情報セキュリティに欠かせないDLP(Data Loss Prevention)とは?機能や特徴、導入のメリットを解説

本記事ではセキュリティ対策の1つである「DLP」に焦点を当てて、その概要や仕組み、従来の対策との違いについて解説していきます。併せて、DLPの導入方法や導入することのメリット、DLP製品を選ぶ際のポイントについてもご紹介します。

DLP(Data Loss Prevention)とは

DLP(Data Loss Prevention)とは、情報漏洩対策を行うセキュリティツールやシステムのことです。DLPではデータの中身を監視して情報の漏洩を防止するため、高い効果を期待できます。

具体的には、対象のデータが正規の手順を踏まずに出力や送信が行われた場合に、自動的に操作を無効にしたり、アラートを出したりすることが可能です。そのため、内部からの誤動作や、不正による情報漏洩に非常に効果的と言えます。

従来の情報漏洩対策との違い

従来の情報漏洩対策としては、ユーザーIDとパスワードを用いたユーザー認証によって、ユーザー側を監視するシステムが主流でした。ただ、従来の対策法では、正規のユーザーによる情報漏洩を防ぐことができない点や、全ての情報を監視対象とするため、運用の負荷が大きい点などが課題としてあげられていました。

一方、DLPはデータそのものを監視するため、正規のユーザーによる情報漏洩も防ぐことが可能となりました。また、監視対象を機密情報と特定した一部の情報に限定するため、従来のシステムに比べて運用の負荷を軽減できるようになりました。

IT資産管理ツールとの違い

代表的な情報漏洩対策としては、他にもIT資産管理ツールが挙げられます。IT資産管理ツールとは、PCやソフトウェア、USBメモリといった、社内のIT資産を一元管理するためのツールです。

DLPは情報漏洩の防止を目的として、データそのものを監視するのに対し、IT資産管理ツールはコンプライアンスやセキュリティの強化を目的として、IT資産とユーザーの操作を監視します。

このように、DLPとIT資産管理ツールは目的や監視対象も異なるため、両者を併用するのが望ましいと言えるでしょう。

navigate_nextIT資産管理ツールについて詳しくはコチラ

DLPの仕組みとは?

DLPは保護すべき機密情報を自動的に判別・検出をして、該当データが外部に持ち出されそうになると、アラートが出たりブロックされたりする仕組みとなっています。

DLPがデータの機密性や重要性を判別する方法としては、主に以下の2つがあります。

  • キーワードと正規表現
  • フィンガープリント

以下でそれぞれの方法について、解説していきます。

キーワードと正規表現

特定のキーワードや正規表現によって、データの機密性や重要性を判別する方法です。住所・氏名・電話番号やクレジットカード番号といった、特定のキーワードに対して非常に効果的で、昔から使われていた方法です。

ただし、実際に運用する際は、特定のキーワードを1つずつ登録する必要があり、非常に労力を要する点がデメリットと言えます。

フィンガープリント

フィンガープリントとは指紋のことで、データに指紋のような個別の識別符号を登録する方法です。フィンガープリントを登録しておけば、仮にデータの一部が改変されたとしても、キーワード構成や文書構造などの特徴によって、機密情報として判別することが可能です。さらに、特定のデータから派生した類似のファイルやフォルダなども判別できます。

キーワードを1つずつ登録する必要もないため、キーワードと正規表現に代わる方法として、フィンガープリントは現在多くのツールで用いられています。

DLPを構成する3つの主な要素

DLPを構成する主な要素は、以下の3つです。

  • DLPエージェント
  • DLPアプライアンス
  • DLP サーバー

DLPエージェントはPCにインストールすることで、そのPC内に常駐してデータのやり取りを監視できます。ただし、DLPエージェントがインストールされたPC同士であれば、機密情報のやり取りができてしまう点に注意が必要です。

DLPアプライアンスはネットワークを流れるデータを監視するため、DLPエージェントをインストールしていないPCであっても、DLPの機能が利用できます。ただし、DLPアプライアンスで防止できるのは,ネットワーク上を流れる機密データに限られる点に注意が必要です。

DLP サーバーは社内にある機密データを登録することで、DLPエージェントを監視できます。「フィンガープリント」を生成するのもDLPサーバーです。

DLPのさまざまな機能

DLPの最大の機能はデータそのものを監視することですが、他にも様々な機能があります。

代表的な機能としては、社内に存在するデバイスを一元管理・制御する「デバイス制御」、閲覧リスクが高いサイトへのアクセスを制御する「WEBセキュリティ」、機密情報を含んだメールの送信をブロックする「メールセキュリティ」、サーバー内に存在する機密情報をリアルタイムで監視する「コンテンツ監視」、機密情報が含まれたデータの印刷や画面キャプチャーを制限する「印刷制限」などが挙げられます。

その他、企業が扱う情報により柔軟に対応できる製品もあり、DLPの機能は多岐にわたります。

DLP導入のメリット

DLPを導入することには、以下のようなメリットがあります。1つずつ詳しく解説していきます。

  • ミスによる内部漏洩を阻止できる
  • リアルタイムに情報漏洩をキャッチできる
  • USBによる安全なデータ持ち出しが可能
  • 運用コスト、手間が削減できる

ミスによる内部漏洩を阻止できる

DLPはデータそのものを監視するため、人為的ミスによる情報漏洩を阻止できる点が最大のメリットです。

情報漏洩は意図的な不正によるものよりも、誤操作などのヒューマンエラーによるものの方が多いというのが実情です。保護すべき情報が増えれば増えるほど、人為的ミスによる情報漏洩が発生する可能性も高まるため、DLPでの情報漏洩対策は非常に重要といえるでしょう。

リアルタイムに情報漏洩をキャッチできる

従来のログ解析などによる対策では、解析を行わないと不正や誤操作の事実を特定できず、情報漏洩の発覚がリアルタイムでないという問題点がありました。

その点、DLPでは自動で解析が行われるため、即座に情報流出の事実が発覚し、すぐに対処することが可能です。また、DLPは正規の手順以外での操作は、自動的に無効にすることもできるため、情報漏洩の未然防止にも高い効果を発揮します。

USBによる安全なデータ持ち出しが可能

USBメモリは紛失や盗難のリスクが高く、情報漏洩に繋がるとして、USBメモリの使用を禁じている企業もあります。

その点、DLPを導入していれば、情報の機密性を確認した後に、USBメモリによるデータの持ち出しを許可する運用もできます。DLPの導入によって、セキュリティ対策とUSBメモリの利便性を両立させることが可能となるでしょう。

運用コスト、手間が削減できる

網羅的な情報漏洩対策を講じるためには、社内の全ての情報を監視体制に置くのが理想ですが、運用に大きな負荷がかかるため、あまり現実的とはいえません。

その点、DLPは保護すべき情報を機密情報に限定して自動検出するため、運用のコストや手間をかけずに必要な情報を守ることが可能です。

DLPの導入方法

DLPの導入方法は多く存在しますが、本章では代表的なDLPの導入方法を3つご紹介します。

  • EDLP(Enterprise Data Loss Prevention)
  • IDLP(Integrated Data Loss Prevention)
  • CSPDLP

EDLP(Enterprise Data Loss Prevention)

EDLPは、専用のソリューションとしてDLPが提供される方法です。ネットワークやクラウド、ユーザーアクセスなど、企業の課題に沿って、幅広い箇所にDLPを導入することができます。専用のソリューションゆえに、柔軟なカスタマイズができる点も特徴です。

ただし、そのぶんコストが高く、導入には予算管理も含めて慎重な検討が必要でしょう。

IDLP(Integrated Data Loss Prevention)

IDLPとは、特定のセキュリティ対策製品としてDLPが提供される方法です。Eメールに特化したDLPや、エンドポイントセキュリティ製品(PCやサーバーなどの末端機器をサイバー攻撃から守る製品) に特化したDLPなど、機能する範囲が限定的になる点が特徴です。

機能を限定するぶんコストを抑えられますが、導入前に自社の課題を明確にしておかないと、十分な効果を得られない可能性があるため、その点に注意が必要でしょう。

CSPDLP( CSP-Native Data Loss Prevention)

CSPDLPとは、クラウドサービスとしてDLPが提供される方法です。企業がクラウド上で保護している情報が対象となり、EDLP並みの機能性や柔軟性を有している点が特徴です。

導入も比較的簡単で、企業の実態に合わせて利用プランを選べるため、予算管理も含めて導入のハードルが高くない点が魅力といえるでしょう。

DLP製品を選ぶポイント

DLP製品には様々な種類があり、製品ごとに特徴が異なるため、自社の実態やニーズに合わせて慎重に選択する必要があるでしょう。

そこで本章では、DLP製品を選ぶポイントをご紹介します。具体的には、以下のようなものがあげられます。

  • 対応しているOS
  • 必要なメモリ量
  • サポート体制の充実
  • 機能の豊富さ
  • 効果に見合うコスト

対応しているOS

DLP製品を選ぶ際は、対応しているOSは必ず確認しましょう。というのも、自社で利用しているOSとDLP製品の相性が合わないと、PCの動作が不安定になるリスクがあるからです。
そのため、複数のOSに対応できるDLP製品がおすすめと言えます。ただし、複数のOSに対応できる製品は、初期費用やランニングコストが高くなりやすいため、注意が必要です。

navigate_next「Acronis DeviceLock 9」は最新Windows及びmacOSに対応!詳しくはこちら

必要なメモリ量

DLP製品を選ぶ際は、必要なメモリ量も確認しましょう。必要なメモリ量が大きければ大きいほどサーバーへの負荷が大きくなり、他の機能に影響が出る可能性もあります。

そのため、あらかじめ導入可能なメモリ量を見極めておくのはもちろんのこと、不要なデータは削除するなど、定期的なメンテナンスも必要となるでしょう。

サポート体制の充実

DLP製品を選ぶ際は、サポート体制にも着目しましょう。サポート体制が整っていないと、実際にセキュリティインシデントが発生した時や、システムトラブルが起きた時に対処が遅れてしまう可能性があります。

特に、これから本格的にセキュリティ対策を始める企業や、セキュリティ分野に強い人材が不足している企業は、サポート体制の内容は非常に重要と言えるでしょう。

機能の種類

DLP製品を選ぶ際は、機能の種類も重要です。DLP製品には、デバイス機器制御・VPN接続の制限・ファイル自動暗号化・ワークフロー・安全なUSBデータの作成など、複数のセキュリティ機能が搭載されているのが一般的です。

強化している機能はベンダーによって異なるため、自社の実態に合わせて必要な機能を見極める必要があります。

機能の種類

DLP製品を選ぶ際は、機能の種類も重要です。DLP製品には、デバイス機器制御・VPN接続の制限・ファイル自動暗号化・ワークフロー・安全なUSBデータの作成など、複数のセキュリティ機能が搭載されているのが一般的です。

強化している機能はベンダーによって異なるため、自社の実態に合わせて必要な機能を見極める必要があります。

効果に見合うコスト

DLP製品を選ぶ際は、費用対効果の観点も必要です。高性能の製品は当然ながらコストも高いため、それに見合う効果を得られるかどうかの検討が必須といえるでしょう。

オンプレミスの製品は、初期費用が大きいものの、買い切りのためその後の追加コストは基本的に発生しません。一方、クラウド型の製品はランニングコストが発生するものの、初期費用は抑えられます。また、機能の強化が後から行いやすく、カバー範囲も広めというメリットもあります。

初期費用を抑えつつ、企業の実態に合わせたセキュリティ体制を構築したいのであれば、利用プランを選べるCSPDLPがおすすめです。

情報セキュリティの強化は、経営の最優先事項

近年は、企業の情報漏洩に関するニュースが後を絶ちません。万が一情報漏洩が発生した場合には、顧客や取引先から損害賠償を請求されるリスクだけでなく、社会的信用が大きく低下するリスクも含んでいます。

そのため、今や情報セキュリティの強化は、経営の最優先事項になりつつあります。人為的ミスによる情報漏洩を阻止できるDLPは、今後さらに重要性が増していくでしょう。

ラネクシーのデバイス制御・DLPソリューション

国内5800社、40万台の導入実績のデバイス制御ソフト!
DeviceLock(デバイスロック)

実績豊富なDLPソリューションとして、外部デバイス制御パッケージの分野でシェアNo.1(※)のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

navigate_next詳細はこちら

デバイス制御&PC操作ログ管理を実現
MylogStar(MylogStar)

PC1台から大規模案件までのデバイス制御とPC操作ログの管理を実現可能できます。
内部不正による情報漏洩を「抑止」から「持出制御」「原因追及」までサポートします。

navigate_next詳細はこちら

DeviceLock 9 プログラムダウンロードのご案内

DeviceLock 9 のプログラムダウンロードはこちら

DeviceLock 9(Update3)インストールプログラム(1.61GB) ※2023/2/27 最新

注意

インストールの方法については、ダウンロードファイルを展開し「Japanese Manual」フォルダの中にある「DeviceLock Manual.pdf」「QuickInstallGuide.pdf」をご覧ください。

第20回 DeviceLockマスターへの道

皆さんこんにちは。ラネクシー社員Kです。

でばいすろっくコラムも今回で20回、コンピューターやデバイス、ソフトウェアなどになじみの少ない方々にもDeviceLockを知っていただこうとの想いで始めた、ラネクシーとしては挑戦的な「あえてゆるく解説」コラムでした。

「でした」?

・・いやあ、何とも申し上げにくいのですが。
このコラム、今回で終了となります。

私としては、好き放題書かせていただいて楽しい執筆でしたが、この1年半でお伝えしたいことは一通りお伝えできたかな、と思いますし、「ネタ枯渇が見え見え」「キャラクター頼み」「向上心なし」「ふざけ過ぎ」「制作に時間をかけ過ぎ」「他にやることないのか」といった社内批判をかわす必要もあり、ここらで潮時かな、と感じて終了とさせていただくことにした次第です。

そこで最終回。

もう思い残すことはありませんので、今回まで辛抱強くこのコラムにお付き合いいただきました皆さんに感謝の意を込めて、最初で最後のプレゼント企画です。

なんと!DeviceLock検定試験を行ないます!

そして、この試験に合格すると、「DeviceLockマスター」の称号を授与させていただきます!

試験アレルギーの一部の方、ご心配無用です。このコラムを熟読された皆さんであれば、朝飯前ですよ。

問題は10問です。
全問正解すると合格、「DeviceLockマスター認定証」を差し上げます。

それでは参りましょう。

DeviceLock検定試験

問1.DeviceLockを説明する文章として最も適切なものを、次のうちから一つ選択してください。

  1. 会社のパソコンやネットワークにあるデータ(ファイル)が外部のデバイスやネットワークに書き出される行為を監視し、必要に応じてこれを禁止することのできるソフトウェア。
  2. パソコンに接続して使用する各種デバイス(USBメモリー、プリンターなど)を、パソコンに物理的に固定することで、デバイスを盗難から保護するハードウェア。

問2.DeviceLockの動作について説明する文章として最も適切なものを、次のうちから一つ選択してください。

  1. パソコンにインストールされたDeviceLockは、パソコンの使用者が外部デバイスにデータ(ファイル)を書き出す際に都度起動してやる必要があり、DeviceLockが起動された状態でないと書き出しが許可されない。
  2. DeviceLockはパソコンにインストールされると、「DeviceLock Service」というサービスとしてWindowsの機能の一部として起動し、常にバックグラウンドで活動する。

問3.USBデバイスについての記述として最も適切なものを、次のうちから一つ選択してください。

  1. 「USBポート」はパソコンのUSB端子(接続口)のことであり、「USBデバイス」はUSB端子に接続(USBケーブルを経由、または直接)する各種機器のことである。
  2. DeviceLockでは「USBポートを止める」と「USBデバイスを止める」は同義である。

問4.光学ドライブについて、Vista以降のWindowsで選択可能になった2種類の書き出し方式についての記述として最も適切なものを、次のうちから一つ選択してください。

  1. 「マスタ方式」は、書き出し対象のファイルを1つのイメージファイルにまとめ、メディアに一括書き込みするもので、DeviceLockでファイル毎の書き出しログを記録できる。
  2. 「ライブファイル方式」は、USBメモリーやUSB外付けハードディスクなどと同様、ファイル単位で都度書き出しでき、DeviceLockでファイル毎の書き出しログを記録できる。

問5.DeviceLockのライセンスについての記述として最も適切なものを、次のうちから一つ選択してください。

  1. ラネクシー取り扱いのDeviceLockライセンスには「Base」「NetworkLock」「ContentLock」「Mac」があり、別個に購入して、それぞれの機能だけを利用することができる。
  2. 「NetworkLock」「ContentLock」ライセンスの導入は「Base」ライセンスの導入が前提であり、また「Mac」ライセンスには「NetworkLock」「ContentLock」機能を追加できない。

問6.DeviceLockの監査ログ取得機能で設定できる内容として可能なものを、次のうちから一つ選択してください。

  1. 特定のユーザーでWindowsにログオンし、リムーバブルデバイスに対して書き込みを行ない、それがアクセス制御ポリシーによって拒否された場合にログを取得する。
  2. 任意のユーザーでWindowsにログオン試行し、ログオンが認証システム(パスワード、顔認証など)によって拒否され失敗した場合にログを取得する。

問7.USBデバイスの識別IDについての記述として最も適切なものを、次のうちから一つ選択してください。

  1. メーカーID(MID)、工場ID(FID)、ロット番号から構成されており、MID + FIDの組み合わせで製造場所識別、MID + FID + ロット番号の組み合わせで製造単位識別ができる。
  2. ベンダーID(VID)、プロダクトID(PID)、シリアル番号から構成されており、VID + PIDの組み合わせで機種識別、VID + PID + シリアル番号の組み合わせで個体識別ができる。

問8.シャドウイングログについて説明する文章として最も適切なものを、次のうちから一つ選択してください。

  1. デバイスに書き出されたデータ(ファイルなど)をDeviceLockがバックグラウンドで複製し保存することで、書き出されたデータと同じもの(実体)が、ログとして保存される。
  2. パソコンの使用者が組織のセキュリティポリシーに反する操作をした場合に、DeviceLockがそれを自動検知して、キーボード入力値やマウスクリック対象などの記録を保存する。

問9.DeviceLockの管理手法について説明する文章として最も適切なものを、次のうちから一つ選択してください。

  1. DeviceLockのクライアントポリシーは管理マシンにて全て一括保存、一括管理されており、クライアントパソコンの起動時に管理マシンに接続してポリシーを都度ダウンロードする。したがって、クライアントパソコンが管理マシンにアクセスできない時は、デバイス制御が機能しない。
  2. DeviceLockのクライアントポリシーは一度クライアントパソコンに配信(適用)されるとクライアントパソコンに残る。したがって、クライアントパソコンが管理マシンにアクセスできない時でも、起動時にクライアントパソコンにあるポリシーを読み込むことでデバイス制御は正しく機能する。

問10.DeviceLockのレガシーデバイス(フロッピー、シリアル/パラレルポート、磁気テープなど)に対するサポートについての記述として最も適切なものを、次のうちから一つ選択してください。

  1. DeviceLockのレガシーデバイスに対するサポートは、デバイスがある程度の普及率を下回ったタイミングで打ち切られる。
  2. DeviceLockのレガシーデバイスに対するサポートの可否は、デバイスの普及率には関係ない。

お疲れ様でした!
正解は以下の通りです。

問1.正解:A

DeviceLockは、データの書き出しを監視して、必要に応じてこれを禁止することのできるソフトウェアです。

問2.正解:B

DeviceLockはWindowsのサービスとして自動起動し、常にバックグラウンドで動作しています。

問3.正解:A

DeviceLockでは「USBポートを止める」と「USBデバイスを止める」は明確に異なっており、前者はUSBポートに接続されているデバイスの種類に関係なく、USBの差込口を通る信号(データやファイルなど)が一律遮断される、後者はコンピューターの利用者がデータやファイルを書き出そうとしたとき、書き出し対象のデバイスの種類によって、信号の流れを遮断したりしなかったりすることになります。

問4.正解:B

マスタ方式は、書き出しに際して対象のファイルが1つのイメージファイルにまとめられるため、DeviceLockで記録されるログの対象はイメージファイルとなり、実際にどのようなファイルが書きこまれたかはログからはわかりません。

問5.正解:B

NetworkLock、ContentLock機能は単体では使用できず、Baseライセンスが必要です。また、Macでは使用できません。

問6.正解:A

DeviceLockでは、Windowsログオンの結果についてのログは取得できません。

問7.正解:B

USBデバイスの個体識別番号はベンダーID(VID)、プロダクトID(PID)、シリアル番号から構成されています。

問8.正解:A

シャドウイングログは、デバイスに書き出されたデータの実体を保存するもので、後でデータの実際の内容を確認することができます。

問9.正解:B

DeviceLockのクライアントポリシーはクライアントパソコンのレジストリに保存されていますので、管理マシンがない、または管理マシンに接続できない環境でも問題なくデバイス制御は機能します。

問10.正解:B

現在のところ、マイナーになってしまったデバイスにおいても、DeviceLockによるサポートは継続しています。

というわけで、見事合格された皆さん、おめでとうございます!
今日から皆さんはDeviceLockマスターとして、DeviceLockの普及啓蒙活動に従事していただきます(冗談ですよ)。

私からのささやかなプレゼントとして、「DeviceLockマスター認定証」を発行させていただきます。
お手数ですが、下の画像をプリントし、ご自身のお名前を書き込んで、額に入れて会社のデスクの上に飾っておいてください(笑)。

さて、DeviceLockについては、あとはDeviceLockマスターの皆さんにお任せして、私は楽隠居とさせていただきます。

短い間でしたが、有難うございました。
それでは。

投稿日:2021年08月20日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

第19回 DeviceLockのピリ辛機能

皆さんこんにちは。ラネクシー社員Kです。

ラネクシーではこれまで、日々の活動やこのコラムなどでDeviceLockのいろいろな機能をご紹介してきましたが、一般的にはいまだに「USB制御」のイメージが強いようで、「Webアクセスの制御もできます」とか、「クリップボードからのペーストを制御できます」など、他の色々な機能についてのアピールがまだまだ足りないのではないかと思います。

そこで、今回は、これまでとりあげられることがほとんどなかった、地味だけど ピリッと辛い機能 にスポットを当ててみたいと思います!

1. アンチキーロガー ※ピリ辛度 

ハードウェアキーロガーとは、キー入力を記録するデバイスのことです。

キーロガーは、ユーザーがWindowsにログオンする際や、会員制サイトの認証時などに入力する、ユーザー名やパスワード、住所、氏名、電話番号などの、識別IDや個人情報を搾取することもでき、なりすましログオンや金銭被害の原因になりかねません。

そこでDeviceLockは、コンピューターに接続されたハードウェアUSBキーロガーを検出すると、次のような処置をします。

  1. ハードウェアUSBキーロガーに接続されているキーボードからの入力をブロックして、ユーザーがパスワードを入力するのを防止します。
  2. 監査ログにイベントを書き込みます。
  3. メッセージを表示して、ユーザーに通知します。

DeviceLockはPS/2キーロガーにも対応していて、PS/2キーボードからの入力内容をスクランブル(暗号)化することで、PS/2キーロガーに無意味なデータを記録させ、実際のキー入力の記録を防止する機能もあります。

  • DeviceLockはPS/2キーロガーを検出した際にユーザーに通知することはできません。
  • PS/2というのは、USBポートの登場以前に、主にキーボードやマウスを接続していたポートで、現在でもこれを採用しているコンピューター製品はあるようですが、USBやBluetoothを利用した接続方式への移行が進んでいる現状から、PS/2キーボードやPS/2マウスは、もはやレガシーデバイスの仲間入りをしている印象があります。

さて、ここで「アンチキーロガー機能あるある」ですが、アンチキーロガー機能を有効にしている場合、困ったことに、一部のノート型コンピューターで、実際にはキーロガーはないのに、あるように検出されることで、キーボードがブロックされてしまい、キーボードからの入力ができなくなることがあります。

その結果、Windowsのログオン認証(ユーザー名/パスワード)入力ができなくなりますので、パスワード認証方式ではWindowsにログオンできなくなります。

とはいえ、そのような場合でもマウスは使用可能なので、スクリーンキーボードを起動してパスワードを入力できます。
そして、DeviceLockのアンチキーロガー機能を無効に設定変更してください!

ここでは「ちょいピリ」としましたが、アンチキーロガー機能はセキュリティ上、強力な機能です。
上の「アンチキーロガー機能あるある」をご承知の上で、一度利用してみてください。

2. 関係チャート ※ピリ辛度 

関係チャートはDeviceLockの無償オプションであるDeviceLock Enterprise Serverの標準機能で、DeviceLockクライアントで行なわれたネットワーク通信の統計データを調べるために、DeviceLock Enterprise Serverに集められた監査ログとシャドウイングログのデータを視覚化するものです。

ネットワーク通信のログを採ることになるので、DeviceLockにネットワークプロトコル制御機能を追加する「NetworkLock」オプションの導入が必要になります。

インスタントメッセンジャー(IM)のチャットや転送ファイル、Skypeのコール、ソーシャルネットワーク(SNS)のチャット、電子メールのメッセージや添付ファイルなどの通信履歴をもとに、下のようなチャート図を生成します。

管理画面では文字の多いDeviceLockですが、こんなグラフィカルな画面もあったんですね。

チャートはノード(関係者)とラインで構成されます。

  • ノードは、Active Directory(AD)、ドメイン、組織単位(OU)、ユーザーなどのオブジェクトを表します。
  • ラインは、2つのノード間の接続または関係を表します。

下のチャートは、コンピューター [WIN10-WG] のユーザー [shain-k] から、[donata@runexy.co.jp] への電子メール送信と [test-shain@runexy.co.jp] からの電子メール受信、という関係性(※)を表しています。

  • 電子メールの、送信か受信かは、チャート図からは判別ができませんが、下のように詳細情報を表示することで情報の流れた方向がわかります。

2つのノード間の接続は、インスタントメッセンジャーチャットの総数や転送されたファイル、Skypeコール、ソーシャルネットワークチャット、電子メールメッセージや添付ファイルの数に基づいて計算されます。

また、表示されるラインが太くなるにしたがって、通信関係が強くなっていくことがわかるようになっています。

紹介されることの少ない機能ですので、ユーザー様でもご存じない方も多いのではないかと思います。

3. デジタルフィンガープリント ※ピリ辛度 

「フィンガープリント」を普通に日本語訳すると「指紋」ということになりますが、コンピューターの世界では、データの同一性を評価するのに用いられます。

日本語版DeviceLockでデジタルフィンガープリント機能を搭載したのは、バージョン8.3からになりますが、どれくらいのお客様がこの機能をご利用になっているのでしょうか。

私の推理では、利用されているお客様は非常に少ないのではないかと思います。

新機能としてのアピールがちょっと足りなかったかもしれません・・。(反省)

さて、デジタルフィンガープリントは、デバイスやネットワークへの書き出し(送信)対象のファイルが、機密データであるかどうかを識別するために使用します。

例を挙げて、少し具体的に説明します。

ファイルサーバー内の機密ファイルについて、あらかじめハッシュ値(※1)を計算して、この結果をDeviceLockのデータベースに登録(※2)しておきます。

  1. ハッシュ値とは、データに対して「ハッシュ関数」という計算手法を用いて、特定の桁数を持つ文字列を算出したものを言います。例えば2つのファイルがあって、これらから同じハッシュ値が導き出されるとしたら、非常に高い確率で、これらのファイルは「同一のもの」とみなすことができます。
    ハッシュ値の実際の値は、例えば「8C565188779C1173860ABFC065E708612E1E2D9D」のような、意味の分からないものとなります。
  2. デジタルフィンガープリントのデータベースは、無償のオプション「DeviceLock Enterprise Server」で管理します。

ハッシュ値の登録後、コンピューターから何らかのファイルが書き出されるときに、このファイルのハッシュ値を計算し、この結果をハッシュ値データベースと照合して、同じものがあるか確認します。

同じものがあったら、このファイルは機密データと見なされます。

そして、現実的な利用方法としては、DeviceLockの「ContentLock」オプションで、「コンテンツ認識ルール」の判定条件に、このハッシュ値照合を指定するのですが、わかり難いので、この動作を簡単に図にしてみましょう。

  • 図を単純化するためにコンピューターの絵などは省略します。

例えば、ファイルサーバー内に保存されている、あるファイルを、コンピューターに接続したUSBメモリーに書き出すとします。

この処理の途中に、コンテンツ認識ルールのハッシュ値照合を差し挟みます。

ハッシュ値照合を差し挟んだだけでは意味がないので、判定の結果を、書き出しの許可/禁止処理に反映させます。

書き出そうとしているファイルのハッシュ値が、データベースに登録されているデータと一致することにより「機密データ」と判定されると、コンテンツ認識ルールにより書き出しが禁止され、ハッシュ値が一致しない場合は「機密ではないデータ」と判定され、書き出しは許可されます。

いかがでしょうか。

ここでは単純な動きを説明しましたが、もう少しデリケートな設定もできます。

機密データ (ファイル) を、その機密レベルに応じて、任意に設定できる分類ランク (「制限」、「機密」、「秘密」、「極秘」など) に分類しておくことで、機密レベルにしたがって異なる処理 (書き出し許可/禁止) を適用することができます。

例えば、「極秘」に分類されたデータはリムーバブルデバイスへの「読込み」「書込み」の両方を禁止する一方、「秘密」のデータは「読込み」は許可するが「書込み」は禁止、のように。

最後に念のため申し上げておきますと、デジタルフィンガープリント機能を利用するには、有償のContentLockオプションと、無償のDeviceLock Enterprise Serverオプションの導入が必要になります。

すみませんが、よろしくお願いします・・。

楽しいピリ辛機能のご紹介はこれでおしまいです。
個人的には、中辛カレーまでが限界で、それを超えて辛い料理は苦手ですが、「知る人ぞ知る」レアでピリ辛な機能にスポットを当ててみるのも、たまにはいいものだなあ・・と思ったりします。
「DeviceLock愛」ってやつですか・・。フフ。
ではまた、お会いしましょう。

投稿日:2021年07月02日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

第18回 不思議な差の世界

司会者

皆さんこんにちは。世の中の微妙な「差」について考察する「視聴者相談室 不思議な差の世界」のお時間です。
今回のテーマは、ラネクシーのデバイス制御DLPソリューション、DeviceLockです。
そこでゲストに、ラネクシー非公認広報の「でばいすろっ君」さんに来ていただきました。

でばいすろっ君

こんにちは~。

「でばいすろっ君」さんは、「でばいすろっくコラム第10回」以来の、久々の登場ですね。

そうですが、「でばいすろっ君さん」はやめてください(笑)。「でばいすろっ君」でいいですよ。

わかりました。そういえば、歌手や芸人さんにも、そんな感じのお名前の方がいらっしゃいましたね。

そんなことより、この番組の企画だって、どこかで見たことがある気がしますね。パクリじゃないですか?

そうですか?私は知りませんが・・・。
さっそくですが、今回は、「DeviceLockの謎」ともいうべき「差」について研究してみたいと思います。

パクリの件はどうなんですか?

まず始めに「DeviceLock」と「DeviceLock Service」の「差」について見てみましょう。

パクリの件は・・・

これは、DeviceLockをインストールした、ある視聴者さんからいただいた疑問です。
VTRスタート!

視聴者A

DeviceLockを購入したので、みんなで手分けしてクライアントコンピューターにインストールしたんですけど、後でWindowsのコントロールパネルから「プログラムと機能」を開いて確認すると、「DeviceLock」っていうのと「DeviceLock Service x64」っていうのがあるんです。同じDeviceLockなのに、なんで名前が違うんですか?

フリップを見てみましょう。

たしかに、インストールされたプログラムのリストを見ると、名前のところが「DeviceLock」になっているものと「DeviceLock Service x64」になっているものがありますね。
でばいすろっ君、これはどういうことなんですか?

ブツブツ・・・

でばいすろっ君?

・・・

でばいすろっ君が体調不良のようなので、一旦ここでCM入れましょう!ハイCM!

創業25年の信頼と実績、確かな技術と品質で、次代を駆け大志を実現する、株式会社ラネクシー。

Run in the Next! Realize our Ambition! ラネクシ~、ヨロクシ~。

CMの間に、いろいろ調整しまして、でばいすろっ君の機嫌・・・いや体調も回復したようですので、あらためて聞いてみましょう。
でばいすろっ君、「プログラムと機能」に現れる「DeviceLock」と「DeviceLock Service x64」の「差」は何なんですか?

何を使ってインストールしたか、によって変わってきます。
この視聴者さんがインストールしたのはDeviceLockのクライアント用プログラム(サービス)で、これは「DeviceLock Service」といいます。
それはそうと、楽屋弁当の件は、よろしくお願いしますよ。

大丈夫ですよ、3個確保しましたから・・・。余計なことは言わなくていいですよ。それで?

ローカルで作業する場合、「DeviceLock Service」は、DeviceLockの機能のほとんどをカバーする「setup.exe」というインストーラープログラムを使って、カスタムインストールで「DeviceLock Service」だけを対象に指定すれば、インストールすることができます。
この場合、コントロールパネルの「プログラムと機能」では「DeviceLock」と出ます。

では、「DeviceLock Service x64」と出るのは、どんな方法でインストールをした場合ですか?

「DeviceLock Service」をインストールするには、別の方法もあります。
「DeviceLock Service」だけに特化したインストーラープログラムとして「DeviceLock Service x64.msi」や「DeviceLock Service.msi」というのがあります。
「DeviceLock Service x64.msi」は64ビットOS、「DeviceLock Service.msi」は32ビットOS向けのインストーラープログラムです。

この「なんちゃらえむえすあい」っていうプログラムで「DeviceLock Service」をインストールすると、「プログラムと機能」に「DeviceLock Service x64」って出るんですね?

64ビットOSでは「DeviceLock Service x64」、32ビットOSでは「DeviceLock Service」と出ます。
そんなことより、人のセリフを取らないでください。それに、「なんちゃら」って、失礼じゃないですか。

これは失礼しました。

「DeviceLock Service x64.msi」や「DeviceLock Service.msi」は、「DeviceLock Service」をリモートインストールする場合にも使用されますので、既にリモートインストールされていることを知らずに「setup.exe」で再度インストールしてしまう、といったミスも考えられます。

なるほど。
では、そのように、「~.msi」でのインストールと「setup.exe」でのインストールを両方してしまった場合に問題になることはありますか?

動作するサービスは1つなのでDeviceLockの動作自体に問題はないのですが、特定のパターンで少々問題になることがあります。

ほお、問題になるのはどんなパターンですか?
おっと、ここはCMを入れるタイミングですね。CM行こう、CM!

夕食のおかずはファイルサーバーのログよ。たくさんあるからお腹いっぱい食べてね。

ママ~、量が多いばかりで味気ないよ~。

そうねえ。じゃマイログスターで調理しましょう。

重要なサーバーをピンポイントで監視!
ファイルサーバーのアクセスログ・監査ログ管理はMylogStar FileServerで!

ママ~、ログっておいしいね。

「DeviceLock Service」を「msi」でインストールした後に、さらに「setup.exe」でインストールすると、その途中で「msi」の方はアンインストールされるので、特に問題にはなりません。
しかし・・・

順番が逆だと問題になるんですね?

ちょっと、先走って人のセリフを取るのやめてもらえませんか?

ああ、すみません。こういうキャラクターで通っているもので・・。

まったく、もう。
話を戻して、「setup.exe」でインストールした後にさらに「msi」でインストールすると、動くことは動くんですが、こんなふうに、両方とも「プログラムと機能」に出てきてしまいますので気を付けてください。

フリップも用意していたんですね。さすが。

こうなった場合、まず「msi」の方(「プログラムと機能」で「DeviceLock Service x64」または「DeviceLock Service」と表記されているもの)をアンインストールしてから、「setup.exe」で再度、DeviceLock Serviceを(上書き)インストールして、最後にこれ(「プログラムと機能」で「DeviceLock」と表記されているもの)をアンインストールしてみてください。

最後、トラブルシュートみたいになってしまいましたが、なんとかまとまったようなので、次に行きましょう。
次のお題は、「未定義」と「未構成」の「差」です!
これについても、視聴者さんから疑問が寄せられています。
VTRどうぞ!

視聴者B

会社で、DeviceLockの管理者をしているのですが、設定ツールの「DeviceLock 管理コンソール」を使っていると、ひとつの画面の同じ行に「未定義」と「未構成」っていう表現があって、どちらも設定をしていない状態のことだと思うのですが、違いがわかりません。
どう違うんですか?

フリップを見てみましょう。

・・・ああ、本当ですね。「監査/シャドウイング/アラート」の設定画面に、「未定義」と「未構成」が並んでいます。
「標準」欄が「未定義」で、「オフライン」欄が「未構成」になっていますね。
一見、どう違うのか、わからないですね。

フッフッフッ・・・。

でばいすろっ君が、何か言いたそうにしていますね。

これはですねえ、無いけど有るのが「未定義」、本当に何も無いのが「未構成」ってことなんですよ。

「無いけど有る」とか、いったい何のことですか?
ますますわからなくなりました。

では、謎解きはCMの後で!

でばいすろっ君、人のセリフを取らないでください!

♪ テレワ~クにはセキュリティ~
♪ セキュリティ~にはディ~エルピ~
♪ ディ~エルピ~にはデバイスロック~
♪ デバイスロックはラネクシ~
♪ ラネクシ~はテレワーク~
テレワーク時代の、データ漏えい防止ソリューションは、DeviceLock DLP Suiteで!

さて、「未定義」と「未構成」の「差」を解き明かす前に、「標準」と「オフライン」について教えていただけますか。

DeviceLockは、クライアントコンピューターが置かれた状況によって、2つの設定を持つことができるんです。

「状況」というのは「標準」と「オフライン」のことですね?

そうです。
簡単に言うと、「標準」というのは、「オンライン」とも言いますが、社内のネットワークに接続できる状態、「オフライン」というのは、社内のネットワークに接続できない状態を想定しています。

今、テロップが出ていますが、「標準」「オフライン」について詳しくは、こちらをご覧ください。

それで、標準用、オフライン用に異なる設定を持つことができるのですが、オフラインの設定を定義していない場合、クライアントコンピューターがオフラインの状態では、標準の設定を自動的に流用することになっています。

なるほど。

もう一度、さっきのフリップを見てみましょう。

DeviceLockの設定では、「オフラインの状態を想定しない」ことが可能で、この場合は、オフライン状態では標準の設定を流用します。しかし、「標準(オンライン)の状態を想定しない」ことはできないので、最低限、何らかの標準の設定は必要になります。

難しくなってきましたね。
簡単に言うと、「標準の設定は必要だけど、オフラインの設定は無くてもかまわない」ということですね。

まあ、そんなところです。
そういった事情で、「監査/シャドウイング/アラート」項目では、標準の設定には、明示的に何も設定されていなくても、「設定なし」という設定が既定値として存在しているので、設定自体は「有る」のです。

まだよくわかりません。

例えば、何も描かれていない真っ白な画用紙があるとします。何も描かれていないので情報はありませんが、たしかに画用紙は「有る」のです。 これが標準の「未定義」です。
最初に言った「無いけど有る」というのはこのことです。

なるほど。
オフラインの場合は、既定値がない、つまり画用紙そのものがない状態で、これを「未構成」と呼んでいる、ということですね。

ウウッ。今度はおいしい締めゼリフを横取りするとは・・・。
CM行きましょ、CM!

でばいすろっ君のせいで、番組の最初の方に前倒しでCMを入れてしまいましたから、もうCMはありませんよ。
それに、番組の進行を仕切らないでください。

なんかストレス溜まるなあ・・・。
ちょっと難しくなりますが、DeviceLockの管理上、大事なことなので付け加えておきます。
クライアントコンピューターに適用されているDeviceLockの設定をファイルに書き出すことができるんですが、「未定義」の状態を書き出した設定は、既存の設定に上書きして書き戻すと既存の設定は失われますが、「未構成」の状態を書き出した設定は、既存の設定に上書きして書き戻しても既存の設定は失われません。

設定ファイルから「未定義」の設定を書き戻すと、既存の画用紙を破棄して、白紙の画用紙に置き換えてしまうけれど、「未構成」の設定を書き戻す場合は、そもそも「未構成」は画用紙を持たないため、設定ファイルを書き戻しても、既存の画用紙は破棄されず、既存の設定がそのまま残る、ということですね。

うまいこと言いますね。
さすが、名司会者ですね。

えっへん。
うまくまとまったところで、今回の「視聴者相談室 不思議な差の世界」はここまでです。
本日のゲストは、でばいすろっ君でした。ありがとうございました。

ごちそうさまでした~。

もうお弁当食べちゃったんですか?
まあ、これに懲りず、また来てくださいね。

この番組の提供はラネクシー、企画・構成・脚本・演出は、ラネクシー社員Kでした。
またいつかお会いしましょう。さようなら~。

投稿日:2021年05月31日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

第17回 テレワークとDeviceLock

皆さんこんにちは。ラネクシー社員Kです。

今回は「DeviceLock質問コーナー」から始めましょう。

DeviceLockのマニュアルを見たいのですが、どうしたら手に入りますか?

マニュアルはDeviceLockのインストールプログラム(メディアキット・ダウンロード版)に含まれています。別売りはしていませんが、トライアル版にも含まれています。PDFファイルですので、Adobe Acrobat Readerなど、PDFファイルを表示できるソフトウェアがあれば読むことができます。

DeviceLockのプログラムのセキュリティアップデートをしたいのですが、パッチを提供してもらえますか?

DeviceLockでは、公式アップグレードではないけれども重要なプログラム修正については、「サポートビルド」として具体的なサポート案件対応の際に必要に応じてラネクシーのサポートセンターから提供させていただくことにしています。プログラムの一部のみ提供して「パッチを当てる」のではなく、プログラム一式の提供になり、現状のプログラムに上書きインストールしていただくことで修正が適用されるようになっています。

クライアントへのDeviceLockのインストール後、アクティベーションは必要ですか?

DeviceLockをご利用いただくにはライセンスの適用が必要ですが、管理側のコンピューターで管理ツールをインストール中(またはインストール後)にライセンスファイルを読み込ませることによりこれを適用します。この操作にはインターネット接続などは必要なく、そのコンピューターとライセンスファイルがあれば行なうことができます。なおクライアント側にはライセンス適用の必要はありません。

DeviceLockでネットワークも制御できるって本当ですか?

「デバイスロック」と名乗ってはいますが、オプションの「NetworkLock(ネットワークロック)」を導入することで、インターネットのホームページや電子メール、クラウドストレージやSNS、Windowsのファイル共有などのネットワーク(プロトコル)を制御できるようになります。
詳しくは弊社DeviceLockのホームページをご覧いただくか、営業担当宛てにお問い合わせください。

使っているコンピューターがパソコンではなくタブレット型なんですが、DeviceLockは使えますか?

タブレット型であっても、動作要件を満たしていればDeviceLockのご利用は可能です。OSがAndroidやiOSのタブレットは対応していませんが、パソコンに搭載しているものと同じWindowsを搭載したタブレットであれば大丈夫です。

DeviceLockでUSBポートを使用禁止にしたら、USBキーボードやマウスも使えなくなるのですか?

DeviceLockの既定の設定では、キーボードやマウスなど、ヒューマン・インターフェース・デバイス(HID)に該当するデバイスは、USB接続であってもUSBポート制限の影響を受けないようになっています。もちろん、HIDも制御するように設定を変えることもできます。

DeviceLockコラムは一体いつまで続けるつもりですか?

このようなものにも毎度「締め切り」というのがあって、著述が本業でない私には荷が重いのですが、これをやめてしまうと私の会社での立場が微妙になってしまうので、当分やめるつもりはありません。

それでは本編に参りましょう。

今回のテーマは、「テレワークとDeviceLock」です。

2020年は、企業のテレワーク導入が一気に進んだ年になったかと思います。

テレワークは、基本的には個人や会社所有の機材(パソコンなど)を自宅や外出先などに持ち出して仕事をする、といった内容ですが、業種や職種によってテレワーク向き・不向きがあったり、業務システムやファイル共有をどうするの?といった問題もありますのでなかなか簡単にはいかないようですね。

その中でも、会社の機密情報についてのセキュリティ(情報漏えいなど)対策は、特に忘れてはならない重要課題です。

なにしろテレワーク業務では、他の人の目の届かないところで会社のデータを扱いますので、会社としても心配で気が気ではないでしょう。

もっとも、このような問題は今に始まったことではなく、以前からありました。

いつの頃からか、ノートパソコンの小型軽量化やタブレット型パソコンの登場なとで、外出時にパソコンを持ち出して顧客先でプレゼンテーションしたり、移動中や休憩時の喫茶店などでメールのチェックや見積書の作成をしたり、といった便利な使い方ができるようになりました。

これらは今や当たり前の光景になりましたが、当初は今ほど機密データのセキュリティに神経質でなかったのか、パソコンの持ち出しも今より気軽に行なわれていた気がします。

私は、当時は「パソコンを持ち歩いてまで仕事したくないなあ」と思い、周囲からの圧力がかかるギリギリまで「仕事でパソコンは持ち歩かない主義」を通しておりました(笑)。

さて、今ではそんなことも言っていられませんので、どうしたらテレワーク先で会社の機密情報が保護できるのかを考えてみましょう。

1. 会社内での機密情報保護

今時の会社では、多くの場合「ファイルサーバー」という会社のメンバーだけがアクセスできる共有ファイルの保管場所が用意されていて、メンバーは社内ネットワークを通してこれにアクセスすることでファイルの共有ができるようになっています。

執務室のパソコンからファイルサーバーにアクセスすることで必要なファイルが手に入るのですから、USBメモリーなどの物理デバイスを介さなくても、簡単にファイルのやり取りができます。

ですから、この環境での記憶用物理デバイスの利用は制限してしまっていいのではないか、という考え方もあるのではないかと思います。

そこでDeviceLockの出番です。

DeviceLockでは、USBメモリーはもちろん、SDカード、外付けハードディスク、光学ドライブ(CD/DVD)、そしてプリンターに至るまで、外部物理デバイスの利用を制限することができます。

USBメモリーやSDカードのような、サイズが小さく、ファイルをコッソリ持ち出すのに好都合なデバイスの利用を自在に制限することができるのは、機密情報保護のツールとして大変心強いのではないでしょうか。

とはいえ、会社の執務室は、場所が場所だけに同僚の目もあり、私物のUSBメモリーなどの会社に利用を認められていない外部デバイスを利用するのは難しいとも考えられます。そのため、会社内での外部デバイス利用については、業務における利便性の低下が懸念されることもあってあまり厳しく制限しない場合もあるようです。

では、パソコンを社外に持ち出して利用する場合の機密情報保護についてはどうでしょう。

2. パソコンの持ち出し先での機密情報保護

会社のパソコンを自宅で利用したり、顧客先などへの訪問の際に持ち出したりすることは今では珍しいことではなくなりました。

外出中は同僚の目もありませんので開放的になりがちですが、その分、利用者は情報セキュリティに対する意識を特に強く持つことを求められます。

ここで特に問題になるのは、パソコンを社内で利用しているときより社外で利用するときの方が、物理的および心理的に会社の機密情報を含んだファイルを外部デバイスに書き出しやすくなるのでは、という心配です。

つまり、会社内にいるときは様々な要因から抑制が効いていた機密データに対する情報セキュリティ感覚が、一人になると途端に弱まってしまうのではないか、ということです。

パソコンが社内にある時と社外にあるときとで、同じデバイス制御をしていて大丈夫なのでしょうか?

3. DeviceLockで2つのセキュリティポリシー

結論を先に書いてしまいますが、DeviceLockはデバイスに対するセキュリティポリシー(デバイスの利用をどのように制限するか)を状況に応じて2つ使い分けられるようになっています。

「2つ」というのは、「オンライン用のポリシー」と「オフライン用のポリシー」のことで、あらかじめこの2つのポリシーを設定しておくと、それぞれの状況における最適なセキュリティポリシーを、条件の変化に応じて自動的に切り替え、適用してくれるのです。

DeviceLockが想定する「オンライン」「オフライン」を簡単に説明すると、次のような状況を表します。

オンラインパソコンが、主に会社の中にあり、会社のネットワークの管理下にある状況を想定
オフラインパソコンが、主に会社から持ち出されていて、会社のネットワークの管理下にない状況を想定

比較的自制が利き易い社内では「オンライン用の緩いアクセス制限」、比較的自制が利き難い社外では「オフライン用の厳しいアクセス制限」を適用したら、どうでしょうか。

これなら、「社内では利便性重視、社外ではセキュリティ重視」の運用ができますね。

ところで、DeviceLockは、「オンライン状態」と「オフライン状態」を、どのように識別するのでしょうか。
「オンライン状態」と「オフライン状態」を区別する方法は、3種類用意されていて、そのうち1つを選択します。

サーバー接続
  • DeviceLockのオプションである「DeviceLock Enterprise Server」サービスに接続できる状態にあるかどうかで区別します。
  • 接続できる状態であれば「オンライン」、接続できない状態であれば「オフライン」とみなします。
  • DeviceLock Enterprise Serverがセットアップされていない環境では、常に「オフライン」になります。
  • DeviceLock Enterprise Serverがセットアップされている環境でも、コンピューター(DeviceLock Service)がDeviceLock Enterprise Serverに接続する設定になっていない場合は、「オフライン」になります。
ドメイン接続
  • コンピューターがドメインコントローラーに接続できる状態にあるかどうかで区別します。
  • 接続できる状態であれば「オンライン」、接続できない状態であれば「オフライン」とみなします。
  • ドメインコントローラーがセットアップされていないネットワーク環境では、常に「オフライン」になります。
  • ドメインコントローラーがセットアップされているネットワーク環境でも、コンピューターがドメインに参加する設定になっていない(ワークグループ)場合は、「オフライン」になります。
  • コンピューターの状態により、実際はドメインコントローラーに接続できない状態でも「キャッシュログオン」していることがありますが、この場合は「オフライン」になります。
ケーブル接続
  • コンピューターにネットワークケーブルが接続されているかどうかで区別します。
  • 有効なネットワークケーブルが接続されていれば「オンライン」、接続されていなければ「オフライン」とみなします。
  • 「ネットワークに参加している」という条件ではないので、無線LAN(Wi-Fi)のネットワークが設定され参加していても、有線LANのケーブルが接続されていなければ「オフライン」になります。

各々制約もありますので、どの条件を採用するかはネットワーク環境などを考慮して検討する必要があるかと思いますが、個人的には偽装のしやすい(これ言っちゃダメですね・・)「ケーブル接続」はなるべく避けるのがよいかと思います。

また、「ドメイン接続」は、会社のネットワークがドメインで構成されていないと使えませんので、ドメインのない「ワークグループ」ネットワークの環境だと「サーバー接続」を選択することになるかと思います。

「サーバー接続」を選択するためには、ネットワーク内に「DeviceLock Enterprise Server」を構築しなければなりません。

無償オプションなので、本来はインストールしてご活用いただくのがよろしいかとは思いますが、DeviceLock Enterprise Serverの機能を特に必要とされない場合は、これをインストールした後、DeviceLock Enterprise Serverのサービスが起動するようにしておくだけでいいので、本来の運用では必要になる Microsoft SQL Serverデータベースのセットアップや、ソフトウェアの環境設定などは必要ありません。

4. 実際の運用

ここまで、パソコンの「オンライン状態」と「オフライン状態」はあらかじめ選択された条件によって識別され、それぞれに設定されたDeviceLockポリシーを自動的に切り替える、とお話ししてきました。

例えば、DeviceLock Enterprise Serverが社内ネットワーク内にセットアップしてある会社で、オンライン/オフラインの識別条件を「サーバー接続」にしていると、コンピューターが社内ネットワークに接続されているとき、DeviceLockは「オンライン用のポリシー」を採用します。

そして、コンピューターを持ち出して外出すると、コンピューターが社内ネットワークから離脱することで、DeviceLockがDeviceLock Enterprise Serverを見つけられらくなりますが、DeviceLockはこれを、コンピューターがオンライン状態からオフライン状態に移行したと考え、「オフライン用のポリシー」に変更します。

  • 状態を判定するタイミングにより、多少のタイムラグはありますが、この点ご容赦ください。

これら「オンライン用のポリシー」「オフライン用のポリシー」は、DeviceLock用語としては、「標準プロファイル」「オフラインプロファイル」といいます。
ですので、ここからは「標準」「オフライン」と呼ぶことにします。

さて、実際に、この2つのプロファイル(ポリシー)をどのように使い分けるかについては、DeviceLockを運用される組織のご担当にお任せするとしますが、参考のため、ここでは、分かりやすい例を考えてみましょう。

プロファイル構築の前提条件として、以下のようなデバイス利用を想定してみます。

  • 会社の中では、「許可されたUSBメモリー」「許可されたUSBプリンター」「USB接続の光学ドライブ」「USBキーボード」「USBマウス」「WiFiネットワーク」のみを利用可能とする。
  • 外出中や自宅勤務などのテレワークでは、「USBキーボード」「USBマウス」「WiFiネットワーク」のみを利用可能とする。私物USBメモリーなどの使用が必要な場合は個別申請して一時使用許可を受ける。

「会社の中」「テレワーク」は、それぞれ「標準」「オフライン」を意味し、DeviceLockの異なったプロファイルをあらかじめ設定しておきます。
プロファイルは、おおよそ、次のような設定にします。

標準プロファイル
  • USBポートを使用禁止に制御する
  • 使用許可するUSBメモリーをオンラインのホワイトリストで許可する
  • 使用許可するUSBプリンターをオンラインのホワイトリストで許可する
  • 使用許可するUSB光学ドライブをオンラインのホワイトリストで許可する
  • 「USBキーボード」「USBマウス」は初期設定で制御対象外に設定する
  • 「WiFi」は制御しない
オフラインプロファイル
  • USBポートを使用禁止に制御する
  • オフラインのホワイトリストにデバイスを設定しない
  • 「USBキーボード」「USBマウス」は初期設定で制御対象外に設定する
  • 「WiFi」は制御しない
  • 一時的に使用を許可するUSBデバイスは、使用者の申請に基づき管理者が「一時的ホワイトリスト」機能を使用して個別に許可設定する

この2つのプロファイルを「標準」「オフライン」状態の変化に応じて自動的に切り替えることで、社外持ち出し時には、社内の時より、より厳格なデバイス制御を実施し、外出またはテレワークで増大するデータ漏えいのリスクに対応します。

今回は触れませんでしたが、ほかにも、オプションの「NetworkLock」と組み合わせて、社内にいるときはどのWebサイトにもアクセスできるが、社外にいるときは会社のポータルサイトにしかアクセスできない、といったネットワークがらみのセキュリティにも対応できるようになっています。

DeviceLockで安全なテレワークを!

ではまた。

投稿日:2021年05月07日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

第16回 マイナンバーを検出する

皆さんこんにちは。ラネクシー社員Kです。

今回は、コンテンツ認識ルールを使用して「マイナンバー」のデータを含むファイルを識別し、外部デバイスへの書き出しを制御する機能について考察してみましょう。

「コンテンツ認識ルールって、何だっけ?」とおっしゃる方は、お手数ですが、まず本コラムの 第11回 「コンテンツ認識ルール」って何? をご覧いただき、予習をお願いします🙇

第11回では、コンテンツ認識ルールの中でも「ファイルタイプ検知」という、BASEライセンスに含まれる機能についてお話ししました。

簡単にまとめますと、特定のファイルタイプ(どのような性質のファイルなのか)について、これを特定のデバイスに書き出させないなどのルールを作り、ユーザーさんの操作を細かく規制しよう、というのがこの機能の趣旨でした。

今回はいよいよ「ContentLock」というオプションを導入します!

オプションライセンスについて詳しく知りたい方は、第6回 DeviceLockのライセンス をご覧いただくとよろしいかと思います。

さて、今回のテーマである「マイナンバーを検出する」ためには、次のどちらかの準備が必要です。

  • BASEライセンスとContentLockライセンスを同時に購入して適用する
  • ご利用中のBASEライセンスに、ContentLockオプションライセンスを追加で購入して適用する

いずれの場合も、ContentLockオプションライセンスは、BASEライセンスと同数が必要です。

では、まずは「マイナンバー」から。

第8回 USBデバイスの識別IDとは? で少しだけ触れていますので、ここに引用させていただきます。

日本に住民票がある人なら全員、「マイナンバー」と呼ばれる個人番号を一人に一つずつ持っています。
この番号は重複しないように決められていますので、マイナンバーで個人識別ができるようになっています。

マイナンバーは12桁の数字で構成されているのですが、まず住民票コードから非公開の計算式で生成される左11桁の数字があって、次にこの11桁を使ってムズカシイ計算をすることで1桁の検査用数字(※)というものを導き出し、これを合わせた12桁をマイナンバーとしています。

  • 検査用数字は左11桁の数字の妥当性を判定するもので、コンピューターにマイナンバーを入力する際のタイプミスの防止などに役立ちます。

詳しくは私にもよくわかりませんが、とにかく「単なるランダムな12桁の数字」ではなく、何らかの規則性がありそうなことはわかりますね。

1. そもそも、コンテンツ認識ルールでマイナンバーは識別できる?

コンテンツ認識ルールは、ファイルなどのコンテンツの中身を調べ、それがあらかじめ設定されている条件に該当する場合に、書き出し制御などを行なう機能です。

ファイル中にマイナンバーのデータが含まれているかどうかを識別するにはどうしたらよいでしょうか。
2つのケースを考えてみましょう。

  1. ファイル中に「マイナンバー」という文字列があるかどうかを調べる
    もしワープロ文書や表計算シートの中に「マイナンバー」という文字列があったら、このファイルにはマイナンバーのデータが格納されているかもしれません。
  2. ファイル中に12桁の数字の羅列があるかどうかを調べる
    もしワープロ文書や表計算シートの中に12桁の数字の羅列があったら、この数列はマイナンバーのデータかもしれません。
まず①について。

ファイル中の「マイナンバー」という文字列を検出するには、コンテンツ認識ルールの「キーワード」識別機能を使います。

「キーワード」識別機能は、あらかじめ指定しておいた文字列がファイル中に存在しているかをスキャンして検知するものです。
こんな感じの簡単な設定です。

「マイナンバー」というキーワードを登録するだけです。
この条件でルールを作り、ファイルを検査するわけです。

続いて②について。

ファイル中の12桁の数字の羅列を検出するには、コンテンツ認識ルールの「パターン」識別機能を使います。

「パターン」識別機能は、あらかじめ指定しておいた正規表現に適合する文字列がファイル中に存在しているかを検知するものです。
次のように、12桁の数列を表す正規表現を指定します。

12桁の数列を表す正規表現を、ここでは [0-9]{12} のように指定しています。
この条件でルールを作り、ファイルを検査するわけです。

ついに「正規表現」が出てきましたね。今回のような簡単なものは私でもなんとかできますが、複雑怪奇なものは、手に負えません・・。
私のように、正規表現はあまり得意でないな、とおっしゃる方も多いのかなと思いますが、もし今回の記事に関心をお持ちいただけましたら、まずは簡単なものからチャレンジしてみましょう!

