21:BitLocker To Goデバイスのみアクセスを許可するには?

今回のテーマ ・・・ BitLocker To Goデバイスのみアクセスを許可するには

Question: やりたいこと

会社で管理しているUSBメモリーについて、今は制限なく自由に使えていますが、この度、DeviceLockを導入してセキュリティを強化しようと考えています。

現状、USBメモリーは全て「ハードウェア暗号化機能」を持たない機種のため、社外持ち出し時の紛失等によるデータ流出リスクを考慮して、その半数については「Windows BitLocker To Go」で暗号化して「読み込み・書き込み可能」とし、それ以外は「読み込みのみ可能」にしたいと考えています。

DeviceLockを導入すればこのような運用は可能でしょうか。

Answer: こうすればできる

DeviceLockのデバイス制御機能には「暗号化統合」設定があり、「Windows BitLocker To Go」をはじめとした各種暗号化ソリューションと連携したアクセス制御を実現しています。

「Windows BitLocker To Go」は現在リリースされているビジネス向けMicrosoft Windowsに標準で搭載されている暗号化機能で、無償で利用できることから、手軽に導入することができ便利です。

今回は、DeviceLockで「Windows BitLocker To Go」で暗号化したリムーバブルデバイスを「読み込み・書き込み可能」、それ以外のリムーバブルデバイスを「読み込みのみ可能」に設定する方法について説明します。

Step: 方法

DeviceLockの暗号化統合機能により、「Windows BitLocker To Go」で暗号化したリムーバブルデバイスを「読み込み・書き込み可能」、それ以外のリムーバブルデバイスを「読み込みのみ可能」に設定する方法について説明します。

暗号化統合設定

まず最初に、DeviceLock Serviceの「Windows BitLocker To Goとの統合」が有効に設定されていることを確認します。

  1. DeviceLock管理コンソールを起動して、設定を確認したいクライアントPCのDeviceLock Serviceに接続します。
  2. 左ペインで[DeviceLock Service]-[Serviceオプション]-[暗号化]と展開すると、右ペインに、対応する暗号化ソリューションがリストされます。
  3. リストから「Windows BitLocker To Go」を探し、[状態]が「有効」になっているか確認し、[無効]になっていたら[有効]に変更します。
    設定を変更するには、「Windows BitLocker To Go」行を右クリックし、表示されるコンテキストメニューから[有効]を選択します。

暗号化統合設定が「無効」になっていると、これ以降に説明する設定が反映されなくなりますのでご注意ください。
なおデフォルト(初期)値は、全ての暗号化ソリューションに対して「有効」です。

デバイスアクセス制御設定

次に、リムーバブルデバイス(着脱可能デバイス)に対するアクセスポリシー設定を行ないます。
※ なお、ここでは、リムーバブルデバイス以外のデバイスタイプ・ポートに対しては「フルアクセス可能」に設定するものとします。

  1. 左ペインで[DeviceLock Service]-[デバイス]-[アクセス許可]と展開すると、右ペインに、対応するデバイスタイプ・ポートがリスト されます。
  2. 右ペインのリスト全行について、[標準]が「フルアクセス権あり」、[オフライン]が「未構成」に設定されていることを確認し、異なっている場合は変更します。
    これで、全てのデバイスタイプ・ポートに対してのフルアクセス権が 設定されます。
  3. 右ペインのリストで[着脱可能デバイス]とあるものがリムーバブルデバイスを意味します。
    Windows BitLocker To Goは、リムーバブルデバイスを対象にした暗号化機能です。
    USBメモリー、USBハードディスク、メモリーカードリーダー(SDカードリーダーなど)がリムーバブルデバイス(着脱可能デバイス)に該当します。

  4. [着脱可能デバイス]をダブルクリックするか、右クリックして表示されるコンテキストメニューから[アクセス許可の設定…]を選択すると、アクセスポリシー変更画面が表示されます。 初期値は何も設定されていない状態で、全てのユーザー(Everyone)に対してフルアクセス権([ユーザーの権利]の全ての項目が[許可])が設定されており、以下のようになっています。
  5. 今回は、「Windows BitLocker To Go」で暗号化したリムーバブルデバイスを「読み込み・書き込み可能」、それ以外のリムーバブルデバイスを「読み込みのみ可能」に設定します。[ユーザー]欄で[デフォルト設定]ボタンをクリックすると下図のように3つのユーザー(グループ)が出てきますので、[Administrators]を選択(クリック)してから[削除]ボタンをクリックして削除します。[SYSTEM]を選択して[ユーザーの権利]の全ての項目が「許可」にチェックされていることを確認します。
    ※ SYSTEMユーザーに対するフルアクセス権付与は、Windowsがリムーバブルデバイスを適切に認識できるようにするためです。
  6. 続いて[Everyone]を選択して[ユーザーの権利]を以下のように設定します。

