sophos central enterprise...sophos central enterprise フィルタ...
Post on 08-Feb-2020
2 Views
Preview:
TRANSCRIPT
Sophos Central Enterpriseヘルプ
⽬次このヘルプについて.......................................................................................................1Sophos Central Enterprise について............................................................................... 2ダッシュボード.............................................................................................................3警告...........................................................................................................................4ログ...........................................................................................................................5
監査ログ.............................................................................................................5サブ管理サイト.............................................................................................................7
サブ管理サイトのリンク解除...................................................................................8サブ管理サイトの削除........................................................................................... 9
ライセンス.................................................................................................................11評価版...................................................................................................................... 12設定とポリシー...........................................................................................................13
メール警告の設定............................................................................................... 13管理者..............................................................................................................14多要素認証の設定............................................................................................... 21フェデレーション サインイン................................................................................22グローバルテンプレート.......................................................................................24
インストール..............................................................................................................59製品の評価.................................................................................................................60グローバル セキュリティ ニュース................................................................................. 61アカウントの詳細........................................................................................................ 62
アカウント設定.................................................................................................. 62ライセンス........................................................................................................ 63エンタープライズ マスター ライセンス................................................................... 65
対応している Web ブラウザ......................................................................................... 67サポートへのお問い合わせ............................................................................................ 68利⽤条件................................................................................................................... 69
(2020/01/30)
Sophos Central Enterprise
1 このヘルプについてこのヘルプでは、Sophos Central Enterprise の各機能の使⽤⽅法について説明します。必要な情報が⾒つからない場合は、ソフォス Web サイトのサポートセクションを参照し、そこで検索してください。サポートデータベースの⽂章または Sophos Community サイト (英語) の投稿が表⽰されます。
ヒントこちらから Sophos Central Enterprise にサインインし、案内に沿ってすぐに使い始めることができます。
管理者によってアカウントが設定されていない場合は、Microsoft のサインイン情報を使ってサインインできます。「Microsoft でサインイン」をクリックして、Microsoft のサインイン情報を⼊⼒します。
Copyright © Sophos Limited 1
Sophos Central Enterprise
2 Sophos Central Enterprise についてSophos Central Enterprise では、分散環境におけるセキュリティを管理することができます。管理者は、組織が複数のサブ管理サイトに分割されている場合でも、セキュリティを管理できます。たとえば、拠点が複数ある組織の場合、各拠点のセキュリティを個別のサブ管理サイトとして管理できます。エンタープライズ管理者は、Sophos Central Enterprise を使⽤してサブ管理サイトを管理できます。Sophos Central Enterprise には、セキュリティ管理を役割レベルで分担する複数のロールがあらかじめ設定されています。各エンタープライズ管理者には、⾃⾝が管理するサブ管理サイトのスーパー管理者ロールが割り当てられています。各サブ管理サイトには、専⽤の Sophos Central Admin アカウントと管理者があります。次の操作が可能です。• エンタープライズのサブ管理サイトと関連するライセンスの表⽰と管理。• エンタープライズ管理者の表⽰と管理。
関連概念管理者 (p. 14)Sophos Central Enterprise 管理者を表⽰・管理できます。
2 Copyright © Sophos Limited
Sophos Central Enterprise
3 ダッシュボード「ダッシュボード」を使⽤すると、サブ管理サイトに関する最も重要な情報に簡単にアクセスできます。次のエリアから構成されています。
警告「警告」には、サブ管理サイトに関連付けられている「重要度 - ⾼」、「重要度 - 中」、「情報レベル」の警告の件数が表⽰されます。これは、管理下にある、各サブ管理サイトに関連付けられている警告の件数がまとめて表⽰されたものです。詳細を表⽰するには、数字をクリックします。たとえば、「重要度 - ⾼」の件数をクリックすると、「警告」ページが「重要度「⾼」の警告のみを表⽰」でフィルタリング表⽰されます。管理下の各サブ管理サイトに関連付けられている警告すべてを表⽰するには、「すべての警告の表⽰」をクリックします。
ライセンスの管理対処がすぐに必要、または近⽇必要になるライセンスの情報 (期限切れになった、または期限切れが近づいているライセンスの数、使⽤制限を越えているライセンスの数、評価版ライセンスの数など) が表⽰されます。各カテゴリをクリックすると、該当する、より詳細なライセンス情報が表⽰されます。たとえば、「間もなく期限切れ」をクリックすると、「サブ管理サイトのライセンス」ページが「間もなく期限切れ」でフィルタリング表⽰されます。ライセンスの失効⽇、サブ管理サイトの名前、ライセンス名、ライセンス ID、ライセンスの種類、さらにライセンスの使⽤制限と使⽤数を参照できます。
Copyright © Sophos Limited 3
Sophos Central Enterprise
4 警告Sophos Central Admin のサブ管理サイトに関連付けられている警告を表⽰および管理できます。この場合、各サブ管理サイトでエンタープライズ管理が有効化されている必要があります。サブ管理サイトに関連付けられている警告を検索するには、サブ管理サイトの名前、または名前の最初の数⽂字を⼊⼒します。すべてのレコードを再表⽰するには、検索フィールドをクリアします。警告のリストは、優先度に基づいてフィルタすることができます。選択できるオプションは次のとおりです。• すべての警告を表⽰ (デフォルト)• 重要度「⾼」の警告のみを表⽰• 重要度「中」の警告のみを表⽰• 情報レベルの警告のみを表⽰
Sophos Central の起動サブ管理サイトの Sophos Central Admin アカウントでエンタープライズ管理が有効化されている場合、該当する Sophos Central Admin コンソールを開いて、警告に対処することができます。サブ管理サイトでエンタープライズ管理を有効化していない場合、このオプションは表⽰されません。警告を選択して、「Sophos Central Admin の起動」をクリックします。
注エンタープライズ管理は、サブ管理サイトの Sophos Central Admin 管理者のみが有効化できます。管理者には、スーパー管理者ロールが必要です。
サブ管理サイトの Sophos Central Admin 管理者は、Sophos Central Admin の「アカウントの詳細 > アカウント設定」オプションで、エンタープライズ管理を有効化できます。
CSV 形式で出⼒警告のリストは、カンマ区切り形式 (CSV) のファイルにエクスポートして、Microsoft Excel などで表⽰することができます。
4 Copyright © Sophos Limited
Sophos Central Enterprise
5 ログ「ログ」ページでは、Sophos Central Enterprise のセキュリティ機能およびサブ管理サイトに関するレポートを表⽰できます。監査ログレポートを使⽤して、Sophos Central Enterprise で監視するすべてのアクティビティの記録を表⽰したり、出⼒したりすることができます。
関連概念監査ログ (p. 5)Sophos Central Enterprise で実⾏されたアクション、および Sophos Central Enterprise で管理されるサブ管理サイトによるアクションに関するレポートをエクスポートできます。
5.1 監査ログSophos Central Enterprise で実⾏されたアクション、および Sophos Central Enterprise で管理されるサブ管理サイトによるアクションに関するレポートをエクスポートできます。
注監査ログに表⽰される内容は、割り当てられている管理ロールによって異なります。サブ管理サイトへのアクセスが許可されていない場合は、サブ管理サイトのアクションは表⽰されません。
監査ログレポートを表⽰するには、「ログ」ページを開きます。デフォルトで、過去 7⽇間におけるすべてのアクティビティが、監査ログに表⽰されます。最⼤で過去 90⽇間までのすべてのアクティビティを表⽰できます。出⼒する場合は、過去 90⽇間のすべてのアクティビティの記録を含む監査ログレポートを出⼒できます。• ⽇付: アクティビティや変更が発⽣した⽇時。• イベントの場所: イベントが発⽣した場所。たとえば、Sophos Central Partner や顧客などで
す。• イベントの場所: イベントが発⽣した場所。たとえば、Sophos Central Enterprise やサブ管理サ
イトなどです。• 更新者: 変更やサインインに使⽤された Sophos Central PartnerSophos Central Enterprise ア
カウント。• 項⽬の種類: アクティビティや変更の種類。たとえば、「ユーザー」と「グループ」に変更が加え
られたことなどです。• 更新された項⽬: 追加、変更、削除された項⽬。たとえば、新規ユーザーの名前が追加されたこと
などです。• 説明: アクティビティや変更に関する詳細。たとえば、Sophos Central Admin アカウントによる
認証に成功したことなどです。• IP アドレス: アクティビティや変更の実⾏元 IP アドレス。
Copyright © Sophos Limited 5
Sophos Central Enterprise
フィルタ監査ログは、期間やイベントの発⽣場所、検索で絞り込み表⽰できます。フィルタを適⽤するには、「更新」をクリックする必要があります。• ⽇付: アクティビティを表⽰する期間を指定します。過去 90⽇間から任意の⽇付を選択できま
す。この期間は「検索」フィールドと連動するため、監査ログには、指定した期間内の項⽬のうち検索条件を満たすものが表⽰されます。検索語句やフィルタを指定しない場合、監査ログには指定した期間内に発⽣したすべてのアクティビティが表⽰されます。
• イベントの場所: 検索結果は、「すべてのイベントの場所」、「エンタープライズのみ」または「サブ管理サイトのみ」で絞り込み表⽰できます。
検索限定検索を⾏えます。監査ログには、指定した検索条件と期間を満たす項⽬が表⽰されます。期間を指定しない場合、監査ログにはデフォルトで、過去 7⽇間に発⽣したアクティビティのうち、検索条件を満たすものが表⽰されます。次の検索条件を指定できます。• サブ管理サイト: 選択した期間に発⽣した変更やアクティビティのうち、指定したサブ管理サイト
で実⾏されたものすべてが表⽰されます。• IP アドレス: 選択した期間に発⽣した変更やアクティビティのうち、指定した IP アドレスから実
⾏されたものすべてが表⽰されます。• 更新者: 選択した期間に発⽣した変更やアクションのうち、Sophos Central PartnerSophos
Central Enterprise の管理者アカウントによって実⾏されたものがすべて表⽰されます。
エクスポート選択した期間内または過去 90⽇間に発⽣したアクティビティの記録を含む、監査ログを出⼒できます。出⼒する前に監査ログを絞り込むことができます。検索による絞込みは、すべての出⼒オプションに適⽤されます。期間については、この限りではありません。監査ログを出⼒する⽅法は次のとおりです。1. 必要に応じて監査ログを絞り込みます。「更新」を選択して指定した条件を監査ログに適⽤しま
す。2. 「監査ログ」ページの右側にある「エクスポート」をクリックして、ドロップダウンリストから
オプションを選択します。• CSV - 現在のビュー または PDF - 現在のビュー: 現在のビューを、カンマ区切り形式 (CSV)
のファイル、または PDF として出⼒します。どちらかのオプションを選択すると、現在選択されているすべての絞り込み条件が出⼒されるファイルに適⽤されます。
• CSV - 過去 90⽇ または PDF - 過去 90⽇: 過去 90⽇間に発⽣したアクティビティを、カンマ区切り形式 (CSV) のファイル、または PDF として出⼒します。どちらかのオプションを選択すると、検索の絞り込み条件のみが出⼒されるファイルに適⽤されます。
3. 監査レポートをチェックし、必要な情報が含まれていることを確認します。4. 監査レポートの名前を変更します。「audit.csv」または「audit.pdf」というファイル名で監査レポートが出⼒されます。
6 Copyright © Sophos Limited
Sophos Central Enterprise
6 サブ管理サイトSophos Central Admin アカウントからエンタープライズ管理を有効にすると、顧客のアカウントに関連付けられている他のすべてのアカウントは、サブ管理サイトとして Sophos Central Enterpriseアカウントに紐づけられます。アクセスを許可するためには、サブ管理サイトの Sophos Central Admin 管理者は次の操作を実⾏する必要があります。1. Sophos Central Admin で、「アカウントの詳細 > アカウント設定」をクリックします。
組織に対してエンタープライズ管理が有効になっていること、およびエンタープライズ管理者の詳細が表⽰されます。
2. エンタープライズ管理者の Sophos Central Admin アカウントへのアクセスを有効にします。「サブ管理サイト」ページには、管理下にあるサブ管理サイトが表⽰され、サブ管理サイトで使⽤しているカテゴリ別のライセンス数、およびその状態を⼀⽬で把握できます。また、次の操作も実⾏できます。• サブ管理サイトの新規作成。• サブ管理サイトのリンク解除。• サブ管理サイトの削除。• エンタープライズ管理者に対して、Sophos Central Admin アカウントへのアクセスと管理を許
可しているサブ管理サイトの確認。
制約事項サブ管理サイトの Sophos Central Admin 管理者は、エンタープライズ管理者に対して、各⾃のアカウントへのアクセスを許可する必要があります。管理者には、スーパー管理者ロールが必要です。エンタープライズ管理のオプトインを有効に設定した場合、エンタープライズスーパー管理者のみが設定を無効に戻すことができます。
検索サブ管理サイトを検索するには、サブ管理サイトの名前、または名前の最初の数⽂字を⼊⼒します。すべてのレコードを再表⽰するには、検索フィールドをクリアします。
新規サブ管理サイトエンタープライズ管理者にアクセスを⾃動的に許可する、新しいサブ管理サイトを作成できます。新しいサブ管理サイトを作成する⽅法は次のとおりです。1. 「新規サブ管理サイト」をクリックします。2. 新しいサブ管理サイトの管理者の詳細を⼊⼒します。3. 「データセンターのリージョン」を選択します。「ドイツ」、「アイルランド」、「⽶国」から
選択します。
Copyright © Sophos Limited 7
Sophos Central Enterprise
サブ管理サイトのデフォルトのリージョンは、プライマリサブ管理サイトのリージョンになります。これは、エンタープライス管理を有効にするのに使⽤した Sophos Central Admin のアカウントです。
4. プライバシーポリシーを読み、その内容に同意します。5. 「サブ管理サイトの作成」をクリックします。
作成したサブ管理サイトが⼀覧に表⽰されます。セットアップに関する指⽰を含むメールが管理者に送信されます。
6. サブ管理サイト⽤のライセンスを購⼊します。購⼊後、Sophos Central Enterprise でサブ管理サイトを管理できます。
Sophos Central Admin を開くサブ管理サイトでエンタープライズ管理者のアクセスが許可されると、サブ管理サイトの SophosCentral Admin アカウントを開くことができるようになります。サブ管理サイトでアクセスが許可されていない場合、このオプションは表⽰されません。サブ管理サイトを選択して、「Sophos Central Admin の起動」をクリックします。
ライセンスの詳細サブ管理サイトに関連付けられているライセンスの情報を表⽰できます。これには、サブ管理サイトを選択し、「ライセンスの詳細」をクリックします。
ライセンス情報各サブ管理サイトで使⽤されているライセンスは、ライセンス名の欄に表⽰されます。ライセンス名をクリックすると、ライセンスに関連付けされている製品の情報を確認できます。
関連タスクサブ管理サイトのリンク解除 (p. 8)エンタープライズとの関連付けを解除し、個別のライセンスを持つ、独⽴した Sophos CentralAdmin のアカウントとしてサブ管理サイトを運⽤したい場合は、サブ管理サイトのリンクを解除します。サブ管理サイトの削除 (p. 9)サブ管理サイトを削除すると、サブ管理サイトがエンタープライズから削除され、完全削除 (90⽇後)のマークが付けられます。
6.1 サブ管理サイトのリンク解除エンタープライズとの関連付けを解除し、個別のライセンスを持つ、独⽴した Sophos CentralAdmin のアカウントとしてサブ管理サイトを運⽤したい場合は、サブ管理サイトのリンクを解除します。
制約事項サブ管理サイトは、スーパー管理者のみがリンク解除できます。
8 Copyright © Sophos Limited
Sophos Central Enterprise
マスターライセンスを使⽤しているエンタープライズからサブサイト管理をリンク解除した場合、リンク解除後の Sophos Central Admin アカウントには、評価ライセンスのみが割り当てられます。この場合、30⽇の評価期間の後に、新しいライセンスを追加する必要があります。サブ管理サイトをリンク解除するうえでの制限事項は次のとおりです。• プライマリサブ管理サイト (エンタープライズ管理を有効に設定するのに使⽤したサブ管理サイ
ト) をリンク解除することはできません。• リンク解除するすべてのサブ管理サイトに対して、スーパー管理者ロールが割り当てられている
アクティブな管理者が設定されている必要があります。• マスターライセンスへの切り替え中に、サブ管理サイトをリンク解除することはできません。切
り替えが完了した後、サブ管理サイトをリンク解除できます。1. リンク解除するサブ管理サイトを選択します。2. 「詳細」、「このエンタープライズからサブ管理サイトをリンク解除」の順にクリックします。3. 選択したサブ管理サイトの⼀覧を確認します。4. 「はい、このエンタープライズからサブ管理サイトをリンク解除します」を選択します。5. 「リンク解除」をクリックします。リンク解除したサブ管理サイトは、リンク解除後もエンタープライズの⼀部となりますが、SophosCentral Enterprise で管理することはできなくなります。Sophos Central Admin で、これらのサブ管理サイトの「Sophos Central Enterprise へのオプトイン」が無効になります。注:• リンク解除したサブ管理サイトのエンタープライス管理を、Sophos Central Admin で再度有効
に設定することはできません。• リンク解除したサブ管理サイトに対して、エンタープライズ管理へのオプトインを有効にするこ
とはできません。リンク解除したサブ管理サイトを使⽤して、サブ管理サイトを再度リンクする場合や、新しいエンタープライズを設定する場合は、異なるSophos Central Enterpriseアカウントへのサブ管理サイトの再リンクについて、ソフォスのテクニカルサポートまでお問い合わせください。
6.2 サブ管理サイトの削除サブ管理サイトを削除すると、サブ管理サイトがエンタープライズから削除され、完全削除 (90⽇後)のマークが付けられます。
制約事項サブ管理サイトは、スーパー管理者のみが削除できます。
サブ管理サイトを削除した場合、関連付けられているすべての管理者が削除されます。これにより、削除された管理者のアカウントに関連付いているメールアドレスが解放されます。これらのメールアドレスは、他のアカウントに使⽤することができます。
注いったん削除のマークが付くと、サブ管理サイトにはアクセスできなくなります。
サブ管理サイトを削除するうえでの制限事項は次のとおりです。• プライマリサブ管理サイト (Sophos Central Enterpriseを有効に設定するのに使⽤したサブ管理
サイト) を削除することはできません。
Copyright © Sophos Limited 9
Sophos Central Enterprise
• 正規ライセンスを使⽤しているサブ管理サイトを削除することはできません。1. 削除するサブ管理サイトを選択します。
評価ライセンスや期限切れライセンスが割り当てられているサブ管理サイトは削除できます。2. 「詳細」、「サブ管理サイトの削除」の順にクリックします。3. 選択したサブ管理サイトの⼀覧を確認します。4. 「はい、サブ管理サイトを完全に削除します」選択します。5. 「削除」をクリックします。
10 Copyright © Sophos Limited
Sophos Central Enterprise
7 ライセンスサブ管理サイトのライセンスは、「サブ管理サイトライセンス」ページで表⽰できます。ここでは、各サブ管理サイトに関連付けられている Sophos Central ライセンスの⼀覧を参照できます。サブ管理サイトの名前、ライセンス名、ライセンスの開始⽇・終了⽇、およびライセンスの使⽤数が表⽰されます。また、ライセンスの総数、期限切れが近づいているライセンスの数、期限切れになったライセンスの数、または使⽤制限を越えているライセンスの数、および評価版ライセンスの数なども表⽰されます。ライセンスの各カテゴリに対する数字をクリックすると、ライセンスの⼀覧をそのカテゴリでフィルタリング表⽰できます。たとえば、「期限切れ」のライセンスの数をクリックすると、期限切れのライセンスが表⽰されます。
検索サブ管理サイトを検索するには、サブ管理サイトの名前、または名前の最初の数⽂字を⼊⼒します。すべてのレコードを再表⽰するには、検索フィールドをクリアします。
CSV 形式で出⼒ライセンスのリストは、カンマ区切り形式 (CSV) のファイルにエクスポートして、MicrosoftExcel などで表⽰することができます。
注このオプションは、「すべてのライセンス」ビューのみで使⽤できます。
Copyright © Sophos Limited 11
Sophos Central Enterprise
8 評価版「評価版」ページには、サブ管理サイトで使⽤されている Sophos Central の評価版ライセンスの⼀覧が表⽰されます。評価版ライセンスの名前、ID、およびそのライセンスを使⽤しているサブ管理サイトの名前が表⽰されます。ライセンスの開始⽇・終了⽇、および使⽤数も表⽰されます。デフォルトで、過去 30⽇間に使⽤が開始された評価版ライセンスが表⽰されます。また、過去 60⽇間または 90⽇間に使⽤が開始された評価版ライセンスを表⽰することもできます。
12 Copyright © Sophos Limited
Sophos Central Enterprise
9 設定とポリシー管理者、サインインの設定、警告、プロビジョニング API へのアクセス、およびグローバルテンプレートを管理できます。設定とデフォルトポリシーをグローバルテンプレートで管理できます。
9.1 メール警告の設定管理者とそのサブ管理サイトがメール警告を受信する⽅法を管理できます。.この設定は、管理下の Sophos Central Admin アカウントのみに対して⾏うことができます。サブ管理サイトで管理されるアカウントのメール警告を管理することはできません。メール警告を管理する場合は、「エンタープライズコントロール」をクリックします。サブ管理サイトがサイト内でメール警告を管理する場合は、「エンタープライズコントロール」を無効に戻すことができます。この設定を⾏うには、「エンタープライズコントロール」をクリックします。これによって、サブ管理サイトが以前指定していた設定も復元されます。次の操作を⾏うことができます。• メール警告を受信する管理者を管理する。• メール警告の送信先配布リストまたは送信先メールアドレスを追加する。• メール警告の受信頻度を管理する。• 管理者が受信する警告の種類をカスタムルールで指定する。• サブ管理サイトのアカウントで、警告の種類別に設定されている除外を編集する。
制約事項メール警告を管理するには、エンタープライズスーパー管理者の権限が必要です。
管理者「管理者管理者」リストでは、メール警告のデフォルト受信者を確認できます。リストには、各管理者の名前、メールアドレス、および管理者ロールが表⽰されます。警告を受信する管理者を選択することができます。選択するには、管理者の詳細で「はい」または「いいえ」を選択します。
配布リスト警告の送信先配布リストまたは送信先メールアドレスを管理することができます。このオプションを使⽤して、配布リスト、チケットシステム、または警告を通知するユーザー(Sophos Central Enterprise にアクセスできないユーザー) のメールアドレスを追加します。ユーザーに Sophos Central Enterprise へのアクセスを提供するには、そのユーザーを管理者として追加してください。
Copyright © Sophos Limited 13
Sophos Central Enterprise
• 「メールアドレスの追加」を選択します。メールアドレスと説明を⼊⼒し、「保存」を選択します。
• メールアドレスを削除するには、メールアドレスを選択して「削除」を選択します。
頻度管理者がメール警告を受信する頻度を管理することができます。次のいずれかに基づいて頻度を設定できます。• 警告の重要度。• 製品。• 警告のカテゴリ。頻度の設定に使⽤できるのは、上記の属性のいずれか 1つのみです。「今すぐ」、「毎時」、「毎⽇」、または「 送信しない」のいずれかを選択できます。ここでの選択は、すべてのサブ管理サイトから送信される警告に適⽤されます。
注「毎時」および「毎⽇」オプションを選択した場合、期間内に発⽣した警告がすべて 1通のメールにまとめて送信されることはありません。管理者は、各警告につき 1通のメールを受信します。
カスタムルールデフォルトで、管理者はすべてのサブ管理サイト宛てのすべてのメール警告を受信します。カスタムルールを使⽤すると、⼀部の管理者が、特定のサブ管理サイト/製品/イベントのみに関する警告を受信することを簡単に設定できます。ルールの詳細を表⽰するには、リストの横にある展開⽮印をクリックします。ルールを⼀時停⽌、編集、または削除するには、リストの横にあるそれぞれのアイコンを選択します。アイコンをマウスオーバーすると、説明が表⽰されます。
例外「例外」リストには、設定済みの例外が表⽰されます。例外によって、特定の警告の種類のメール警告の送信頻度が変更されます。例外は、Sophos Central Admin の「警告」ページの各警告の詳細で設定します。また、ここで編集することもできます。
9.2 管理者Sophos Central Enterprise 管理者を表⽰・管理できます。「管理者」ページで、管理者にロールを割り当てることができます。管理者ロールは、セキュリティの管理権限のレベルで分類されています。Sophos Central Enterprise には、複数の定義済みロールが⽤意されています。
14 Copyright © Sophos Limited
Sophos Central Enterprise
各管理者には、管理する各サブ管理サイトの Sophos Central アカウントに対する、スーパー管理者ロールがあります。カスタムロールを追加して管理者に割り当てることで、役割レベルと製品ごとにセキュリティ管理を実⾏することができます。エンタープライズ管理者の⼀覧を検索したり、管理者を追加、管理、削除したりすることができます。管理者の多要素認証情報をリセットすることができます。管理者のロールを変更することも可能です。管理者を検索するには、管理者名、メールアドレス、またはサブ管理サイトを⼊⼒します (検索語句の最初の数⽂字のみを⼊⼒することもできます) 。すべての管理者を再表⽰するには、検索フィールドをクリアします。管理者の詳細を確認するには、管理者名をクリックします。
関連概念ロール (p. 15)管理者へのロールの割り当ては、「Sophos Central Enterprise」としてログインしている場合のみに実⾏できます。関連タスク管理者の追加 (p. 17)管理者の追加は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。管理者の編集 (p. 18)管理者の詳細の編集は、「エンタープライズスーパー管理者」としてログインしている場合のみに実⾏できます。カスタムロールの追加 (p. 18)カスタムロールの追加は、エンタープライズスーパー管理者としてログインしている場合に実⾏できます。ロールの変更 (p. 20)管理者に割り当てられているロールの変更は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。カスタムロールの削除 (p. 20)カスタムロールの削除は、エンタープライズスーパー管理者としてログインしている場合に実⾏できます。管理者の削除 (p. 21)管理者の削除は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。多要素認証の設定 (p. 21)多要素認証を使⽤したサインインの設定を管理できます。
9.2.1 ロール管理者へのロールの割り当ては、「Sophos Central Enterprise」としてログインしている場合のみに実⾏できます。管理者ロールは、セキュリティの管理権限のレベルで分類されています。Sophos CentralEnterprise には、複数の定義済みロールが⽤意されています。これらの定義済みロールを編集したり、削除したりすることはできません。これが管理者のアクセス権限のレベルとなります。「エンタープライズスーパー管理者」、「エンタープライズ管理者」、「エンタープライズヘルプデスク」、「エンタープライズ読み取り専⽤」といったロールがあります。
Copyright © Sophos Limited 15
Sophos Central Enterprise
「エンタープライズスーパー管理者」は、カスタムロールを追加できます。カスタムロールは定義済みロールに基づいて作成されますが、特定の製品のみにアクセスできるように、カスタムロールを制限できます。
エンタープライズスーパー管理者少なくとも 1⼈の管理者に、エンタープライズスーパー管理者ロールが割り当てられている必要があります。このロールは、Sophos Central Enterprise および Sophos Central Admin のすべての領域に対してアクセス権が付与されています。さらに次の操作を実⾏できます。• 他のエンタープライズ管理者の追加/削除。• 他の管理者がアクセスできるサブ管理サイトの選択。• カスタムロールの作成、編集、割り当て、削除。• マスターライセンスの有効化。• マスターライセンスの有効化後、評価版の使⽤を開始。• サブ管理サイトの作成。• 多要素認証/PIN のリセット。• サブ管理サイトのリンク解除。• サブ管理サイトの削除。• 個別ライセンスのあるエンタープライズに対するエンタープライズ管理の無効化。
エンタープライズ管理者このロールは、Sophos Central Enterprise および Sophos Central Admin のすべての領域に対してアクセス権が付与されています。さらに、許可されているサブ管理サイトのみへのアクセス権も付与されています。
エンタープライズヘルプデスクこのロールは、Sophos Central Enterprise および Sophos Central Admin のすべての領域に対してアクセス権が付与されています。さらに次の操作を実⾏できます。• 許可されているサブ管理サイトのみへのアクセス。• 機密情報を含むログやレポートの閲覧。• 警告の受信と消去。• コンピュータ上のソフォスのエージェントソフトウェアのアップデート。• コンピュータのスキャン。
エンタープライズ読み取り専⽤このロールは、Sophos Central Enterprise および Sophos Central Admin のすべての領域に対してアクセス権が付与されています。さらに次の操作を実⾏できます。
16 Copyright © Sophos Limited
Sophos Central Enterprise
• 許可されているサブ管理サイトのみへのアクセス。• 機密情報を含むログやレポートの閲覧。• 警告の受信。
関連タスク管理者の追加 (p. 17)管理者の追加は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。管理者の編集 (p. 18)管理者の詳細の編集は、「エンタープライズスーパー管理者」としてログインしている場合のみに実⾏できます。カスタムロールの追加 (p. 18)カスタムロールの追加は、エンタープライズスーパー管理者としてログインしている場合に実⾏できます。ロールの変更 (p. 20)管理者に割り当てられているロールの変更は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。カスタムロールの削除 (p. 20)カスタムロールの削除は、エンタープライズスーパー管理者としてログインしている場合に実⾏できます。管理者の削除 (p. 21)管理者の削除は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。
9.2.2 管理者の追加管理者の追加は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。管理者を追加する⽅法は次のとおりです。1. 「管理者設定」ページで、「管理者」を選択します。2. 「エンタープライズ管理者の追加」を選択します。3. 新しい管理者の名前とメールアドレスを⼊⼒します。4. ロールを選択します。5. アクセスを許可するサブ管理サイトを選択します。少なくとも 1つのサブ管理サイトを選択する
必要があります。新たに「エンタープライズスーパー管理者」を追加すると、追加したエンタープライズスーパー管理者には、すべてのサブ管理サイトに対するアクセス権が付与されます。
6. 「保存」を選択します。セットアップに関する指⽰を含むメールが管理者に送信されます。
関連タスク管理者の編集 (p. 18)管理者の詳細の編集は、「エンタープライズスーパー管理者」としてログインしている場合のみに実⾏できます。管理者の削除 (p. 21)
Copyright © Sophos Limited 17
Sophos Central Enterprise
管理者の削除は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。
9.2.3 管理者の編集管理者の詳細の編集は、「エンタープライズスーパー管理者」としてログインしている場合のみに実⾏できます。管理者の詳細を編集する⽅法は次のとおりです。1. 「管理者設定」で管理者名を選択します。2. 「編集」を選択します。3. メールアドレス、ロール、またはサブ管理サイトへのアクセスを変更するなど、管理者の詳細を
編集します。4. 「保存」を選択します。
関連タスク管理者の追加 (p. 17)管理者の追加は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。管理者の削除 (p. 21)管理者の削除は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。
9.2.4 カスタムロールの追加カスタムロールの追加は、エンタープライズスーパー管理者としてログインしている場合に実⾏できます。カスタムロールは、定義済みロールに基づいて作成されます。特定の製品のみにアクセスできるように、カスタムロールを制限できます。また、管理者が 1つの製品にはフルアクセス権限があり、2つ⽬の製品には閲覧専⽤アクセス権限があるようにロールを作成することもできます。
制約事項「エンドポイントプロテクション」と「サーバープロテクション」の両⽅ (場合によってはさらに「暗号化」機能) にアクセスする権限がロールにない場合、共有の設定は読み取り専⽤となります。
共有の設定は次のとおりです。• タンパープロテクション• 許可されたアプリケーション• Web サイトの管理• プロキシ設定• ブロックリスト• 帯域使⽤量(暗号化機能へのアクセスが必要)• HTTPS 接続によるアップデート• DLP ルール• コンテンツ コントロール リストの管理
18 Copyright © Sophos Limited
Sophos Central Enterprise
• ネットワーク接続の拒否• EDR 脅威解析センターカスタムロールの作成⽅法は次のとおりです。1. 「管理者設定」ページで、「ロール」および「ロールの追加」を選択します。2. カスタムルールの名前と説明を⼊⼒します。3. カスタムロールのベースとして使⽤する「基本ロール」を選択します。
たとえば、「基本ロール」として「ヘルプデスク」を選択した場合、カスタムロールが割り当てられている管理者は、Sophos Central Enterprise で「ヘルプデスク」の権限を持つことになります。
4. Sophos Central Admin でロールに割り当てる製品とアクセスの種類を選択します。たとえば、「エンドポイントヘルプデスク」というカスタムロールを作成します。このカスタムロールは、「基本ロール」として「閲覧専⽤」を使⽤し、製品として「エンドポイントプロテクション」をアクセスタイプ「ヘルプデスク」で使⽤します。このカスタムロールに割り当てられたすべての管理者は、Sophos Central Admin で、「ヘルプデスク」権限で「エンドポイントプロテクション」にアクセスできます。Sophos CentralEnterprise では、「エンタープライズ読み取り専⽤」ロールが割り当てられた管理者と同じ権限があります。a) 必要に応じて、複数の製品を選択します。
製品ごとに異なるアクセスタイプを設定できます。たとえば、「エンドポイントプロテクション」に対して「ヘルプデスク」のアクセス権があり、「モバイル」に対して「閲覧専⽤」アクセス権のあるカスタムロールを作成できます。それ以外の製品すべてに対しては「指定なし」を設定できます。この場合、SophosCentral Admin でカスタムロールには、「エンドポイントプロテクション」への「ヘルプデスク」権限と、「モバイル」への「閲覧専⽤」権限のみが付与されることになります。
5. Sophos Central Admin のカスタムロールに対して、追加のアクセスオプションと管理オプションを選択します。• ログとレポートへのアクセスを有効にする。• ポリシーの管理を有効にする (追加、編集、削除)。• ポリシーの割り当てを有効にする (ポリシーをオン/オフにする、および既存のポリシーにユー
ザー、ユーザーグループ、デバイス、デバイスグループを追加する)。この設定をすることにより、たとえば、エンタープライズスーパー管理者が、これらの権限を「閲覧専⽤」または「ヘルプデスク」ロールに追加できるようになります。また、このようなオプションを使⽤して、「管理者」ロールの権限を弱めることもできます。たとえば、カスタムロールでポリシーを管理できないように設定できます。
注追加オプションは、カスタムロールで選択した製品のみに対して適⽤されます。
追加オプションは、カスタムロールのすべての製品とアクセスタイプで同じです。6. 「保存」を選択します。これで、このロールを管理者に割り当てることができます。
関連概念ロール (p. 15)
Copyright © Sophos Limited 19
Sophos Central Enterprise
管理者へのロールの割り当ては、「Sophos Central Enterprise」としてログインしている場合のみに実⾏できます。関連タスクロールの変更 (p. 20)管理者に割り当てられているロールの変更は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。カスタムロールの削除 (p. 20)カスタムロールの削除は、エンタープライズスーパー管理者としてログインしている場合に実⾏できます。
9.2.5 ロールの変更管理者に割り当てられているロールの変更は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。複数の管理者のロールを⼀括変更することが可能です。
制約事項現在サインインしている管理者のロールを変更することはできません。
ロールの変更⽅法は次のとおりです。1. 「管理者設定」で管理者名を選択します。「管理者の詳細」ページが開きます。
別の管理者に割り当てるロールを持つ管理者を選択します。たとえば、管理者に読み取り専⽤のロールを割り当てる場合は、読み取り専⽤の管理者を選択します。
2. ロールを選択します。ロールの種類のページが開きます。3. 「ロールのメンバー」リストの上にある「編集」を選択します。4. 「割り当て可能な管理者」リストから管理者を追加し、「保存」を選択します。
関連概念ロール (p. 15)管理者へのロールの割り当ては、「Sophos Central Enterprise」としてログインしている場合のみに実⾏できます。関連タスクカスタムロールの追加 (p. 18)カスタムロールの追加は、エンタープライズスーパー管理者としてログインしている場合に実⾏できます。カスタムロールの削除 (p. 20)カスタムロールの削除は、エンタープライズスーパー管理者としてログインしている場合に実⾏できます。
9.2.6 カスタムロールの削除カスタムロールの削除は、エンタープライズスーパー管理者としてログインしている場合に実⾏できます。削除できるのは、カスタムロールのみです。管理者が割り当てられているロールを削除することはできません。先に管理者のロールを変更しておく必要があります。1. 「管理者設定」ページで、「ロール」を選択します。
20 Copyright © Sophos Limited
Sophos Central Enterprise
2. 削除するロールを選択し、「削除」を選択します。3. 「削除」を選択してロールの削除を確定します。
関連概念ロール (p. 15)管理者へのロールの割り当ては、「Sophos Central Enterprise」としてログインしている場合のみに実⾏できます。関連タスクロールの変更 (p. 20)管理者に割り当てられているロールの変更は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。カスタムロールの追加 (p. 18)カスタムロールの追加は、エンタープライズスーパー管理者としてログインしている場合に実⾏できます。管理者の削除 (p. 21)管理者の削除は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。
9.2.7 管理者の削除管理者の削除は、「エンタープライズスーパー管理者」でログインしている場合のみに実⾏できます。「エンタープライズスーパー管理者」が⾃分⾃⾝を削除することはできません。管理者を削除する⽅法は次のとおりです。• 管理者設定 に表⽰される内容は次のとおりです。
a) 「管理者」を選択します。b) 削除する管理者を選択し、「削除」を選択します。
• または、「管理者設定」で管理者名をクリックし、「管理者の詳細」ページを開いて「管理者の削除」を選択します。
9.3 多要素認証の設定多要素認証を使⽤したサインインの設定を管理できます。エンタープライズ管理者⽤の多要素認証がリセットされた場合、エンタープライズ管理者は、それを設定し直す必要があります。多要素認証 (MFA) の設定⽅法は次のとおりです。1. サインイン画⾯で、ユーザー ID (メールアドレス) およびパスワードを⼊⼒します。2. 次に表⽰されるダイアログで、次の⼿順を実⾏します。
a) 送信されたメールにあるセキュリティコードを⼊⼒します。b) 6桁の PIN を作成します。これによって、メールを認証⽅法として使⽤できるようになりま
す。3. 次に表⽰されるダイアログで、認証の種類を選択します。4. 「デバイスを確認する」で QR コードを読み取り、セキュリティコードを⼊⼒します。コード
は、Sophos/Google Authenticator アプリや SMS メッセージに表⽰されます。Sophos Central Enterprise が開きます。
Copyright © Sophos Limited 21
Sophos Central Enterprise
Sophos/Google Authenticator や SMS メッセージを使⽤できない場合は、メール認証でサインインできます。これには、メールで受信した検証コードと、ご⾃分の 6桁の PIN を⼊⼒してください。
9.4 フェデレーション サインイン管理者のフェデレーション サインインを有効にするには、「エンタープライズスーパー管理者」の権限が必要です。Sophos Central Enterprise のサインイン情報、Microsoft のサインイン情報、またはその両⽅を使⽤して、Sophos Central Enterprise にサインインすることを管理者に許可できます。Sophos Central Enterprise のフェデレーション サインインを有効にしても、サブ管理サイトには適⽤されません。
制約事項Sophos Central Enterprise にサインインするのと同じ Microsoft のサインイン情報を使ってSophos Central Admin にサインインすることはできません。
注Sophos Central Enterprise は、モバイルデバイスには対応していません。
特定の管理者に対するカスタム サインイン ルールを追加することもできます。
Microsoft の認証情報を使⽤したサインイン管理者が Microsoft の認証情報を使⽤してサインインできるようにするには、次の設定が必要です。• Azure AD 管理者は、組織の Azure AD テナントに保管されている認証情報を使⽤して Sophos
Central にサインインすることに同意 (許可) する必要があります。この同意は Sophos Central Admin、Sophos Central Enterprise、およびセルフサービスポータルに適⽤されます。Azure AD 管理者が許可すると、Azure AD テナントで Sophos Central が信頼され、各管理者が Microsoft の認証情報を使ってサインインできるようになります。
• フェデレーション サインインをオンにする必要があります。管理者がサインインに使⽤する認証情報を選択する必要があります。
管理者が Microsoft の認証情報のみを使⽤してサインインするように設定するには、次のことを把握する必要もあります。• Sophos Central Enterprise のサインイン情報のみを使⽤するように変更するとどうなるか︖
管理者に対して、検証に使⽤するパスワードが設定されていません。「パスワードのリセット」を使⽤して新しいパスワードを設定した後、サインインする必要があります。
• Microsoft の認証情報のみでサインイン をオンにした場合、管理者はパスワードをリセットできるか︖いいえ、パスワードのリセットメールを受信しません。
22 Copyright © Sophos Limited
Sophos Central Enterprise
注管理者は、 Sophos Central Enterprise の認証情報に関連付けられたメールアドレスがMicrosoft のサインイン情報と⼀致する場合、Microsoft の認証情報を使⽤してサインインできます。
関連タスクフェデレーション サインインをオンにする⽅法 (p. 23)ここにある⼿順に従ってフェデレーション サインインをオンにして、管理者のサインイン⽅法を選択します。関連情報サポートデータベースの⽂章︓Sophos Central Azure AD フェデレーションサポートデータベースの⽂章︓Sophos Central Azure AD フェデレーションに関するよくある質問(FAQ)Azure AD アプリケーションの同意エクスペリエンスについて
9.4.1 フェデレーション サインインをオンにする⽅法ここにある⼿順に従ってフェデレーション サインインをオンにして、管理者のサインイン⽅法を選択します。管理者が Microsoft の認証情報を使⽤してサインインするように設定するには、次の操作を⾏う必要があります。• Microsoft の Azure Active Directory (AD) アカウントがあることを確認します。Azure AD は
Microsoft のクラウドベースの ID とアクセス管理のサービスです。• Azure AD 管理者から、会社の Azure AD を Sophos Central Enterprise で使⽤することの同意
と承認を得ます。• Azure AD アカウントと⼀致する Sophos Central Enterprise アカウントがあることを確認しま
す (メールが⼀致する必要があります)。• フェデレーション サインインをオンにするには、「エンタープライズスーパー管理者」の権限が
必要です。管理者のサインイン⽅法を選択する⽅法は次のとおりです。1. 「設定」で「フェデレーション サインイン」をクリックします。2. 管理者が Microsoft の認証情報を使⽤してサインインできるようにするには、Azure AD 管理者
がフェデレーション サインインに同意していることを確認します。
注Azure AD の管理者が Sophos Central Enterprise に対してフェデレーション サインインの使⽤を許可していない場合、Microsoft の認証情報のみでサインイン をオンにしてもフェデレーション サインインに失敗します。
3. 管理者のサインイン⽅法を選択します。「Microsoft の認証情報のみでサインイン」を選択すると、新たに追加された管理者に、サインインの⽅法が記載されたメールを送信できます。
4. 必要に応じて、特定の管理者に対するカスタム サインイン ルールを追加します。
Copyright © Sophos Limited 23
Sophos Central Enterprise
a) 管理者が Microsoft の認証情報のみを使⽤してサインインするように設定するには、管理者の 1⼈に対して、バイパスのカスタムルールを作成することを推奨します。この設定を⾏うには、「管理者の追加」をクリックします。
b) Sophos Central Enterprise または Microsoft の認証情報を使⽤してサインインすることを許可します。
5. 「保存」をクリックします。
関連概念フェデレーション サインイン (p. 22)管理者のフェデレーション サインインを有効にするには、「エンタープライズスーパー管理者」の権限が必要です。
9.5 グローバルテンプレート設定項⽬とデフォルトポリシーから構成されるテンプレートを作成できます。作成したテンプレートはサブ管理サイトのグループに適⽤できます。
制約事項エンタープライズスーパー管理者のロールが割り当てられている管理者は、グローバルテンプレートを管理できます。
グローバルテンプレートでは、次の設定を⾏うことができます。• 同⼀グループ内のすべてのサブ管理サイトに同じ設定を適⽤する。• サブ管理サイトによる設定の変更を防⽌する。• テンプレートを更新し、変更内容をサブ管理サイトに適⽤する。「グローバルテンプレート」ページには、作成したテンプレート、テンプレートが適⽤されているサブ管理サイト数、前回テンプレートを適⽤した⽇時、および適⽤状態が表⽰されます。サブ管理サイトを検索することでテンプレートを絞り込み表⽰できます。テンプレート名をクリックし、サブ管理サイト、グローバル設定、および関連付けられているデフォルトポリシーを確認します。サブ管理サイトにテンプレートを適⽤するには、テンプレートを選択して「プッシュ」をクリックします。テンプレートが適⽤されるまで数分かかることがあります。
関連概念テンプレート (p. 25)テンプレートに関連付けられているサブ管理サイト、デフォルトポリシー、およびグローバル設定が表⽰されます。関連タスクテンプレートの作成 (p. 25)グローバルテンプレートを作成できます。テンプレートの複製 (p. 26)
24 Copyright © Sophos Limited
Sophos Central Enterprise
既存のテンプレートを複製し、新しいサブ管理サイトに割り当てて設定とポリシーを編集することができます。テンプレートを編集したらサブ管理サイトに適⽤できます。
9.5.1 テンプレートの作成グローバルテンプレートを作成できます。
制約事項エンタープライズスーパー管理者のロールが割り当てられている管理者は、テンプレートを作成できます。
テンプレートを作成する⽅法は次のとおりです。1. 「設定」を開き、「グローバルテンプレート」をクリックします。2. 「グローバルテンプレート」をクリックします。3. テンプレートに名前を付けます。説明も⼊⼒できます。4. 「サブ管理サイトの編集」をクリックします。5. このグローバルテンプレートを適⽤するサブ管理サイトをクリックし、「割り当て済みサブ管理
サイト」リストに追加します。「割り当て可能な管理対象サブ管理サイト」は、他のテンプレートに割り当てられていないサブ管理サイトです。
6. 「保存」をクリックします。7. 「グローバル設定」をクリックし、変更する設定をクリックします。8. 変更するデフォルトポリシーを選択し、クリックします。9. 「サブ管理サイトにプッシュ」をクリックし、「プッシュ」をクリックして確定します。
テンプレートはサブ管理サイトにプッシュ (適⽤) する必要があります。テンプレートをプッシュすると変更内容が反映されます。
Sophos Central Admin で、すべての割り当て済みサブ管理サイトのデフォルトポリシーとグローバル設定がロックされます。
関連タスクテンプレートのプッシュ (p. 27)サブ管理サイトをテンプレートに追加すると、Sophos Central Admin で、テンプレートに含まれるすべてのグローバル設定とポリシー設定がロックされます。設定内容は、テンプレートをプッシュ(適⽤) すると反映されます。
9.5.2 テンプレートテンプレートに関連付けられているサブ管理サイト、デフォルトポリシー、およびグローバル設定が表⽰されます。
制約事項エンタープライズスーパー管理者のロールが割り当てられている管理者は、テンプレートを管理できます。
