17:PC持ち出し時に自動で制御ポリシーを変えるには?

今回のテーマ ・・・ PC持ち出し時に自動で制御ポリシーを変えるには

Question: やりたいこと

社内はドメインネットワークを構築していてクライアントPCはノート型ですが、営業担当はこのPCを営業活動で社外に持ち出しプレゼンテーションなどに使用しています。このPCを社内で使用する時は外部デバイスの使用に特に制限は設けていませんが、社外に持ち出した際には、セキュリティポリシー上、外部デバイスを使用させたくありません。

DeviceLockを導入すると外部デバイスの使用制限ができると聞きましたが、PCが社外に持ち出された時のみ、外部デバイスの使用を禁止することはできるのでしょうか。

Answer: こうすればできる

DeviceLockでは、通常の環境にある状態(オンライン)と、通常の環境にない状態(オフライン)で、それぞれ異なるデバイス制御ポリシーを設定することができます。

DeviceLockは、コンピューターがオンライン状態にあるかオフライン状態にあるか常に監視していて、状態が変化するとデバイス制御ポリシーも自動で切り替わります。

オンラインとオフラインの定義は、プリセットされた3種類から選択することができますが、本件の場合、社内のドメインコントローラーに接続できる状態をオンラインと判定させる運用が良いと考えられます。

Step: 準備

通常時(オンライン)と非通常時(オフライン)で異なる制御ポリシーを適用する仕様は、DeviceLockでは「オフラインプロファイル」と言います。オフラインプロファイルを運用するには、まず最初に、オンライン/オフラインを検出する方法を決める必要があります。

  1. DeviceLock管理コンソールを起動し、設定対象のクライアントPCに接続します。
  2. 左ペインで[DeviceLock Service]を展開し、[Service オプション]をクリックします。
  3. 右ペインに表示される設定項目の一覧から[オフラインモードの検出]を探し、マウスでダブルクリック、または右クリックしてコンテキストメニューを表示させ、[プロパティ…]を選択すると、[オフラインモードの検出]設定ウインドウが現れます。
  4. オンライン/オフラインを検出する方法には、以下の3種類があります。詳しくは、「Reference: 参考」を参照してください。
  • サーバー接続
    PCが、DeviceLock Enterprise Serverに接続できるかどうかによって判断します。
  • ドメイン接続
    PCが、所属するドメインのドメインコントローラーに接続できるかどうかによって判断します。
  • ケーブル接続
    PCのネットワークインターフェースカードにネットワークケーブルが接続されているかどうかによって判断します。
  • 既定値は「ケーブル接続」になっていますので、運用形態に合わせ適切な方法を選択してください。

次に、PCの現在の状態がオンラインなのか、オフラインなのかが視覚的にわかるように、Windowsの通知領域に「トレイアイコン」を表示します。

  1. DeviceLock管理コンソールを起動し、設定対象のクライアントPCに接続します。
  2. 左ペインで[DeviceLock Service]を展開し、[Service オプション]をクリックします。
  3. 右ペインに表示される設定項目の一覧から[トレイアイコンの表示]を探し、マウスでダブルクリック、または右クリックしてコンテキストメニューを表示させ、[有効]に設定します。
  4. Windowsの通知領域に、トレイアイコンが表示されます。

タスクバーの設定や通知領域内のアイコンの数によっては、トレイアイコンが通知領域から隠れてしまうことがあります。 使いづらい場合は[コントロールパネル]-[通知領域アイコン]で「タスク バーに常にすべてのアイコンと通知を表示する」設定を有効にしてください。

トレイアイコンの状態は以下の通りです。

オンライン

・・コンピューターの状態がオンラインであることを示します。(オンラインの制御ポリシーが適用されています)

オフライン

・・コンピューターの状態がオフラインであることを示します。(オフラインの制御ポリシーが適用されています)

検出中

・・コンピューターの状態がオンラインかオフラインかを検出中です。(検出開始前の制御ポリシーが適用されています)

  • オンライン/オフラインの状態が変わってからトレイアイコンの表示が切り替わるまで時間がかかる(タイムラグ)ことがあります。その場合はトレイアイコンを右クリックして現れるメニューから「現在の状態を更新」を実行して、最新情報を手動で検出してください。

以上で、オフラインプロファイルを運用する準備は終了です。

Step: 設定

ここでは「PCを社内で使用する時はUSBデバイスの使用に制限を設けず、社外に持ち出した時にはUSBデバイスを使用させない」セキュリティポリシーを実現するよう、オンライン/オフラインポリシーを設定してみます。

設定手順

  1. DeviceLock管理コンソールを起動し、設定対象のクライアントPCに接続します。
  2. 左ペインで[DeviceLock Service]-[デバイス]-[アクセス許可]を展開し、右ペインのデバイス・ポート一覧から[USB ポート]を探してダブルクリックするか、右クリックして表示されるコンテキストメニューから[アクセス許可の設定…]をクリックして選択実行すると、オンライン用の[アクセス許可]画面が表示されます。
  3. [ユーザー]が「Everyone」、[ユーザーの権利]が全ての項目で「許可」にチェックされている、画面右のタイムテーブルが全て青になっているように設定して[OK]ボタンをクリックしてウインドウを閉じます。
  4. 右ペインのデバイス・ポート一覧から[USB ポート]を右クリックして表示されるコンテキストメニューから[オフラインのアクセス許可の設定…]をクリックして選択実行すると、オフライン用の[アクセス許可 (オフライン)]画面が表示されます。
  5. アクセス許可の設定を以下のように設定します。
    • USBポートに対する、「ログオンユーザーからのアクセスは禁止」「SYSTEMユーザーからのアクセスは許可」という設定になります。

    ここでは、ユーザー「SYSTEM」のみ「全て許可」設定としています。USBポートに対する「SYSTEM」からのアクセスを許可することで、OSによるデバイスの認識については問題が出ないようにして、OSの動作が不安定になるリスクを回避します。

  6. [OK]ボタンをクリックしてウインドウを閉じます。
  7. USBポートのアクセス許可設定が、以下のようになっています。

    ・標   準 フルアクセス権あり
    ・オフライン 構成済

この設定により「PCを社内で使用する時はUSBデバイスの使用に制限を設けず、社外に持ち出した時にはUSBデバイスを使用させない」セキュリティポリシーが適用されます。

以上で設定は終了です。

Reference: 参考

DeviceLockでは、アクセス許可、監査/シャドウイング/アラート、USB Devices White List、Media White List、Protocols White List、コンテンツ認識ルール、Basic IP Firewall、セキュリティ設定などについて、標準(オンライン)およびオフラインで異なるプロファイル(制御ポリシー)を適用できます。
「標準(オンライン)」とは、ネットワーク状態があらかじめ定められた条件を満たす場合で、「オフライン」とはその条件を満たさない状態のことを指します。

DeviceLock Serviceは、定められた条件を満たすか満たさないかを自動検出して、「標準(オンライン)ポリシー」「オフラインポリシー」を自動的に切り替えて(タイムラグはあります)適用します。

  • 「オフラインポリシー」が定義されていない場合は、条件を満たすかどうかに係わらず「標準(オンライン)ポリシー」を適用します。

条件には3通りあり、あらかじめどれか一つを選択しておきます。

サーバー接続

クライアントコンピューターの接続状態が、指定されたDeviceLock Enterprise Server(オプションの管理コンポーネント)に接続できるかどうかによって判断します。

クライアントコンピューターは、指定されたDeviceLock Enterprise Serverのいずれかに接続できる場合は標準(オンライン)モードで動作し、指定されたすべてのDeviceLock Enterprise Serverで認証されないか、指定されたDeviceLock Enterprise Serverのすべてが同時に利用不能になった場合は、オフラインモードで動作します。

ドメイン接続

クライアントコンピューターの接続状態が、適切なActive Directoryドメインコントローラー(クライアントコンピューターが属するドメインのドメインコントローラー)に接続できるかどうかによって判断します。

クライアントコンピューターは、適切なドメインコントローラーに接続できる場合は標準(オンライン)モードで動作し、適切なドメインコントローラーが利用不能になった場合、オフラインモードで動作します。

この条件を選択した場合、ドメインに属していないクライアントコンピューター(ワークグループコンピューターまたはスタンドアロンコンピューター)は、常にオフラインモードで動作します。

ケーブル接続

クライアントコンピューターの接続状態が、ネットワークケーブルがネットワークインターフェースカード(NIC)に接続されているかどうかによって判断します。

これは、接続状態を検出する方法としては最も単純でセキュリティレベルの最も低い方法です。

クライアントコンピューターは、ネットワークケーブルがNICに接続されている場合は標準(オンライン)モードで動作し、ネットワークケーブルがNICから取り外されている場合、クライアントコンピューターはオフラインモードで動作します。 なお、無線ネットワーク接続(Wi-Fiなど)とモデム接続は無視されます。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム