2015年6月1日月曜日

【Flextivity】BYOD に適したファイアウォール設定【中小企業向け】Vol.3


みなさん、こんにちは!

本日のエントリーは Flextivity シリーズ第3弾として、ファイアウォール設定についてご紹介いたします。NetBarrier でもお馴染みの Intego のファイアウォール設定です。


Flextivity のファイアウォール設定


まずは Flextivity のファイアウォール設定をみていきましょう。ファイアウォール方針のデフォルト設定では、特定のネットワークにはじめて接続するとき、エンドユーザが適当なファイアウォールプロフィールを選択できるようになっています。制限を強めたい場合は、ユーザに対してプロフィールを非表示にし、既知および未知のネットワークに特定のルールを強制することもできます。


ファイアウォール方針が適用されているクライント Mac では、ユーザは、アプリケーションのネットワーク利用状況を確認できる Flextivity のアプリケーションモニタを利用できます。


また、次のようなかたちで 3 つのデフォルトプロフィールが用意されています。
  • Home(自宅): 危険のない信頼できるネットワークに最適です。Mac は、クライアントおよびローカルサーバとして機能できます。Mac は、クライアントコンピュータとしてインターネットを利用でき、同時にローカルネットワーク内ではクライアントおよびサーバとして動作できます。
  • Work(職場): 多くの人や端末が接続する、信頼できるネットワークに最適です。Mac は、クライアントおよびローカルサーバとして機能できます。アプリケーションは自動では "許可" されず、許可されていないアプリケーションの動作について確認を求められます。
  • Public(公衆ネットワーク): 不特定多数の人々と共有するネットワークに最適です。コンピュータは、ローカルネットワークあるいはインターネットで、共にクライアントとしてのみ機能できます。該当 Mac のサーバおよびファイル共有機能はブロックされます。アプリケーションは自動では "許可" されず、許可されていないアプリケーションの動作について確認を求められます。

デフォルトプロフィールに加え、「ファイアウォールプロフィールを追加」オプションをクリックして独自のファイアウォールプロフィールを作成できます。インターネットへの接続およびインターネットからの接続動作を設定できるだけでなく、特定のアドレス、プロトコル、あるいはポートを例外指定することもできます。

社内と社外に持ち出す Mac の2つの方針設定


弊社の場合、デスクトップ Mac と社外に出る際に持ち出す MacBook Air や個人所有の Mac のファイアウォール設定は、全く別の方針設定にしています。これは、ずっと社内にあるデスクトップ Mac は信頼する安全な社内ネットワークに固定されていますが、社外に持ち出す MacBook Air や個人所有の Mac のネットワークは、場所・時間によって変化する為です。ロケーションに合わせたルールによって、保護と利便性のバランスをとることができます。

まずは「設定」の「場所」(ロケーションの管理)から社内の信頼する安全なネットワークを設定します。


「ロケーションの追加」ボタンで、ネットワーク名を追加します。


これで準備が完了です。

続いて、社内のデスクトップ Mac のファイアウォール方針設定をします。「管理」の「方針」から新規方針を作成します。

  1. 「ロケーションに合わせてフィルタを強制適用」にチェックを入れます
  2. 先ほどのロケーションの管理で追加したネットワークにチェックを入れます(ここでは Hatsudai Office となります)
  3. 設定は「非表示」を選択します
  4. 「概要表示」の「エンドユーザは、ファイアウォールプロフィール、およびアプリケーションの許可とブロックを選択」はチェックを外します
  5. 「ファイアウォールのプロフィール」のプルダウンメニューは「職場」に変更します
  6. 方針を適用したい Mac を選択します
  7. 「保存して適用」をクリックします
以下のキャプチャのような設定になれば問題ありません。


少し補足をします。1 と 2 は、ロケーションの管理で追加したネットワークに接続した際、作成した方針設定を強制適用させるという設定になります。3 は、接続しているネットワークが変更してもクライント Mac には通知されません。社外には持ち出す事ができない、且つ、ネットワークの変更が生じない場合には最適な設定となります。4 は、ユーザはクライント Mac 上でファイアウォールプロフィールのロケーション変更ができません。1〜4 の設定は、"信頼する安全なネットワーク" に "常時接続" する環境である社内のデスクトップ Mac 用の一番最適なファイアウォール設定になっています。

続いて、社外に出る際に持ち出す MacBook Air や個人所有の Mac のファイアウォール設定です。このような Mac の場合、上記のデスクトップ Mac のように、接続するネットワークが常時同じとは限りません。公衆無線 LAN のように、必ずしも安全なネットワークに接続できるとも限りません。その為、ロケーション毎に保護レベルを切り替える必要があります。

営業用の MacBook Air のファイアウォール方針設定は以下のような感じです。



社内のデスクトップ Mac 用のファイアウォール方針設定とは違い、社内の信頼する安全なネットワークに固定する設定方法とは違います。ファイアウォールプロフィールを非表示ではなく「選択可能」にしています。また、「概要表示」の「エンドユーザは、ファイアウォールプロフィール、およびアプリケーションの許可とブロックを選択」にもチェックを入れ、クライント Mac の方でも、ロケーションによって設定変更の操作ができるようにしています。

このようなかたちで外回りの多い社員のために自由度の高い方針に対応しており、BYOD(Bring Your Own Device: 個人端末の持ち込み)を想定した保護も容易に可能となっています。Flextivity のファイアウォール設定は、同じ Intego 社の NetBarrier と仕組みは同じです。このロケーション毎にファイアウォール設定(セキュリティの保護レベル)を切り替える必要性は別途ブログにまとめてありますので、是非こちらも一読くださいませm(__)m

以上、本日は Flextivity のファイアウォール設定方法をご紹介いたしました。次回はモニタ機能をご紹介いたします。

それでは本日はここまで。

テクニカルサポート - TH

- クラウド型セキュリティ・モニタリングツール -
Intego Flextivity の詳細

- ウイルスバリア X8 vs Flextivity -
ウイルスバリア X8 との比較シートを確認

- Intego Flextivity についての導入ご相談・見積請求・試用版(30 日間)リクエスト -
tel 03-5352-7831(AM 10:00 〜 12:00 / PM 13:00 〜 18:00
)
mail:info-corp@act2.com

- 関連コンテンツ -
act2 サポートブログ - 【Flextivity】複数台の Mac 管理に適したセキュリティ・生産性向上ツールの統合ソリューション【中小企業向け】Vol.1
act2 サポートブログ - 【Flextivity】チーム・部署毎にカスタマイズが可能なアンチウイルス設定【中小企業向け】Vol.2
導入事例 #150002: 株式会社エス・アイ・エス 様
act2 Podcast -【Flextivity】中小企業のMac管理
act2 ブログ - 【コラム】MacBook Air・MacBook Pro のネットセキュリティを自動化しよう

- 各種製品 FAQ ページ -
act2 サポート 

0 件のコメント:

コメントを投稿