皆さんこんにちは。ラネクシー社員Kです。
今回のテーマは、DeviceLockを運用する際にぜひとも知っておきたい「管理のしくみ」です。
また、コンピューターにDeviceLockをインストールしただけでは、DeviceLockは何もしてくれないので、管理ツールを使って「コンピューターのデータをどう守るのか」を設定してあげる必要があるのですが、これについても合わせてお話しします。
さっそく始めましょう。
まずは管理ツール全般について、軽く触れましょう。
DeviceLockの管理ツールには、主に次の4種類があります。
DeviceLock管理コンソール
DeviceLockをリモートインストールしたり、DeviceLockの設定を直接書き換えたり、コンピューターに残したログを見たりします。
DeviceLock Service設定エディタ
DeviceLockの設定を作って、ファイルに書き出します。コンピューターのDeviceLockに設定された内容を書き換えることはしません。
DeviceLock Enterprise Manager
目的はDeviceLock管理コンソールと似ていますが、複数のコンピューターに対して一度に同一内容を処理できます。
DeviceLockグループポリシーマネージャー
Windowsサーバーの「グループポリシー」機能を使って、コンピューターのDeviceLockの設定を書き換えます。
今回は、小~中規模の運用でメインに使用されることが多い「DeviceLock管理コンソール」を使用した、DeviceLockの管理のしくみについてお話しします。
1. 「DeviceLockサービス」の設定はどこにある?
DeviceLockの本体プログラムは「Windowsサービス」という形式で、クライアントのコンピューターにインストールされます。
DeviceLockサービスは、コンピューターの電源が入って、Windows(またはMac OS)が起動する際に、一緒に起動されます。
コンピューターのユーザーさんがアイコンをダブルクリックなどしなくても、自動的に起動してそのまま勝手に動作するしくみです。
前書きでお話ししましたように、コンピューターにDeviceLockサービスをインストールしただけでは何もしてくれないので、DeviceLockサービスに対して、
プリンターに印刷しようとしたら禁止してください
とか
AさんがこのUSBメモリーを使おうとしたら許可しますが、
他の人が同じUSBメモリーを使おうとしたら禁止してください
とか
BさんがDeviceLockの設定を変更しようとしたら許可しますが、
他の人がDeviceLockの設定を変更しようとしたら禁止してください
などといった設定をしてあげる必要があります。
では、その設定はどこに保存されるのでしょう?
実は、DeviceLockの設定は、各コンピューターの中に保存されています。つまり、DeviceLockサービスは、起動するときに自身のコンピューターに保存されている設定を読み込んで、その指令の通りに動作するのです。
クライアントコンピューターのDeviceLockサービスと設定のイメージ
この方式の何が良いのかと言いますと、
DeviceLockは、管理サーバーやインターネットなどに接続できない状態(スタンドアロン)でも、正しくデバイス制御ができる
ということなのです。
2. コンピューターのDeviceLockサービス設定を変更するしくみ
先にお話ししましたように、DeviceLockサービスの設定は、各コンピューター内にあります。
これを変更するには、DeviceLockの管理ツールが必要になります。
そこで「DeviceLock管理コンソール」の登場です。
普通、DeviceLock管理コンソールを使うのは、組織の中で「DeviceLockを管理する人(管理者さん)」ですので、DeviceLock管理コンソールをインストールするのは、その管理者さんのコンピューターです。
管理者さんのコンピューターから、クライアントコンピューターにインストールされているDeviceLockサービスの設定を変更するには、ネットワーク経由でこれに「接続」する必要があります。
管理PCの管理コンソールと、クライアントコンピューターのDeviceLockサービスと設定のイメージ
ですから、DeviceLock管理コンソールには、ネットワークを通してクライアントコンピューターに接続する機能が付いています。
DeviceLock管理コンソールは、クライアントコンピューターに接続すると、
そのコンピューターにまだDeviceLockサービスがインストールされていない場合
インストールを促してきます。インストールはリモートで行なわれ、インストールが無事終了すると、クライアントコンピューターのDeviceLockサービスに接続します。
そのコンピューターに既にDeviceLockサービスがインストールされている場合
そのままクライアントコンピューターのDeviceLockサービスに接続します。
DeviceLockサービスに接続したDeviceLock管理コンソールは、クライアントコンピューターに保存されているDeviceLockの設定を読み込み、DeviceLock管理コンソールの設定パラメーターに反映します。
これで管理者さんは、クライアントコンピューターに保存されているDeviceLockの設定を参照したり、変更することができるようになります。
DeviceLock管理コンソールでDeviceLock設定を変更すると、変更した内容は直ちにクライアントコンピューターに転送され、変更がほぼリアルタイムに反映されます。
なお、DeviceLock管理コンソールが同時に接続できるコンピューター(DeviceLockサービス)は一台ですので、複数のコンピューターに対して、DeviceLockの設定を同時に行なうことはできません。これを行なうには、DeviceLock Enterprise ManagerやDeviceLockグループポリシーマネージャー、またはオプションのDeviceLock Enterprise Serverを使用します。
これらの管理ツールについては、また別の機会にお話ししましょう。
3. スタンドアロンで運用するときは?
上の方で「DeviceLockは、管理サーバーやインターネットなどに接続できない状態(スタンドアロン)でも、正しくデバイス制御ができる」とお話ししましたが、ネットワークに接続せずコンピューター単体で運用するスタンドアロンの場合、管理者さんのDeviceLock管理コンソールからスタンドアロンのコンピューターのDeviceLockサービスに接続できませんので、このままではDeviceLockの設定を参照したり変更したりできません。
そのような場合は、DeviceLock管理ツールの一つ、DeviceLock Service設定エディタを使用して、DeviceLockに行なわせたい設定を編集し、ファイル(DeviceLock Service設定ファイルといいます)に出力して、このファイルを対象のコンピューターに読み込ませることでDeviceLock設定を変更することができます。
これについては今回詳しくは触れませんが、スタンドアロンのコンピューターであっても、運用ができることをご理解いただければと思います。
では、スタンドアロンのコンピューターに、DeviceLock管理コンソールとDeviceLockサービスの両方を入れて、オールインワンの運用はできるのでしょうか。
実は、一台のコンピューターにDeviceLock管理コンソールとDeviceLockサービスの両方を入れることもできます。
DeviceLock管理コンソールから、自身のコンピューターにインストールされているDeviceLockサービスに接続することもでき、この場合は「ローカルコンピューター」への接続となります。
スタンドアロン運用のイメージ(管理コンソールとDeviceLockサービスと設定が混在)
DeviceLock管理コンソールを使用するWindowsのユーザーに適切な権限があれば、スタンドアロンのコンピューターでもDeviceLockの設定を不正に変更されたり、DeviceLockサービスを無効化されたりすることなく、安全に運用することができるようになっています。
4. DeviceLock管理コンソールのあれこれ
DeviceLockがコンピューター単体で運用できる(コンピューター一台で完結できる)仕組みについて、ご理解いただけましたでしょうか?
最後に、DeviceLock管理コンソールについて、知っておきたい点を3つご紹介させていただきます。
知っておきたい点:1
DeviceLock管理コンソールの実体は「MMCスナップイン」といって、「Microsoft管理コンソール」の仕組みを借りて動作するツールです。実行プログラムの形式としておなじみの「EXE」ファイルなどとは仕組みが違っています。
ですので、DeviceLock管理コンソールを動作させたときの見た目や操作感などはMicrosoft管理コンソールの仕様に準拠しており、使ってみて違和感を感じたり、文字ばかりで親近感がわかないと思われるかもしれません。でも、使い慣れると特に気になりませんし、むしろ、ほとんどの操作がキーボードだけでできるところに、プロフェッショナル的な快感を楽しむことができます(個人の感想です)。
知っておきたい点:2
時々、お客様から「DeviceLock管理コンソールの起動にパスワードを設定できますか」といったご質問をいただくことがあります。このコラムの10回目の前書き(質問コーナー)でも少し触れましたが、起動パスワードの設定はできません。また、DeviceLock管理コンソールが不用意にアンインストールされることを防ぐためにアンインストール時にパスワードを入力させたい、というご要望をいただくこともあります。
ですが、今回のコラムでお話ししてきましたように、DeviceLockの本体(DeviceLockサービス、DeviceLock設定)はクライアントコンピューター側にあり、DeviceLockの実行環境としてはクライアントコンピューター内で完結しています。DeviceLock管理コンソールがどこにあっても、DeviceLockの実行には影響ありません。
つまり、DeviceLock管理コンソールの起動にパスワードを設定したとしても、新たに別のコンピューターにDeviceLock管理コンソールをインストールしてしまえば、パスワードの入力を回避できるわけで、これではパスワードの意味がなくなってしまいます。
知っておきたい点:3
DeviceLock管理コンソールからクライアントコンピューターを管理する際の認証は、DeviceLock管理コンソールではなく、クライアントコンピューター側で行なわれます。クライアントコンピューターにインストールされたDeviceLockサービスにアクセス(接続)するには、そのクライアントコンピューターのWindowsローカル管理者権限を持つユーザーのアカウントとパスワードが必要です。
クライアントコンピューターの管理者だけが、そのDeviceLock設定を変更したり、DeviceLockサービスをアンインストールしたりすることができるのです。
Windows環境での基本的なセキュリティとして、システム管理者さん以外、Windowsの管理者権限を持たせないことが大切、ということですね。
どうしてもユーザーさんにWindowsの管理者権限を持たせなければならない時は、DeviceLock独自のセキュリティである「DeviceLock管理者」の機能が用意されていますので、機会があればご紹介したいと思います。
ではまた。
- « 前の記事へ
- でばいすろっくコラムTOP
- 次の記事へ »
投稿日:2020年12月11日
でばいすろっくコラム 記事一覧
- 第20回 DeviceLockマスターへの道
- 第19回 DeviceLockのピリ辛機能
- 第18回 不思議な差の世界
- 第17回 テレワークとDeviceLock
- 第16回 マイナンバーを検出する
- 第15回 DeviceLockの集中管理
- 第14回 レガシーデバイスとDeviceLock
- 第13回 DeviceLockの管理のしくみ
- 第12回 一時的ホワイトリストによるUSBデバイスの一時許可
- 第11回 「コンテンツ認識ルール」って、なに?
- 第10回 「DeviceLock Lite」とは?
- 第9回 「シャドウイング」ログって、なに?
- 第8回 USBデバイスの識別IDとは?
- 第7回 アクセスの記録を監査ログに残す
- 第6回 DeviceLockのライセンス
- 第5回 光学ドライブのアクセス制御
- 第4回 トライアルのススメ
- 第3回「USBを止める」って、どういうこと?
- 第2回 DeviceLockのしくみ
- 第1回 パソコンとデバイス
- でばいすろっくコラムとは?
国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"
DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。
DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。
- ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より