルールは、ネットワーク接続を許可または遮断する条件を表します。たと
えば、ルールでリモートポート 80 と IP アドレス 192.58.74.0 間のネットワークトラフィック
を毎日午前 9 時から午後 5 時の間許可することができます。
表 5-7 に、ファイアウォールルールを定義するときの基準を示します。
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールルールの要素
表 5-7
ファイアウォールルールの条件
条件
説明
トリガ
ファイアウォールルールのトリガは次のとおりです。
アプリケーション
トラフィックを許可するルールで、アプリケーションのみをトリガに定義した
場合、ファイアウォールはアプリケーションにネットワーク操作の実行を許
可します。重要なのはアプリケーション自体でありアプリケーションが実行
するネットワーク操作ではありません。たとえば、Internet Explorer を許可
し、その他のトリガを定義しない場合を考えます。ユーザーは HTTP、
HTTPS、FTP、Gopher、Web ブラウザがサポートするその他の任意のプ
ロトコルを使うリモートサイトにアクセスできます。管理者は追加のトリガを定
義して通信を許可する特定のネットワークプロトコルとホストを記述できま
す。
■ ホスト
ローカルホストは常にローカルのクライアントコンピュータであり、リモートホ
ストは常にネットワーク上の別の場所に配置されたリモートコンピュータで
す。このホストの関係の記述は、トラフィックの方向と無関係です。ホストの
トリガを定義するとき、記述するネットワーク接続のリモート側のホストを指
定します。
■ プロトコル
プロトコルトリガには、記述するトラフィックに対して意味のある 1 つ以上の
ネットワークプロトコルを指定します。
ローカルホストコンピュータには常にローカルポートがあり、リモートコン
ピュータには常にリモートポートがあります。このポートの関係の記述は、
トラフィックの方向と無関係です。
■ ネットワークアダプタ
ネットワークアダプタトリガを定義すると、ルールは指定した種類のアダプ
タを使用して送受信されたトラフィックのみに適用されます。任意のアダプ
タ、または現在クライアントコンピュータに関連付けられているアダプタを指
定できます。
■
複数のトリガ定義を組み合わせてより複雑なルール（たとえば特定の送信先ア
ドレスに関して特定のプロトコルを識別するルール）を作成できます。ファイア
ウォールがルールを評価するときに、ルールを適用するためにはすべてのトリ
ガが true になる必要があります。現在のパケットに関していずれかのトリガが
true でない場合、ファイアウォールはルールを適用できません。
条件
スケジュールとスクリーンセーバーの状態。
条件パラメータはネットワーク接続に関するパラメータではありません。条件パ
ラメータは、ルールがアクティブな状態を決定します。条件パラメータは省略
可能で、定義しなくてもかまいません。スケジュールを設定したり、ルールをア
クティブまたは非アクティブと見なすスクリーンセーバーの状態を指定します。
パケットを受信したときに、ファイアウォールは非アクティブなルールを評価し
ません。
117
118
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールルールの設定
条件
説明
処理
許可するか遮断するか、ログに記録するかしないか。
処理パラメータはファイアウォールが正常にルールと一致した場合に行う処理
を指定します。受信したパケットに応じてルールが選択される場合、ファイア
ウォールはすべての処理を実行します。ファイアウォールがパケットを許可す
るか遮断するか、またログに記録するかしないかを指定します。
ファイアウォールがトラフィックを許可する場合、ルールで指定されたトラフィッ
クはネットワークにアクセスできます。
ファイアウォールがトラフィックを遮断する場合、ルールで指定されたトラフィッ
クは遮断され、ネットワークにアクセスできません。
p.115 の「ファイアウォールでのステートフルインスペクションの使い方」を参照してくださ
い。
p.119 の「ファイアウォールルールの追加」を参照してください。
p.112 の「クライアントのファイアウォールルールについて」を参照してください。
ファイアウォールルールの設定
表 5-8 では、新しいファイアウォールルールを設定する方法を説明します。
ファイアウォールルールを設定する方法
表 5-8
手順
タスク
説明
1
新しいファイア
ウォールルール
を追加する
Symantec Endpoint Protection はデフォルトのファイアウォールルー
ルとともにインストールされます。ただし、独自のルールを作成できま
す。
p.119 の「ファイアウォールルールの追加」を参照してください。
ファイアウォールルールを追加できるもう 1 つの方法は、別のファイア
ウォールポリシーから既存のファイアウォールルールをエクスポートす
ることです。その後はファイアウォールルールと設定をインポートできる
ので、それらを再作成する必要がありません。
p.119 の「ファイアウォールルールのエクスポートとインポート」を参照
してください。
2
（省略可能）ファ新しいルールを作成した後、またはデフォルトのルールをカスタマイズ
イアウォール
する場合は、ファイアウォールルールの任意の基準を修正できます。
ルールの基準を
p.116 の「ファイアウォールルールの要素」を参照してください。
カスタマイズしま
す。
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールルールの設定
p.112 の「クライアントのファイアウォールルールについて」を参照してください。
p.120 の「ファイアウォールルールの有効化と無効化」を参照してください。
ファイアウォールルールの追加
ファイアウォールルールを追加するときに、ルールの効果を決定する必要があります。た
とえば、特定の送信元からのトラフィックをすべて許可したり、Web サイトからの UDP パ
ケットを遮断することができます。
ファイアウォールルールは、作成したときに自動的に有効になります。
ファイアウォールルールを追加するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ファイアウォールルールの設定］の
順に選択します。
3
［ファイアウォールルールの設定］ダイアログボックスで、［追加］をクリックします。
4
［全般］タブにルールの名前を入力し、［このトラフィックを遮断する］または［このトラ
フィックを許可する］をクリックします。
5
ルールのトリガを定義するには、各タブをクリックし、必要に応じて設定します。
6
ルールをアクティブまたは非アクティブにする期間を定義するには、［スケジュール］
タブで［スケジュールを有効にする］をクリックして、スケジュールを設定します。
7
変更が終わったら、［OK］をクリックします。
8
［OK］をクリックします。
p.116 の「ファイアウォールルールの要素」を参照してください。
p.120 の「ファイアウォールルールの有効化と無効化」を参照してください。
p.118 の「ファイアウォールルールの設定」を参照してください。
ファイアウォールルールのエクスポートとインポート
他のクライアントとルールを共有することで、ルールを作成し直す必要がなくなります。別
のコンピュータとの間でルールをエクスポートしたりインポートしたりできます。インポート
したルールは、ファイアウォールルールリストの一番下に追加されます。インポートした
ルールが既存のルールと同一である場合でも、インポートしたルールは既存のルールを
上書きしません。
エクスポートしたルールとインポートしたルールは、.sar ファイルに保存されます。
119
120
第 5 章ファイアウォールと侵入防止の管理
ファイアウォールルールの設定
ファイアウォールルールをエクスポートするには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ファイアウォールルールの設定］の
順に選択します。
3
［ファイアウォールルールの設定］ダイアログボックスで、エクスポートするルールを選
択します。
4
ルールを右クリックし、［選択したルールのエクスポート］をクリックします。
5
［エクスポート］ダイアログボックスでファイル名を入力し、［保存］をクリックします。
6
［OK］をクリックします。
ファイアウォールルールをインポートするには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ファイアウォールルールの設定］の
順に選択します。
3
［ファイアウォールルールの設定］ダイアログボックスで、ファイアウォールルールリス
トを右クリックし、［ルールのインポート］をクリックします。
4
［インポート］ダイアログボックスで、インポートするルールを含む .sar ファイルを選択
します。
5
［開く］をクリックします。
6
［OK］をクリックします。
p.119 の「ファイアウォールルールの追加」を参照してください。
ファイアウォールルールの有効化と無効化
ファイアウォールがルールを処理できるように、ルールを有効化する必要があります。ファ
イアウォールルールは、追加したときに自動的に有効化されます。
コンピュータまたはアプリケーションに対する特定のアクセスを許可する必要がある場合
はファイアウォールルールを無効にできます。
ファイアウォールルールを有効または無効にするには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［ネットワーク脅威防止］の隣で、［オプション］、［ファイアウォールルールの設定］の
順に選択します。
3
［ファイアウォールルールの設定］ダイアログボックスで、有効にするルールの［ルー
ル名］列の隣にあるチェックボックスにチェックマークを付けます。または、無効にす
るルールのチェックマークをはずします。
4
［OK］をクリックします。
第 5 章ファイアウォールと侵入防止の管理
侵入防止の管理
p.119 の「ファイアウォールルールの追加」を参照してください。
侵入防止の管理
ネットワーク脅威防止の一部として侵入防止を管理します。
表 5-9
侵入防止の管理
操作
説明
侵入防止について学習する
侵入防止がネットワーク攻撃とブラウザ攻撃を検出し
て遮断する方法を学習します。
p.122 の「侵入防止の動作」を参照してください。
最新の IPS シグネチャのダウンロード
デフォルトでは、最新のシグネチャはクライアントにダ
ウンロードされます。ただし、シグネチャをすぐにダウ
ンロードする場合もあります。
p.29 の「コンピュータの保護の更新」を参照してくだ
さい。
ネットワークの侵入防止またはブラウザの
侵入防止の有効化または無効化
トラブルシューティングを行う目的で、またはクライアン
トコンピュータが過度の誤認を検出した場合に、侵入
防止を無効にしたい場合があります。通常は侵入防
止を無効にしないでください。
次の種類の侵入防止の有効と無効を切り替えることが
できます。
■
ネットワーク侵入防止
■
ブラウザ侵入防止
p.122 の「侵入防止の有効化または無効化」を参照し
てください。
ネットワーク脅威防止の有効と無効を切り替えるとき
に、侵入防止の有効と無効を切り替えることもできま
す。
p.36 の「保護の有効化と無効化について」を参照し
てください。
侵入防止の通知を設定する
Symantec Endpoint Protection がネットワークまた
はブラウザの侵入を検出したときに表示される通知を
設定できます。
p.123 の「侵入防止の通知の設定」を参照してくださ
い。
121
122
第 5 章ファイアウォールと侵入防止の管理
侵入防止の動作
侵入防止の動作
侵入防止はネットワーク脅威防止の一部です。
侵入防止は、ネットワーク攻撃とブラウザに対する攻撃を自動的に検出して遮断します。
侵入防止はクライアントコンピュータを保護するための、ファイアウォールの次にある第 2
の防衛層です。侵入防止は侵入防止システム（IPS）と呼ばれる場合もあります。
p.121 の「侵入防止の管理」を参照してください。
侵入防止はネットワーク層でデータを傍受します。侵入防止はシグネチャを使い、パケッ
トまたはパケットのストリームをスキャンします。ネットワーク攻撃またはブラウザ攻撃に対
応するパターンを検索することで、各パケットを個別にスキャンします。侵入防止はシグネ
チャを使って、オペレーティングシステムコンポーネントとアプリケーション層に対する攻
撃を検出します。
侵入防止では、2 種類の保護が用意されています。
ネットワーク侵入防止
ネットワーク侵入防止は、シグネチャを使ってクライアントコ
ンピュータに対する攻撃を識別します。既知の攻撃の場合、
侵入防止はシグネチャと一致するパケットを自動的に破棄
します。
クライアントでカスタムシグネチャを作成することはできませ
ん。しかし、ユーザーまたは管理者が Symantec Endpoint
Protection Manager で作成したカスタムシグネチャをイン
ポートできます。
ブラウザ侵入防止
ブラウザ侵入防止は Internet Explorer と Firefox に対す
る攻撃を監視します。ブラウザ侵入防止は、それら以外の
ブラウザではサポートされません。
この種類の侵入防止は、攻撃シグネチャに加えてヒューリス
ティックを使い、ブラウザに対する攻撃を識別します。
ブラウザを終了するよう侵入防止からクライアントに要求が
行われるブラウザ攻撃もあります。クライアントコンピュータ
に通知が表示されます。
侵入防止の有効化または無効化
一般的に、侵入防止を無効にすると、コンピュータの安全性は低下します。ただし、誤認
を回避したり、コンピュータのトラブルシューティングのために、これらの設定を無効にす
る場合もあります。
Symantec Endpoint Protection は侵入の試みとイベントをセキュリティログに記録しま
す。また、管理者によって設定されている場合は、侵入イベントをパケットログに記録する
こともあります。
第 5 章ファイアウォールと侵入防止の管理
侵入防止の通知の設定
p.121 の「侵入防止の管理」を参照してください。
p.43 の「ログの表示」を参照してください。
次の 2 種類の侵入防止の有効と無効を切り替えることができます。
■
ネットワーク侵入防止
■
ブラウザ侵入防止
メモ: 管理者がこれらのオプションを利用できないように設定している場合もあります。
p.36 の「保護の有効化と無効化について」を参照してください。
侵入防止の設定を有効または無効にするには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ネットワーク脅威防止］の隣にある［オプションの設定］をクリックします。
3
［侵入防止］タブで、次のどちらかの設定にチェックマークを付けるかチェックマーク
をはずします。
■
ネットワーク侵入防止を有効にする
■
ブラウザ侵入防止を有効にする
設定について詳しくは［ヘルプ］をクリックしてください。
4
［OK］をクリックします。
侵入防止の通知の設定
クライアントがコンピュータに対するネットワーク攻撃を検出したときや、アプリケーション
によるアクセスを遮断したときに、通知を表示するように設定できます。これらの通知を表
示する時間や、音声による通知を行うかどうかを設定できます。
侵入防止の通知を表示するには、侵入防止システムを有効にする必要があります。
メモ: 管理者がこれらのオプションを利用できないように設定している場合もあります。
p.121 の「侵入防止の管理」を参照してください。
侵入防止通知を設定するには
1
クライアントのサイドバーで、［設定の変更］をクリックします。
2
［ネットワーク脅威防止］の隣にある［オプションの設定］をクリックします。
3
［ネットワーク脅威防止の設定］ダイアログボックスで、［通知］をクリックします。
4
［侵入防止通知を表示する］にチェックマークを付けます。
123
124
第 5 章ファイアウォールと侵入防止の管理
侵入防止の通知の設定
5
通知を表示するときに警告音を鳴らすには、［ユーザーに通知するときにサウンドを
使う］にチェックマークを付けます。
6
［OK］をクリックします。
6
Symantec Network Access
Control の管理
この章では以下の項目について説明しています。
■
Symantec Network Access Control の仕組み
■
クライアントがエンフォーサと連携する方法
■
ホストインテグリティ検査の実行
■
コンピュータの修復
■
802.1x 認証向けのクライアントの設定
■
Symantec Network Access Control ログの表示
Symantec Network Access Control の仕組み
Symantec Network Access Control クライアントは、ネットワークに接続しようとするコン
ピュータのポリシーコンプライアンスの有効性を確認し、実施します。この確認と実施のプ
ロセスは、コンピュータがネットワークに接続する以前から開始され、接続中も継続されま
す。ホストインテグリティポリシーは、評価と処理のすべての基礎となるセキュリティポリシー
です。ホストインテグリティはセキュリティコンプライアンスとも呼ばれます。
表 6-1 に、クライアントコンピュータのポリシーコンプライアンスを実施するために Network
Access Control で行われる処理を示します。
126
第 6 章 Symantec Network Access Control の管理
Symantec Network Access Control の仕組み
表 6-1
Symantec Network Access Control の動作方法
処理
説明
クライアントは継続的に、それ自ユーザーがクライアントコンピュータをオンにします。クライアント
体のコンプライアンスを評価しまはホストインテグリティ検査を実行し、管理サーバーからダウン
す。
ロードしたホストインテグリティポリシーとコンピュータの設定を比
較します。
ホストインテグリティ検査は、ウイルス対策ソフトウェア、パッチ、
ホットフィックス、その他のセキュリティ要件に関して、コンピュー
タがホストインテグリティポリシーに従っているかどうかを評価しま
す。たとえば、ポリシーは、ウイルス定義の最新更新日、およびオ
ペレーティングシステムに適用されている最新パッチを確認でき
ます。
Symantec Enforcer はクライア
ントコンピュータを認証し、コン
ピュータにネットワークへのアク
セスを許可するか、非準拠コン
ピュータを遮断して検疫します。
コンピュータがすべてのポリシー要件を満たしている場合、ホスト
インテグリティ検査は成功します。エンフォーサは、ホストインテグ
リティ検査に成功したコンピュータに、ネットワークへのフルアクセ
スを許可します。
コンピュータがポリシー要件を満たしていない場合、ホストインテ
グリティ検査は失敗します。ホストインテグリティ検査が失敗したと
きは、ユーザーがコンピュータを修復するまで、クライアントまた
は Symantec Enforcer はそのコンピュータを遮断するか、検疫
します。検疫済みコンピュータは、ネットワークへのアクセスを制
限されているか許可されていません。
p.127 の「クライアントがエンフォーサと連携する方法」を参照して
ください。
特定の要件を満たしていない場ホストインテグリティ検査に成功するたびに、クライアントが通知を
合でもホストインテグリティ検査表示することがあります。
が成功するように、管理者がポ
p.15 の「警告と通知の種類」を参照してください。
リシーを設定していることがあり
ます。
クライアントは、非準拠コン
ピュータを修復します。
ホストインテグリティポリシーの要件が満たされていないことを検
出すると、クライアントは必要なソフトウェアをインストールするか、
またはユーザーにインストールを要求します。修復されたコン
ピュータは、再度ネットワークにアクセスしようとします。コンピュー
タが完全に準拠していれば、ネットワークはコンピュータのネット
ワークアクセスを認可します。
p.128 の「コンピュータの修復」を参照してください。
クライアントはコンプライアンスクライアントは、クライアントコンピュータすべてについて、コンプ
をプロアクティブに監視します。ライアンス状態をアクティブに監視します。コンピュータのコンプ
ライアンス状態が変化する場合はいつでも、コンピュータのネット
ワークアクセス権も変化します。
第 6 章 Symantec Network Access Control の管理
クライアントがエンフォーサと連携する方法
ホストインテグリティ検査の結果の詳細は、セキュリティログログで確認できます。
クライアントがエンフォーサと連携する方法
クライアントは Symantec Enforcer と相互作用します。エンフォーサは、保護するネット
ワークに接続するコンピュータすべてが、確実にクライアントソフトウェアを実行し、正しい
セキュリティポリシーを有するようにします。
p.125 の「Symantec Network Access Control の仕組み」を参照してください。
エンフォーサは、クライアントコンピュータにネットワークアクセスを許可する前に、ユー
ザーまたはクライアントコンピュータを認証する必要があります。Symantec Network
Access Control は、いくつかの種類のエンフォーサと共に動作して、クライアントコン
ピュータを認証します。Symantec Enforcer は、コンピュータにネットワークへのアクセス
を許可する前に、ホストインテグリティの結果とクライアントコンピュータの ID 情報を検証
するネットワークハードウェア機器です。
エンフォーサは、クライアントにネットワークアクセスを許可する前に、次の情報を確認し
ます。
■
コンピュータが実行するクライアントソフトウェアのバージョン。
■
クライアントに一意の識別子（UID）があること。
■
クライアントのホストインテグリティポリシーが最新のものに更新されていること。
■
クライアントコンピュータがホストインテグリティ検査に成功していること。
p.128 の「802.1x 認証向けのクライアントの設定」を参照してください。
ホストインテグリティ検査の実行
クライアントがホストインテグリティ検査を実行する頻度は、管理者が設定します。次の検
査を待たずにホストインテグリティ検査をすぐに実行する必要がある場合もあります。たと
えば、ホストインテグリティ検査に失敗したことにより、コンピュータのウイルス防止シグネ
チャを更新する必要がある場合などです。クライアントでは必要なソフトウェアをすぐにダ
ウンロードするか、またはダウンロードを延期するかを選択できます。ソフトウェアをすぐに
ダウンロードする場合は、ホストインテグリティ検査を再度実行して、正しいソフトウェアを
入手したことを確認する必要があります。次回のホストインテグリティ検査が実行されるま
で待つか、検査をすぐに実行することもできます。
127
128
第 6 章 Symantec Network Access Control の管理
コンピュータの修復
ホストインテグリティ検査を実行するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［Symantec Network Access Control］の隣で、［オプション］、［コンプライアンスの
確認］の順に選択します。
3
ホストインテグリティ検査が実行されたことを示すメッセージが表示されたら、［OK］を
クリックします。
ネットワークアクセスが遮断された場合、コンピュータを更新してセキュリティポリシー
に準拠させた後にネットワークアクセス権限を再取得してください。
コンピュータの修復
ホストインテグリティポリシーの要件が満たされていないことを検出すると、クライアントは
次のいずれかの方法で対応します。
■
クライアントはソフトウェア更新を自動的にダウンロードします。
■
クライアントは、必要なソフトウェア更新をダウンロードするように要求するメッセージを
表示します。
コンピュータを修復するには
◆
表示された Symantec Endpoint Protection のダイアログボックスで、次のいずれ
かの操作をします。
■
コンピュータが満たしていないセキュリティの必要条件を確認するには、［詳細］
をクリックします。
■
ソフトウェアをすぐにインストールするには、［今すぐに復元］をクリックします。
インストールを開始後にキャンセルするオプションが表示される場合と表示され
ない場合があります。
■
ソフトウェアのインストールを延期するには、［後で通知する］をクリックして、ドロッ
プダウンリストから時間間隔を選択します。
管理者は、ユーザーがインストールを延期する最大回数を設定できます。
802.1x 認証向けのクライアントの設定
社内ネットワークで認証に LAN エンフォーサを使用する場合、802.1x 認証を実行する
ようにクライアントコンピュータを設定する必要があります。ユーザーまたは管理者がクラ
イアントを設定できます。管理者がユーザーに 802.1x 認証を設定する許可を与えてい
ない場合もあります。
802.1x 認証プロセスには、次のステップがあります。
第 6 章 Symantec Network Access Control の管理
802.1x 認証向けのクライアントの設定
■
未認証のクライアントまたは他社製サプリカントが、ユーザー情報とコンプライアンス
情報を管理下 802.1x ネットワークスイッチに送信します。
■
ネットワークスイッチが、それらの情報を LAN エンフォーサに中継します。認証のた
めに、LAN エンフォーサがユーザー情報を認証サーバーに送信します。RADIUS
サーバーが認証サーバーです。
■
クライアントがユーザーレベルの認証に失敗するか、またはホストインテグリティポリ
シーに従っていない場合、エンフォーサはネットワークアクセスを遮断することがあり
ます。エンフォーサは、非準拠のクライアントコンピュータを修復可能な検疫ネットワー
クに入れます。
■
クライアントがコンピュータを修復し、準拠させると、802.1x プロトコルがコンピュータ
を再認証し、ネットワークへのアクセス許可を与えます。
LAN エンフォーサと連携して働くためには、クライアントは他社製または組み込みのサプ
リカントを使用する必要があります。
表 6-2 に、802.1x 認証用に設定可能なオプションの種類を示します。
表 6-2
802.1x 認証オプション
オプション
説明
他社製サプリカント
他社製の 802.1x サプリカントを使います。
LAN エンフォーサは RADIUS サーバーおよび他社製の 802.1x
サプリカントと連携して、ユーザー認証を行います。802.1x サプリ
カントはユーザーに対して、ユーザー情報を求めます。LAN エン
フォーサは、ユーザーレベルの認証のために、そのユーザー情報
を RADIUS サーバーに渡します。クライアントがクライアントプロ
ファイルとホストインテグリティの状態をエンフォーサに送信するこ
とで、エンフォーサがそのコンピュータを認証します。
メモ: Symantec Network Access Control クライアントを他社製
サプリカントと一緒に使う場合、Symantec Endpoint Protection
クライアントのネットワーク脅威防止モジュールをインストールして
おく必要があります。
129
130
第 6 章 Symantec Network Access Control の管理
802.1x 認証向けのクライアントの設定
オプション
説明
透過モード
クライアントを 802.1x サプリカントとして使います。
管理者がユーザー認証に RADIUS サーバーを使用しないことに
決めた場合、ユーザーはこの方法を使用します。LAN エンフォー
サは透過モードで動作し、擬似 RADIUS サーバーとして動作しま
す。
透過モードとは、サプリカントからユーザー情報を要求されないこ
とを意味します。透過モードでは、クライアントが 802.1x サプリカ
ントとして機能します。クライアントは、スイッチの EAP チャレンジに
応答して、クライアントプロファイルとホストインテグリティ状態を渡
します。スイッチはこの情報を LAN エンフォーサに転送し、LAN
エンフォーサは疑似 RADIUS サーバーとして機能します。LAN
エンフォーサはスイッチから受信したホストインテグリティとクライア
ントプロファイルの情報の有効性を確認して、VLAN の許可、遮
断、動的割り当てを行うことができます。
メモ: クライアントを 802.1x サプリカントとして使うには、他社製の
802.1x サプリカントをクライアントコンピュータからアンインストール
するか、無効にする必要があります。
組み込みサプリカント
クライアントコンピュータの組み込み 802.1x サプリカントを使いま
す。
組み込み認証プロトコルには、スマートカード、PEAP、TLS などが
あります。802.1x 認証を有効にした後、使用する認証プロトコルを
指定する必要があります。
警告: 802.1x 認証用にクライアントを設定する前に、管理者に連絡してください。社内ネッ
トワークで認証サーバーとして RADIUS サーバーを使っているかどうかを確認する必要
があります。802.1x 認証を正しく設定しないと、ネットワークへの接続が途絶えることがあ
ります。
他社製サプリカントを使うようにクライアントを設定するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［Symantec Network Access Control］の隣で、［オプション］、［設定の変更］、
［802.1x の設定］の順に選択します。
第 6 章 Symantec Network Access Control の管理
802.1x 認証向けのクライアントの設定
3
［Symantec Network Access Control の設定］ダイアログボックスで、［802.1x 認
証を有効にする］をクリックします。
4
［OK］をクリックします。
また、ユーザーは、ネットワークへの他社製の 802.1x サプリカントドライバの適用を
許可するようにファイアウォールルールを設定する必要もあります。
p.119 の「ファイアウォールルールの追加」を参照してください。
組み込みサプリカントを使うようにクライアントを設定できます。クライアントを 802.1x
認証向けに有効にし、802.1x サプリカントとしても有効にします。
透過モードまたは組み込みサプリカントを使用するようにクライアントを設定するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
［Symantec Network Access Control］の隣で、［オプション］、［設定の変更］、
［802.1x の設定］の順に選択します。
3
［Symantec Network Access Control の設定］ダイアログボックスで、［802.1x 認
証を有効にする］をクリックします。
4
［クライアントを 802.1x サプリカントとして使う］をクリックします。
5
次のいずれかの操作を実行します。
6
■
透過モードを選択するには、［シマンテック透過モードを使う］にチェックマークを
付けます。
■
組み込みサプリカントを設定するために、［認証プロトコルを選択できます］をク
リックします。
次に、ネットワーク接続用の認証プロトコルを選択する必要があります。
［OK］をクリックします。
認証プロトコルを選択するには
1
クライアントコンピュータで、［スタート］、［コントロールパネル］、［ネットワーク接続］の
順に選択し、［ローカルエリア接続］をクリックします。
メモ: これらの手順は Windows XP を実行するコンピュータ向けに記述されていま
す。実際の手順は異なる場合があります。
2
［ローカルエリア接続の状態］ダイアログボックスで、［プロパティ］をクリックします。
3
［ローカルエリア接続のプロパティ］ダイアログボックスで、［認証］タブをクリックしま
す。
4
［認証］タブで、［EPA の種類］ドロップダウンリストをクリックし、次のいずれかの認証
プロトコルを選択します。
131
132
第 6 章 Symantec Network Access Control の管理
802.1x 認証向けのクライアントの設定
■
スマートカードまたはその他の証明書
■
保護された EAP（PEAP）
■
シマンテック NAC 透過モード
［このネットワークで IEEE 802.1X を有効にする］チェックボックスにチェックマークが
付いていることを確認します。
5
［OK］をクリックします。
6
［閉じる］をクリックします。
コンピュータの再認証
ホストインテグリティ検査に成功したコンピュータをエンフォーサが遮断している場合、そ
のコンピュータの再認証が必要な場合があります。通常の場合、ユーザーがコンピュータ
を再認証する必要はありません。
次のいずれかのイベントが発生すると、エンフォーサがコンピュータを遮断することがあり
ます。
■
ユーザー名またはパスワードの入力が正しくないために、クライアントコンピュータが
ユーザー認証に失敗した場合
■
クライアントコンピュータが誤った VLAN に入っている場合
■
クライアントコンピュータがネットワーク接続を確立しなかった場合。ネットワーク接続
が確立されない主な原因は、クライアントコンピュータと LAN エンフォーサとの間のス
イッチがユーザー名とパスワードを認証しなかったことです。
■
前のユーザーを認証したクライアントコンピュータにログオンする場合
■
クライアントコンピュータがコンプライアンス検査に失敗した場合。
ユーザーまたは管理者が組み込みサプリカントを使用してコンピュータを設定した場合
にのみ、コンピュータを再認証できます。
メモ: 管理者が、［再認証］コマンドを表示しないようにクライアントを設定していることがあ
ります。
コンピュータを再認証するには
1
通知領域アイコンを右クリックします。
2
［再認証］をクリックします。
3
［再認証］ダイアログボックスで、ユーザー名とパスワードを入力します。
4
［OK］をクリックします。
第 6 章 Symantec Network Access Control の管理
Symantec Network Access Control ログの表示
Symantec Network Access Control ログの表示
Symantec Network Access Control クライアントは動作とホストインテグリティ検査の結
果をさまざまな角度から監視するために次のログを使います。
セキュリティ
ホストインテグリティ検査の結果と状態を記録します。
システム
管理サーバへの接続、クライアントのセキュリティポリシーの更新など、クライ
アントの動作の変化をすべて記録します。
管理下クライアントを使う場合は、両方のログがサーバーに定期的にアップロードされる
ことがあります。管理者はネットワークの全体的なセキュリティの状態を分析するためにロ
グのコンテンツを使うことができます。
これらのログからログデータをエクスポートできます。
Symantec Network Access Control のログを表示するには
1
クライアントのサイドバーで、［状態］をクリックします。
2
セキュリティログを表示するには、［Symantec Network Access Control］の隣で、
［オプション］、［ログの表示］の順に選択します。
3
［セキュリティログ］で、一番上のログエントリを選択します。
左下に、ホストインテグリティ検査の結果が表示されます。クライアントがすでにイン
ストールされている場合、事前定義済みのファイアウォールの必要条件を満たして
います。クライアントがインストールされていない場合、事前定義済みのファイアウォー
ルの必要条件を満たしていませんが満たしているとして報告されます。
4
セキュリティログを表示するには、［セキュリティログ - Symantec Network Access
Control ログ］ダイアログボックスで、［表示］、［システムログ］の順に選択します。
5
［ファイル］、［終了］の順に選択します。
p.40 の「ログについて」を参照してください。
133
134
第 6 章 Symantec Network Access Control の管理
Symantec Network Access Control ログの表示
索引
記号
N
64 ビットコンピュータ 13
802.1x 認証
概要 128
設定 130
［脅威のスキャン］ページ 10
［検疫の表示］ページ 11
［状態］ページ 10
警告アイコン 11
トラブルシューティング 9
［設定の変更］ページ 10
NetBIOS の保護
有効化 96
A
Auto-Protect
Lotus Notes 用 58
Microsoft Outlook 56
インターネット電子メール用 56
グループウェア電子メールクライアント 56
ダウンロードインサイト 36
ファイルシステム 38
有効化または無効化 36、38
I
Insight 62
Insight ルックアップ
信頼できるイントラネットサイト 70
IPS
概要 92
定義の更新 29
L
LiveUpdate
概要 29
コマンド 11
すぐに実行 30
スケジュールの作成 30
M
MAC 詐称対策
有効化 96
S
SONAR
概要 8、88
管理 87
検出について 89
設定の変更 89
ログ 41
W
Web ドメイン
スキャンからの除外 77
Windows サービス
表示 111
Windows セキュリティセンター
ウイルス対策状態の確認 86
ファイアウォール状態の確認 86
あ
アイコン
錠前 35
シールド 31
［状態］ページ 11
アクティブスキャン
実行 64
アクティブレスポンス
概要 104
アドウェア 60
アプリケーション 107
許可または遮断 109、119
スキャンからの除外 77
インターネットボット 60
ウイルス 60
感染ファイルからの削除 20
クライアントの応答 55
クライアントの検出 53
検出時の処理の設定 72
136
索引
検出に対するクライアントの対応 61
認識されない 82
ウイルス対策とスパイウェア対策
概要 8
システムログ 41
ウイルス定義
概要 53
更新 29～30
ウイルスのクリーニング 18、61
ウイルスの検疫 18
ウイルスの削除 18
エンフォースメント
概要 127
オプション
利用不能 34
オンデマンドスキャン
作成 66
実行 12
か
改変対策
設定 40
無効化 37
有効化と無効化 40
改変対策ログ 42
カスタムスキャン
実行 64
完全スキャン
実行 64
感染ファイル
対応 17
管理外クライアント
概要 33
確認 35
保護の管理 28
管理下クライアント
概要 33
確認 35
保護の管理 28
起動時スキャン
作成 66
脅威
複合型 60
脅威ログ 41
クライアント
管理下と管理外 33、35
コンピュータを保護する方法 27
保護の無効化 36
警告
アイコン 11
応答 15
検疫
感染ファイルの表示 81
シマンテックセキュリティレスポンスへのファイルの提
出 82
手動でのファイルの検疫 81
ファイルの移動 81
ファイルの管理 79
ファイルの削除 82
攻撃側コンピュータの遮断 104
攻撃側コンピュータの遮断解除 104
更新
定義 29～30
コンピュータ
コンピュータを保護する方法 27
スキャン 48
保護の更新 29
さ
再認証 132
サーバー
管理下クライアント 34
接続先 31
システムトレーアイコン 31
システムログ
ウイルス対策とスパイウェア対策 41
クライアント管理 42
プロアクティブ脅威防止 41
シマンテックセキュリティレスポンス
ファイルの提出 82
ジョークプログラム 60
シールドアイコン 31
侵入防止。「IPS」を参照
管理 121
通知 123
動作 122
有効化または無効化 123
スキャン
一時停止 13
オンデマンドと起動 66
概要 55
管理 48
休止オプション 13
結果の解釈 17
検出に対する対応 18
項目の除外 77
実行 12
索引
修復処理 71
種類 55
スキャンするコンポーネント 53
設定の調整 71
遅延 13
通知処理 71
定時 63
動作 53
ユーザー定義 71
例外の設定 71
スキャン例外。「例外」を参照
スキャンログ 41
ファイルの検疫 81
スタンドアロンクライアント 33
ステートフルインスペクション 115
ステルスモードの Web 参照
有効化 96
スパイウェア 61
スマート DHCP 101
スマート DNS 101
スマート WINS 101
制御ログ 42
セキュリティ評価ツール 61
セキュリティリスク
クライアントの応答 55
クライアントの検出 53
検出時の処理の設定 72
検出に対するクライアントの対応 62
スキャンからの除外 77
セキュリティログ 42
設定
侵入防止 123
た
ダイヤラー 60
ダウンロードインサイト
Auto-Protect との相互作用 36
カスタマイズ 70
検出の管理 66
通知への応答 21
評価データ 62
通知
応答 15
侵入防止 123
ダウンロードインサイト 21
通知領域アイコン
概要 31
非表示と表示 33
定義
概要 53
更新 29～30
定時スキャン
作成 63
複数 64
提出 83～84
デバッグログ 42
電子メール
受信ボックスファイルをスキャンから除外 76
電子メールスキャン。「Auto-Protect」を参照
トークンリングトラフィック
有効化 96
ドライバレベルの保護
有効化 96
トラックウェア 61
トラフィック
許可または遮断 109
遮断 105
表示 111
トラフィックとステルスの設定 96
トラフィックの許可 109
ファイアウォールルール 119
メッセージへの応答 23
トラフィックの遮断 105、109
ファイアウォールルール 119
メッセージへの応答 23
トラフィックログ 42
トラブルシューティング
［状態］ページから 9
トロイの木馬 60
な
ネットワークアクセス制御
エンフォースメント 127
概要 8、125
コンピュータの修復 128
ネットワーク活動
表示 111
ネットワーク脅威防止
概要 8、92
管理 92
有効化または無効化 37～38
ログ 42
ネットワーク侵入防止
概要 122
137
138
索引
は
ま
パケットログ 42
有効化 43
ハッキングツール 60
評価データ 62
ファイアウォール
アプリケーション 107
管理 92
ステートフルインスペクション 115
設定 95
定義済み 92
有効化または無効化 38
ファイアウォールルール 114
インポート 119
エクスポート 119
概要 116
処理順
概要 113
変更 114
設定 118
追加 119
有効化と無効化 120
ファイル
共有 102
検出に対する処理 18
シマンテックセキュリティレスポンスへの提出 82
スキャンからの除外 77
ファイルとプリンタの共有 102
フォルダ
スキャンからの除外 77
複合型脅威 60
ブラウザ侵入防止
概要 122
プリンタの共有 102
プロアクティブ脅威防止
概要 8
有効化または無効化 37～38
ブロードキャストトラフィック
表示 111
ヘルプオプション 9
保護
更新 29～30
方法 27
有効化または無効化 36
保護者機能プログラム 61
ホストインテグリティ検査
実行 127
ボット 60
紛らわしいアプリケーション 61
マルウェア
検出時の処理の設定 72
右クリックからのスキャン 12
無効化
Auto-Protect 36、38
ネットワーク脅威防止 37～38
プロアクティブ脅威防止 37～38
メッセージ
応答 15、23～24
侵入防止 123
や
有効化
Auto-Protect 38
ネットワーク脅威防止 38
プロアクティブ脅威防止 38
ら
ライセンス
メッセージへの応答 23
リスク
感染ファイルからの削除 20
リスクログ 41
ファイルの検疫 81
リモートアクセスプログラム 61
ルートキット 60
例外
概要 76～77
作成 77
ログ
エクスポート形式 44～45
エントリの追跡 44
概要 40
データのエクスポート 44
ネットワークアクセス制御 133
パケットログの有効化 43
表示 43
フィルタ処理したログエントリのエクスポート 45
わ
ワーム 60

Download Report