最後に、①と②の複合条件。

「マイナンバー」という文字列と「12桁の数列」の両方を含むファイルを検出するには、①と②の条件を AND で結合します。
「マイナンバー」という文字列と「12桁の数列」のどちらかを含むファイルを検出するには、①と②の条件を OR で結合します。

このように、とても簡単な設定でマイナンバーを検出できます!

・・・って、簡単に言い切ってしまいましたが、本当にこれで良いのでしょうか。

2. マイナンバーの検査用数字

①や②で検出できるのは、「マイナンバー」という文字列や、12桁の数列だけです。
これらは本当にマイナンバーのデータなのでしょうか?

「マイナンバー」文字列はもちろん、12桁の数字があれば何でもマイナンバーのデータ、ということにはならないと思います。

12桁の数列があるからといって何でも「マイナンバー」と検出してしまったら、本当はマイナンバーに関係ないファイルを、マイナンバーを含むファイルと誤検知してしまう確率が非常に高くなってしまうのではないでしょうか。

運転免許証の番号や宅配便の送り状番号など、12桁の数列を設定しているものは他にもいろいろありそうですね。みんな大切な番号ではありますが・・。

では、マイナンバー12桁のうち最後の1桁である「検査用数字」を、マイナンバーデータの特定に利用することはできないでしょうか。

検査用数字は、マイナンバーの左11桁の数字を使った計算から導き出される1桁の数字です。
幸いこの計算式は公開されていますので、もしかしたら役に立つかもしれません。

ムズカシイ計算のようで、文系の私には到底理解できませんが、興味のある方は調べてみるとよろしいかと思います。

とにかく、この検査用数字を計算して照合することで、ある12桁の数列がマイナンバーであると推測した場合の「当たり」の確率が上がりそうな気がしませんか。

たとえば、マイナンバー12桁のうち左の11桁が「12345678901」の場合、計算された検査用数字は「8」になります。

ですから、12桁の数列があって、「123456789018」だったらこれがマイナンバーである可能性があります。
逆に、「123456789010」だったり「123456789014」のように右端の数字が「8」以外であればマイナンバーでないことになります。

これにより、12桁の数列から、確実にマイナンバーでないものを排除することで、「はずれ」の確率を下げることができるのです。
残念ながら、「123456789018」であっても、必ずしもマイナンバーとは限りませんので、「的中率100%」を歌い上げることはできませんが・・。

コンテンツ認識ルールは、ファイル検査の際にこの検査用数字の計算を実施することで、マイナンバーの検出精度を上げる機能を持っています。

  • 上にも書きましたが、「12桁の数列で右端の数字が計算上検査用数字と一致している」だけでは、この数字がマイナンバーと断定することはできません。ですので、どんなに精度の高い検出システムでも、「100%マイナンバー」と断定するのは非常に難しいと思います。

3. マイナンバー検出の設定

ここで、コンテンツ認識ルールでマイナンバーを検出するための実際の定義を見てみましょう。
本コラムの性質上、設定手順の説明にまでは踏み込みませんが「なんとなく」でも雰囲気がお分かりいただけるかと思います。

実は、マイナンバーの定義は、コンテンツ認識ルールにあらかじめ登録されています。
その画面はこんな感じで、マイナンバーの条件をこんな情報として定義しています。

肝心なのは「式」と「確認」と「条件」の部分です。

「式」のところを見ると [0-9]{12} ってありますね。これは、0から9までの数字が12桁連続している、といった意味の正規表現です。
これだけだと、「12桁の数列がある」ことしか検出できません。

先ほどご説明しました検査用数字の妥当性を含めてマイナンバーデータを検出するには、「確認」のプルダウンメニューから「日本: 社会保障・マイナンバー制度」を選んでおきます。

ここには、検査用数字の計算プログラムが仕込まれていて、12桁の数列を検知すると、その数字が計算プログラムに送られて検査用数字を算出するのです。

この「式」と「確認」の併用により、「12桁の数列で、かつ12桁目の数字がマイナンバー検査用数字の計算式で求められる値と同じになる」条件が定義されました。

最後に「条件」ですが、これはどういうもので、何のためにあるのでしょう。

たとえば、一つの文書の中に、上記の条件に該当する箇所が1か所しかない場合、「これはマイナンバーを含む文書」と判断できるでしょうか。

マイナンバーは個人の番号ですから、普通、マイナンバーを管理するなら個人単位ではなく、組織の皆さんのマイナンバーを一つの文書に入れて管理することが多いかと思いますが、如何でしょうか。

そうだとすると、逆に一つの文書に「12桁の数列で、かつ12桁目の数字がマイナンバー検査用数字の計算式で求められる値と同じになる」数列が一つしかない場合、マイナンバーと同じ要件を満たす数列が「たまたま」書き込まれていた、と考えるのが普通ではないかと思います(必ずしもそうとは限りません、念のため)。

そこで、「一つの文書にマイナンバーと同じ要件を満たす数列がいくつあったらマイナンバーを含むとみなすか」という「しきい値」の指定をして、マイナンバー検出の精度を上げようという設定がこれです。

上の画面では「以上」「1」となっているので「一つの文書にマイナンバーと同じ要件を満たす数列が一つ以上あったらマイナンバーを含むとみなす」という定義になりますが、ここは自由に設定変更することができます。

たとえば、「10以上」に設定すると、「一つの文書にマイナンバーと同じ要件を満たす数列が10以上あったらマイナンバーを含むとみなす」となります。

4. コンテンツ認識ルールの「パターン」

このようにして定義された条件は、デバイス制御のルール(コンテンツ認識ルール)に組み込まれ、外部デバイスなどへの書き込み制御の詳細な条件として利用されます。

いかがでしたでしょうか。

今回はマイナンバーを例にとり説明しましたが、コンテンツ認識ルールの「パターン」検出機能は、正規表現だけでなく、このような組み込み済みの計算機能との併用で、検出精度を上げる工夫が凝らされています。

もちろん正規表現だけでパターンを構成することもでき、必要な条件で独自のパターンを設定して、コンテンツ認識ルールで利用することもできるようになっています。

また、マイナンバーのほかにも、クレジットカード番号や電子メールアドレス、電話番号など、数多くのパターンがあらかじめ定義されています。

DeviceLockには無料でご試用いただけるトライアルバージョンもあります。
今回ご紹介した機能もご試用いただけますので、ぜひ一度お試しください!

無料で試用可能なトライアル版はこちらから

ではまた。

投稿日:2021年03月19日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

第15回 DeviceLockの集中管理

皆さんこんにちは。ラネクシー社員Kです。

今回のお話は、でばいすろっくコラム最大の難関である、DeviceLockの集中管理についてです。

集中管理って簡単に言うものの、簡単に説明するのはなかなか難しいのですが、いずれは書かなければならない、重要なテーマなのですよね・・。

上手く説明できるいいアイデアもないので、初心に立ち返り、このコラムの最初の回「でばいすろっくコラムとは?」を見てみると、次のように書いてあります。

このコラムは、会社の大切な資産であるデータを守るセキュリティソフトであるDeviceLockとそれに関係したあれこれを、誰にでもわかるよう、なるべく難しい言葉を使わずにお話しすることを目指すものです。

「誰にでもわかるよう、なるべく難しい言葉を使わず」ですって?? 誰だこんなこと書いたのは!!

そりゃ無理でしょ・・。

散歩でもしながら考えますか・・。 (→ 職場放棄へ)

1. DeviceLockは専用サーバーがいらないって、本当?

DeviceLockの管理手法についての簡単な説明については、「DeviceLockコラム 第13回 DeviceLock管理のしくみ」をご覧いただくとよろしいかと思いますが、一言で言いますと、

「コンピューター一台にDeviceLockの全てを盛り込むことで単体で運用できるソフトウェアシステム構造」

を前提とした管理手法になります。

つまり、DeviceLockの管理手法は、DeviceLockの以下のような特性に基づいています。

デバイス制御をするプログラムは、
サービスとしてクライアントコンピューターに常駐する

デバイスをどう制御するかを記録した設定(パラメーター)は、
クライアントコンピューターに保管されている

ログ(動作記録)は、
クライアントコンピューター内に生成される

管理ツールは、
クライアントOSでも動作する

この特性により、DeviceLockはクライアントコンピューター単体(スタンドアロン)でも運用できるわけです。
ですので、「コンピューター単体で運用できるのだから、専用サーバー(管理マシン)は必要ない」というのは、本当です。

しかし、専用サーバーを使わない運用がどんな場合でも最適なのか?といった疑問もありますね。
そこで、DeviceLockをコンピューター単体で運用する場合の問題点について考えてみましょう。

コンピューター単体で運用する場合、クライアントコンピューターが複数あっても、DeviceLockの運用単位としては、クライアントコンピューター毎に独立した別個のものとなりますので、DeviceLockは個々別々に管理する必要があります。

ということは、DeviceLockの設定を変えたり、ログ(動作記録)を見たりするのに、対象のクライアントコンピューターで操作をしなければならないことになります。
例えば、クライアントコンピューターA、B、CのDeviceLock設定を変えるには、次の操作が必要になります。

  1. Aコンピューターを操作し、管理ツールを起動して設定を変える
  2. Bコンピューターを操作し、管理ツールを起動して設定を変える
  3. Cコンピューターを操作し、管理ツールを起動して設定を変える

「リモートデスクトップでやるから」というご意見もあろうかと思いますが、たくさんあるクライアントコンピューターに一台ずつリモートデスクトップ接続をして、一台ずつ管理操作するのは、場所の移動はないものの、非効率な作業であることに変わりはありません。

そこで、DeviceLockでは、この手間を軽減するために、ネットワーク経由でクライアントコンピューターのDeviceLockサービスと通信してこれを管理できる、「DeviceLock管理コンソール」や「DeviceLock Enterprise Manager」といった管理ツールを用意しています。(「DeviceLockコラム 第13回 DeviceLock管理のしくみ」参照)

  • これらの管理ツールは、クライアントコンピューター単体での運用にも使用することができます。
  • ここでいう「管理」とは、クライアントコンピューターにDeviceLockのサービスをリモートインストールしたり、設定を変えたり、ログを参照したり、といった内容になります。

これらの管理ツールは専用のサーバーを用意する必要がなく、普段使っているクライアントコンピューターにインストールすることで、手軽に利用することができます。

同じネットワーク内にあるクライアントコンピューターを対象にした、リモート操作での管理が可能になっており、導入規模などにもよりますが、通常はこれでもなんとかなります。

つまり、専用サーバーを用意しなくても、ある程度まで管理はできるのです。

2. 専用サーバーでできることは?

