07:USBデバイスをデバイスクラス単位で使用許可するには?

今回のテーマ ・・・ USBデバイスをデバイスクラス単位で使用許可するには

Question: やりたいこと

DeviceLockを導入してUSBポートの制御(USBデバイスの使用禁止)をしたいのですが、社内にはUSB接続のプリンターが多くあり、これらについては全て使用を許可したいと思っています。

USBプリンターを1台1台、USBホワイトリストに登録すればよい、とは思いますが、もっと簡単に「USBプリンターは全て使用を許可する」といった設定をすることはできるのでしょうか。

Answer: こうすればできる

DeviceLockでは、USBデバイスの「デバイスクラス(※)」を識別して、「このデバイスクラスに属するデバイスはデバイス制御の対象外とする」ことができます。

これは、DeviceLockの「セキュリティ設定」機能により、USBプリンターだけでなく、USBキーボード/マウス、USBカメラなどの特定のUSBデバイスクラスに対するポートレベルのデバイス制御を無効化(デバイス制御設定に係わらず使用できる)する処理になります。

この機能はUSBポートに対するデバイス制御に優先するため、デバイス制御でUSBポートを使用禁止にしても、特定のデバイスクラスに属するUSBデバイスは、USBポート使用禁止の影響を受けずに使用が可能、ということになります。

  • デバイスクラスとは、種類(機能)により分類された、共通の制御仕様を持つデバイスの呼称で、例えば、オーディオ、プリンター、マスストレージなどがあります。

Step: 設定方法

デバイス制御設定に係わらずUSBプリンターを全て使用許可するには、以下の手順で設定します。

  1. DeviceLock管理コンソールを起動して、設定対象のクライアント(DeviceLock Service)に接続します。
  2. 左ペインで [DeviceLock Service] → [デバイス] → [セキュリティ設定] と展開します。
  3. [セキュリティ設定] の右ペインの項目で、「USB プリンターに対するアクセスを制御する」を「無効」に設定します。

Reference: 参考

[セキュリティ設定]によるUSBデバイスクラスごとの設定は、以下の通りです。

USB Bluetooth アダプターに対するアクセスを制御する

[有効]にすると、USBポートに接続されているBluetoothアダプターに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、Bluetoothアダプターは通常通りに機能し、デバイスの監査も実行されません。ただし、タイプ(Bluetooth)に対するアクセスおよび監査設定があれば、それには影響されます。

USB HID(マウス、キーボードなど)に対するアクセスを制御する

[有効]にすると、USBポートに接続されているマウスやキーボードなどのHID(Human Interface Device: ヒューマンインターフェースデバイス)に対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、HIDは通常通りに機能し、デバイスの監査も実行されません。

USBおよびFireWireネットワークカードに対するアクセスを制御する

[有効]にすると、USBまたはFireWire(IEEE 1394)ポートに接続されているネットワークカードに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBまたはFireWireポートがロックされていても、ネットワークカードは通常通りに機能し、デバイスの監査も実行されません。

USB オーディオデバイスに対するアクセスを制御する

[有効]にすると、USBポートに接続されているオーディオデバイスに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、オーディオデバイスは通常通りに機能し、デバイスの監査も実行されません。

USB カメラに対するアクセスを制御する

[有効]にすると、USBポートに接続されているカメラデバイスに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、カメラデバイスは通常通りに機能し、デバイスの監査も実行されません。

USB スキャナーおよび静止画像デバイスに対するアクセスを制御する

[有効]にすると、USBポートに接続されているスキャナーおよび静止画像デバイスに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、デバイスは通常通りに機能し、デバイスの監査が実行されません。

USB ストレージデバイスに対するアクセスを制御する

[有効]にすると、USBポートに接続されているストレージデバイス(フラッシュドライブなど)に対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、ストレージデバイスは通常通りに機能し、デバイスの監査も実行されません。ただし、タイプ(着脱可能デバイス、フロッピー、光学ドライブ、ハードディスク)に対するアクセスおよび監査設定があれば、それには影響されます。

USB プリンターに対するアクセスを制御する

[有効]にすると、USBポートに接続されているプリンターに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、プリンターは通常通りに機能し、デバイスの監査も実行されません。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム