MarkVision サーバでの通信のセキュリティを保護する

セキュリティで保護された通信を使用する

MVP では、MarkVision サーバと同じセキュリティプロトコルをサポートするネットワークデバイス間で、セキュリティで保護された通信を行うことができます。 管理者は、ネットワーク上のセキュリティで保護されたデバイスとの通信、構成設定、制御、および情報の取得が可能です。 セキュリティで保護された通信は、ユーザ証明書やデバイスコマンドの信用が損なわれる脅威を低減します。 デバイスとサーバの通信での総合的なセキュリティは、デバイスに適用される通信セキュリティ設定と共に、MarkVision サーバに対するセキュリティレベル設定によって決定されます。

通信セキュリティタスクは次のとおりです。

ユーザアクセスを認証するために LDAP を使用する

MVP 管理者は、会社の LDAP サーバーを使用して、ユーザー ID およびパスワードを認証できます。 これにより、ユーザは、別の MVP ログオン ID とパスワードを管理する必要がなくなります。

LDAP サーバ認証を有効にする場合、管理者は 3 つの LDAP 認証モードのいずれかに設定できます。 以下の認証機構は、後の順序のものほど高いセキュリティで LDAP サーバにバインドします。

LDAP サーバー認証を設定する前に、この管理者のパスワードが定義されていることを確認してください。 LDAP サーバー認証は、マスター管理者アカウントでのみアクセスできます。 LDAP 認証は、マスター管理者アカウントを除くすべてのユーザーアカウントに対して機能します。 マスター管理者アカウントには、固有の MVP パスワードが必要です。

簡易な LDAP 認証によるユーザアカウントの作成

  1. MarkVision Professional のホーム画面で、[すべてのタスク]リストから[ユーザアカウントおよびグループ]を選択します。

  2. [追加]をクリックします。

  3. [アカウント名]ボックスにユーザー ID の既存のネットワークログオンを入力します。

    メモ: この ID は、LDAP データベースに存在するユーザ ID と一致する必要があります。

  4. パスワードフィールドは空白にしておきます。

    メモ: LDAP は、ユーザがログオンするときに認証に使用されるため、パスワードの入力は不要であり、許可されません。

  5. [LDAP サーバー/Kerberos KDC で認証]ボックスをクリックして選択し、認証メカニズムのドロップダウンリストから[簡易 LDAP バインド]を選択します。

  6. [次へ]をクリックします。

  7. 以下の LDAP 設定テキストボックスに、LDAP サーバの情報を入力します。

    • LDAP サーバアドレス - 認証が実行される LDAP ディレクトリサーバの IP アドレスまたはホスト名を入力します。

    • ポート番号 - LDAP ディレクトリサーバと通信するためにローカルコンピュータが使用するポートです。 デフォルトの LDAP ポートは 389 です。

    • 検索ベース - 検索ベース(「識別名」または「DN」と呼ばれる場合もあり)は、ユーザアカウントが存在する LDAP ディレクトリサーバ内のノードです。

      メモ: 検索ベースには、cn(共通名)、ou(組織単位)、o(組織)、c(国)、dc(ドメイン)など複数の属性がカンマ区切りで記述されます。

    • ユーザ属性 - cnuserid、または userdefined の値を入力します。cn は「common name(共通名)」の略です。

    • 識別名 - MVP サーバ用の LDAP アカウントの識別名を入力します。 通常は ou(組織単位)と o (組織名)を含めます。o は会社名、ou は会社の従業員のまとまりを表すことができます(例:o=Acme、ou=管理職)。

    • パスワードおよびパスワードの確認 - 2 つのパスワードが同一の場合、インジケータライトは緑色に変わります。 パスワードが一致しない場合、インジケータライトは赤色のままです。

  8. SSL を使用するには、[SSL を使用]ボックスをクリックして選択し、証明書ストアパスワードをこのテキストボックスに入力します。

    メモ: MVP 管理者は、信頼済み証明書を初めてインストールする前に、パスワード入力によって保護された証明書ストアパスワードを作成することができます。

  9. [次へ]をクリックします。

  10. リストから証明書を選択するか、[インポート]をクリックして新しい証明書をインポートします。

  11. [完了]をクリックします。

  12. ユーザには、MVP にアクセスして、会社のローカルネットワークに使用するユーザ ID とパスワードを入力してもらうようにします。 MarkVision サーバーは、会社の LDAP サーバーディレクトリサービスにアクセスし、SSL で保護された簡易バインドによってユーザーログインを認証します。

セキュアな LDAP 認証によるユーザアカウントの作成

  1. MarkVision Professional のホーム画面で、[すべてのタスク]リストから[ユーザアカウントおよびグループ]を選択します。

  2. [追加]をクリックします。

  3. [Account Name(アカウント名)]ボックスにユーザー ID の既存のネットワークログオンを入力します。

    メモ: この ID は、LDAP データベースに存在するユーザ ID と一致する必要があります。

  4. パスワードフィールドは空白にしておきます。

    メモ: LDAP は、ユーザがログオンするときに認証に使用されるため、パスワードの入力は不要であり、許可されません。

  5. [LDAP サーバー/Kerberos KDC で認証]ボックスをクリックして選択し、認証メカニズムのドロップダウンリストから[セキュア]を選択します。

  6. [次へ]をクリックします。

  7. 以下の Kerberos 設定テキストボックスに、Kerberos サーバーの情報を入力します。

    • KDC IP/ホスト名 - Kerberos サーバ(Kerberos Key Distribution Center)のホスト名または IP アドレスを入力します。

    • 領域 - ネットワーク上のドメインを特定するのに使用されるすべてのコンポーネントを含む Kerberos 領域またはドメイン名を入力します(例: camelot.ap.england.com)。

    • ユーザ名 - MFP サーバ用の LDAP アカウントのユーザ名を入力します。

      メモ: Kerberos LDAP 認証を使用する場合、Kerberos の構成設定によっては、関連付けられた MarkVision サーバアカウントが必要になる場合があります。 Kerberos 用の MarkVision サーバアカウントの詳細については、Kerberos の説明書類を参照してください。

    • パスワードおよびパスワードの確認 - 2 つのパスワードが同一の場合、インジケータライトは緑色に変わります。 パスワードが一致しない場合、インジケータライトは赤色のままです。

  8. [完了]をクリックします。

サーバ通信セキュリティを設定する

サーバ通信セキュリティの設定は以下を含みます。

サーバーの通信セキュリティ、パスワード、およびサーバー/デバイス間のセキュリティを設定するには、MVP ホーム画面の[すべてのタスク]リストにある[管理設定]タスクを使用します。

サーバ通信セキュリティパスワードを設定する

  1. MarkVision Professional のホーム画面で、[すべてのタスク]リストから[管理設定]を選択します。

  2. ダイアログの上部にある[通信セキュリティ]タブを選択します。

  3. [通信パスワード]をクリックします。

  4. プロンプトが表示されたら、[はい]をクリックして続行します。

  5. [新しいパスワード]ボックスに新しいパスワードを入力します。

    メモ: パスワードが割り当てられていない場合は、[古いパスワード]ボックスは空のままにしておきます。

  6. 確認のため入力したパスワードを再入力します。

    メモ: 2 つのパスワードが一致するとインジケータライトが緑に変わります。一致しないと赤のまま変わりません。

  7. [適用]をクリックします。

サーバ通信セキュリティレベルの設定

  1. MarkVision Professional のホーム画面で、[すべてのタスク]リストから[管理設定]を選択します。

  2. ダイアログボックスの上部にある[Communication Security(通信セキュリティ)]タブを選択します。

  3. スライダを動かして、サーバーの通信セキュリティレベルを指定します。

    サーバ通信セキュリティには以下の 4 つのセキュリティレベルがあります。

    サーバのセキュリティレベル

    効果

    オン

    セキュリティで保護された通信とセキュリティで保護されていない通信を許可します。

    デバイスにセキュリティが設定され、ロックダウンされている場合のみ通信がセキュリティで保護されます。 他のほとんどの通信は、機密情報(パスワード、またはスキャンおよびコピーページ数の通信など)を除き、セキュリティで保護されません。 機密情報は、デバイスがロックダウンされていない場合でも常に暗号化チャンネルを使用して送信されます。

    メモ: 高度なデバイスは「セキュリティ - プリンタのロックダウン」タスクをサポートしません。 詳細については、概要を参照してください。

    オフ

    セキュリティ機能が無効になります。

    ロックダウンされたデバイスは検出されません。


    メモ: MarkVision サーバのセキュリティレベルは、MarkVision Professional ホーム画面の右下隅に表示されます。

  4. [Apply(適用)]をクリックして、[OK]をクリックします。

    メモ: この設定は直ちに有効になります。サービスを再起動させる必要はありません。

サーバとクライアント間のセキュリティを選択する

[Administrative Settings(管理設定)]ダイアログの[Communication Security(通信セキュリティ)]タブを使用すると、管理者は MarkVision サーバと MarkVision クライアント間の通信に SSL を使用するオプションが利用できます。

  1. MarkVision Professional のホーム画面で、[All Task(すべてのタスク)]リストから[Administrative Settings(管理設定)]を選択します。

  2. ダイアログ上部の[Communication Security(通信セキュリティ)]タブをクリックします。

  3. SSL 通信を有効にするには、[Use SSL for Server-Client Communications(サーバとクライアント間の通信に SSL を使用)]チェックボックスをオンにします。

  4. [Apply(適用)]をクリックして、[OK]をクリックします。

    5. メモ: 次にクライアントが MarkVision サーバに接続するとき、SSL が使用されます。 現在のセッションには影響がありません。

デバイスのリモート管理を無効化またはセキュリティ保護する

MarkVision Professional により、管理者は、一部の新しいデバイス上でリモート管理をセキュリティ保護するか無効にすることができます。 デバイスのリモート管理をセキュリティ保護にするには、セキュリティテンプレートを[リモート管理]アクセス制御に適用する必要があります。

新しいセキュリティテンプレートを作成したユーザが、アクセス制御を設定してリモート管理を無効にするには、次の 3 つの手順を実行します。 リモート管理を完全に無効にする方法については、「ステップ 3 :デバイスのリモート管理アクセス制御を設定する」を参照してください。

メモ: リモート管理を完全に無効にすると、選択したデバイスと MVP サーバとの通信が終了します。 検出されたデバイスはデバイス一覧に表示されますが、MVP からそのデバイスの機能や特性を確認することはできなくなります。これは、そのようなデータの読み取りをデバイス自体が禁止するためです。

手順 1:ビルディングブロックを作成する

MVP は、パスワード、暗証番号、内部アカウント、Kerberos、NTLM、LDAP、および LDAP + GSSAPI の 7 つのビルディングブロックをサポートしています。 ビルディングブロックは、セキュリティテンプレートの作成に使用する基本的な要素です。 下の手順は暗証番号ビルディングブロックを作成する方法ですが、他の 6 つのビルディングブロックも同じように簡単に使用できます。

  1. MarkVision Professional のホーム画面で、[すべてのタスク]リストから[セキュリティ - 暗証番号]を選択します。

  2. [簡易検索]または[フォルダ]タブを使用して、デバイスを選択します。

    複数のデバイスを選択するには、Ctrl キーを押しながらクリックするか、Shift キーを押しながらクリックします。

    メモ: MVP の管理するデバイスが特定のタスクでサポートされていない場合、[簡易検索]タブまたは[フォルダ]タブでは、そのデバイスの名前が黒線の引かれた状態で表示されます。 パスワードで保護されているネットワークデバイスは赤色で表示されます。 デバイスパスワードを入力して、デバイスへのアクセスを取得します。

  3. [追加]をクリックします。

  4. [暗証番号設定]ダイアログに名前と暗証番号を入力します。

  5. [OK]をクリックします。

ステップ 2 :セキュリティテンプレートを作成する

設定が完了したら、1 つまたは 2 つのビルディングブロックを組み合わせて最大 128 文字の固有名を付け、セキュリティテンプレートを作成します。 各デバイスは、最大 140 個のセキュリティテンプレートをサポートできます。 セキュリティテンプレートの名前は互いに異なっている必要がありますが、ビルディングブロックとセキュリティテンプレートは名前を共有することができます。

  1. MarkVision Professional のホーム画面で、[すべてのタスク]リストから[セキュリティ - セキュリティテンプレート]を選択します。

  2. [簡易検索]または[フォルダ]タブを使用して、デバイスを選択します。

    複数のデバイスを選択するには、Ctrl キーを押しながらクリックするか、Shift キーを押しながらクリックします。

    メモ: MVP の管理するデバイスが特定のタスクでサポートされていない場合、[簡易検索]タブまたは[フォルダ]タブでは、そのデバイスの名前が黒線の引かれた状態で表示されます。 パスワードで保護されているネットワークデバイスは赤色で表示されます。 デバイスパスワードを入力して、デバイスへのアクセスを取得します。

  3. [追加]をクリックします。

  4. セキュリティテンプレートの名前を入力し、[認証設定]一覧から適切なビルディングブロックを選択します。

  5. [OK]をクリックします。

ステップ 3 :デバイスのリモート管理アクセス制御を設定する

MVP サーバからデバイスへのアクセスを制限するための最後の作業は、セキュリティテンプレートを[リモート管理]アクセス制御に適用するか、[リモート管理]アクセス制御を完全に無効にすることです。

メモ: この作業で無効になるのはリモートホストソフトウェア管理(MarkVision Professional)だけで、デバイスの内蔵 Web サーバは無効にはなりません。

  1. MarkVision Professional のホーム画面で、[すべてのタスク]リストから[セキュリティ - アクセス制御]を選択します。

  2. [簡易検索]または[フォルダ]タブを使用して、デバイスを選択します。

    複数のデバイスを選択するには、Ctrl キーを押しながらクリックするか、Shift キーを押しながらクリックします。

    メモ:

    • MVP の管理するデバイスが特定のタスクでサポートされていない場合、[簡易検索]タブまたは[フォルダ]タブでは、そのデバイスの名前が黒線の引かれた状態で表示されます。 パスワードで保護されているネットワークデバイスは赤色で表示されます。 デバイスパスワードを入力して、デバイスへのアクセスを取得します。
    • 同時に複数のデバイスでリモート管理を無効にするには、選択した各デバイスに同じセキュリティテンプレートをインストールする必要があります。

  3. [リモート管理]ドロップダウンリストから新しく作成したセキュリティテンプレートを選択して、[適用]をクリックします。

    メモ: デバイスのリモート管理を無効にするには、[リモート管理]ドロップダウンリストから[無効]を選択して、[適用]をクリックします。

デバイス通信パスワードを同期する

MVP がデバイスを安全に管理するには、サーバと各管理対象デバイス間でパスワードが一致している必要があります。 デバイスのパスワードを同期すると、デバイスの通信パスワードをサーバが使用するのと同じパスワードに設定します。

メモ: パスワードは、暗号化されたデータチャネルを経由して設定されます。

  1. MarkVision Professional のホーム画面で、[すべてのタスク]リストから[セキュリティ - 通信パスワード]を選択します。

  2. [簡易検索]または[フォルダ]タブを使用して、デバイスを選択します。

    複数のデバイスを選択するには、Ctrl キーを押しながらクリックするか、Shift キーを押しながらクリックします。

    メモ: MVP の管理するデバイスが特定のタスクでサポートされていない場合、[簡易検索]タブまたは[フォルダ]タブでは、そのデバイスの名前が黒線の引かれた状態で表示されます。 パスワードで保護されているネットワークデバイスは赤色で表示されます。 デバイスパスワードを入力して、デバイスへのアクセスを取得します。

  3. デバイスのパスワードを同期または削除します。

    • デバイス通信パスワードを MarkVision サーバと同期するには

      1. [サーバと同期]をクリックします。

      2. [はい]をクリックします。

    • デバイス通信パスワードを新しいサーバパスワードと同期するには

      1. [サーバと同期]をクリックします。

      2. [サーバとの同期を確認]ダイアログでチェックボックスをクリックして、同期を確認します。

      3. [はい]をクリックします。

      4. 古いサーバ通信パスワードを入力します。

      5. 新しいサーバ通信パスワードを入力します。

      6. 新しいパスワードをもう一度入力して確認します。

      7. [OK]をクリックして、[はい]をクリックします。

    • デバイス通信パスワードを削除するには

      1. [パスワードの削除]をクリックします。

      2. デバイスがロックダウンされていないことを確認します。

    メモ: セキュリティで保護された通信に対応していないデバイスの場合は、[結果]領域のアイコンの上に黒い取り消し線が表示されます。

ロックダウンによってプリンタ通信をセキュリティ保護する

[プリンタのロックダウン]タスクを使用すると、サポートされる 1 つ以上のデバイスがセキュリティで保護された通信チャネルだけで通信するようになります。 この場合、デバイスでファイアウォールが有効になり、HTTP、SNMP、FTP など、ほとんどのネットワークポートが無効になります。 セキュリティで保護されたポートのみが開放されます。 [プリンタのロックダウン]タスクは、ビルディングブロックとセキュリティテンプレートをサポートするデバイスでは使用できません。

  1. MarkVision Professional のホーム画面で、[すべてのタスク]リストから[セキュリティ]→[プリンタのロックダウン]の順に選択します。

  2. [簡易検索]または[フォルダ]タブを使用して、デバイスを検索します。

    複数のデバイスを選択する場合は、Ctrl キーを押しながらクリックするか、Shift キーを押しながらクリックします。

    メモ: MVP の管理するデバイスが特定のタスクでサポートされていない場合、[簡易検索]タブまたは[フォルダ]タブでは、そのデバイスの名前が黒線の引かれた状態で表示されます。 パスワードで保護されているネットワークデバイスは赤色で表示されます。 デバイスパスワードを入力して、デバイスへのアクセスを取得します。

  3. [ロックダウン]チェックボックスをオンにして、デバイスをロックダウンします。

    デバイスのロックダウンを解除するには、[ロックダウン]チェックボックスをオフにします。

メモ: [プリンタのロックダウン]オプションが有効になっていると、[汎用ファイルダウンロード]および[プリンタリソース]タスクは使用できません。

暗号化されたハードディスクドライブを表示する

サポートされるデバイスには、デバイスに保存されている情報を保護するため、暗号化されたハードディスクドライブが含まれている場合があります。 MVP では、デバイスのセキュリティを妨げることなく、ハードディスクドライブから情報を取得できます。 デバイスに暗号化されたハードディスクドライブがあり、セキュリティで保護されたチャネルで通信している場合、管理者は、[Storage Devices(記憶デバイス)]タスクを使用して、ドライブを表示できます。 予防措置として、ハードディスクドライブが暗号化されていて、デバイスの通信がセキュリティ保護されていない場合は、ハードディスクドライブ情報は表示されません。 MVP は暗号化されたハードディスクドライブを表示できますが、MVP はユーザによるデバイスの暗号化の変更を許可しません。