第12回 一時的ホワイトリストによるUSBデバイスの一時許可

皆さんこんにちは。ラネクシー社員Kです。

今回のでばいすろっくコラムは、「DeviceLockあるある」から始めましょう。

DeviceLockのユーザーさんがうっかりやってしまいそうな、あるあるネタになります。
今回のネタは、全部実話に基づいています。

あるある その1
DeviceLockの設定ツールでUSBポートをアクセス禁止に設定したのにアクセスできてしまいます!

DeviceLock Service設定エディタを起動していませんか?
これはDeviceLock設定を編集してファイルに出力するツールですので、利用中の実際の設定は変えられません。設定を変更するには、DeviceLock管理コンソールをお使いください。
DeviceLock Service設定エディタとDeviceLock管理コンソールは画面が似ていて、紛らわしくてすみません。

あるある その2
DeviceLockをインストールしただけなのにUSBメモリーやCDドライブが使えなくなってしまいました!

インストールの途中で「チャネルのロック」という画面が出ませんでしたか?
この画面を[OK]で進めると、あらかじめ用意された内容のアクセス制限がかかり、いくつかのデバイスが使えなくなります。DeviceLock管理コンソールで設定を変更するか、DeviceLockを一度アンインストールしてから、再度インストールしてください。
「チャネルのロック」画面は[スキップ]で進めるのがお勧めです。

あるある その3
ハードディスクにアクセス制限をかけたあと、再起動してWindowsにログオンしたら画面が真っ黒で何もできません!

ハードディスクにアクセス制限をかけると、Windowsの動作に必要な一部のドライバーなどが読み込まれず、動作に支障が出る場合があります。
同じネットワーク内の別のコンピューターから、DeviceLock管理コンソールを使って問題のコンピューターに接続して、ハードディスクのアクセス制限を解除してください。
ハードディスクのアクセス制限には十分注意してください。

あるある その4
DeviceLock管理コンソールを起動したのですが、右側に「このビューに表示する項目はありません」とだけ出ていて何も設定できません!

DeviceLock管理コンソールを起動しただけでは、設定は変えられません。
まず、設定を変えたいコンピューターの「DeviceLock Service」に「接続」する必要があります。DeviceLock管理コンソールとDeviceLock Serviceがつながっている状態でなければ、設定を変えられないのです。
設定変更の前に「接続」のおまじないをお忘れなく!

あるある その5
インストールのときにライセンスを適用していますが、バージョン情報で確認すると適用されず試用バージョンになっています!

ライセンスファイルをテキストエディタ等で編集していませんか?
ライセンスファイルはテキストファイルなので、テキストエディター等で開いて中身を見ることができますが、内容を書き換えたり改行コードを変えたりして上書き保存すると、ライセンスが無効になる場合があります。
ライセンスファイルの内容を編集するのはお控えください。

今回はここまで~。
では本題に入ります。

DeviceLockには、USBポートに規制をかけてUSBデバイスを使えなくしていても、あらかじめ登録しておいたUSBデバイスだけは使えるようにする「USB Devices White List (USBデバイスホワイトリスト)」という機能があります。

これはDeviceLockの管理者さんが「ユーザー XXXXX さんは、デバイス XXXXX を使用できる」というルールを作成するものです。つまり、デバイスを使わせたいユーザーさんのIDと、そのデバイスのIDを紐づけておくわけです。

基本的にこのホワイトリストのルールは、あらかじめ用意して継続的に有効にするもので、デバイスのIDも、デバイス実物を持ってきてコンピューターに接続することでデバイスから直接取得します。
「DeviceLockコラム 第8回 USBデバイスの識別IDとは?」 を参照)

では、USBポートの利用が制限されたコンピューターを持ち出した外出先で、急にお客様のUSBメモリーからデータをコンピューターに引き取らなければならなくなった時はどうすればよいでしょう。

通常、外出先においてコンピューターはスタンドアロンとなり、社内のネットワークに接続できないため、DeviceLockの管理者さんのコンピューターからオンラインで持ち出したコンピューターのDeviceLockの制御ポリシーを変更することはできません。もちろん、お客様のUSBメモリーは USB Devices White List に登録されていません。

そんな時、「一時的 White List 許可ツール」が活躍します。

1. 「USB Devices White List」と「一時的White List」は似て非なるもの

「USB Devices White List」も「一時的White List」も、USBデバイスに対する、ホワイト(許可)リストです。
違いを簡単に説明しますと、

USB Devices White List

原則として、常に利用を許可するもの
デバイス制御設定(ポリシー)にUSBデバイスを追加
コンピューターが「オンライン」状態でのみ、即時設定適用が可能

一時的White List

例外として、「今だけ」利用を許可するもの
デバイス制御設定(ポリシー)は書き換えない
コンピューターが「オフライン」の状態でも、即時設定適用が可能

ですので、「一時的White List」は、前書きに書いたような「コンピューターを持ち出した外出先で、急にお客様のUSBメモリーからデータをコンピューターに引き取らなければならなくなった時」などに、その場限りの使用許可方法として利用する機能です。

対象のコンピューターがDeviceLockの管理ツールから見えない(通信できない)状況にあるときも設定できるので、大変便利です。

2. 「一時的White List」の流れ

「USB Devices White List」がDeviceLockの管理者側で許可リストを作成してコンピューターにオンライン適用する(※)のとは異なり、「一時的White List」はコンピューター使用者からの利用申請から始まり、管理者の許諾と解除コードの提供により適用します。

  • 「DeviceLock Service設定ファイル」を介したオフライン適用もできます。

それでは、「一時的White List」の流れを、申請者の宇佐山さんと、管理者のケロ谷さんの寸劇で説明してみます。

こんな具合です。

申請者(デバイス使用者)の宇佐山さんはUSBメモリーをコンピューターに接続して、許可ツールで生成された「デバイスコード」を管理者のケロ谷さんに伝え、ケロ谷さんは受け取ったデバイスコードから許可ツールで「解除コード」を生成して宇佐山さんに伝え、宇佐山さんが解除コードを入力して終わりです。

上の絵では、電話でやり取りをしています。要は「デバイスコード」と「解除コード」さえ伝われば良いので、オンラインである(申請者のコンピューターと管理者のコンピューターが通信できる)必要がなく、口頭でのやり取りだけで済んでしまうのです。

設定を残す必要がない「一時的な」処置だからこその使い勝手ですね。

3. 「一時的White List」のオプション

ところで、「一時的White List」には、管理者用ツール側、申請者用ツール側に、いくつかのオプションがありますので、ここで簡単に紹介します。

管理者側のオプション

許可期間
利用申請されたUSBデバイスを、どれだけの間、使用許可するのかを下記の中から選択します。

取り外されるまで
ユーザーログオフまで
5 分
15 分
30 分
60 分
5 時間
1 日
2 日
1 週間
2 週間
1 カ月

時間指定については、コンピューター時刻を見ているのではなく、DeviceLockが独自のタイマーを設定して時間を計っているので、コンピューター時刻を戻して実際の許可期間を長くしようとしても無駄なようです。

「取り外されるまで」は、許可されたUSBデバイスが接続されている(Windowsから認識され続けている)間は、いつまででも利用が可能、「ユーザーログオフまで」は、申請時にWindowsにログオンしているユーザーがログオンし続けている間は、いつまででも利用が可能、という意味です。

そこで、「取り外されるまで」「ユーザーログオフまで」の実際の動きを、ヒマにあかして、この機会にいろいろチェックしてみました!

「取り外されるまで」
デバイスを装着したままログオフして再度ログオン

デバイスは使えます。取り外していないですからね。また、デバイスを装着したままログオフして別のユーザーでログオン、ログオフして再度最初のユーザーでログオンした場合もデバイスは使えますが、別のユーザーでログオンしたときは使えません。「一時的White List」は、申請をした時にログオンしているユーザーでのみ、デバイスの利用が可能になります。

「ユーザーの切り替え」で別のユーザーのデスクトップを表示してから、再度「ユーザーの切り替え」で最初のユーザーのデスクトップに戻る

デバイスは使えます。ただし、切り替えた別のユーザーのデスクトップでは使えません。

コンピューターのロック後、復帰

デバイスは使えます。取り外していない状態が継続していますからね。一方で、コンピューターのロック後、デバイスを取り外し、再度装着してから、復帰すると、デバイスは使えなくなります。コンピューターがロック状態でも、デバイスの取り外しは認識されるということですね。

コンピューターのスリープ後、復帰

デバイスは使えます。また、コンピューターのスリープ後、デバイスを取り外し、再度装着してから、復帰した場合も、デバイスは使えます。コンピューターがスリープした状態では、デバイスを取り外したかどうか、判断できないのですね。

デバイスを装着したままコンピューターを再起動

デバイスは使えなくなります。再起動によって、一旦デバイスは切り離されているようです。

「ユーザーログオフまで」
「ユーザーの切り替え」で別のユーザーのデスクトップを表示してから、再度「ユーザーの切り替え」で最初のユーザーのデスクトップに戻る

最初のユーザー、切り替えた別のユーザーとも、デバイスは使えなくなります。ユーザーの切り替えによって、ユーザーがログオフしたものと認識されているようですね。

コンピューターのロック後、復帰

デバイスは使えます。ログオフしない状態が継続しているということですね。また、コンピューターのスリープ後、復帰した場合も、デバイスは使えます。

デバイスの取り外し後、再度装着

デバイスは使えます。

タイプとして監査/シャドウイング
一時利用を申請されたUSBデバイスのデバイスタイプ(「着脱可能デバイス」「光学ドライブ」など)に設定されている監査/シャドウイング設定を当該デバイスに適用し、監査ログ・シャドウイングログを取得します。

言い換えると、一時利用申請されたUSBデバイスのアクセスログを残したいときは、このオプションを有効にして、さらに、このデバイスのデバイスタイプの「監査/シャドウイング/アラート」設定でログの取得を指定しておかなければならない、ということです。

読込み専用
一時利用を申請されたUSBデバイスを読込み専用デバイスとして利用します。

申請者側のオプション

アクセス権を与える前にデバイスを再初期化
デバイスへのアクセスを許可する前に、このデバイスの再初期化(再接続)を強制的に行なう必要がある場合にチェックします。

USBマウスなど、再初期化しないと動作しないデバイスがあるようですので、該当する場合はチェックしてください。
通常、記憶デバイス(フラッシュドライブ、光学ドライブ、外付けハードドライブなど)では、チェックは必要ありません。

また、デバイスによっては、USBポートから一旦取り外してから再度接続することで、使用可能になる場合があります。

ところで、ここでいう「再初期化」とは、「デバイスを、Windowsから、改めて再認識させる」という意味で、決してUSBメモリーやUSBハードディスクのデータを消去することではありませんので、ご心配なく。

便利な機能ですので、ぜひご利用ください。

まだDeviceLockを購入されていない方も、無料トライアルでお試しいただけますのでぜひ!

無料で利用できるトライアル版はこちらから

(トライアル版については でばいすろっくコラム:第4回 トライアルのススメ をご覧ください。)

ではまた。

投稿日:2020年11月11日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

資料請求

ラネクシーDLPソリューションの詳細な資料、導入事例集、各種リーフレットをご用意しております!
下記資料請求よりお申込みください。

menu_book 資料請求はこちら