16:特定の時間帯だけ制御を有効にするには?

今回のテーマ ・・・ 特定の時間帯だけ制御を有効にするには

Question: やりたいこと

DeviceLockで、社内のクライアントPCに、USBポートなど各種デバイスに対してアクセス制限を設定しています。全てを禁止するということではなく、デバイスによっては書込みのみを禁止するといった場合もあります。

この度、会社のセキュリティポリシーの見直しにより、DeviceLockの設定ポリシーも見直し、就業時間外のデバイスアクセスを全面的に禁止することになりました(例外的にデバイスアクセスが必要な場合は個別に対応します)。具体的には、平日の8時~12時と13時~20時の時間帯は従来のDeviceLockポリシーにて制御、それ以外の時間帯はデバイスアクセスを全面禁止する、という運用が求められています。

曜日や時間帯によってDeviceLockのポリシーを有効にしたり、アクセスを全面禁止にしたりすることはできるのでしょうか。

Answer: こうすればできる

DeviceLockの「アクセス許可」「監査/シャドウイング/アラート」ポリシー設定画面には、選択したユーザーまたはユーザーグループがデバイスにアクセスする時間、またはしない時間を定義できます。

「アクセスする時間」を設定すると、この時間帯はDeviceLockの制御ポリシーの影響を受け、デバイスはあらかじめ設定されたポリシー通りに制御されますが、「アクセスしない時間」を設定すると、この時間帯はDeviceLockの制御ポリシーの影響を受けず、無条件に(「アクセス許可」「監査/シャドウイング/アラート」機能の範囲内で)全てのアクセスが禁止、または監査/シャドウイング/アラートが無効化されます。

Step: 設定

「アクセス許可」に対する時間帯指定

時間帯により各デバイス・ポートに対してアクセス制御ポリシーを適用する、またはアクセス制御ポリシーを適用せず無条件に全面アクセス禁止にするには、各デバイス・ポートの「アクセス許可」画面右側のタイムテーブルを設定します。

  1. DeviceLock管理コンソールを起動し、設定対象のクライアントPCに接続します。
  2. 左ペインで[DeviceLock Service]-[デバイス]-[アクセス許可]と展開します。
  3. 右ペインに表示されるデバイス・ポートの一覧から、時間帯指定を設定したいデバイスまたはポートを探し、マウスでダブルクリック、または右クリックしてコンテキストメニューを表示させ、[アクセス許可の設定…]を選択します。
  4. [アクセス許可]画面の[ユーザー]欄で、時間帯制御を設定する対象のユーザーまたはユーザーグループを選択、または追加して選択します。
  5. [ユーザーの権利]欄で、必要なデバイス制御を設定します。
    このとき、対象のユーザーまたはユーザーグループにおける時間帯指定が未設定であれば、下図のように、画面右側のタイムテーブルが全て青色になっています。
  6. タイムテーブルで、DeviceLockによるアクセス制御を適用する時間帯、適用せず全面アクセス禁止にする時間帯を指定します。
    アクセス制御を適用 ・・・ マウスの左クリックで青色に設定
    全面アクセス禁止 ・・・ マウスの右クリックで白色に設定

    例として、以下のように設定します。

    月曜から金曜の8時~12時と13時~20時はアクセス制御を適用
    月曜から金曜の0時~8時、12時~13時、20時~24時、および土曜・日曜の終日はデバイスアクセス禁止

以上で、「アクセス許可」に対する時間帯指定は終了です。

「監査/シャドウイング/アラート」に対する時間帯指定

時間帯により、各デバイス・ポートへのアクセス(監査)ログやシャドウイングログの取得、アクセスをトリガーにしたアラートを発行を行なう、またはこれらのポリシーを適用せず無条件に全ての監査ログ・シャドウイングログ・アラート設定を無効にするには、各デバイス・ポートの「監査/シャドウイング/アラート」画面右側のタイムテーブルを設定します。

設定要領については「「アクセス許可」に対する時間帯指定」と同様になります。

Reference: 参考

  1. 曜日・時間帯の判定は対象のコンピューターのOSのシステム日付を参照しています。従いまして、システム日付を意図的に変更すると、時間帯設定と異なる動作になることがあります。 これを防ぐには、コンピューター使用者にWindows管理者権限を与えないなどの対策が必要になります。
  2. 時間帯の判定のタイミングにより、指定の時刻になっても設定が直ちに切り替わらないことがあります。
  3. 大きなファイルのコピーなど継続的な作業中に指定の時刻になりデバイスへのアクセスが禁止されると、作業中であってもデバイスへのアクセスはできなくなり作業エラーが発生します。その結果ファイル破損など予期せぬ障害を招く場合がありますのでご注意ください。
  4. 例えば、同じデバイスについて、あるユーザーAと、ユーザーAが属するユーザーグループBで、異なる時間帯指定をした場合、その時間帯については、全面禁止・無効の設定が優先適用されます。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム