インターネット ベースのコンピュータ上でのエージェントのインストールとサポート

このセクションでは、ネットワーク環境外のコンピュータに対応したエージェント ポリシーを構成するための基本の推奨事項を示します。 この構成は、ネットワークからは頻繁に切断されるが、インターネットには定期的に接続するラップトップ ユーザには理想的な構成です。 ネットワークには直接接続されていないが、インターネットにはアクセスできるスタンドアロン サイトにも有益な構成です。

このソリューションでは、エージェントはチェックインして、クラウドからポリシーの更新を受け取ります。 これは、Security Controls Cloud 同期と呼ばれる Security Controls 機能を使用して行われます。 これにより、コンソールと直接通信できないコンピュータ上のエージェントを管理できるようになります。

Security Controls Cloud 同期の背景情報については、次のトピックをご参照ください。

• Security Controls Cloud 同期の概要
• Security Controls Cloud 同期の要件と使用に関する注記
• Security Controls Cloud 同期を有効にする方法

エージェントのインストール

ネットワーク環境の外側にあるコンピュータにエージェントをインストールする場合、基本のオプションが2つあります。

• 各ターゲット コンピュータへのエージェントの手動インストールを実行できる。
• Security Controls Cloud を使用してクラウド経由でエージェントをインストールできる。

少数のコンピュータしかない場合は、手動インストールでかまいません。 ただし、ターゲット ベースが大規模な場合、推奨事項はクラウド経由でエージェント インストールを実行することです。

プロセスが完了すると、すべてのエージェントが内部的にも外部的にもポリシー更新およびロールアップ結果を取得できるはずです。 これは、ネットワーク外部のインターネットにコンピュータを接続し、手動でスキャンを開始してから、結果を監視することによって、テストできます。 ネットワーク内部からこれを繰り返します。

エージェント ポリシーの構成

1. メイン メニューで [新規] > [エージェント ポリシー] を選択します。
2. ポリシーに名前を付けます。
3. [全般設定] タブでオプションを構成します。

[ユーザへの許可] の設定は、自由に構成できます。推奨事項は、[操作のキャンセル] を無効にすることです。大半のユーザは (認識していれば) スキャンが実行中であることを知るとスキャンを停止するため、エージェントによるタスクの実行が妨げられるためです。

[チェックイン間隔] 領域での推奨事項は、頻繁なチェックインを構成することです。これにより、環境内のポリシー変更に対するエージェントの即応性が維持されます。

[エンジン、データ、およびパッチのダウンロード場所] 領域では、このケースでは、エージェントが主にネットワーク外にあることが想定されるため、[インターネット上のベンダ] が推奨されます。かなりの数のエージェントを構成する場合は、[配布サーバ] と [バックアップ ソースとしてベンダを使用する] を有効にしてかまいません。 エージェントは、最新のエンジンと XMLデータ ファイルを最初に配布サーバ上で確認し、配布サーバが使用不可の場合はベンダの Web サイトを使用します。

[ネットワーク] 領域では、[Security Controls Cloud と同期] チェック ボックスを有効にします。これは、Security Controls Cloud を使用して最新のエージェント ポリシー情報を取得するという選択肢をエージェントに与えることを指定します。 これにより、エージェントはクラウド経由で同期を実行できるようになります。このチェック ボックスは、コンソールが Security Controls Cloud に登録されている場合にのみ使用できます。 [エージェントを保存して更新] をクリックすると、エージェント ポリシーのコピーとすべての必須コンポーネントが Security Controls Cloud サービスに書き込まれます。

[エージェントが更新をリスニングするポート] を有効にできます。 有効にする場合、推奨されるセキュリティ上のベスト プラクティスは、ネットワーク外にあるときはポートをブロックし、ネットワーク内にあるときはポートを開くように、ファイアウォール ルールを変更することです。

4. [パッチ] タブでは、[Windows パッチ タスクの追加] をクリックし、タスクに名前を付け、タスクを構成します。

このポリシーは、ターゲット コンピュータを保護することに焦点を合わせることを目的としています。したがって、[スキャンと配布オプション] タブでは、パッチ スキャン テンプレートとして [セキュリティ パッチ スキャン] を使用することをお勧めします。 必要であればカスタム テンプレートを使用することを選択できますが、この例では、セキュリティ上の基本的なベスト プラクティスにこだわることにします。

[パッチの配布] チェック ボックスが有効になっていることを確認します。

[配布後の再起動] タブで、次の条件が指定されている配布テンプレートを選択します。
- 必要時に再起動する
- 次回の指定時刻時に再起動がスケジュールされている
- エンド ユーザの就業を妨げないように就業時間後の時刻を指定する


最もセキュアであるはずの [見つからない項目として検出されたすべてのパッチ] を指定するか、またはパッチ グループに基づいて配布し、[すべてのベンダの緊急パッチ] チェック ボックスを有効にすることもできます。 このオプションを指定すると、パッチ グループに最新のセキュリティ パッチを適用していなかった場合でも、あるいはエージェントが最新のリストを取得していなかった場合でも、最新の XML データ ファイルでリリースされた緊急セキュリティ パッチが配布されます。

[製品レベルの配布] チェック ボックスを有効にします。スキャンで見つからないと特定されたすべての製品レベルを配布することを選択することも、製品レベル グループで定義した製品レベルのみに配布を制限することもできます。 詳細については、「製品レベルおよびパッチ配布のプロセス」をご参照ください。

[スケジュール] タブで、[毎日] を選択して、通常コンピュータがオンになっているがネットワーク トラフィックは少ない可能性のある時刻 (昼食時間など) を指定します。一般的には、週1回を指定できます。 1日の中で通常の就業時刻以外に行うことを選択する場合は、[スケジュールで実行できなかった場合、起動時に実行する] チェック ボックスを有効にして、前回のスケジュール済みタスクが実行されなかった場合でも確実に評価が行われるようにすることをお勧めします。

5. [エージェントを保存して更新] をクリックします。

関連トピック

• コンソールのソフトウェア要件とハードウェア要件
• ポート要件とファイアウォール構成
• 分散環境の管理
• エージェントレス パッチ管理
• エージェントレス環境におけるパッチ適用のためのベスト アプローチ
• エージェントレス環境におけるパッチ管理の自動化
• エージェント型パッチ管理
• エージェントのロールアウト オプション
• エージェント型での製品レベルおよびパッチ配布のプロセス
• Patch Tuesday を乗り切るためのガイド
• Microsoft SQL Server データベースのメンテナンス
• 接続が切断されている環境でのパッチの適用