ページの本文へ

Hitachi

情報制御プラットフォーム

FAQ

Q1.監視装置、監視対象PCについて

Q1-1 導入にあたって必要なものは何ですか?
Answer 豊富な監視構成をお選びいただけますので構成にあった必要機器をご準備ください。
なお、各構成ともネットワーク機器(スイッチ・ルーターなど)は既存のままで結構です。
(特定のスイッチなどを増設する必要もありません。)

【集中監視構成】
中央から複数拠点のPC接続状態を監視し、不正PCの接続を検出した時に管理者へ通知する構成になります。
この場合は、「NX NetMonitor/Manager」(Detector)をインストールするWindows® 搭載PCが1台必要となります。
なお、拠点数が多い場合は複数台必要となりますが(Q1-4をご参照ください)、各拠点ごとに監視装置を設置する必要はありませんので、導入コストを下げることができます。

【拠点監視構成】
各サブネットごとにPC接続状態を監視し、不正PC接続の検出、さらに即座に接続排除も可能な構成になります。
この場合は、各拠点に「NX NetMonitor」をインストールする監視装置が必要となります。
なお、集中監視と拠点監視とを混在させた構成もできますので、導入初期は集中監視構成として、その後、重要(不正PCを排除したい)拠点には監視装置を増設して拠点監視に移行(ステップアップ)することも容易です。

その他、下記のように運用や利用機能に応じて必要なものをご用意ください。
【他拠点の運用管理】
監視情報のメンテナンスは、管理者のPCからWWWブラウザで行うこともできますので必須ではありませんが、複数拠点の管理を行う場合には、「NX NetMonitor/Manager」(管理ツール)をご使用いただくと便利です。
この場合は、「NX NetMonitor/Manager」をインストールするWindows® 搭載PCが1台必要となります。
なお、管理する規模にもよりますが、集中監視用のPCにインストールすることも可能です。
Q1-2 監視対象PCのOSは、Windowsのみでしょうか?
Answer 拠点監視では、TCP/IPを使用する全ての機器が監視対象となります。したがって、UNIX® やMacintosh® も対象になります。さらには、標準TCP/IP使用機器であれば、iOS® やAndroid® を搭載したスマートデバイスなども、TCP通信を利用不能な状態にできます。
なお、本製品が提供する「排除」とは、論理的にネットワークから切り離すことを指します。具体的には、許可されていないPCに対し、状況に応じて当該PCが下記の状態となる機能を提供するものです。

・許可されていないWindows® 搭載PCがLAN接続された場合。
→ 当該PCのネットワーク機能を使用できない状態にします。

・Windows® 以外のOSを搭載した機器の場合。
→ TCP通信を使用できない状態にします。
Q1-3 監視対象とするプロトコルはなんですか?
Answer TCP/IPのネットワークです。NetBEUIやIPXには対応しておりません。
Q1-4 集中監視サーバーは何台用意すればいいですか?
Answer PC 1台(CPU:2.4GHz、メモリ:512Mバイト以上、HDD1GB以上)で、100サブネット(クラスC相当)のPC 3,000台を(5分周期で)監視できます。サブネットが100を越える場合は、100サブネットごとに1台PCを追加ください。
Q1-5 拠点監視装置は何台用意すればいいですか?
Answer 基本構成では、サブネットごとに監視装置を設置(接続)します。
また、条件により複数のLANをまとめて監視することもできます。

・VLAN構成(タグVLAN:IEEE802.1Q)の場合
タグVLAN(IEEE802.1Q)対応ネットワークカードを実装した監視装置をスイッチにトランク接続することで、複数のサブネットを1台で監視することができます。

・また、監視装置にネットワークカードを増設して、複数セグメントを1台で監視することも可能です。
1台の監視装置に6枚のネットワークカードを実装した例もあります。
Q1-6 拠点監視装置はどの程度のスペックを用意すればいいですか?
Answer CPU:800MHz、メモリ:512Mバイト以上、HDD1GB以上のものを監視専用機として利用することを推奨しております。このスペックで約500台のPCを監視できます。
500台以上のPCを監視する場合は、500台につき800MHzクロックアップしたCPUをご用意ください。例えば、監視装置のCPUが3.2GHzであれば2,000台まで監視することができます。1台の監視装置で2,000台以上のPCを監視する場合は、別途ご相談ください。
Q1-7 監視装置は、「サーバー」型のハードウェアが必要なのですか?
Answer サーバーである必要はありませんが、24時間監視する場合には連続稼働を考慮したハードウェアを推奨します。
なお、専用装置につきましては、株式会社 日立産業制御ソリューションズから、「S.COATBOX」を販売しております。
Q1-8 他の用途で使っているサーバーに「NX NetMonitor」をインストールして監視することはできますか?
Answer 「NX NetMonitor」をインストールするPCは、他の用途との併用や、他のソフトウェアと共存(相乗り)させずに専用のPCをご用意頂くことを推奨します。

Q2.許可PCアドレス一覧の登録について

Q2-1 何を設定すればいいですか?
Answer ネットワークの利用を許可する機器の識別情報を一覧表(接続許可リスト)として登録します。
識別情報はMACアドレス、IPアドレスです。登録するパターンとして「MACアドレス+IPアドレス」、「MACアドレス+IPアドレスの範囲」、「IPアドレスのみ」、「MACアドレスのみ」の4つがあり、混在して登録することができます。
以下の方法で接続許可リストを作成することができます。

【方法1】現在ネットワークに接続されている機器一覧から自動作成させる
「NX NetMonitor」にはネットワークを通じてアドレス情報を自動的に収集する機能を備えていますので、現状の使用状況から接続許可リストを作成することができます。

【方法2】資産管理システムで管理している情報を流用する
資産管理システムで管理している機器のアドレス情報を、許可機器リスト(CSV形式)のフォーマットに変換して作成します。
Q2-2 運用中は許可機器一覧をどのように登録・更新すればいいですか?
Answer 以下の方法で許可機器一覧を登録・更新することができます。

【方法1】手作業で各監視装置に対して登録・更新する
各監視装置に登録する許可機器一覧を用意した後、WWWブラウザを用いてリモートで監視装置にアクセスし、許可機器一覧を登録します。運用開始後に機器の追加や削除などの変更があった場合は、変更後の許可機器一覧を同じ方法で登録してください。

【方法2】手作業で各監視装置に対して一括登録・更新する
各監視装置に登録する許可機器一覧を用意した後、「NX NetMonitor/Manager」(管理ツール)を用いてリモートで各監視装置に一括登録します。運用開始後に機器の追加や削除などの変更があった場合は、変更後の許可機器一覧を用意した後、同じ方法で個別もしくは一括変更することができます。

【方法3】CUIを使って各監視装置に対して登録・更新する
「NX NetMonitor/Manager」で、各監視装置に許可機器一覧を登録するCUIコマンドを提供していますので、資産管理ツールと連携することで自動化が可能です。
Q2-3 DHCPも対応可能ということですが、その場合MACアドレスを登録するのでしょうか?
Answer MACアドレスを登録します。また、MACアドレスとDHCPで取りうるIPアドレスの範囲を組み合わせて登録することもできます。

Q3.ネットワーク規模について

Q3-1 拠点監視を導入する場合のネットワーク構成を教えてください。
Answer 「NX NetMonitor」は、TCP/IPネットワークのサブネット単位にネットワーク利用者のPCを監視します。(サブネットは、ルーターやL3スイッチで区切ったネットワーク単位で、ブロードキャストが届く範囲を指します)。したがって、各サブネットごとに「NX NetMonitor」をインストールしたPCを設置して頂き、サブネット単位にネットワーク利用者のPCを監視する構成となります。
VLANを利用可能なネットワークでは、L3スイッチにて複数のVLANをタグVLAN(IEEE802.1Q)により集約し、「NX NetMonitor」をインストールしたPCをトランクポートに接続することで、複数のサブネットをまとめて監視させることができます。
Q3-2 システム全体としてどれくらいの規模にまで対応可能か、教えてください。
Answer Q3-1のように、ネットワーク構成により拠点監視では複数の監視装置をご利用いただくことで大規模ネットワークに対応することができます。また、集中監視を混在させることで小規模の拠点が多数ある場合でも導入・運用コストを下げることも可能です。
なお複数の監視装置は、「NX NetMonitor/Manager」(管理ツール)で統合管理(接続許可リストの一括更新など)できます。

Q4.システムを導入するネットワークの構成について

Q4-1 無線環境やノンインテリジェントHUBが含まれるネットワーク構成でも問題ないか?
Answer はい。TCP/IPの無線環境やノンインテリジェントHUBが含まれるネットワーク構成でもピンポイントに不正接続PCを排除できます。
「NX NetMonitor」はインテリジェントなルーターやSWのポートを閉じて(ネットワークごと)排除するという製品ではありませんので、排除の際に、ネットワークごと使えなくなる、もしくはSWの該当ポート下のノンインテリジェントHUBにつながっている全てのPCが排除されるというものではありません。
Q4-2 管理機能なしのSW-HUBが末端に接続されているのですが、このSW-HUB内だけの通信においても検知できるのでしょうか?
Answer 「NX NetMonitor」の監視機能は、SW-HUBの管理機能の有無には関係無くご利用いただくことができます。
Q4-3 ポートVLAN環境でも1台の監視装置で複数VLANの拠点監視ができますか?
Answer ポートVLANには対応しておりませんので、この場合は、VLANごとに監視装置のネットワークカードを対応付ける必要があります。
なお、タグVLANの場合でも1つのVLAN(タグ番号)に複数のサブネットを構成させている場合は制限がありますので、別途ご相談ください。
Q4-4 IPv6には対応していますか?
Answer Linux® 版監視装置もしくは専用装置が、IPv6パケットの検知と排除に対応しています。

Q5.許可PC・不許可PCの判断(検知)について

Q5-1 不許可PCか、許可されたPCかの判別方法を教えてください。
Answer 「NX NetMonitor」をインストールしたPCに利用を許可するPCのアドレス識別情報を一覧表として登録します。この一覧表をもとに、ネットワークを監視し不正利用を判断いたします。識別情報の詳細については、Q5-4を参照ください。
Q5-2 拠点監視での検知方法についてはGratuitous ARP やWindows特有のブロードキャストなどで 判断するのでしょうか?
Answer 拠点監視では、TCP/IPのARPを監視し、利用を許可するPCのアドレス識別情報と比較することにより、不正利用を判断いたします。 PCの電源をONにしたり、PCが物理的にLANに接続されるタイミングでARPが出力されますので、リアルタイムに接続を検出することができます。
Q5-3 不正であると判断する基準は登録されたデータだと思いますが、判断基準のパラメータには何がありますか?
Answer 「NX NetMonitor」は、下記いずれかの条件でNGと判断したPCを不正PCとします。条件1は常にチェックされ、条件2および条件3は管理者が必要に応じて指定することができます。

【条件1】アドレス識別情報が登録されていない
アドレス識別情報が登録されていない(許可されていない)PCを不正PCとします。
PCのアドレス一覧で登録する識別情報は、MACアドレスとIPアドレスです。登録するパターンとして「MACアドレス+IPアドレス」、「IPアドレスのみ」、「MACアドレスとIPアドレスの範囲」、「MACアドレスのみ」の4つがあり、混在して登録することができます。

【条件2】有効期限が切れている
管理者が指定した有効期限の切れたPCを不正PCとします。

【条件3】長時間使用していない
一定時間(管理者が指定した時間)使われていないPCを不正PCとします。
例えば、長時間使用していないPCは、セキュリティパッチやウィルス定義ファイルなどが最新ではない状態になっていることが考えられます。このようなPCを不正PCとする場合に指定してください。
Q5-4 許可されているPCのアドレス一覧を登録するということは、そのアドレスを使用して、別のPCを接続された場合は防げないということでしょうか?
Answer 防ぐことができます。PCのアドレス一覧で登録する識別情報は、MACアドレスとIPアドレスとの組み合わせでも登録できます。MACアドレスはPCに固有な情報ですので、不正PCが正規利用者のIPアドレスを偽って接続しようとしても、許可されていないPCであると判定でき、不正PCとします。
また、コンピューター名が変わった場合も検知して、管理者へ通知することができます。