テンプレートは、編集、複製、または削除したり、サブ管理サイトに適⽤したりできます。「サブ管理サイト」タブには、テンプレートに関連付けられている顧客が⼀覧表⽰されます。
Copyright © Sophos Limited 25
Sophos Central Enterprise
「グローバル設定」タブでは、サブ管理サイトに適⽤するセキュリティ設定を指定します。「デフォルトポリシー」タブでは、サブ管理サイトに適⽤するポリシーをカスタマイズします。
関連概念デフォルトポリシー (p. 32)各機能には、デフォルトポリシーがあります。このポリシーはあらかじめ製品に⽤意されているもので、すべてのユーザー (およびデバイス) またはサーバーに最初に適⽤されます。関連タスクテンプレートの編集 (p. 27)既存のテンプレートを編集し、新しいサブ管理サイトに割り当てたり、設定とポリシーを編集したりすることができます。テンプレートを編集したらサブ管理サイトに適⽤できます。テンプレートの複製 (p. 26)既存のテンプレートを複製し、新しいサブ管理サイトに割り当てて設定とポリシーを編集することができます。テンプレートを編集したらサブ管理サイトに適⽤できます。テンプレートの削除 (p. 28)テンプレートを削除した場合、サブ管理サイトに適⽤されている設定は、前回プッシュしたデフォルトポリシーと設定内容に戻ります。テンプレートのプッシュ (p. 27)サブ管理サイトをテンプレートに追加すると、Sophos Central Admin で、テンプレートに含まれるすべてのグローバル設定とポリシー設定がロックされます。設定内容は、テンプレートをプッシュ(適⽤) すると反映されます。
テンプレートの複製既存のテンプレートを複製し、新しいサブ管理サイトに割り当てて設定とポリシーを編集することができます。テンプレートを編集したらサブ管理サイトに適⽤できます。割り当て済みサブ管理サイトのリストは複製されません。
制約事項エンタープライズスーパー管理者のロールが割り当てられている管理者は、テンプレートを複製できます。
テンプレートを複製する⽅法は次のとおりです。1. テンプレートを選択します。2. 「複製」を選択します。3. テンプレートに新しい名前を付けます。説明も⼊⼒できます。4. 「サブ管理サイトの編集」を選択します。5. このグローバルテンプレートを適⽤するサブ管理サイトを選択し、「割り当て済みサブ管理サイ
ト割り当て済みサブ管理サイト」リストに追加します。「割り当て可能な管理対象サブ管理サイト」は、他のテンプレートに割り当てられていないサブ管理サイトです。
6. 「グローバル設定」を編集します。7. 「サブ管理サイトの編集」を選択します。8. 「デフォルトポリシー」を編集します。9. テンプレートをサブ管理サイトにプッシュ (適⽤) します。
テンプレートをプッシュすると変更内容が反映されます。
26 Copyright © Sophos Limited
Sophos Central Enterprise
関連タスクテンプレートのプッシュ (p. 27)サブ管理サイトをテンプレートに追加すると、Sophos Central Admin で、テンプレートに含まれるすべてのグローバル設定とポリシー設定がロックされます。設定内容は、テンプレートをプッシュ(適⽤) すると反映されます。
テンプレートの編集既存のテンプレートを編集し、新しいサブ管理サイトに割り当てたり、設定とポリシーを編集したりすることができます。テンプレートを編集したらサブ管理サイトに適⽤できます。
制約事項エンタープライズスーパー管理者のロールが割り当てられている管理者は、テンプレートを編集できます。
1. テンプレートを選択します。2. 「編集」を選択します。3. 必要に応じて、「サブ管理サイトの編集」を選択します。次の⼿順を実⾏できます。
• このグローバルテンプレートを適⽤するサブ管理サイトを選択し、「割り当て済みサブ管理サイト」リストに追加します。「OK」をクリックして、追加した項⽬を確認します。サブ管理サイトをテンプレートに割りてると、Sophos Central Admin でデフォルトポリシーがロックされます。
• 「割り当て済みサブ管理サイト」リストからサブ管理サイトを選択して、「割り当て可能な管理対象サブ管理サイト」リストに追加し、顧客を削除する。「割り当て解除」をクリックして、削除を確定します。サブ管理サイトをリストから削除すると、前回プッシュした設定内容に戻ります。サブ管理サイトは、Sophos Central Admin からデフォルトポリシーと設定内容をリセットすることができます。
4. 「グローバル設定」を編集します。5. 「デフォルトポリシー」を編集します。6. テンプレートをサブ管理サイトにプッシュ (適⽤) します。
テンプレートをプッシュすると変更内容が反映されます。
関連タスクテンプレートのプッシュ (p. 27)サブ管理サイトをテンプレートに追加すると、Sophos Central Admin で、テンプレートに含まれるすべてのグローバル設定とポリシー設定がロックされます。設定内容は、テンプレートをプッシュ(適⽤) すると反映されます。
テンプレートのプッシュサブ管理サイトをテンプレートに追加すると、Sophos Central Admin で、テンプレートに含まれるすべてのグローバル設定とポリシー設定がロックされます。設定内容は、テンプレートをプッシュ(適⽤) すると反映されます。テンプレートが適⽤されるまで数分かかることがあります。
Copyright © Sophos Limited 27
Sophos Central Enterprise
制約事項エンタープライズスーパー管理者のロールが割り当てられている管理者は、テンプレートをプッシュできます。
テンプレートをプッシュする⽅法は次のとおりです。1. テンプレートを選択します。2. 「サブ管理サイトにプッシュ」を選択します。3. 「プッシュ」をクリックして確定します。プッシュンのステータスは、「グローバルテンプレート」ページに表⽰されます。また、前回テンプレートがプッシュされた⽇時と、プッシュを実⾏したユーザーも表⽰されます。
テンプレートの削除テンプレートを削除した場合、サブ管理サイトに適⽤されている設定は、前回プッシュしたデフォルトポリシーと設定内容に戻ります。
制約事項エンタープライズスーパー管理者のロールが割り当てられている管理者は、テンプレートを削除できます。
テンプレートを削除する⽅法は次のとおりです。1. テンプレートを選択します。2. 「削除」を選択します。3. 「はい、このテンプレートを削除します」を選択して「削除」をクリックし、ファイルの削除を
確定します。サブ管理サイトは、Sophos Central Admin からデフォルトポリシーと設定内容をリセットすることができます。
9.5.3 サブ管理サイトサブ管理サイトをテンプレートに追加すると、テンプレートに含まれるすべてのデフォルトポリシーと設定がロックされます。設定内容は、テンプレートをプッシュ (適⽤) すると反映されます。
制約事項エンタープライズスーパー管理者のロールが割り当てられている管理者は、グローバルテンプレートを管理できます。
テンプレートに追加されているサブ管理サイトは、テンプレートに表⽰されるデフォルトポリシーやカスタマイズしたグローバル設定を変更できません。サブ管理サイトのリストを変更する⽅法は次のとおりです。1. 「サブ管理サイトの編集」を選択します。2. 「割り当て可能な管理対象サブ管理サイト」リストからサブ管理サイトを選択し、「割り当て済
みサブ管理サイト」リストに追加します。「割り当て可能な管理対象サブ管理サイト」は、他のテンプレートに割り当てられていないサブ管理サイトです。
28 Copyright © Sophos Limited
Sophos Central Enterprise
3. 「割り当て済みサブ管理サイト」リストからサブ管理サイトを選択し、「割り当て可能な管理対象サブ管理サイト」リストに追加すれば、それを削除できます。
4. 「保存」を選択します。5. 「サブ管理サイトにプッシュ」を選択します。テンプレートが適⽤されるまで数分かかることが
あります。
9.5.4 グローバル設定「グローバル設定」を使⽤して、サブ管理サイトに適⽤するセキュリティ設定を指定します。「グローバル設定」タブでは、サブ管理サイトに適⽤するセキュリティ設定を指定できます。サブ管理サイトは、このようなカスタム設定を変更することはできません。サブ管理サイトに適⽤するグローバルテンプレートに応じて、異なるセキュリティ設定を指定することができます。表⽰されるページは、ライセンスで使⽤が許諾されている機能によって異なります。⼀部の設定は、デフォルトポリシーのみで利⽤できます。
関連概念デフォルトポリシー (p. 32)各機能には、デフォルトポリシーがあります。このポリシーはあらかじめ製品に⽤意されているもので、すべてのユーザー (およびデバイス) またはサーバーに最初に適⽤されます。許可されたアプリケーション (p. 29)安全なことがわかっているアプリケーションが、ソフォス製品によって脅威として検出される場合があります。関連タスクWeb サイトの管理 (p. 32)Sophos Central の Web サイトフィルタリングを拡張できます。グローバル除外 (p. 30)以下の説明に従って、ファイルや Web サイト、アプリケーションを脅威の検索から除外することができます。
許可されたアプリケーション安全なことがわかっているアプリケーションが、ソフォス製品によって脅威として検出される場合があります。Sophos Central Admin でアプリケーションを許可した場合、Sophos Central Enterprise の許可されたアプリケーションのリストには表⽰されません。Sophos Central Enterprise で許可するすべてのアプリケーションは、サブ管理サイトにテンプレートを適⽤すると、Sophos Central Admin の許可されるアプリケーションのリストにマージされます。
許可されたアプリケーションについてソフォスのソフトウェアでは、未知の脅威を検出することができます。その⼀⽅で、安全なことがわかっているアプリケーションがマルウェアとして検出される場合があります。こうした場合は、アプリケーションを「許可」することができます。アプリケーションを許可すると次のようになります。• 許可した項⽬が今後検出されないようになります。• クリーンアップされた (コンピュータから削除された) ファイルがすべて復元されます。
Copyright © Sophos Limited 29
Sophos Central Enterprise
また、あらかじめアプリケーションを許可しておき、エンドポイントにインストールしたときに検出されないようにすることもできます。ただし、セキュリティが低下するので慎重に検討してください。
アプリケーションの事前許可アプリケーションをあらかじめ許可しておき、エンドポイントにインストールしたときに検出されないようにすることができます。この場合、安全なことがわかっているにも関わらず、脅威として検出される可能性のあるアプリケーションのみを許可してください。ただし、セキュリティが低下するので慎重に検討してください。以下の点に注意してください。• アプリケーションは、パス (場所) の指定によってのみ許可できます。• アプリケーションの起動は許可されますが、アプリケーションの実⾏中に、脅威、エクスプロイ
ト、悪意のある動作がないかチェックが⾏われます。1. 「グローバル設定」ページで「許可されたアプリケーション」をクリックします。2. 「パスを指定してアプリを追加する」を選択します。3. パスを⼊⼒します。コンピュータごとに異なる場所にアプリケーションがインストールされてい
る場合は、変数を使⽤できます。
許可されたアプリケーションのパスの編集アプリケーションを許可したときに指定したパスを変更することができます。1. 「許可されたアプリケーション」ページで、対象のアプリケーションを探します。現在指定され
ているパスが詳細に表⽰されます。2. ページ右端の編集アイコン (ペンの形のアイコン) をクリックしま
す。3. 「パスの編集」ダイアログに新しいパスを⼊⼒します。パスを編集すると、元の検出内容 (ユーザー、コンピュータ、パス) がリストから削除されます。
アプリケーションの検出の再開いったん許可したアプリケーションの検出と削除を再開したい場合は、「許可されたアプリケーション」のリストからアプリケーションを削除します。アプリケーションを選択してページ右上の「削除」をクリックします。
グローバル除外以下の説明に従って、ファイルや Web サイト、アプリケーションを脅威の検索から除外することができます。除外された項⽬に対して、エクスプロイトの検出は実⾏されます。
30 Copyright © Sophos Limited
Sophos Central Enterprise
注ここで指定する除外は、すべてのユーザーとデバイス、およびサーバーに適⽤されます。特定のユーザーやサーバーのみに設定を適⽤する場合は、Sophos Central Admin のポリシーで除外を設定してください。
エンタープライズ管理者は、Sophos Central Enterprise からグローバル除外をプッシュできます。プッシュした項⽬は、Sophos Central Admin の「グローバル除外」リストに追加されます。サブ管理サイトの管理者:• Sophos Central Admin のリストに直接除外を追加することはできません。• イベントリストから除外を追加することはできます。追加した項⽬は、Sophos Central
Enterprise の「グローバル除外」リストには追加されません。1. 「グローバル設定」で、「グローバル除外」をクリックします。2. ページ右側の「除外の追加」をクリックします。
「除外の追加」ダイアログが表⽰されます。3. 「除外の種類」ドロップダウンリストから、除外する項⽬の種類 (ファイルまたはフォルダ、プロ
セス、Web サイト、不要と思われるアプリケーション) を選択します。4. 除外する項⽬ (複数選択可) を指定します。適⽤されるルールは次のとおりです。
• ファイルまたはフォルダ (Mac/Linux): フォルダまたはファイルを除外できます。ワイルドカード⽂字「?」、および「*」を使⽤できます。例: /Volumes/excluded (Mac)/mnt/hgfs/excluded (Linux)
• ファイルまたはフォルダ (仮想サーバー): Sophos Security VM で保護されている Windows環境のゲスト VM では、ドライブ、フォルダ、またはファイルを、フルパスを指定して除外できます。ワイルドカード⽂字「*」と「?」を、ファイル名のみに対して使⽤できます。
• プロセス (Windows)。アプリケーションで実⾏される、いずれのプロセスも除外できます。プロセスによって使⽤されるファイルも (プロセスによるアクセス時のみ) 除外の対象になります。「タスク マネージャ」に表⽰されるプロセス名だけでなく、可能な限り、アプリケーションのフルパスも⼊⼒してください。例: %PROGRAMFILES%\Microsoft Office\Office14\Outlook.exeワイルドカード⽂字や拡張変数を使⽤できます。
注特定のアプリケーションから除外が必要なプロセスや他の項⽬の全容は、各アプリケーションのベンダーのドキュメントを参照してください。
• Web サイト。Web サイトは、IP アドレス、IP アドレスの範囲 (CIDR 記法)、またはドメインで指定できます。例: IP アドレス: 192.168.0.1 IP アドレスの範囲: 192.168.0.0/24 最終部分の /24 は、この範囲のすべての IP アドレスに共通のプレ
フィックスにあるビット数です。このため、/24 はネットマスクの11111111.11111111.11111111.00000000 を⽰しています。この例では、192.168.0. で始まるすべての IP アドレスが含まれることになります。
ドメイン: google.com• 不要と思われるアプリケーション: 通常はスパイウェアとして検出されるアプリケーションを
ここで除外できます。システムによって検出された名前を使⽤して除外を指定してください。5. ファイルまたはフォルダを除外する場合は、「除外対象」ドロップダウンリストから、リアルタ
イム検索、スケジュール検索、またはその両⽅を除外する選択肢を指定します。
Copyright © Sophos Limited 31
Sophos Central Enterprise
6. 「追加」または「次を追加」をクリックします。除外の⼀覧に除外項⽬が追加されます。
関連情報ソフォスの脅威解析センター
Web サイトの管理Sophos Central の Web サイトフィルタリングを拡張できます。「Web サイトの管理」で、Web サイトのリストを使⽤して Webサイトのタグ設定を⾏うことができます。これにより、Web サイトがカスタムカテゴリに対応するグループに分類されます。設定したタグは、Sophos Central Admin の Web コントロール ポリシーで使⽤し、特定のユーザーのWeb サイトの閲覧を制御することができます。ソフォスによる Web サイトの分類が適切でないと思う場合は、変更を申請できます。1. ページ右上の「追加」をクリックします。
「Web サイトのカスタマイズ設定の追加」ダイアログが表⽰されます。2. サイトを⼊⼒します。
Web サイトリストの項⽬は、単⼀の URL、フルドメイン、CIDR の範囲、トップレベルのドメインなどで作成できます。
注IP アドレスを指定した Web サイトの管理は、ブラウザベースのアクセスのみを制御します。他のアプリケーションをブロックしたり、ローカルファイアウォールのルールに影響を与えたりすることはありません。
3. ⼊⼒したサイトにタグを関連付けるには、「タグを有効にする」をクリックします。次に、タグ名を⼊⼒します。タグは、Sophos Central Admin で Web コントロールポリシーを作成する際に使⽤できます。
4. 必要に応じて、「コメント」テキストボックスに⼊⼒します。作成したタブとオーバーライドしたカテゴリに関する情報を⼊⼒しておくと、以後、ポリシーに関する問題をトラブルシューティングする際に役⽴ちます。
5. 「保存」をクリックします。⼊⼒した内容が Web サイトのリストに追加されます。
関連情報脅威の再分類
9.5.5 デフォルトポリシー各機能には、デフォルトポリシーがあります。このポリシーはあらかじめ製品に⽤意されているもので、すべてのユーザー (およびデバイス) またはサーバーに最初に適⽤されます。
制約事項エンタープライズスーパー管理者のロールが割り当てられている管理者は、デフォルトポリシーを管理できます。
32 Copyright © Sophos Limited
Sophos Central Enterprise
これまでポリシーを使⽤したことがない場合は、このページを読み、デフォルトポリシーがどのように適⽤されるかを確認してください。
ポリシーとは︖ポリシーは、ユーザー、デバイス、またはサーバーを保護するために、Sophos Central で適⽤するセキュリティ設定の集まりです。各製品、または製品に含まれる各機能に対してポリシーがあります (例: アプリケーションコントロール機能⽤のポリシー)。ユーザー、デバイス、およびサーバーには、別々のポリシーが適⽤されます。
グローバル デフォルト ポリシーとは︖脅威対策など⼀部の機能のデフォルトポリシーは、ソフォスが推奨する設定で構成されています。デフォルトポリシーは、変更の必要がなければ、そのまま使⽤することもできます。アプリケーションコントロールや周辺機器コントロールなど、使⽤しているネットワークに応じて設定することが多い機能は、機能を設定する際にポリシーを編集する必要があります。デフォルトポリシーは、いつでも利⽤することができ、デフォルト以外のポリシーが有効になっていない場合に適⽤されます。
注デフォルトポリシーを無効化したり削除したりすることはできません。
グローバル デフォルト ポリシーに含まれる設定グローバル デフォルト ポリシーを使⽤して次のことができます。• サブ管理サイトのデフォルトポリシーの設定を⾏う。• ポリシーを割り当てるサブ管理サイトを指定する。この設定にはグローバルテンプレートを使⽤
します。
制約事項サブ管理サイトは、ここで表⽰されるいずれのデフォルトポリシーも変更できません。
グローバル デフォルト ポリシーに設定できるデフォルトポリシーは︖メールセキュリティに対応するデフォルトポリシーを設定できます。デバイス暗号化に対応するデフォルトポリシーを設定できます。エンドポイントプロテクションのデフォルトポリシーを設定できます。サーバープロテクションのデフォルトポリシーを設定できます。
関連概念デフォルトポリシーの編集 (p. 35)
Copyright © Sophos Limited 33
Sophos Central Enterprise
デフォルトポリシーを編集して、ユーザー、グループ、またはデバイスに割り当てることができます。テンプレート (p. 25)テンプレートに関連付けられているサブ管理サイト、デフォルトポリシー、およびグローバル設定が表⽰されます。エンドポイント: 周辺機器コントロール (p. 36)周辺機器コントロールでは、周辺機器やリムーバブルメディアへのアクセスを制御することができます。エンドポイント: 脅威対策 (p. 37)脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。エンドポイント: アップデートの管理 (p. 41)アップデートの管理のデフォルトポリシーで、ネットワーク上の製品アップデートを利⽤可能な状態にするタイミングを指定できます。設定すると、コンピュータのアップデートは設定した⽇時になるまで⾏われません。エンドポイント: Web コントロール (p. 42)ユーザーおよびコンピュータを保護するには、Web コントロールのオプションを設定する必要があります。デフォルトで設定されているオプションはありません。エンドポイント: Windows ファイアウォール (p. 43)Windows ファイアウォールのデフォルトポリシーを使⽤して、コンピュータ上の Windows ファイアウォールを監視・設定 (および他の登録済みファイアウォールを監視) できます。サーバー: ロックダウン (p. 45)サーバー ロックダウンは、サーバーでの承認されていないソフトウェアの実⾏を防⽌する機能です。サーバー: 周辺機器コントロール (p. 46)周辺機器コントロールでは、周辺機器やリムーバブルメディアへのアクセスを制御することができます。サーバー: 脅威対策 (p. 47)脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。サーバー: アップデートの管理 (p. 51)アップデートの管理のデフォルトポリシーで、ネットワーク上の製品アップデートを利⽤可能な状態にするタイミングを指定できます。設定すると、コンピュータのアップデートは設定した⽇時になるまで⾏われません。サーバー: Web コントロール (p. 52)Web コントロールでは、特定のカテゴリに属する Web サイトの閲覧を制限することができます。サーバー: Windows ファイアウォール (p. 53)Windows ファイアウォールのデフォルトポリシーを使⽤して、サーバー上の Windows ファイアウォールを監視・設定 (および他の登録済みファイアウォールを監視) できます。暗号化: デバイス暗号化 (p. 53)デバイス暗号化では、BitLocker (Windows) や FileVault (Mac) など、OS に搭載されているドライブ暗号化機能を管理できます。ハードディスクを暗号化することで、デバイスの盗難・紛失時にもデータを安全に保つことができます。メールセキュリティ (p. 54)このポリシーを使⽤して、メールにセキュリティポリシーを適⽤します。関連タスクエンドポイント: アプリケーションコントロール (p. 35)アプリケーションコントロールでは、セキュリティ脅威ではないものの業務での使⽤は不適切と判断されるアプリケーションを検出し、ブロックすることができます。サーバー: アプリケーションコントロール (p. 44)
34 Copyright © Sophos Limited
Sophos Central Enterprise
アプリケーションコントロールでは、セキュリティ脅威ではないものの業務での使⽤は不適切と判断されるアプリケーションを検出し、ブロックすることができます。
デフォルトポリシーの編集デフォルトポリシーを編集して、ユーザー、グループ、またはデバイスに割り当てることができます。
制約事項エンタープライズスーパー管理者のロールが割り当てられている管理者は、デフォルトポリシーを編集できます。
1. 「グローバルテンプレート」ページでテンプレートをクリックします。2. 「デフォルトポリシー」に移動します。
デフォルトポリシーの⼀覧が表⽰されます。3. 編集するデフォルトポリシーを参照してクリックします。4. デフォルトポリシーで、タブを使⽤して次の設定を⾏います。
• デフォルトポリシーの割り当て。たとえば、特定のユーザー、グループ、またはデバイスにデフォルトポリシーを割り当てることができます。
• デフォルトポリシーの設定。各種デフォルトポリシーについて、該当するヘルプトピックを参照してください。
• デフォルトポリシーの有効化/無効化。
エンドポイント: アプリケーションコントロールアプリケーションコントロールでは、セキュリティ脅威ではないものの業務での使⽤は不適切と判断されるアプリケーションを検出し、ブロックすることができます。ネットワークで使⽤されるアプリケーションを検出したうえで、次のようにしてブロックするアプリケーションを選定することを推奨します。1. 「制御対象アプリケーション」の⼀覧で、「リストの追加/編集」をクリックします。
ダイアログが開き、制御可能なアプリケーションのカテゴリが表⽰されます。このリストはソフォスによって提供・更新されます。
2. たとえば、「ブラウザ⽤プラグイン」など、アプリケーションのカテゴリを選択します。カテゴリに属するアプリケーションが右側のパネルに表⽰されます。
3. 「すべてのアプリケーションを選択する」オプションを選択することを推奨します。選択した項⽬は後で絞り込みます。
4. 「リストに保存」をクリックし、制御する各カテゴリに対して⼿順を繰り返します。ソフォスが提供するリストに登録されていないアプリケーションの制御が必要な場合は、リストへの登録申請を⾏います。アプリケーションコントロール設定の画⾯下部にある「アプリケーションコントロールへの対応リクエスト」というリンクをクリックします。
5. 検出オプション に表⽰される内容は次のとおりです。• 「ユーザーのアクセス時に制御対象アプリケーションを検出する」をクリックします。• 「検出されたアプリケーションをブロックする」をクリックします。
ソフォスが今後新しくリストに追加するアプリケーションをすべて制御するように選択した場合、以後それらの新しいアプリケーションはブロックされます。
Copyright © Sophos Limited 35
Sophos Central Enterprise
6. 「デスクトップ通知」で、標準の通知⽂にメッセージを付け加えることができます。メッセージボックスに何も⼊⼒しない場合、標準の通知⽂のみが表⽰されます。「デスクトップ通知」は、デフォルトで有効になっています。「デスクトップ通知」を無効にすると、アプリケーションコントロールに関する通知メッセージは表⽰されなくなります。a) 追加するテキストを⼊⼒します。
エンドポイント: 周辺機器コントロール周辺機器コントロールでは、周辺機器やリムーバブルメディアへのアクセスを制御することができます。周辺機器を個別に制御の対象から除外する場合は、Sophos Central Admin の周辺機器コントロールポリシーで設定を⾏う必要があります。
周辺機器管理「周辺機器管理」で周辺機器の制御⽅法を選択します。• 監視するがブロックしない: 選択すると、以下の設定内容にかかわらず、すべての周辺機器へのア
クセスが許可されます。使⽤する周辺機器はすべて検出されますが、周辺機器へのアクセスポリシーは設定できません。
• 周辺機器の種類ごとにアクセスを制御し、除外を設定する: 選択すると、周辺機器の種類に基づいてアクセスを制御するポリシーを設定できます。
制約事項周辺機器の例外をグローバルに追加することはできないので、顧客レベルで実⾏する必要があります。
制約事項周辺機器の例外をグローバルに追加することはできないので、サブ管理サイトレベルで実⾏する必要があります。
アクセスポリシーの設定「MTP/PTP」カテゴリには、MTP や PTP プロトコルを使⽤してコンピュータに接続する携帯電話、カメラ、メディアプレーヤーなどが含まれます。各周辺機器の種類に対して、アクセスポリシーを変更できます。• 許可する: 周辺機器へのアクセスは制限されません。• ブロックする: 周辺機器へのアクセスは拒否されます。• 読み取り専⽤: 周辺機器には読み取り専⽤のみでアクセスできます。「Bluetooth」、「⾚外線通信デバイス」、「モデム」の項⽬では、「読み取り専⽤」オプションは表⽰されません。ワイヤレス ネットワーク アダプタ」の項⽬では、「ブリッジ接続をブロック」というオプションが表⽰されます。このオプションを選択すると、2つのネットワーク間の接続がブロックされます。
36 Copyright © Sophos Limited
Sophos Central Enterprise
デスクトップ通知標準の通知⽂の最後にメッセージを付け加えることができます。メッセージボックスに何も⼊⼒しない場合、標準の通知⽂のみが表⽰されます。「デスクトップ通知」は、デフォルトで有効になっています。
注「デスクトップ通知」を無効にすると、周辺機器コントロールに関する通知メッセージは表⽰されなくなります。
メッセージボックス内をクリックして、追加するテキストを⼊⼒します。
エンドポイント: 脅威対策脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。SophosLabs は検索を実⾏するファイルを独⾃に制御できます。最適な保護機能環境を提供するために、特定のファイルタイプの検索を追加したり、削除したりすることがあります。
制約事項エンドポイントの脅威対策のデフォルトポリシーで検索除外を設定することはできません。この設定は、Sophos Central Admin で⾏うことができます。
推奨設定を使⽤するソフォスが推奨する設定を使⽤する場合は、「推奨設定を使⽤する」をクリックします。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。今後ソフォスで推奨設定を変更する場合は、お使いの設定が⾃動的に新しい設定内容で更新されます。推奨設定の内容は次のとおりです。• 既知マルウェアの検出。• ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検
出。• 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。• マルウェアの⾃動クリーンアップ。
Live ProtectionSophosLabs のデータベースに登録されている最新のマルウェアデータを照会して、疑わしいファイルをチェックします。選択できるオプションは次のとおりです。Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする: リアルタイム検索時にファイルをチェックします。
Copyright © Sophos Limited 37
Sophos Central Enterprise
ディープラーニングディープラーニングは⾼度な機械学習を利⽤して脅威を検出します。既知および未知のマルウェアや、業務上不要と思われるアプリケーションを、シグネチャを使⽤することなく識別することが可能です。ディープラーニングは Sophos Intercept X でのみ利⽤できます。
敵対⾏為に対するアクティブな抑⽌ (Active Adversary Mitigation)多種多様なエクスプロイトや Active Adversary Threat (積極的な攻撃を⾏う脅威) からコンピュータを守ることができます。認証情報の窃取を防⽌する: パスワードやハッシュ情報をメモリ、レジストリ、ハードディスクから窃取しようとする⾏為を阻⽌します。APC の悪⽤を防⽌する: APC (Application Procedure Call) を悪⽤してコードを実⾏する攻撃を防ぎます。権限昇格を防⽌する: 権限の低いプロセスを⾼い権限に昇格させ、システムにアクセスしようとする攻撃を防ぎます。コードケイブの使⽤を防⽌する: 正規アプリケーションに埋め込まれた悪意のあるコードを検出します。Application Verifier のエクスプロイトを防⽌する: アプリケーション検証ツールを悪⽤して未承認のソフトウェアが実⾏されるのを防⽌します。
リアルタイム検索 - ローカルファイルおよびネットワーク共有フォルダリアルタイム検索は、ユーザーがファイルにアクセスしようとするとマルウェア検索を実⾏し、ファイルが感染していない場合にアクセスを許可します。ローカルファイルはデフォルトで検索が実⾏されます。「リモートファイル」を選択して、ネットワーク共有内のファイルを検索することもできます。
リアルタイム検索 (インターネット)リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実⾏されます。選択できるオプションは次のとおりです。進⾏中のダウンロードをスキャンする悪意のある Web サイトへのアクセスをブロックする: マルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。レピュテーションの低いファイルを検出する: レピュテーションの低いファイルをダウンロードした場合に警告が表⽰されます。レピュテーションは、ファイルのソース、ダウンロードの頻度、およびその他の要因を基に構築されます。指定できるオプションは次のとおりです。• アクション: 「ユーザーに通知」を選択した場合、ユーザーがレピュテーションの低いファイルを
ダウンロードすると警告が表⽰されます。ユーザーはファイルを信頼または削除できます。このオプションはデフォルトで選択されています。
38 Copyright © Sophos Limited
Sophos Central Enterprise
• レピュテーション レベル: 「⾼レベル」を選択すると、レピュテーションが低いファイルに加えて、中程度のファイルも検出されます。デフォルトの設定は、「推奨」です。
修復修復のオプションは次のとおりです。• マルウェアを⾃動的にクリーンアップする: Sophos Central で検出されたマルウェアのクリーン
アップが⾃動的に実⾏されます。クリーンアップに成功すると、マルウェアが検出されたという警告は警告のリストから削除されます。検出とクリーンアップは、イベントリストに表⽰されます。⾃動クリーンアップは、アプリケーション、ライブラリ、システムファイルなどの PE(Portable Executable) ファイルには適⽤されません。PE ファイルは隔離され、復元することが可能です。
• 脅威ケースの作成を有効にする: 脅威ケースでは、マルウェア攻撃に関連する⼀連のイベントを調査したり、セキュリティの改善余地のある領域を⾒つけ出すことができます。
• サーバーが疑わしいファイルやネットワークのイベント、管理ツールのアクティビティに関するデータを Sophos Central に送信することを許可する: このオプションを有効にすると、脅威の可能性がある項⽬の詳細がソフォスに送信されます。脅威検索を実⾏するコンピュータに適⽤しているすべてのポリシーで、このオプションを有効にするようにしてください。
注このオプションは、Intercept X Advanced with EDR を導⼊している場合に使⽤できます。
制約事項Intercept X Advanced with EDR を使⽤するには、エンドポイントプロテクションとサーバープロテクションの両⽅で、このオプションをオンにする必要があります。
ランタイム保護ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。選択できるオプションは次のとおりです。ランサムウェアから⽂書ファイルを保護する (CryptoGuard): ファイルへのアクセスを制限したうえで、アクセスを復旧するための⽀払いを強請するマルウェアから⽂書ファイルを保護します。また、リモートから実⾏されるランサムウェアから、64ビット版のコンピュータを保護することもできます。MBR を上書きするランサムウェアから保護する: マスターブートレコードを暗号化してコンピュータの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。Web ブラウザの重要な機能を保護する (セーフブラウジング): マルウェアが Web ブラウザによって悪⽤されることを阻⽌します。脆弱なアプリケーションにおけるエクスプロイトを防⽌する: 特にマルウェアに悪⽤されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。詳細設定: エクスプロイト対策のカスタマイズ: 詳細なオプションが表⽰されます。プロセスを保護する: 正規のアプリケーションがマルウェアによってハイジャックされることを防⽌します。選択できるオプションは次のとおりです。
Copyright © Sophos Limited 39
Sophos Central Enterprise
• プロセス書き換え攻撃を阻⽌する。• 信頼できないフォルダから .DLL ファイルが読み込まれることを阻⽌する。C&C サーバーへの悪意のある接続を検出する: エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィック (C & C 攻撃 (コマンドアンドコントロール攻撃)) を検知します。悪意のある動作を検知する (HIPS): 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。
デバイスの隔離このオプションを選択すると、セキュリティ状態が⾚のデバイスは、⾃動的に隔離されます。デバイスのセキュリティ状態が⾚⾊になるのは、脅威が検出されたときや、最新版でないソフトウェアがあるとき、ポリシーに違反しているとき、適切に保護されていないときです。隔離されたデバイスは、引き続き Sophos Central から管理することができます。また、検索除外やグローバル除外を使⽤して、トラブルシューティングの⽬的で、隔離したコンピュータに制限付きでアクセスすることを許可することもできます。このような隔離したデバイスを復元することはできません。セキュリティ状態が緑⾊になってから、再びネットワークと通信できるようになります。
スケジュール検索スケジュール検索は、指定した⽇時に検索を実⾏します。選択できるオプションは次のとおりです。• スケジュール検索を有効にする: スケジュール検索を実⾏する時刻と曜⽇ (複数可) を定義しま
す。
注スケジュール検索が実⾏される時刻は、エンドポイントコンピュータの時刻で、UTC (協定世界時) ではありません。
• 詳細検索を有効にする: このオプションを選択すると、スケジュール検索時に圧縮ファイル内が検索されます。この場合、システムへの負荷が増え、検索速度が著しく遅くなることもあります。
検索除外以下の説明に従って、ファイル、フォルダ、Web サイト、またはアプリケーションを脅威の検索から除外することができます。除外された項⽬に対して、エクスプロイトの検出は実⾏されます。しかし、検出されたエクスプロイトに対する検索を停⽌することもできます (「検出されたエクスプロイト」の除外オプションを使⽤します)。ポリシー内で設定されている除外は、ポリシーが割り当てられているユーザーのみに適⽤されます。
40 Copyright © Sophos Limited
Sophos Central Enterprise
注すべてのユーザーとサーバーに対して除外を適⽤する場合は、「グローバル設定 > グローバル除外」ページでグローバル除外を設定してください。
ポリシー内で検索除外を作成する⽅法は次のとおりです。1. ページ右側の「除外の追加」をクリックします。
「除外の追加」ダイアログが表⽰されます。2. 「除外の種類」ドロップダウンリストから、除外する項⽬の種類 (ファイルまたはフォルダ、Web
サイト、不要と思われるアプリケーション、またはデバイスの隔離) を選択します。3. 除外する項⽬ (複数選択可) を指定します。4. 「ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リア
ルタイム検索やスケジュール検索、またはその両⽅に対して除外を指定することを選択します。5. 「追加」または「次を追加」をクリックします。検索の除外の⼀覧に除外項⽬が追加されます。後から除外を編集するには、除外の⼀覧で除外項⽬をクリックし、新しい設定内容を⼊⼒して「更新」をクリックします。
デスクトップ通知「デスクトップ通知」を設定するには、「推奨設定を使⽤する」を無効にする必要があります。標準の通知⽂の最後にメッセージを付け加えることができます。メッセージボックスに何も⼊⼒しない場合、標準の通知⽂のみが表⽰されます。「デスクトップ通知」は、デフォルトで有効になっています。「デスクトップ通知」を無効にすると、脅威対策に関する通知メッセージは表⽰されなくなります。追加するテキストを⼊⼒します。
関連情報ファイルレピュテーション
エンドポイント: アップデートの管理アップデートの管理のデフォルトポリシーで、ネットワーク上の製品アップデートを利⽤可能な状態にするタイミングを指定できます。設定すると、コンピュータのアップデートは設定した⽇時になるまで⾏われません。
制約事項このポリシーをユーザーポリシーとして設定することはできません。
「アップデートのスケジュール設定」を有効にして、製品アップデート版をアップデートする⽇時を選択します。コンピュータの電源がオフの場合、次回コンピュータが起動されるまでアップデートは実⾏されないことに注意してください。
Copyright © Sophos Limited 41
Sophos Central Enterprise
エンドポイント: Web コントロールユーザーおよびコンピュータを保護するには、Web コントロールのオプションを設定する必要があります。デフォルトで設定されているオプションはありません。デフォルトで設定されているオプションはありません。
追加のセキュリティオプション「追加のセキュリティオプション」をクリックして広告や未分類のサイト、危険なダウンロードへのアクセスを設定します。危険なダウンロードのブロック: 危険なファイルの種類をブロックしますが、広告および未分類のファイルは許可します。指定なし: 危険なファイルの種類、広告、および未分類のファイルを許可します。詳細を指定: 広告および未分類のサイトを「許可」、「ブロック」、または「警告」に指定できます。また「危険なファイルタイプ」を次のように設定できます。• 推奨: この項⽬が選択されていると、ファイルの種類の⼀覧が下に表⽰されます。• 許可: 危険なファイルタイプを許可します。• 警告: ファイルをダウンロードする前に、危険性があることをユーザーに警告します。• ブロック: すべての危険なファイルタイプをブロックします。• 詳細を指定: ファイルの各種類に対して、それぞれ、「許可」、「警告」、「ブロック」を指定で
きます。
Web サイトの閲覧制限「Web サイトの閲覧制限」を設定します。ユーザーに閲覧を許可する Web サイトを制御します。不適切なサイトの閲覧を禁⽌: アダルトサイトやその他の不適切な Web サイトにユーザーがアクセスできないようにします。不適切なサイトの閲覧を警告: 不適切な Web 閲覧をブロックし、従業員の⽣産性に影響を与える可能性のある Web サイトを閲覧する場合には警告を⾏います。帯域幅を節約: 不適切な Web 閲覧をブロックし、従業員の⽣産性に影響を与える可能性のあるWeb サイトにアクセスする前に警告を⾏います。また、帯域幅を多く消費する可能性のサイトカテゴリをブロックします。業務関連サイトのみ許可: 業務に関連のあるサイトカテゴリのみを許可します。詳細を指定: 各サイトカテゴリを個別に設定できます。カテゴリの各グループ (「⽣産性に影響を与える可能性のあるサイトのカテゴリ」など) に対して、「ブロック」、「警告」、「許可」、「カスタム」のいずれかの動作を設定できます。「カスタム」を選択すると、グループ内の個別のカテゴリを設定できます。ポリシーによる Web サイト制御を詳細に設定するには、「システム設定 > Web サイトの管理」ページを使⽤します。
42 Copyright © Sophos Limited
Sophos Central Enterprise
データ流出の防⽌データ流出の防⽌を設定するには、「データ流出の防⽌」を選択します。このオプションを選択すると、「データ共有をブロック」、「データ共有を許可」、または「詳細を指定」を選択できます。これらのオプションを設定すると、Web ベースのメールとダウンロードしたファイルへのアクセスを制御できます。
Web コントロールのイベントをログに記録する「Web コントロールのイベントをログに記録する」を選択すると、ブロックした Web サイトや警告を表⽰した Web サイトを開こうとした試みがログに記録されます。ログを有効にしないと、感染サイトを閲覧しようとした試みのみがログに記録されます。
Web サイトの管理でタグに設定されているサイトを制御するWeb サイトを独⾃のカスタムカテゴリに分類 (「タグ」を設定) したうえで、Sophos CentralAdmin から Web コントロールポリシーを使⽤して、各カテゴリのサイトを制御できます。この設定を⾏うには、次の操作を実⾏します。1. エンドポイント: Web コントロールで、「Web サイトの管理」を開きます。2. 「追加」をクリックします。3. 「Web サイトのカスタマイズ設定の追加」で、Web サイトを⼊⼒し、タグを追加します。新し
いタグ名を⼊⼒することも、以前に使⽤したタグを選択することもできます (最初の数⽂字を⼊⼒すると、タグの候補が表⽰されます)。
4. 「保存」をクリックします。5. Sophos Central Admin でエンドポイントプロテクションを開き、タグを使⽤するポリシーを選
択します。
エンドポイント: Windows ファイアウォールWindows ファイアウォールのデフォルトポリシーを使⽤して、コンピュータ上の Windows ファイアウォールを監視・設定 (および他の登録済みファイアウォールを監視) できます。
警告他のファイアウォールまたは Windows グループポリシーの設定は、各コンピュータへのデフォルトポリシーの適⽤に影響を及ぼすことがあります。(ローカルまたはグループポリシーで) 作成したファイアウォールルールは、ソフォスとの通信が許可されていることを確認するために、テストすることを推奨します。
「監視の種類」で監視レベルを選択します。
監視のみデバイスのファイアウォールの状態は、Sophos Central Admin に報告されます。デフォルトではこのオプションが選択されています。
Copyright © Sophos Limited 43
Sophos Central Enterprise
ネットワークプロファイルの監視と設定デバイスのファイアウォールの状態は、Sophos Central Admin に報告されます。また、「ドメインネットワーク」、「プライベートネットワーク」および「パブリックネットワーク」で、受信接続をブロックまたは許可するかどうかを選択できます。次から選択します。• すべてブロック• ブロック (例外あり): 例外は、コンピュータやサーバーでローカル設定する必要があります。例
外を設定しないと、すべての受信接続がブロックされます。• すべて許可
サーバー: アプリケーションコントロールアプリケーションコントロールでは、セキュリティ脅威ではないものの業務での使⽤は不適切と判断されるアプリケーションを検出し、ブロックすることができます。ネットワークで使⽤されるアプリケーションを検出したうえで、次のようにしてブロックするアプリケーションを選定することを推奨します。1. 「制御対象アプリケーション」の⼀覧で、「リストの追加/編集」をクリックします。
ダイアログが開き、制御可能なアプリケーションのカテゴリが表⽰されます。このリストはソフォスによって提供・更新されます。
2. たとえば、「ブラウザ⽤プラグイン」など、アプリケーションのカテゴリを選択します。カテゴリに属するアプリケーションが右側のパネルに表⽰されます。
3. アプリケーションの制御⽅法を選択します。• 使⽤するアプリケーションを探し、左側にあるチェックボックスのチェックを外します。• 「ソフォスによって追加される新規アプリケーション」をクリックします (任意)。今後ソフォ
スが新しくカテゴリに追加するアプリケーションが、⾃動的にお使いの制御対象アプリケーションのリストに追加されます。すでにリストに登録されているアプリケーションの新バージョンも⾃動で追加されます。
4. 「リストに保存」をクリックし、制御する各カテゴリに対して⼿順を繰り返します。ソフォスが提供するリストに登録されていないアプリケーションの制御が必要な場合は、リストへの登録申請を⾏います。アプリケーションコントロール設定の画⾯下部にある「アプリケーションコントロールへの対応リクエスト」というリンクをクリックします。
5. 検出オプション に表⽰される内容は次のとおりです。• 「オンデマンド検索時に制御対象アプリケーションを検出する」をクリックします。• 「検出されたアプリケーションをブロックする」をクリックします。
注ソフォスが今後新しくリストに追加するアプリケーションをすべて制御するように選択した場合、以後それらの新しいアプリケーションはブロックされます。
アプリケーションコントロールでは、「脅威対策」設定で設定したスケジュール検索および検索オプション (検索対象のファイルの種類) が使⽤されます。
6. 「デスクトップ通知」で、標準の通知⽂にメッセージを付け加えることができます。メッセージボックスに何も⼊⼒しない場合、標準の通知⽂のみが表⽰されます。「デスクトップ通知」は、デフォルトで有効になっています。
44 Copyright © Sophos Limited
Sophos Central Enterprise
「デスクトップ通知」を無効にすると、脅威対策に関する通知メッセージは表⽰されなくなります。a) 追加するテキストを⼊⼒します。
サーバー: ロックダウンサーバー ロックダウンは、サーバーでの承認されていないソフトウェアの実⾏を防⽌する機能です。サーバーにインストールされている安全なソフトウェアをリスト化し、このリストにあるソフトウェアのみに実⾏を許可する仕組みです。サーバーのロックダウンは、各サーバーの詳細ページで実⾏します。デフォルトポリシーのサーバー ロックダウンの設定では、サーバーのロックを解除することなく、許可するソフトウェアを変更できます。たとえば、新しいソフトウェアを追加して実⾏することを指定できます。
許可するファイルやフォルダこのオプションによって、アップデータなどのソフトウェアが、他のアプリケーションを実⾏して変更することを許可できます。また、ロックダウンされたサーバーのロックを解除することなく、新しいソフトウェアを追加することができます。
警告このオプションで、ソフトウェアは「信頼」されるため、そのソフトウェアによって作成・変更されファイルもすべて許可されます。これは、サーバーをロックダウンしたときの動作と異なります。ロックダウンした場合、許可されるのはソフトウェア⾃⾝の実⾏のみです。
許可するファイルや、含まれているすべてのファイルが許可されるフォルダを指定できます。
ヒントサーバー⽤インストーラのダウンロード先フォルダを指定できます。
1. 「許可するファイルやフォルダの追加」をクリックします。2. 許可する項⽬の種類 (ファイルまたはフォルダ) を選択します。3. 指定するファイルやフォルダのパスを⼊⼒します。ワイルドカード⽂字「*」を使⽤できます。4. 「保存」をクリックします。
ブロックするファイルやフォルダこのオプションによって、現在実⾏が許可されているソフトウェアをブロックできます。ブロックされているファイルや、含まれているすべてのファイルがブロックされているフォルダを指定できます。
ヒントネットワーク上の他のユーザーには使⽤を許可するが、サーバーでは実⾏をブロックする、インストーラなどのアプリケーション⽤フォルダをブロックできます。
1. 「ブロックするファイルやフォルダの追加」をクリックします。
Copyright © Sophos Limited 45
Sophos Central Enterprise
2. ブロックする項⽬の種類 (ファイルまたはフォルダ) を選択します。3. 指定するファイルやフォルダのパスを⼊⼒します。ワイルドカード⽂字「*」を使⽤できます。4. 「保存」をクリックします。
サーバー: 周辺機器コントロール周辺機器コントロールでは、周辺機器やリムーバブルメディアへのアクセスを制御することができます。周辺機器を個別に制御の対象から除外する場合は、Sophos Central Admin のサーバーの周辺機器コントロールポリシーで設定を⾏う必要があります。
周辺機器管理「周辺機器管理」で周辺機器の制御⽅法を選択します。• 監視するがブロックしない: 選択すると、以下の設定内容にかかわらず、すべての周辺機器へのア
クセスが許可されます。使⽤する周辺機器はすべて検出されますが、周辺機器へのアクセスポリシーは設定できません。
• 周辺機器の種類ごとにアクセスを制御し、除外を設定する: 選択すると、周辺機器の種類に基づいてアクセスを制御するポリシーを設定できます。
制約事項周辺機器の例外をグローバルに追加することはできないので、顧客レベルで実⾏する必要があります。
制約事項周辺機器の例外をグローバルに追加することはできないので、サブ管理サイトレベルで実⾏する必要があります。
アクセスポリシーの設定⼀覧を使⽤してアクセスポリシーを設定します。この⼀覧には、検出された周辺機器の種類のほか、その検出数、現在設定されているアクセスポリシーが表⽰されています。
注検出数は、エンドポイントやサーバーで検出されたすべての周辺機器を含みます。このため、すべてのデバイスに⼀貫したポリシーを簡単に設定できます。
注「MTP/PTP」カテゴリには、MTP や PTP プロトコルを使⽤してコンピュータに接続する携帯電話、カメラ、メディアプレーヤーなどが含まれます。
各周辺機器の種類に対して、アクセスポリシーを変更できます。• 許可する: 周辺機器へのアクセスは制限されません。• ブロックする: 周辺機器へのアクセスは拒否されます。
46 Copyright © Sophos Limited
Sophos Central Enterprise
• 読み取り専⽤: 周辺機器には読み取り専⽤のみでアクセスできます。
注「Bluetooth」、「⾚外線通信デバイス」、「モデム」の項⽬では、「読み取り専⽤」オプションは表⽰されません。
注ワイヤレス ネットワーク アダプタ」の項⽬では、「ブリッジ接続をブロック」というオプションが表⽰されます。このオプションを選択すると、2つのネットワーク間の接続がブロックされます。
デスクトップ通知標準の通知⽂の最後にメッセージを付け加えることができます。メッセージボックスに何も⼊⼒しない場合、標準の通知⽂のみが表⽰されます。「デスクトップ通知」は、デフォルトで有効になっています。
注「デスクトップ通知」を無効にすると、周辺機器コントロールに関する通知メッセージは表⽰されなくなります。
メッセージボックス内をクリックして、追加するテキストを⼊⼒します。
サーバー: 脅威対策脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。
制約事項⼀部のオプションは、Windows Server のみで指定できます。ページの右側にあるカラムには、各オプションが適⽤されるサーバー OS が表⽰されます。
SophosLabs は検索を実⾏するファイルを独⾃に制御できます。最適な保護機能環境を提供するために、特定のファイルタイプの検索を追加したり、削除したりすることがあります。推奨設定をそのまま使⽤することも、変更して使⽤することもできます。
Intercept X Advanced for Serverこのライセンスをお持ちの場合は、脅威対策ポリシーで、ランサムウェア/エクスプロイト対策、シグネチャレス型の脅威検出、脅威イベントの根本原因解析を実施できます。ここでの設定を使⽤してセキュリティを最⼤限に強化することを推奨します。このような⾼度なセキュリティ機能を 1つでも有効にすると、このポリシーを適⽤しているサーバーで Intercept X Advanced for Server ライセンスが使⽤されます。
Copyright © Sophos Limited 47
Sophos Central Enterprise
サーバープロテクションのデフォルト設定これらの設定は、有効にしたままにすることを推奨します。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。次の項⽬が実⾏されます。• 既知マルウェアの検出。• ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検
出。• 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。• マルウェアの⾃動クリーンアップ。• 既知のアプリケーションの動作を検索から⾃動的に除外。
注サーバーの脅威対策のデフォルトポリシーで、検索除外を設定することはできません。この設定は、Sophos Central Admin で⾏うことができます。
デスクトップ通知「デスクトップ通知」を設定するには、「推奨設定を使⽤する」の選択を解除する必要があります。標準の通知⽂の最後にメッセージを付け加えることができます。メッセージボックスに何も⼊⼒しない場合、標準の通知⽂のみが表⽰されます。「デスクトップ通知」は、デフォルトで有効になっています。「デスクトップ通知」を無効にすると、脅威対策に関する通知メッセージは表⽰されなくなります。追加するテキストを⼊⼒します。
関連概念サーバープロテクション: Intercept X Advanced (p. 48)サーバープロテクション: デフォルト設定 (p. 50)サーバーの脅威対策のデフォルトポリシーには、以下の標準オプションが含まれます。関連情報⾃動除外
サーバープロテクション: Intercept X AdvancedIntercept X Advanced for Server ライセンスをお持ちの場合は、脅威対策ポリシーに以下のオプションが表⽰されます。ここで説明するオプションは、標準のサーバープロテクションのオプションに加えて設定できます。
48 Copyright © Sophos Limited
Sophos Central Enterprise
ランタイム保護ランタイム保護は、エンドポイント上の疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。選択できるオプションは次のとおりです。• ランサムウェアから⽂書ファイルを保護する (CryptoGuard): ファイルへのアクセスを制限し
たうえで、アクセスを復旧するための⽀払いを強請するマルウェアから⽂書ファイルを保護します。また、リモートから実⾏されるランサムウェアから、64ビット版のコンピュータを保護することもできます。
• MBR を上書きするランサムウェアから保護する: マスターブートレコードを暗号化してコンピュータの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。
• 脆弱なアプリケーションにおけるエクスプロイトを防⽌する: 特にマルウェアに悪⽤されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。
• 「詳細設定: エクスプロイト対策のカスタマイズ」をクリックして、これ以外のオプションも表⽰します。
• プロセスを保護する: 正規のアプリケーションがマルウェアによってハイジャックされることを防⽌します。選択できるオプションは次のとおりです。 プロセス書き換え攻撃を阻⽌する。 信頼できないフォルダから .DLL ファイルが読み込まれることを阻⽌する。
• CPU の悪意のあるコードを検知する: CPU の悪意のあるコードの検知は、プロセッサのアクティビティをトレースして検知を許可する、Intel プロセッサの機能です。ソフォスでは、次のようなアーキテクチャの Intel プロセッサでこの機能に対応しています。Nehalem、Westmere、Sandy Bridge、IvyBridge、Haswell、Broadwell、Goldmont、SkyLake、Kaby Lakeなお、コンピュータに (正規) のハイパーバイザーがある場合、この機能には対応していません。
ディープラーニングディープラーニングは⾼度な機械学習を利⽤して脅威を検出します。既知および未知のマルウェアや、業務上不要と思われるアプリケーションを、シグネチャを使⽤することなく識別することが可能です。
修復選択できるオプションは次のとおりです。• 脅威ケースの作成を有効にする: 脅威ケースでは、マルウェア攻撃に関連する⼀連のイベントを調
査したり、セキュリティの改善余地のある領域を⾒つけ出すことができます。• サーバーが疑わしいファイルやネットワークのイベント、管理ツールのアクティビティに関する
データを Sophos Central に送信することを許可する: このオプションを有効にすると、脅威の可能性がある項⽬の詳細がソフォスに送信されます。脅威検索を実⾏するサーバーに適⽤しているすべてのポリシーで、このオプションを有効にするようにしてください。
Copyright © Sophos Limited 49
Sophos Central Enterprise
注このオプションは、Intercept X Advanced with EDR for Server を導⼊している場合に使⽤できます。
制約事項Intercept X Advanced with EDR for Server を使⽤するには、エンドポイントプロテクションとサーバープロテクションの両⽅で、このオプションをオンにする必要があります。
サーバープロテクション: デフォルト設定サーバーの脅威対策のデフォルトポリシーには、以下の標準オプションが含まれます。これらの設定は、有効にしたままにすることを推奨します。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。
制約事項⼀部のオプションは、Windows Server のみで指定できます。ページの右側にあるカラムには、各オプションが適⽤されるサーバー OS が表⽰されます。
Live ProtectionSophosLabs のデータベースに登録されている最新のマルウェアデータを照会して、疑わしいファイルをチェックします。Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする: リアルタイム検索時にファイルをチェックします。スケジュール検索で Live Protection を使⽤する。
リアルタイム検索 - ローカルファイルおよびネットワーク共有フォルダリアルタイム検索は、ユーザーがファイルにアクセスしようとするとマルウェア検索を実⾏し、ファイルが感染していない場合にアクセスを許可します。ローカルファイルとネットワーク共有フォルダの検索に対して、次のオプションを設定できます。ローカルおよびリモート: 「ローカル」を選択すると、ネットワーク共有フォルダ内のファイルは検索されません。ファイルを読み込んだとき: ファイルを開く際に検索が実⾏されます。ファイルに書き込んだとき: ファイルを保存する際に検索が実⾏されます。
リアルタイム検索 (インターネット)リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実⾏されます。進⾏中のダウンロードをスキャンする。悪意のある Web サイトへのアクセスをブロックする: マルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。
50 Copyright © Sophos Limited
Sophos Central Enterprise
レピュテーションの低いファイルを検出する: レピュテーションの低いファイルをダウンロードした場合に警告が表⽰されます。レピュテーションは、ファイルのソース、ダウンロードの頻度、およびその他の要因を基に構築されます。指定できるオプションは次のとおりです。• 実⾏する処理: 「ユーザーに通知」を選択すると、ユーザーがレピュテーションの低いファイルを
ダウンロードしようとすると、警告が表⽰されます。このオプションはデフォルトで選択されています。
• レピュテーション レベル: 「⾼レベル」を選択すると、レピュテーションが低いファイルに加えて、中程度のファイルも検出されます。デフォルトの設定は、「推奨」です。
修復マルウェアを⾃動クリーンアップする: 検出された脅威に対して⾃動クリーンアップを実⾏します。このオプションは、Windows Server でサポートされます。また、Sophos Security VM で保護されているゲスト VM (Sophos Guest VM Agent がインストールされている場合のみ) でもサポートされます。
ランタイム保護ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。C&C サーバーへの悪意のある接続を検出する: エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィック (C & C 攻撃 (コマンドアンドコントロール攻撃)) を検知します。悪意のある動作を検知する (HIPS): 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。
リアルタイム検索 - オプション既知のアプリケーションの動作を検索から⾃動的に除外: ⼀般に広く使⽤されているアプリケーションの⼀部で使⽤されるファイルを Sophos Central で⾏われる検索から除外します。検索除外オプションを使⽤して、他のアプリケーションによる動作を⼿動で除外できます。悪意のある動作を検知する (HIPS): 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。
関連情報ファイルのレピュテーション: サポートデータベースの⽂章 121319 を参照既知のアプリケーション: サポートデータベースの⽂章 121461 を参照
サーバー: アップデートの管理アップデートの管理のデフォルトポリシーで、ネットワーク上の製品アップデートを利⽤可能な状態にするタイミングを指定できます。設定すると、コンピュータのアップデートは設定した⽇時になるまで⾏われません。
制約事項⼀部のオプションは、Windows Server のみで指定できます。ページの右側にあるカラムには、各オプションが適⽤されるサーバー OS が表⽰されます。
Copyright © Sophos Limited 51
Sophos Central Enterprise
「アップデートのスケジュール設定」を有効にして、製品アップデート版をアップデートする⽇時を選択します。コンピュータの電源がオフの場合、次回コンピュータが起動されるまでアップデートは実⾏されないことに注意してください。
サーバー: Web コントロールWeb コントロールでは、特定のカテゴリに属する Web サイトの閲覧を制限することができます。
制約事項Web コントロールの設定は、Windows Server のみに適⽤されます。
このポリシーを適⽤するすべてのサーバーで Server Advanced ライセンスが使⽤されます。
Web サイトコントロール「Web サイトコントロール」をクリックして、不適切な Web サイトへのアクセスを制御します。各 Web サイトのカテゴリに対して、選択できるオプションは次のとおりです。• 許可: このカテゴリに属する Web サイトすべてへのアクセスを許可します。• 警告: 不適切な Web サイトの可能性がある場合、ユーザーに警告します。• ブロック: このカテゴリに属する Web サイトすべてをブロックします。
Web コントロールのイベントをログに記録する「Web コントロールのイベントをログに記録する」をクリックすると、ブロックした Web サイトや警告を表⽰した Web サイトを開こうとした試みがログに記録されます。ログを有効にしないと、感染サイトを閲覧しようとした試みのみがログに記録されます。
Web サイトの管理でタグに設定されているサイトを制御するWeb サイトを独⾃のカスタムカテゴリに分類 (「タグ」を設定) したうえで、Sophos CentralAdmin から Web コントロールポリシーを使⽤して、各カテゴリのサイトを制御できます。この設定を⾏うには、次の操作を実⾏します。1. サーバー: Web コントロールで、「Web サイトの管理」を開きます。2. 「追加」をクリックします。3. 「Web サイトのカスタマイズ設定の追加」で、Web サイトを⼊⼒し、タグを追加します。新し
いタグ名を⼊⼒することも、以前に使⽤したタグを選択することもできます (最初の数⽂字を⼊⼒すると、タグの候補が表⽰されます)。
4. 「保存」をクリックします。5. Sophos Central Admin でサーバープロテクションを開き、タグを使⽤するポリシーを選択しま
す。
52 Copyright © Sophos Limited
Sophos Central Enterprise
サーバー: Windows ファイアウォールWindows ファイアウォールのデフォルトポリシーを使⽤して、サーバー上の Windows ファイアウォールを監視・設定 (および他の登録済みファイアウォールを監視) できます。Windows ファイアウォールのデフォルトポリシーは、特定のサーバーまたはサーバーのグループに適⽤できます。
警告他のファイアウォールまたは Windows グループポリシーの設定は、サーバーへのポリシーの適⽤に影響を及ぼすことがあります。(ローカルまたはグループポリシーで) 作成したファイアウォールルールは、ソフォスとの通信が許可されていることを確認するために、テストすることを推奨します。
「監視の種類」で監視レベルを選択します。
監視のみサーバーのファイアウォールの状態は、Sophos Central に報告されます。デフォルトではこのオプションが選択されています。
ネットワークプロファイルの監視と設定サーバーのファイアウォールの状態は、Sophos Central に報告されます。また、「ドメインネットワーク」、「プライベートネットワーク」および「パブリックネットワーク」で、受信接続をブロックまたは許可するかどうかを選択できます。次から選択します。• すべてブロック• ブロック (例外あり): 例外は、コンピュータやサーバーでローカル設定する必要があります。例
外を設定しないと、すべての受信接続がブロックされます。• すべて許可
暗号化: デバイス暗号化デバイス暗号化では、BitLocker (Windows) や FileVault (Mac) など、OS に搭載されているドライブ暗号化機能を管理できます。ハードディスクを暗号化することで、デバイスの盗難・紛失時にもデータを安全に保つことができます。暗号化をセットアップする⽅法は次のとおりです。1. 標準の Windows エージェントのインストーラを使⽤すると、デバイス暗号化エージェントが
Windows コンピュータに⾃動的にインストールされます (該当するライセンスがある場合)。Macには⼿動でデバイス暗号化エージェントをインストールする必要があります。
2. 「デバイス暗号化機能」デフォルトポリシーを作成し、以下の説明に従ってユーザーに適⽤します。
3. ポリシーを適⽤したユーザーがログインするとコンピュータが暗号化されます。
Copyright © Sophos Limited 53
Sophos Central Enterprise
注FileVault の暗号化はユーザー単位で⾏われるため、エンドポイントの各ユーザーアカウントで暗号化を有効化する必要があります。
デバイス暗号化は、ブートボリュームや固定データドライブに適⽤できますが、リムーバブルメディアには適⽤できません。
設定デバイス暗号化が有効化/無効化されています: 暗号化ポリシーを適⽤したユーザーのいずれかがログインすると、コンピュータは暗号化されます。Windows エンドポイントの場合、暗号化ポリシーが適⽤されていないユーザーがログインしても、暗号化された状態が維持されます。
警告Mac の場合、エンドポイントを完全に暗号化するには、対象のエンドポイントのすべてのユーザーに暗号化ポリシーを適⽤する必要があります。
Windows の詳細設定起動時に認証する。このオプションはデフォルトで有効になっています。このオプションを有効にすると、TPM + PIN、パスフレーズ、または USB 鍵を使⽤した認証が必要になります。無効にすると、TPM のみを使⽤したログオン時の保護が、対応しているコンピュータにインストールされます。ランサムウェアに関する詳細情報。使⽤領域のみ暗号化する。このオプションはデフォルトで無効になっています。このオプションを有効にすると、ドライブ全体でなく、使⽤領域のみ暗号化できます。これによって、初期暗号化(ポリシーがはじめてコンピュータに適⽤されたときに実⾏される暗号化) が⾼速化されます。
警告使⽤領域のみを暗号化する場合、コンピュータ上の削除されたデータが暗号化されないことがあります。したがって、このオプションは、新たにセットアップしたコンピュータのみで使⽤するようにしてください。
このオプションは、Windows 7 環境のエンドポイントでは効果がありません。ブートボリュームのみを暗号化する。このオプションを選択すると、ブートボリュームのみを暗号化することができます。データボリュームは無視されます。
関連情報Sophos Central Device Encryption 管理者ガイド
メールセキュリティこのポリシーを使⽤して、メールにセキュリティポリシーを適⽤します。受信メッセージと送信メッセージの両⽅に適⽤される「強化されたメールマルウェア検索」を除く、以下の設定はすべて受信メッセージのみに適⽤されます。
54 Copyright © Sophos Limited
Sophos Central Enterprise
スパムフィルタリング各メールメッセージを解析し、スパムのスコア付けをします。⾼いスコアは、メッセージがスパムである可能性が⾼いことを⽰します。スパムスコアの⾼いメッセージは、「スパムと確認されたメール」として分類されます。各メッセージはスパムスコアに基づいて分類され、各カテゴリでのアクションを選択できます。メッセージは、次のいずれかのカテゴリに分類されます。• スパムと確認されたメール: 既知のスパムやスパムと確認されているパターン持つスパムメッセー
ジです。• バルクメール: 疑わしいメールの⼤量送信です。• スパムの疑いがあるメール: スパムの疑いがあるとして認識されたメッセージです。各カテゴリに対して、アクションを選択します。デフォルトの設定は次のとおりです。• スパムと確認されたメール: 隔離• バルクメール: 隔離• スパムの疑いがあるメール: 配信
隔離の設定保護対象メールボックスにメール隔離サマリーを送信するかどうかを選択できます。メッセージには、前回隔離サマリーが送信されてから隔離されたスパムメッセージの⼀覧が含まれます。メールの送信はスケジュール設定できます。ユーザーは、メール隔離サマリー内のリンクをクリックして、隔離されたスパムメッセージを配信または削除できます。メール隔離サマリーの設定⽅法は次のとおりです。1. メール隔離サマリーの送信を有効にします。2. メッセージをいつ送信するかを選択します。
ヒントデフォルトで曜⽇はすべて選択されています。曜⽇をクリックすると、選択解除できます。
送信元チェック送信元チェックでは、差出⼈として表⽰されているアドレスからメールが送信されているかどうかを検証できます。メールセキュリティでは、DMARC、SPF、DKIM、ヘッダーアノマリを⽤いて送信元のチェックが⾏われます。送信元のチェックは、画⾯に表⽰されている順序で実⾏されます。最初の送信元チェックに失敗すると、他のチェックは実⾏されません。送信元チェックをスキップするには、ドメインやメールアドレスを「許可」リストに追加します。DMARC (Domain-based Message Authentication, Reporting and Conformance) は、メール認証のポリシーであり、レポーティングを⾏うプロトコルです。DKIM および SPF を⽤いてなりすましメールの検出とブロックを⾏います。DMARC のチェックに失敗したメッセージの扱いを設定することができます。
Copyright © Sophos Limited 55
Sophos Central Enterprise
次から選択します。• 送信元ポリシーに準拠: 送信元の DMARC ポリシーの内容に従って、メッセージが処理されま
す。(これはデフォルトの設定値です。)• 件名にタグを追加: メッセージの件名に、なりすましメールであることを⽰すタグが追加されま
す。• 隔離: メッセージは隔離されます。• 拒否: メッセージは拒否されます。• 配信: メッセージはメールサーバーに配信されます。SPF (Sender Policy Framework) では、受信メールが、送信ドメインの管理者が承認した IP アドレスから送信されたかどうかを検証できます。送信ドメインの管理者が「FAIL」と判断した IP アドレスからのメールは拒否されます。スパムやフィッシングメールの差出⼈ (From) アドレスは、偽装されていることがよくあります。このような場合は、SPF チェックによってメールが拒否されます。DKIM (DomainKeys Identified Mail) は、送信元ドメインに基づいてメッセージの署名と検証を⾏い、送信元の正当性を認証する技術です。DKIM のチェックに失敗したメッセージの扱いを設定することができます。次から選択します。• 拒否: メッセージは拒否されます。(これはデフォルトの設定値です。)• 隔離: メッセージは隔離されます。• 件名にタグを追加: メッセージの件名に、なりすましメールであることを⽰すタグが追加されま
す。• 配信: メッセージはメールサーバーに配信されます。「ヘッダーアノマリ」のチェックは、メールの「From」ヘッダを受信側のドメインと⽐較することにより、⾃社のドメインから送信されているかのように⾒えるものの、実際は外部のドメインから送信されているメールを検出します。「From」アドレスのドメインが受信者ドメインと⼀致する場合、メールはなりすましメールと判断されます。ヘッダーアノマリのチェックに失敗したメッセージの扱いを設定することができます。次から選択します。• 件名にタグを追加: メッセージの件名に、なりすましメールであることを⽰すタグが追加されま
す。(これはデフォルトの設定値です。)• 隔離: メッセージは隔離されます。• 配信: メッセージはメールサーバーに配信されます。• 拒否: メッセージは拒否されます。
強化されたメールマルウェア検索この設定内容は、受信メッセージと送信メッセージの両⽅に適⽤されます。メールの内容と特徴の組み合わせに基づいた強⼒なメール検索を実⾏し、最⾼レベルのメールマルウェア対策を提供します。この機能はデフォルトで有効になっています。
注メッセージ内でマルウェアが検出された場合は、常に削除されます。
56 Copyright © Sophos Limited
Sophos Central Enterprise
Email Advanced ライセンスの機能これらの機能は、デフォルトで有効に設定されます。また、新しいポリシーが作成された際にも有効化されます。(既存の Email Advanced ライセンスおよび新しい Email Advanced ライセンスの両⽅が対象となります。)クリック時の URL 保護: クリック時の URL 保護が有効になっている場合、受信メッセージに含まれる URL の参照先が、元の場所から Sophos Email に書き換えられます。リンクをクリックすると、Sophos Email で SXL ルックアップが実⾏され、悪質なリンクの場合はブロックされます。URL が安全である場合は、事前に設定した、リンクのクリック時のアクションが実⾏されます (ポリシーの設定内容に依存します)。たとえば、「リスク - 中」の Web サイトを「許可」に設定済みの場合、リンクを確認し、悪質なリンクでないと確認できた場合は、リンクの元の参照先が表⽰されます。詳細は、サポートデータベースの⽂章 117936 を参照してください。許可する場合、リンクの表⽰先がわかるように、書き換えられた URL の⾏頭にドメイン名が表⽰されます。例: d=domain.com。Web サイトに対して実⾏するアクションを、レピュテーションごとに指定します。「リスク - ⾼」の Web サイトに対して、「許可」を選択することはできません。
注クリック時の保護の許可リストに追加した URL がクリック時に書き換えられることはありません。
また、テキスト形式やデジタル署名付きなど、メッセージの形式に応じて、メール内の URL を書き換えるかどうかを設定することもできます。プレーンテキスト形式のメッセージ: HTML 形式ではないテキスト形式のメールを指します。テキスト形式の場合、URL の書き換えを有効にすると、エンコードされた URL がすべてメールに表⽰されます。URL の書き換えを回避するには、「プレーンテキスト形式のメッセージ内の URL を書き換える」オプションを無効に設定します。デジタル署名されたメッセージ: URL の書き換えにより、S/MIME、PGP、および DKIM によって署名されたメッセージの署名が破損することがあります。URL の書き換えを回避するには、「デジタル署名されたメッセージ内の URL を書き換える」オプションを無効に設定します。
注意メッセージ内の URL の書き換えを無効にした場合、メッセージは保護されなくなるため、⼗分に注意したうえで設定を⾏ってください。
SandstormSandstorm は、アクティブな悪意のあるコンテンツを含むと思われるメールを、隔離された仮想環境に送信し、そこで開いてチェックします。悪意のあると判断された場合、メールは削除されます。Sandstorm を有効にする場合、サンドボックスの場所を指定することができます。
Copyright © Sophos Limited 57
Sophos Central Enterprise
ヒントパフォーマンスを最適化するために、メッセージを⾃動的にルーティングするには「ソフォスが選択」を選択します。
悪意のあると思われるメッセージは、仮想化環境で実⾏され、詳細に検査されます。安全なメッセージは通常どおり配信されます。⾼度な脅威が含まれるメッセージは削除されます。
偽装対策この機能は、有名企業や組織内の重要な⼈物 (VIP) を送信元に装ったメールを検出します。この機能によってメールが検出された場合に実⾏するアクションを選択します。サマリーレポートで、このようなメールは「⾼度な脅威」とマークされます。VIP のメールアドレスは、「VIP の管理」で追加できます。
関連情報サポートデータベースの⽂章 117936Sophos Sandstorm
58 Copyright © Sophos Limited
Sophos Central Enterprise
10 インストールSophos Endpoint Protection は、すべてのサブ管理サイトの Windows コンピュータ (またはサーバー)、および Mac にインストールすることができます。
制約事項Mac ⽤のインストーラは、まだ⼀般リリースされていない可能性があります。
次のようにインストーラをダウンロードし、各サブ管理サイト⽤のインストールスクリプトを作成します。1. 「インストール」に移動します。2. 保護する OS ⽤のインストーラをダウンロードします。3. CSV ファイルをダウンロードします。このファイルは、インストールする製品や、対象のサブ管
理サイトに必要となる、その他の詳細を指定するために使⽤します。4. インストーラと CSV ファイルを使⽤してインストールスクリプトを作成します。5. スクリプトを使⽤します。
ヒントCSV ファイルを使⽤する必要があります。このファイルがない場合、インストーラは動作しません。
関連情報インストーラスクリプトの作成
Copyright © Sophos Limited 59
Sophos Central Enterprise
11 製品の評価「製品群の詳細」ページで、Sophos Central Admin に追加可能な製品の情報を参照できます。
60 Copyright © Sophos Limited
Sophos Central Enterprise
12 グローバル セキュリティ ニュース「グローバル セキュリティ ニュース」ページで、最新のセキュリティニュースを閲覧できます。
Copyright © Sophos Limited 61
Sophos Central Enterprise
13 アカウントの詳細「アカウントの詳細」ページでは、エンタープライズアカウントを管理できます。ライセンスを管理できます。スーパー管理者の権限を持っている場合、エンタープライズ管理を無効にできます。このページを開くには、画⾯右上のアカウント名をクリックして「アカウントの詳細」を選択します。
13.1 アカウント設定「アカウント設定」ページでは、エンタープライズ管理を無効に設定することができます。このページを開くには、画⾯右上のアカウント名を選択して「アカウント設定」を選択します。
エンタープライズ管理
制約事項エンタープライズ管理機能は、スーパー管理者のみが無効に設定できます。
エンタープライズ管理を無効に設定するうえでの制限事項は次のとおりです。• すべてのサブ管理サイトに対して、スーパー管理者ロールが割り当てられている管理者が設定さ
れていること。• エンタープライズ マスター ライセンスが有効に設定されていないこと。• エンタープライズ マスター ライセンスに切り替え中でないこと。エンタープライズ管理者には以下の変更が加えられます。• すべてのエンタープライズ管理者がログアウトされます。• エンタープライズ管理が有効に設定されているすべてのエンタープライズスーパー管理者には、
該当する Sophos Central Admin アカウントのスーパー管理者ロールが附与されます。• その他のすべてのエンタープライズ管理者は削除されます。削除された管理者は、該当する
Sophos Central Admin アカウントに管理者としてログインし、後から追加することができます。
エンタープライズ管理の無効化エンタープライズ管理を無効に設定する⽅法は次のとおりです。1. 「エンタープライズ管理の無効化」を選択します。2. 「無効化の確認」に表⽰される情報を確認し、確認のオプションを選択します。3. 「エンタープライズ管理の無効化」を選択します。
62 Copyright © Sophos Limited
Sophos Central Enterprise
13.2 ライセンスソフォスのライセンスをアクティベートして、管理できます。画⾯右上のアカウント名をクリックして「ライセンス」を選択します。
ライセンス管理の種類使⽤しているライセンスの管理⽅法が表⽰されます。エンタープライズ マスター ライセンス: エンタープライズレベルでライセンスを管理し、エンタープライズの管理下にあるすべてのサブ管理サイトでライセンスを共有します。サブ管理サイトライセンス: サブ管理サイトレベルでライセンスを管理します。これらのライセンスは、サブ管理サイト内だけで使⽤できます。各サブ管理サイトのライセンスの詳細については、サブ管理サイトを参照してください。「エンタープライズ マスター ライセンス」は、⼀度選択すると無効に戻せません。
注このページでは、「エンタープライズ マスター ライセンス」のアクティベーションや管理のみを実⾏できます。
ライセンスの購⼊ライセンスは、パートナー各社より購⼊できます。「ライセンスの購⼊」を選択して、ライセンスの登録ページを参照します。
エンドユーザー使⽤許諾契約書の表⽰このリンクをクリックすると、Sophos エンドユーザー使⽤許諾契約書が別のウィンドウで表⽰されます。印刷するには、「Ctrl+P」を押します。
ライセンスと使⽤状況の表⽰登録済みのライセンスとの⼀覧と、各ライセンスに関する次の情報が表⽰されます。• ライセンス: 購⼊したライセンス名。• 種類: 購⼊したライセンスの種類。
注評価版ライセンスは、サブ管理サイトに所属します。
• 使⽤数: 各ライセンスを使⽤しているユーザーやサーバーの数。• 制限: このライセンスを使⽤できるユーザーやサーバーの最⼤数。最⼤数の値は、サブスクリプ
ションの内容によって異なります。• 失効⽇: ライセンスが利⽤できなくなる⽇。
Copyright © Sophos Limited 63
Sophos Central Enterprise
• ライセンス ID: ライセンス番号。
関連タスクライセンスのアクティベート (p. 64)新しいライセンスを「ライセンス」ページでアクティベートできます。
13.2.1 ライセンスのアクティベート新しいライセンスを「ライセンス」ページでアクティベートできます。また必要に応じて、アップグレードしたライセンスもアクティベートすることができます。⼀部のアップグレードしたライセンスは⾃動的にアクティベートされます。
注ソフォスでは現在、ライセンスアクティベーション機能の変更を⾏っています。このため、以下の最後のステップで説明されているオプションは表⽰されない可能性があります。
1. ソフォスから送信されたライセンスの別表 (License Schedule) に、ライセンスキーが表⽰されていることを確認します。
2. ライセンスキーを⼊⼒します。• 「アクティベーション キーの適⽤」と表⽰されている場合は、キーを⼊⼒して「適⽤」をク
リックします。• 「ライセンスキーの適⽤」というリンクが表⽰されている場合は、リンクを選択します。キー
を⼊⼒して、「適⽤」を選択します。3. このライセンスキーに含まれる機能が、既にアカウントに追加されている場合は、別のダイアロ
グが表⽰されることがあります。ここでは、新しいライセンスの使⽤⽅法を選択できます。• 「更新」を選択すると、現在のライセンスの有効期限が切れた時点で、新しいライセンスが開
始されるようになります。• 「変更」を選択すると、すぐに新しいライセンスが開始されます。ライセンスの有効期間を調
整して、お持ちのライセンスすべての有効期限が同じ⽇になるようにします。「適⽤」を再度クリックします。
「変更」オプションについてエンタープライズ管理者が 1年ライセンスを 50ライセンス発注したとします。そして 6カ⽉後、1年ライセンスを追加で 50ライセンス発注したとします。このエンタープライズ管理者が「変更」を選択すると、次の事柄が実⾏されます。• 新しいライセンスが古いライセンスに追加されます。エンタープライズ管理者の所有ライセンス
数は、100 になります。• 古いライセンスの残存期間 (50 X 6カ⽉ = 300カ⽉[サブ管理サイトライセンスの有効期間]) を、
新しいライセンスの有効期間 (50 x 12カ⽉ = 600カ⽉ [サブ管理サイトライセンスの有効期間])に追加します。合計は 900カ⽉ (サブ管理サイトライセンスの有効期間) になります。
• この期間を 100ライセンスすべてに対して均等に分割します。この結果、サブ管理サイトのライセンスの有効期間はすべて、ライセンスキーが適⽤された⽇から 9カ⽉間となり、これに合わせてライセンスの有効期限が調整されます。
エンタープライズ管理者が所有する 100ライセンスすべての有効期限が、この時点から 9カ⽉後に変わります。
64 Copyright © Sophos Limited
Sophos Central Enterprise
ほとんどの場合、既存のライセンスの有効期限が延びますが、新しく表⽰される有効期限を確認することを推奨します。
13.3 エンタープライズ マスター ライセンスエンタープライズレベルでのライセンス管理を選択できます。各ライセンスは、エンタープライズの管理下にあるすべてのサブ管理サイト間で共有されます。ライセンスの管理⽅法を⼀度変更すると、エンタープライズ マスター ライセンスを無効に戻すことはできません。組織に Sophos Central Admin アカウントが 1つあり、それが購⼊済み (フル) ライセンスすべてを所有している場合、Sophos Central Enterprise アカウントにライセンスを転送することができます。転送したライセンスは、その後、組織全体のマスターライセンスとして使⽤されます。個別のライセンスを所有するサブ管理サイトが複数ある場合、マスターライセンスを使⽤するには、各ライセンスを統合する必要があります。
ライセンスの転送開始する前に次の確認または作業を⾏ってください。• 1つのサブ管理サイトのみで、すべてのフルライセンスを所有できます。• すべてのライセンスを所有するサブ管理サイトで、エンタープライズ管理が有効化されている必
要があります。転送が完了後は、次の点に注意してください。• 各サブ管理サイトで個別ライセンスを使⽤する状態に戻すことはできません。• すべてのライセンスは、エンタープライズのサブ管理サイト間で共有されます。• すべてのライセンスを Sophos Central Enterprise で管理する必要があります。• 組織の Sophos Central の管理者は、Sophos Central Admin でライセンスを購⼊したり、アク
ティベーション キーを適⽤したりすることはできなくなります。ライセンスを転送する⽅法は次のとおりです。1. 画⾯右上のアカウント名をクリックして、「ライセンス」を選択します。2. 「エンタープライズ マスター ライセンスへの切り替え」をクリックします。3. 切り替えに関する確認メッセージを読んだ後、「エンタープライズ マスター ライセンスへの切り
替え」をクリックします。すべてのライセンスが、Sophos Central Enterprise アカウントに移動されます。各ライセンスは、「ライセンス」ページに表⽰されます。サブ管理サイトで使⽤していた評価版ライセンスは、すべてフルライセンスに切り替えられます。すべてのサブ管理サイトは、マスター ライセンス プールからライセンスを使⽤するようになります。
ライセンスの統合ライセンスすべてを統合する新しいアクティベーション キーを⼊⼿する必要があります。ほとんどの場合、このキーは⾃動で適⽤されます。担当パートナーからキーが送信される場合もあります。その場合は、そのキーを「ライセンス」ページで適⽤する必要があります。
Copyright © Sophos Limited 65
Sophos Central Enterprise
開始する前に次の確認または作業を⾏ってください。• 個別のライセンスのあるサブ管理サイトが複数必要です。• サブ管理サイトの 1つで、エンタープライズ管理が有効化されている必要があります。統合が完了後は、次の点に注意してください。• ライセンスの統合が終了するまで数⽇かかることがあります。• 各サブ管理サイトで個別ライセンスを使⽤する状態に戻すことはできません。• すべてのライセンスは、エンタープライズのサブ管理サイト間で共有されます。• すべてのライセンスを Sophos Central Enterprise で管理する必要があります。• 組織の Sophos Central の管理者は、Sophos Central Admin でライセンスを購⼊したり、アク
ティベーション キーを適⽤したりすることはできなくなります。ライセンスを統合する⽅法は次のとおりです。1. 画⾯右上のアカウント名をクリックして、「ライセンス」を選択します。2. 「エンタープライズ マスター ライセンスへの切り替え」をクリックします。3. 切り替えに関する確認メッセージを読んだ後、「エンタープライズ マスター ライセンスへの切り
替え」をクリックします。「ライセンス」ページに、マスターライセンスへの切り替えをリクエストしたことが表⽰されます。統合をリクエストするメールが送信されます。同時に担当パートナーにも送信されます。
4. 担当パートナーと⼀緒に統合計画を⽴てます。5. アクティベーション キーは、⾃動で適⽤される場合があります。適⽤されない場合は、「統合エ
ンタープライズ ライセンス キーの適⽤」にキーを⼊⼒し、「適⽤」をクリックします。すべてのライセンスが、Sophos Central Enterprise アカウントに移動されます。各ライセンスは、「ライセンス」ページに表⽰されます。サブ管理サイトで使⽤していた評価版ライセンスは、すべてフルライセンスに切り替えられます。すべてのサブ管理サイトは、マスター ライセンス プールからライセンスを使⽤するようになります。
66 Copyright © Sophos Limited
Sophos Central Enterprise
14 対応している Web ブラウザ現在対応しているブラウザは次のとおりです。• Microsoft Internet Explorer 11 および Microsoft Edge。• Google Chrome。• Mozilla Firefox。• Apple Safari (Mac のみ)。上記のサポート対応ブラウザをインスールまたはアップグレードし、常に最新バージョンを使⽤することを推奨します。ソフォスでは、Google Chrome、Mozilla Firefox、Apple Safari の最新バージョンとその 1つ前のバージョンに対応するよう努めています。⾮対応のブラウザが検出されると、https://central.sophos.com/unsupported にリダイレクトされます。
注Sophos Central EnterpriseSophos Central Partner は、モバイルデバイスには対応していません。
Copyright © Sophos Limited 67
Sophos Central Enterprise
15 サポートへのお問い合わせソフォスのサポートへは、以下の⽅法でお問い合わせいただけます。1. 画⾯右上の「ヘルプ」をクリックし、「サポートチケットの作成」を選択します。2. フォームに必要事項を⼊⼒します。お問い合わせに適切に対応できるよう、できる限り詳しい情
報を⼊⼒してください。3. 任意で「リモートアシスタンスを有効にする」を選択します。ソフォスの担当者がお客様の
Sophos Central の画⾯を直接⾒ながらサポートすることが許可されます。4. 「送信」をクリックします。ソフォスの担当者が 24時間以内にご連絡します。
注「リモートアシスタンスを有効にする」を選択しても、「送信」をクリックしなければ、機能は有効になりません。有効化されたリモートアシスタンスは、72時間後には⾃動的に無効化されます。これよりも早く無効化するには、画⾯右上のアカウント名をクリックして、「管理とライセンス」を選択し、「ソフォスサポート」タブをクリックします。
フィードバックの送信製品に関するご意⾒やご要望をソフォスのサポートに送信する⽅法は次のとおりです。1. 画⾯右上の「ヘルプ」をクリックし、「フィードバックの作成」を選択します。2. フォームに必要事項を⼊⼒します。3. 「送信」をクリックします。
その他のテクニカルサポートテクニカルサポートは次のようなかたちでも提供しています。• ユーザー コミュニティ サイト「Sophos Community」(英語) (community.sophos.com/) のご
利⽤。さまざまな問題に関する情報を検索できます。• ソフォス サポートデータベースのご利⽤。www.sophos.com/ja-jp/support.aspx
68 Copyright © Sophos Limited
Sophos Central Enterprise
16 利⽤条件Copyright © 2020 Sophos Limited. All rights reserved. この出版物の⼀部または全部を、電⼦的、機械的な⽅法、写真複写、録⾳、その他いかなる形や⽅法においても、使⽤許諾契約の条項に準じてドキュメントを複製することを許可されている、もしくは著作権所有者からの事前の書⾯による許可がある場合以外、無断に複製、復元できるシステムに保存、または送信することを禁じます。Sophos、Sophos Anti-Virus、および SafeGuard は、Sophos Limited、Sophos Group、およびUtimaco Safeware AG の登録商標です。その他記載されている会社名、製品名は、各社の登録商標または商標です。
Copyright © Sophos Limited 69
top related