    一般  読込み:[許可]
    一般  書込み:チェックなし
    一般  フォーマット:[許可]
    一般  取り出し:[許可]
    暗号化 読込み:[許可]
    暗号化 書込み:[許可]
    暗号化 フォーマット:[許可]

    (重要) [ユーザーの権利]の競合について

    Everyoneユーザーは「全てのユーザー」を意味しますので、Step4で設定したSYSTEMユーザーもこれに含まれます。EveryoneユーザーとSYSTEMユーザーで[ユーザーの権利]設定が競合する(異なる)場合、例えば、Everyoneユーザーで[拒否]、SYSTEMユーザーで[許可]に設定されている場合、SYSTEMユーザーに対して[拒否]と[許可]の両方が設定されていることになります。このような場合、[拒否]は[許可]に優先します。この例ではEveryoneユーザーに対する[拒否]設定が優先され、結果的にSYSTEMユーザーに付与される権限は[拒否]になります。今回の設定では、Everyoneユーザー権限のうち[一般・書込み]をチェックせず空欄にしています。この項目は包含するユーザー(今回の設定ではSYSTEMユーザー)の権限に影響せず、このユーザーでの権限設定が適用されます。

    つまり、今回の設定では、Everyoneユーザーで[チェックなし]、SYSTEMユーザーで[許可]設定なので、結果的にSYSTEMユーザーに付与される権限は[許可]になります。

    (重要) 設定されていないユーザーの権利について

    [ユーザー]欄に設定したユーザー/グループに該当しないユーザーアカウントでWindowsにログオンした場合は、そのデバイス・ポートにおける全ての権利に対して[拒否]設定扱いになります。 例えばSYSTEMユーザーだけが[ユーザー]欄にリストされていてフルアクセス権が付与されている場合、認証操作を経てWindowsにログオンするユーザーは全て「SYSTEMではないユーザーアカウント」を使ってログオンしますので[ユーザー]欄にリストされておらず、そのためそのデバイス・ポートに対してアクセス権限を持ちません。
    今回の設定ではEveryoneユーザーがリストされているため、Windowsにどのユーザーアカウントでログオンしても、Everyoneユーザーに割り当てられた権限が付与されます(SYSTEMユーザーを除く)。

以上で、「Windows BitLocker To Go」で暗号化したリムーバブルデバイスを「読み込み・書き込み可能」、それ以外のリムーバブルデバイスを「読み込みのみ可能」に設定する手順は終了です。

Reference: 参考

  1. 今回の設定例では、「Windows BitLocker To Go」で暗号化されていれば個人所有のUSBメモリーであっても「読み込み・書き込み可能」となるため、私物デバイスの持ち込み使用を容認するものとなります。組織内での現実的な運用としては、別に「使用を許可するUSBメモリー以外は使用させない」設定を施しておくことが適切です。DeviceLockでは、これを「USBポートの使用を禁止し、使用を許可するUSBメモリーだけをUSBホワイトリストに登録する」方法で実現します。
  2. DeviceLock自身にはデータやファイルを暗号化する機能はありませんので、DeviceLockの暗号化統合機能は、DeviceLockの機能で書き込みデータを暗号化するものではありません。
  3. 本資料の更新時点ではMacintoshコンピューターのOSは「Windows BitLocker To Go」に対応しないため、DeviceLockのMacintosh版では「Windows BitLocker To Go」暗号化との統合機能はサポートされません。本資料の更新時点ではMacintosh版の暗号化統合機能が対応する暗号化は「File Vault」のみとなります。
  4. 本資料の更新時点で暗号化統合機能が対応している暗号化ソリューションは以下の通りです。
  • DeviceLock Windows版
    DriveCrypt、Lexar JD SAFE S3000、Lexar JD SAFE S3000 FIPS、Lexar SAFE PSD、Rutoken Disk、SafeDisk、SafeGuard、Symantec Drive Encryption、TrueCrypt、Windows BitLocker To Go
  • DeviceLock Macintosh版
    Mac OS X FileVault

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム