Share via

  • [アーティクル]

Forefront Protection Manager

Forefront Protection Manager で Forefront Security を管理する

Chris Sfanos

 

概要:

  • Forefront Protection Manager コンソールでグループとポリシーを管理する
  • 警告とタスクを使用してセキュリティ イベントを検出して対処する
  • 監視とレポート作成でセキュリティ状態を確認する
  • Operations Manager 2007 R2 との統合

目次

はじめに
ポリシーの作成
Forefront Client Security のポリシー
警告とタスク
監視
FPM と Operations Manager
FPM と Windows PowerShell
効率的な管理

次世代の Forefront Security 製品は、Forefront Protection Manager (FPM) という 1 つのコンソールで管理できるようになります。FPM (コード名 Stirling) を使用すると、Forefront Client Security (FCS)、Forefront Server Security for Exchange (FSE)、および Forefront Server Security for SharePoint (FSSP) を一元管理できます。Forefront の Threat Management Gateway (TMG) は、Security Assessment Sharing (SAS) システム経由で FPM に接続します。SAS は、マイクロソフトのアプリケーションとサード パーティー製アプリケーションのどちらについても、評価 (資産の状態の分析) を行えるようにするシステムです。SAS については、いずれ別の記事で詳しく説明します。この記事では、いくつかの FPM コンソールの機能について見ていきます。FPM の管理者が、グループ化と統一したポリシーの作成により、クライアントとサーバーを簡単に管理できる方法について詳しく説明します。また、タスク システムと警告 システムによって日常的な管理が、どのように簡略化され、すべての包括的なセキュリティ情報がコンソールの Monitoring (監視) ビューと Reporting (報告) ビューにどのように表示されるかについても説明します。

はじめに

FPM のインフラストラクチャ (SQL Server 2005 または 2008、Operations Manager 2007 R2 を含む) を展開したら、さまざまな規模の組織をサポートするようにデザインされた多様な構成を使用して、サーバーを展開できます。小規模な展開では、1 台のサーバーに FPM の役割をすべて展開できます。既存の SQL Server または Operations Manager の展開を利用する大規模な展開を行う場合は、複数のサーバーに役割を分散して、企業の拡張要件を満たすこともできます。

ポリシーの作成

FPM をインストールすると、FCS、FSE および FSSP のグループとポリシーは、FPM コンソールですべて管理できるようになります。Assets and Groups (資産とグループ) ノードでは、社内のユーザーとコンピューターおよび FPM で新しい資産を検出するのに使用する社内ソースの一覧を管理しています。FPM を使用すると、管理者は、Active Directory のメンバーシップ、サーバーの役割、オペレーティング システム、その他の値に基づいて、コンピューターとユーザーをグループ化できます。また、Operations Manager 2007 R2 データベースで新しいコンピューターを検出し、Active Directory で新しいユーザーを検出することが可能です。

図 1 は、FPM コンソールの Policies (ポリシー) ノードを Computer Policies (コンピューター ポリシー) でフィルター選択した状態です。中央のペインには、現在使用できるポリシーの一覧が表示されます。特に構成を変更しない限り、これらのポリシーでは、既定値が設定されており、FCS、FSE、FSSP、TMG、ネットワーク アクセス保護ポリシーなどが表示されます。たとえば、Exchange Server の FCS ポリシーは、最適なパフォーマンスを得るために、Exchange Server チームが推奨するディレクトリとファイル形式を除外するように構成されています。FPM には、ポリシーをインポートする機能があるため、後から別のポリシーを追加して、ドメイン コントローラーなどの他のサーバーの役割を適切に構成することができます。

sfanos.fig1.new.gif

図 1 Forefront Protection Manager コンソールで表示される既定のコンピューター ポリシー (クリックすると拡大画像が表示されます)

右側の Actions (操作) ペインでは、ポリシーをインポートしたり、Create New Policy (新規ポリシーの作成) ウィザードを使用して新しいポリシーを作成したりすることができます。このウィザードでは、適切なポリシー コンポーネントを選択する手順や、ポリシー ドキュメントを生成する手順を管理者に提示します。

FPM は、複数の保護テクノロジの設定を含むポリシーを作成できるという点で、他のセキュリティ製品と一線を画しています。Create New Policy (新規ポリシーの作成) ウィザードを使用すると、FCS の設定と FSE の設定の両方を含む新しいポリシーを構成できます。そのため、わざわざ個別のポリシーを作成することなく、(FCS の設定で) 一連のサーバーのオペレーティング システムと (FSE の設定で) アプリケーションの両方を保護できます。つまり、1 つのポリシーの設定を編集するだけで、貴重な資産を保護するために必要な設定を簡単に構成することができます。

FPM には柔軟なバインディング スタックがあり、社内で展開しているすべてのポリシーに優先順位を定義できます。FPM の既定のポリシーは、スタックの最下位に存在し、展開に必要な基本設定が含まれています。さまざまなグループ向けの設定を追加で定義すると、ポリシーがスタックに追加されます。たとえば、デスクトップ ユーザーを対象にしたマルウェア対策スキャンのスケジュールを設定するポリシーや経営陣を対象にしたカスタム ビジネス アプリケーション用にファイアウォールのポートを開くポリシーを追加できます。ポリシーがスタックに追加されたら、ポリシーを適用する優先順位を定義できます。

管理者は、各資産の Resultant Set of Policy (RSoP、ポリシーの結果セット) ビューで、優先順位が正しいかどうか確認できます。このビューでは、詳細な情報が表示され、適用されたポリシーのセクションが示されます。上記の例では、経営陣のラップトップ コンピューターを確認すると、ビジネス アプリケーション用のファイアウォール ポートを開くポリシーとマルウェア対策スキャンのスケジュールに関するポリシーが適用されていると表示されますが、IT 部署のメンバーは、マルウェア対策スキャンのスケジュールに関するポリシーのみが適用されていると表示されます。

Forefront Client Security のポリシー

今度は、FCS のポリシーについて詳しく見てみましょう。FCS のポリシーには、いくつかの保護テクノロジと対策テクノロジが含まれていますが、これらのテクノロジは単一のクライアント インストーラー パッケージで展開されます。FCS では、マルウェア対策保護に加えて、Windows ファイアウォールの管理とセキュリティ状態評価 (SSA) についての情報が提供されます。SSA には、管理している資産のセキュリティ状態を確認するための構成可能なチェック機能が用意されています。また、修復機能が、ネットワーク アクセス保護 (NAP) との統合によって提供されます。NAP は、特定のセキュリティ チェックに適合しない資産は、適切に更新されてセキュリティ チェックに適合するまで検疫するように構成できます。

次に、FCS の設定を構成する際に使用できるポリシーのオプションをいくつか紹介します。

マルウェア対策: FCS のマルウェア対策保護機能を実行して、ウイルス、ワーム、およびスパイウェアを検出する 1 台のエンジンです。このエンジンでは、署名ベースの検出とヒューリスティック ベースの検出の両方がサポートされており、Microsoft Update、Windows Server Update Services (WSUS)、またはファイルの共有 (分散ファイルシステムを使用すると最適に負荷を分散できます) から署名の更新を受け取れます。このポリシーのセクションの設定では、リアルタイム保護、(署名の) 定義更新のスケジュール、場所、ファイル、パス、および特定のソフトウェアのポリシーの除外と無効化など、サービスのさまざまなオプションを構成できます。このポリシーの対象となる資産にどの FPM の警告を適用するかを構成することも可能です。

Windows ファイアウォール: このオプションを使用すると、個々のプロファイルの詳細だけでなく、受信サービス、送信サービス、ポートの例外、およびプログラムの例外を構成できます。

セキュリティ状態評価: SSA ポリシーでは、特定のチェック機能を有効または無効にすることで、企業のニーズに合わせてポリシーを適応できます。SSA のチェック機能は、次のものを含めるように拡張されました。

  • 再起動のポリシーの構成
  • 不必要なサービスの設定
  • データ実行防止の設定の強制
  • NTFS ファイル システムの使用とパブリック共有の制限に対する要件
  • Web サーバーの IIS セキュリティ要件
  • Guest アカウントとパスワードの有効期限に関する構成要件
  • Microsoft Office のマクロの設定
  • データベース サーバーに関する SQL Server のセキュリティ要件
  • Internet Explorer のセキュリティ設定
  • ユーザー アカウント制御
  • データ保護 (BitLocker) の実施
  • リムーバブル記憶装置 (USB ドライブなど) の動作

セキュリティ更新プログラム: FPM では、管理している資産の修正プログラムに関するステータスを確認できます。そのため、修正プログラムの適用や猶予期間に関する規則を設定できるだけでなく、この規則に沿っていないコンピューターが NAP 経由でネットワークにアクセスするのをブロックすることもできます。

警告とタスク

FPM の最も重要な機能の 1 つは、警告システムを通じて、注意しなければならないセキュリティ イベントを管理者に通知し、タスク システムを通じて、それに対応するツールを管理者に提供する機能です。既定では、FPM の警告は、コンソールに記録されますが、電子メール、ページャー、またはインスタント メッセージを通じて管理者に直接通知するように構成することもできます。図 2 に、一連のドメイン コントローラーで検出された、マルウェアの再感染を管理者に直接通知する構成を示します。警告通知は、特定の警告で構成して、個々のグループを対象にできるので、管理者が監視している重要な資産で特定のイベントが発生した場合にのみ直接通知されるようにすることができます。

sfanos.fig2.new.gif

図 2 ページャーを使用して FPM のセキュリティの警告を送信する構成 (クリックすると拡大画像が表示されます)

管理者は、感染に関する通知を受信したら、感染した資産に中央コンソールから直接対応できる必要があります。FPM Tasks (FPM タスク) ウィザードを使用すると、管理者は、あらかじめ構成された対応を選択し、選択したグループに直接その対応を簡単に割り当てることができます。

簡単に使用できる形で重要なセキュリティ情報がまとめられていることは、FPM の管理者にとって重要なことであり、コンソールの Monitoring (監視) ノードを推進する重要な要素となっています。図 3 は、FCS に対するマルウェア対策の概要レポートの例です。セキュリティ管理者は、このレポートで、リアルタイム保護状態、最近正常にスキャンされた資産、新しい署名の更新が適用されたコンピューターなど、重要な統計を簡単に参照できます。さらに重要なのは、ウィジェットの特定のセクションを表示して、ネットワーク セキュリティ要件に準拠していないコンピューターの一覧を確認できることです。資産の一覧をクリックするだけで、関連する構成情報を含む、個々のコンピューターに関するレポートを参照できます。また、最初に概要情報が表示され、その後、2 回クリックするだけで、個々の資産についての具体的な詳細情報を表示できるのは、管理者が社内ネットワークのセキュリティの強度を調べる際には非常に有益です。

sfanos.fig3.new.gif

図 3 Forefront Client Security に対する FPM のマルウェア対策の概要 (クリックすると拡大画像が表示されます)

FPM と Operations Manager

FPM では、すべての情報伝達で、Operations Manager 2007 R2 のインフラストラクチャを使用しています。FPM コンソールでポリシーを作成すると、XML コンテンツはソフトウェア開発キット経由で Operations Manager に渡され、配信されて処理されます。XML コンテンツは、Operations Manager 管理パックに変換され、関連する各資産のローカル エージェントに配信されます。

その後、Operations Manager エージェントによって、管理パックがローカルの FPM エージェントに転送されます。そこで管理パックは元の XML コンテンツに変換され、個々の保護テクノロジに配布されます。このプラグイン モデルにより、新しい保護コンポーネントを簡単に追加することができます。

エンド ポイントからの遠隔計測によって、パスの順序が逆になるので、データはローカルの Operations Manager エージェント、サーバーの順に渡されます。サーバーでは、監視と報告を行うためにデータが FPM データベースに読み込まれます。

FPM には、Forefront Client Security v1 から頻繁に要求される機能である、ドメインに参加していない資産のサポートを追加する機能もあります。証明書を使用することで、ドメインに参加していない資産が Operations Manager サーバーで認証されるようになります。また、ポリシーとタスクを受け取って、(サーバーでの認証に Kerberos が使用される) ドメインに参加している資産と同じ方法で遠隔計測でデータを送信できるようになります。

FPM と Windows PowerShell

UI からアクセスできる構成設定、レポートなどのオプションは、すべて Windows PowerShell からもアクセスできます。FPM Windows PowerShell 管理ウィンドウは、[スタート] メニューの Forefront フォルダーから簡単にアクセスできます。Windows PowerShell を使用すると、頻繁に実行する必要のあるコマンドやスケジュール設定したコマンドをスクリプト化できるという点で便利です。Windows PowerShell は、コンソール インターフェイス以外に FPM システムを管理できる強力なツールです。

効率的な管理

この記事では、FPM コンソールの機能のいくつかについて説明しました。FPM には、FCS、FSE、および FSSP のポリシーとグループ化を単一のコンソールで管理する機能、警告とタスクによって、日常的なセキュリティに関する活動を効率的に管理する機能、および Monitoring (監視) ノードで包括的な情報を見やすい状態で提供する機能が備わっています。総括すると、FPM は Forefront システムの強固な管理ソリューションだと言えます。

FPM コンソールをお試しになる場合は、FPM のホームページ (英語) を参照して、最新のエディションを評価する方法をご確認ください。

Chris Sfanos は、Forefront Protection Manager チームのシニア プログラム マネージャーで、ワシントン州のレドモンドを拠点に活動しています。ソフトウェア プロフェッショナルとして 11 年を超える経験があり、顧客が抱える問題を解決するソリューションを設計することを楽しんでいます。また、衛星システムのチップも設計しました。