第15回 DeviceLockの集中管理

皆さんこんにちは。ラネクシー社員Kです。

今回のお話は、でばいすろっくコラム最大の難関である、DeviceLockの集中管理についてです。

集中管理って簡単に言うものの、簡単に説明するのはなかなか難しいのですが、いずれは書かなければならない、重要なテーマなのですよね・・。

上手く説明できるいいアイデアもないので、初心に立ち返り、このコラムの最初の回「でばいすろっくコラムとは?」を見てみると、次のように書いてあります。

このコラムは、会社の大切な資産であるデータを守るセキュリティソフトであるDeviceLockとそれに関係したあれこれを、誰にでもわかるよう、なるべく難しい言葉を使わずにお話しすることを目指すものです。

「誰にでもわかるよう、なるべく難しい言葉を使わず」ですって?? 誰だこんなこと書いたのは!!

そりゃ無理でしょ・・。

散歩でもしながら考えますか・・。 (→ 職場放棄へ)

1. DeviceLockは専用サーバーがいらないって、本当?

DeviceLockの管理手法についての簡単な説明については、「DeviceLockコラム 第13回 DeviceLock管理のしくみ」をご覧いただくとよろしいかと思いますが、一言で言いますと、

「コンピューター一台にDeviceLockの全てを盛り込むことで単体で運用できるソフトウェアシステム構造」

を前提とした管理手法になります。

つまり、DeviceLockの管理手法は、DeviceLockの以下のような特性に基づいています。

デバイス制御をするプログラムは、
サービスとしてクライアントコンピューターに常駐する

デバイスをどう制御するかを記録した設定(パラメーター)は、
クライアントコンピューターに保管されている

ログ(動作記録)は、
クライアントコンピューター内に生成される

管理ツールは、
クライアントOSでも動作する

この特性により、DeviceLockはクライアントコンピューター単体(スタンドアロン)でも運用できるわけです。
ですので、「コンピューター単体で運用できるのだから、専用サーバー(管理マシン)は必要ない」というのは、本当です。

しかし、専用サーバーを使わない運用がどんな場合でも最適なのか?といった疑問もありますね。
そこで、DeviceLockをコンピューター単体で運用する場合の問題点について考えてみましょう。

コンピューター単体で運用する場合、クライアントコンピューターが複数あっても、DeviceLockの運用単位としては、クライアントコンピューター毎に独立した別個のものとなりますので、DeviceLockは個々別々に管理する必要があります。

ということは、DeviceLockの設定を変えたり、ログ(動作記録)を見たりするのに、対象のクライアントコンピューターで操作をしなければならないことになります。
例えば、クライアントコンピューターA、B、CのDeviceLock設定を変えるには、次の操作が必要になります。

  1. Aコンピューターを操作し、管理ツールを起動して設定を変える
  2. Bコンピューターを操作し、管理ツールを起動して設定を変える
  3. Cコンピューターを操作し、管理ツールを起動して設定を変える

「リモートデスクトップでやるから」というご意見もあろうかと思いますが、たくさんあるクライアントコンピューターに一台ずつリモートデスクトップ接続をして、一台ずつ管理操作するのは、場所の移動はないものの、非効率な作業であることに変わりはありません。

そこで、DeviceLockでは、この手間を軽減するために、ネットワーク経由でクライアントコンピューターのDeviceLockサービスと通信してこれを管理できる、「DeviceLock管理コンソール」や「DeviceLock Enterprise Manager」といった管理ツールを用意しています。(「DeviceLockコラム 第13回 DeviceLock管理のしくみ」参照)

  • これらの管理ツールは、クライアントコンピューター単体での運用にも使用することができます。
  • ここでいう「管理」とは、クライアントコンピューターにDeviceLockのサービスをリモートインストールしたり、設定を変えたり、ログを参照したり、といった内容になります。

これらの管理ツールは専用のサーバーを用意する必要がなく、普段使っているクライアントコンピューターにインストールすることで、手軽に利用することができます。

同じネットワーク内にあるクライアントコンピューターを対象にした、リモート操作での管理が可能になっており、導入規模などにもよりますが、通常はこれでもなんとかなります。

つまり、専用サーバーを用意しなくても、ある程度まで管理はできるのです。

2. 専用サーバーでできることは?

ここまで、スタンドアロン、簡易管理ツールによる運用についてお話ししましたが、次は、いよいよ専用サーバーについてのお話です。

ここでいう専用サーバーというのは、「DeviceLock Enterprise Server」というツールのことです。

  • 前述の「DeviceLock Enterprise Manager」と名前が似ていますが、別のものです。お間違えのないよう、ご注意ください。

このツールは、DeviceLockのライセンスをひとつでも購入すれば無償でご利用できるものとなっています。

Server(サーバー)というだけあって、WindowsのサーバーOSや、市販のデータベース(Microsoft SQL Server)の導入が必要になるので、少し敷居が高く感じられるかもしれません。

たしかに、セットアップ時には、データベースの知識も少々必要になりますので、その方面にご経験のある方がいらっしゃると心強いかもしれません。

とはいえ実際はどうかと申しますと、このコラムではテクニカルな話題をあえて避けています(筆者がテクニカルに書けないというスキル事情もありますが)ので、動作要件や構築のしかたなどには触れませんが、文系の私でもなんとかできるくらいですので、構築や運用の難易度はそんなに高くはないものと思っています。

さて、DeviceLock Enterprise Serverの主な役割は、一言で言うと、

「クライアントコンピューターへのソフト展開、ポリシー展開、ログ転送、クライアント監視など、クライアントコンピューターの集中管理」

といったところになります。

いかにも管理サーバーらしい機能を搭載していますが、DeviceLock Enterprise Serverの機能は、通常、DeviceLockの管理者さんが普段お使いになっているコンピューターのDeviceLock管理コンソールの画面から操作します。

ですので、操作感はDeviceLock管理コンソールで単一のクライアントコンピューターを管理する時と似ています。

ここで、上に挙げた、DeviceLock Enterprise Serverで用意している主な機能について、簡単にご紹介します。

ソフト展開

DeviceLock Enterprise Serverから、クライアントコンピューターに、DeviceLockのプログラム(サービス)を配信し、インストールします。

ポリシー展開

DeviceLock Enterprise Serverから、クライアントコンピューターに、DeviceLockのポリシー(アクセス制御の設定など)を配信し、適用します。

ログ転送

クライアントコンピューターで生成されたDeviceLockのログ(監査ログ、シャドウイングログ)をDeviceLock Enterprise Serverに転送し、複数のクライアントコンピューターのログをまとめて一度に参照します。

クライアント監視

クライアントコンピューターが通信可能な状態にあるか、DeviceLockのプログラム(サービス)がインストールされ動作しているか、などの情報を収集し表示します。

難しくなってきましたので、ここらで休憩を・・。

3. 専用サーバーのメリットは?

コストや手間をかけて構築するDeviceLockの専用サーバーですが、どんなメリットがあるのでしょうか。

DeviceLock Enterprise Serverの主な機能は、上に挙げたとおりですが、もう少し深く考えてみましょう。

ソフト展開

まず「ソフト展開」、つまり、DeviceLockサービスのリモートインストール機能ですが、この機能は専用サーバーがなくても、「DeviceLock管理コンソール」や「DeviceLock Enterprise Manager」といった簡易な管理ツールでもできます。でも、これらのツールは、リモートインストールの際、クライアントコンピューターの電源が入っていなかったり、クライアントコンピューターが社外に持ち出されているなどネットワークから外れていると、インストールができず、時間を変えて再度、手動でインストールをやり直す必要があります。

一方、DeviceLock Enterprise Serverの場合は、「モニターリング」という機能を使って実行しますが、モニターリングでは、あらかじめ設定された一定時間ごとにクライアントコンピューターをスキャンして、その状態を確認します。そのとき可能であればインストールを行ない、クライアントコンピューターに接続できないなど、インストール可能な状態でなければインストールをせず、次のスキャンまで保留にします。

つまり、DeviceLock Enterprise ServerによるDeviceLockサービスのリモートインストールは、一度設定しておけば、失敗しても次のスキャンで自動的にリトライしてくれるので、再度操作をする必要はないのです。

ポリシー展開

次に「ポリシー展開」、つまり、DeviceLock設定の配信ですが、こちらも「DeviceLock管理コンソール」や「DeviceLock Enterprise Manager」でもできます。しかし、これについても、DeviceLockサービスのリモートインストールと同じで、管理側のコンピューターがクライアントコンピューターに接続できない状態だと展開できず、後で再度、展開をやり直す必要があります。

一方、DeviceLock Enterprise Serverの場合は、「ポリシー」という機能を使って実行しますが、この機能を利用した場合のDeviceLock設定のクライアントコンピューターへの配信は、通常、クライアントコンピューターからのリクエストにより行なわれます。つまり、クライアントコンピューターのDeviceLockサービスが起動する際など、いくつかの条件のうち一つを満たすと、DeviceLockサービスが、DeviceLock Enterprise Serverに対して、更新されたDeviceLock設定ファイルの転送を要求します。この方式を「プル(Pull)型配信」と呼んでいます。

また、更新されたDeviceLock設定を、DeviceLock Enterprise Serverからクライアントコンピューターに強制的に送信することもできます。この方式を「プッシュ(Push)型配信」と呼んでいます。

ログ集積

次に「ログ集積」ですが、クライアントコンピューターで生成されたログは、「DeviceLock管理コンソール」や「DeviceLock Enterprise Manager」でも見ることができます。

しかし、DeviceLock管理コンソールでは、ログを表示する単位はあくまでクライアントコンピューター一台毎になり、また、複数のクライアントコンピューターのログをまとめるには、一旦各々のクライアントコンピューターからログを外部出力し、表計算ソフトなど別のツールでこれらをマージ(結合)してやる必要があります。これは大変な手間です。

また、DeviceLock Enterprise Managerでは、複数のクライアントコンピューターを事前に指定しておけば、各々のクライアントコンピューターからログを取り込んで、上下に並べて参照することはできるようになっています。

一方、DeviceLock Enterprise Serverの場合は、管理対象の各クライアントコンピューターと通信し、クライアントコンピューターで生成されたログをほぼリアルタイムで収集(転送)します。収集されたログには識別のためクライアントコンピューター名がつけられ、各クライアントコンピューターのログを同一のログビューアー画面で一度に(マージされた状態で)参照することができます。

クライアント監視

最後に「クライアント監視」ですが、これは「DeviceLock管理コンソール」や「DeviceLock Enterprise Manager」にはありません。「ソフト展開」と同じで、「モニターリング」という機能を使って実行します。

クライアントコンピューターの状態(コンピューターに接続が可能か、コンピューターにインストールされているDeviceLockサービスに接続可能か、など)をチェックしたり、コンピューターやDeviceLockサービスの稼働時間、インストールされているDeviceLockサービスのバージョンなどを確認することができます。

他にも便利な機能はありますが、これだけを見ても、専用サーバーであるDeviceLock Enterprise Serverのメリットがお分かりいただけるのではないかと思います。

4. 専用サーバーのデメリットは?

上の方にも少し書きましたが、DeviceLock Enterprise Serverの構築には、WindowsのサーバーOS(Windows Server 2016やWindows Server 2019など)と、データベース(Express Editionを含むMicrosoft SQL Server)が必要になります。ですからWindows Serverやデータベースが十分に動作するスペックのハードウェア(または仮想マシン)が必要になるなど、動作要件には少し気を遣う必要があります。

これをデメリットと捉えるかは人それぞれかも知れません。ですが、専用サーバーによって得られるメリットをよく把握し、それに見合ったコストと考えていただけるのであれば、DeviceLock Enterprise Serverの導入は、きっと有意義なものになると思います。

ではまた。

投稿日:2021年03月03日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

資料請求

ラネクシーDLPソリューションの詳細な資料、導入事例集、各種リーフレットをご用意しております!
下記資料請求よりお申込みください。

menu_book 資料請求はこちら