このページの本文へ

[特別企画]SEPはエンドポイントを守れるのか? ― 第2回

複数台のインストールも容易に行なえる

SEPクライアントの配置とSEPMの概要

2008年04月08日 16時00分更新

文● 大谷イビサ(ネットワークマガジン編集部)

  • この記事をはてなブックマークに追加
  • 本文印刷

SEPの概要は理解できたものの、セキュリティ対策はさまざまな脅威を実際に防いでナンボである。次はSEPのインストールや実際の設定、運用管理などの作業を見ることで、SEPの利用イメージを紹介する。

SEPのインストールと ネットワーク構成

 前述の通り、SEPは単体で利用するより、SEPクライアントは集中管理コンソールであるSEPMから一元的にセキュリティ管理を行なうことで、大きな効果を発揮する。本稿ではシマンテックのエンジニアに構築してもらったSEPクライアントとSEPMによる統合管理環境をベースに設定や運用管理について見ていきたい。

 今回は導入済みの環境がすでに用意されていたが、インストールやネットワーク構成について簡単に説明しておこう。まずSEPMは管理コンソール、管理マネージャとデータベースから構成され、複数のサーバで運用することも可能だ。SEPMのサーバは「サイト」と呼ばれる管理グループで管理され、複数のサーバであれば、このデータベースを共用することになる。データベースは埋め込みのデータベースを利用するが、1000台を超えるクライアントを管理する場合はMicrosoft SQL Serverを用いる。これらの選択はSEPMのインストールウィザードで行なえばよい。

図1 今回の検証で構築したネットワーク構成
図1 今回の検証で構築したネットワーク構成

 注意したいのが、管理マネージャとデータベースを同じマシンで動作させる場合は、かなり高いスペックが必要になることだ。各種の情報はレジストリではなく、データベースに登録されているため、これらを呼び出すために若干時間がかかる。性能の高いCPUと潤沢なメモリを搭載したマシンを用意するのが、快適な操作を行なうためのポイントである。

 一方のSEPクライアントは、SEPMから作成したパッケージを利用するとよい。パッケージとは、インストールするプログラムと初期設定がまとめられたもの。SEPMからはクライアントに対してプッシュで送信して、インストールすることができる。これらはSEPMの管理ページやウィザードで作成できる。

 重量級のSEPMに対して、SEPクライアントはWindows XP以降のOSに最適化されているため、旧バージョンに比べて大幅にメモリの消費が抑えられている。セキュリティ確保のために、ユーザーの操作が阻害されてしまうという本末転倒な事態には陥ることはないだろう。ちなみにWindows 2000では、メモリの最適化を行なう機能が実装されていないため、残念ながらこの効果を実感することはできない。

画面1 管理メニューから、ウィザードを使ってインストールパッケージを生成できる
画面1 管理メニューから、ウィザードを使ってインストールパッケージを生成できる

 ウィザードからは、既存のSymantec AntiVirus Corporate EditionやSymantec Client Securityからのアップグレードも可能だ。ただし、機能や構成の面で変更もあるので、適切な移行作業を行なう必要がある。

まさに一元管理が可能 集中管理ツール「SEPM」の実力

 複数の脅威に対抗する統合型のセキュリティ対策では、設定や管理の項目は多くなる。こうした点から考えると、管理ツールの使いやすさは製品導入の大きな決め手となる。

 SEPMを起動すると、以下の画面のようなコンソールが表示される。左端にはホームや監視、レポートなどの操作ごとにナビゲーションメニューが並ぶ。

ホームの画面
「セキュリティの状態」は安全な場合は緑で表示される「要確認」の場合は赤で表示され、わかりやすい

・ホーム

ネットワーク状態やウイルス定義などを表示するデフォルトページ。ウイルスや攻撃の検出件数や時間ごとのリスク、各クライアントの状態などが一覧表示される。

・監視

ログを表示する。通知の表示や設定、コマンドの状態などを表示。

・レポート

定義済みのフォームやカスタマイズされた詳細なものまでレポートを表示

・ポリシー

すべてのクライアントのセキュリティポリシーを設定

・クライアント

ユーザーとクライアント(グループ)の管理を行なう

・管理

管理者自体の設定。権限の異なる複数の管理者を作ったり、インストールパッケージを作成できる

 実際の管理作業を開始するには、まずコンピュータ/ユーザーをまとめた「グループ」として追加し、グループごとにポリシーを設定する。デフォルトでは「Temporary」というグループに所属されるので、これらを組織や管理の形態に合わせて、分類していくというのが一般的だ。「グループ」は階層構造でツリー状に作成することができる。これは、Active DirectoryのOU(Organization Unit)と同じ概念といえる。

 ユーザーの追加はいくつかの方法がある。SEPMのクライアントメニューからのほか、スタートメニューの「移行と配備ウィザード」でも行なえる。このウィザードの中ではSAVCEやSCSからの移行か、新規かを選択できる。また、既存のActive DirectoryやLDAPなどのディレクトリからユーザーやグループをインポートすることも可能だ。

画面4 Active Directoryからのユーザー、グループのインポート
画面4 Active Directoryからのユーザー、グループのインポート

 クライアントの管理はコンピュータ単位もしくはユーザー単位で行なうことが可能だが、右クリックメニューから簡単に切り替えることができる。たとえば、コンピュータAを使っているユーザーがAとBの2人いても、異なるポリシーを適用できるというわけだ。

■関連サイト

カテゴリートップへ

この特集の記事
ピックアップ