Q6.拠点監視の強制排除(遮断)について

Q6-1 PCの強制排除、切離し方式について教えてください。
Answer 不正PCを検出すると自動的に、排除(論理的な接続拒否)を行いますが、その方式は、TCP/IPのARPを利用して不正PCをピンポイントに排除を行うものです。

■検出
監視対象のLANに流れるARPを監視し、「NX NetMonitor」の持つ許可リスト (許可されたPCのIPアドレス/MACアドレスの一覧表)と比較することにより不正利用を判断いたします。
PCの電源をONにしたり、PCが物理的にLANに接続されるタイミングでARPが出力されますのでリアルタイムに接続を検出することができます。

■遮断
不正PCを検出すると、すでに他のPCでIPアドレスが使用されているようにARPの応答を返して、不正PCをピンポイントに排除します。
Q6-2 ウィルス感染したPCを切り離す方法について教えてください。
Answer 管理者の方がウィルス感染を判断し、「NX NetMonitor」の管理画面から手動で排除することができます。

Q7.アクセス先限定機能について

Q7-1 アクセス先限定機能とは何ですか?
Answer 未登録PC(来客などの持込PCなど)、ポリシー違反PCなど、排除された状態のPCに対して、特定サーバーとだけ通信を可能とする機能です。

この機能の主な特長としては、
・ネットワーク構成の変更が不要、認証スイッチなども不要。
・PC側の設定変更が不要。
・PCのIPアドレスを再設定する作業なども不要。
つまり、認証スイッチ方式・DHCP方式などによる隔離とは異なり、既存の構成・設定のまま構築できます。

具体的な利用シーンは、Q7-4をご覧ください。
Q7-2 アクセス先限定機能が動作中、他のPCにアクセスできますか?
Answer 未登録PCは、管理者が許可したアクセス先のPCやサーバー以外にアクセスすることはできません。
つまり、未登録PC同士で通信できない状態になります。
Q7-3 機能を利用するために必要な情報は何ですか?
Answer 以下の情報を準備して、設定してください。
・アクセスを許可する宛先のアドレス情報。
・クライアントのアドレス情報。
・許可するサービス。(ポート番号)
Q7-4 どのような運用ができますか?
Answer 未登録PCのアクセス先を限定できるので、例えば、
・既存の資産管理サーバーと連携して、未登録PCの資産管理クライアントソフトとサーバー間でのインベントリー通信の適用を行えます。
・未登録PCから、イントラネット、インターネットのウィルス対策サーバーを指定することもできます(プロキシでの設定が必要となることもあります)。
新規PC(未登録のPC)のセットアップに必要なソフトを資産管理サーバーから、ネットワークインストールしたり、パッチを更新したりすることに利用できます。
従来、社内用LANにアクセスさせないように、ネットワークやサーバーを分けて設置する必要がありましたが、「NX NetMonitor」で許可したアクセス先以外のアクセスを遮断しますので、社内用LANでも運用可能となりネットワークやサーバーを分けて設置する必要がなくなります。 お客様にプリンタやインターネット利用だけ許可する運用に応用できます。

Q8.外部との連携について

Q8-1 監視情報(ログなど)を既存の管理システムで管理することができますか?
Answer 「NX NetMonitor/Manager」(管理ツール)から自動(定期)で監視装置から監視情報をダウンロードして、既存の資産管理やSYSLOGシステムへエクスポートできますので、情報の一元管理や統合活用が可能です。

Q9.ライセンス形態・価格について

Q9-1 ライセンスの考え方は?
Answer ユーザーライセンス(監視対象のクライアントPC数に応じたもの)になっています。
集中監視構成の場合も、ユーザライセンスが必要です。
ソフトウェア媒体は、「NX NetMonitor」と「NX NetMonitor/Manager」と2つありますが、ユーザライセンスご購入時にソフトウェア媒体も添付されていますので、別途手配する必要はありません。
Q9-2 アクセス先限定機能を使うのに、従来のライセンス以外に特別なライセンスが必要となりますか?
Answer いいえ。従来の監視ライセンスでご利用になれます。

*記載の会社名、製品名は、それぞれの会社の商号、会社や個人の商標もしくは登録商標です。