ここまで、スタンドアロン、簡易管理ツールによる運用についてお話ししましたが、次は、いよいよ専用サーバーについてのお話です。

ここでいう専用サーバーというのは、「DeviceLock Enterprise Server」というツールのことです。

  • 前述の「DeviceLock Enterprise Manager」と名前が似ていますが、別のものです。お間違えのないよう、ご注意ください。

このツールは、DeviceLockのライセンスをひとつでも購入すれば無償でご利用できるものとなっています。

Server(サーバー)というだけあって、WindowsのサーバーOSや、市販のデータベース(Microsoft SQL Server)の導入が必要になるので、少し敷居が高く感じられるかもしれません。

たしかに、セットアップ時には、データベースの知識も少々必要になりますので、その方面にご経験のある方がいらっしゃると心強いかもしれません。

とはいえ実際はどうかと申しますと、このコラムではテクニカルな話題をあえて避けています(筆者がテクニカルに書けないというスキル事情もありますが)ので、動作要件や構築のしかたなどには触れませんが、文系の私でもなんとかできるくらいですので、構築や運用の難易度はそんなに高くはないものと思っています。

さて、DeviceLock Enterprise Serverの主な役割は、一言で言うと、

「クライアントコンピューターへのソフト展開、ポリシー展開、ログ転送、クライアント監視など、クライアントコンピューターの集中管理」

といったところになります。

いかにも管理サーバーらしい機能を搭載していますが、DeviceLock Enterprise Serverの機能は、通常、DeviceLockの管理者さんが普段お使いになっているコンピューターのDeviceLock管理コンソールの画面から操作します。

ですので、操作感はDeviceLock管理コンソールで単一のクライアントコンピューターを管理する時と似ています。

ここで、上に挙げた、DeviceLock Enterprise Serverで用意している主な機能について、簡単にご紹介します。

ソフト展開

DeviceLock Enterprise Serverから、クライアントコンピューターに、DeviceLockのプログラム(サービス)を配信し、インストールします。

ポリシー展開

DeviceLock Enterprise Serverから、クライアントコンピューターに、DeviceLockのポリシー(アクセス制御の設定など)を配信し、適用します。

ログ転送

クライアントコンピューターで生成されたDeviceLockのログ(監査ログ、シャドウイングログ)をDeviceLock Enterprise Serverに転送し、複数のクライアントコンピューターのログをまとめて一度に参照します。

クライアント監視

クライアントコンピューターが通信可能な状態にあるか、DeviceLockのプログラム(サービス)がインストールされ動作しているか、などの情報を収集し表示します。

難しくなってきましたので、ここらで休憩を・・。

3. 専用サーバーのメリットは?

コストや手間をかけて構築するDeviceLockの専用サーバーですが、どんなメリットがあるのでしょうか。

DeviceLock Enterprise Serverの主な機能は、上に挙げたとおりですが、もう少し深く考えてみましょう。

ソフト展開

まず「ソフト展開」、つまり、DeviceLockサービスのリモートインストール機能ですが、この機能は専用サーバーがなくても、「DeviceLock管理コンソール」や「DeviceLock Enterprise Manager」といった簡易な管理ツールでもできます。でも、これらのツールは、リモートインストールの際、クライアントコンピューターの電源が入っていなかったり、クライアントコンピューターが社外に持ち出されているなどネットワークから外れていると、インストールができず、時間を変えて再度、手動でインストールをやり直す必要があります。

一方、DeviceLock Enterprise Serverの場合は、「モニターリング」という機能を使って実行しますが、モニターリングでは、あらかじめ設定された一定時間ごとにクライアントコンピューターをスキャンして、その状態を確認します。そのとき可能であればインストールを行ない、クライアントコンピューターに接続できないなど、インストール可能な状態でなければインストールをせず、次のスキャンまで保留にします。

つまり、DeviceLock Enterprise ServerによるDeviceLockサービスのリモートインストールは、一度設定しておけば、失敗しても次のスキャンで自動的にリトライしてくれるので、再度操作をする必要はないのです。

ポリシー展開

次に「ポリシー展開」、つまり、DeviceLock設定の配信ですが、こちらも「DeviceLock管理コンソール」や「DeviceLock Enterprise Manager」でもできます。しかし、これについても、DeviceLockサービスのリモートインストールと同じで、管理側のコンピューターがクライアントコンピューターに接続できない状態だと展開できず、後で再度、展開をやり直す必要があります。

一方、DeviceLock Enterprise Serverの場合は、「ポリシー」という機能を使って実行しますが、この機能を利用した場合のDeviceLock設定のクライアントコンピューターへの配信は、通常、クライアントコンピューターからのリクエストにより行なわれます。つまり、クライアントコンピューターのDeviceLockサービスが起動する際など、いくつかの条件のうち一つを満たすと、DeviceLockサービスが、DeviceLock Enterprise Serverに対して、更新されたDeviceLock設定ファイルの転送を要求します。この方式を「プル(Pull)型配信」と呼んでいます。

また、更新されたDeviceLock設定を、DeviceLock Enterprise Serverからクライアントコンピューターに強制的に送信することもできます。この方式を「プッシュ(Push)型配信」と呼んでいます。

ログ集積

次に「ログ集積」ですが、クライアントコンピューターで生成されたログは、「DeviceLock管理コンソール」や「DeviceLock Enterprise Manager」でも見ることができます。

しかし、DeviceLock管理コンソールでは、ログを表示する単位はあくまでクライアントコンピューター一台毎になり、また、複数のクライアントコンピューターのログをまとめるには、一旦各々のクライアントコンピューターからログを外部出力し、表計算ソフトなど別のツールでこれらをマージ(結合)してやる必要があります。これは大変な手間です。

また、DeviceLock Enterprise Managerでは、複数のクライアントコンピューターを事前に指定しておけば、各々のクライアントコンピューターからログを取り込んで、上下に並べて参照することはできるようになっています。

一方、DeviceLock Enterprise Serverの場合は、管理対象の各クライアントコンピューターと通信し、クライアントコンピューターで生成されたログをほぼリアルタイムで収集(転送)します。収集されたログには識別のためクライアントコンピューター名がつけられ、各クライアントコンピューターのログを同一のログビューアー画面で一度に(マージされた状態で)参照することができます。

クライアント監視

最後に「クライアント監視」ですが、これは「DeviceLock管理コンソール」や「DeviceLock Enterprise Manager」にはありません。「ソフト展開」と同じで、「モニターリング」という機能を使って実行します。

クライアントコンピューターの状態(コンピューターに接続が可能か、コンピューターにインストールされているDeviceLockサービスに接続可能か、など)をチェックしたり、コンピューターやDeviceLockサービスの稼働時間、インストールされているDeviceLockサービスのバージョンなどを確認することができます。

他にも便利な機能はありますが、これだけを見ても、専用サーバーであるDeviceLock Enterprise Serverのメリットがお分かりいただけるのではないかと思います。

4. 専用サーバーのデメリットは?

上の方にも少し書きましたが、DeviceLock Enterprise Serverの構築には、WindowsのサーバーOS(Windows Server 2016やWindows Server 2019など)と、データベース(Express Editionを含むMicrosoft SQL Server)が必要になります。ですからWindows Serverやデータベースが十分に動作するスペックのハードウェア(または仮想マシン)が必要になるなど、動作要件には少し気を遣う必要があります。

これをデメリットと捉えるかは人それぞれかも知れません。ですが、専用サーバーによって得られるメリットをよく把握し、それに見合ったコストと考えていただけるのであれば、DeviceLock Enterprise Serverの導入は、きっと有意義なものになると思います。

ではまた。

投稿日:2021年03月03日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

第14回 レガシーデバイスとDeviceLock

皆さんこんにちは。ラネクシー社員Kです。

今回の前書きは、「第2回 セキュリティ川柳」です!

電車席 チャットで会話 両隣 (電車通勤K)

(評)声に出さなくても、間の席の人には会話が筒抜けですね。

退職前 慌てて削除 私用メール (公私混同K)

(評)慌てなくても、システム管理者さんはお見通しです。

上司の小言 できたらいいな 暗号化 (失格部下K)

(評)復号できないように徹底的に暗号化しちゃってください。

アイドルの ポスターバックに ウェブ会議 (永遠の青年K)

(評)在宅勤務のウェブ会議で恥ずかしい思いをした人もいるのでは?

コンプラは 料理じゃないよ 部長さん (和食料理人K)

(評)いくら和食音痴の上司でも、今時これはどうかと…。

「ウイルスを 防げるマスク ありますよ」 (悪徳業者K)

(評)コンピューターウイルスはマスクでは防げませんので詐欺にご注意を。

顔認証 どうして今日は 開かないの? (おしゃれOL)

(評)会社に入れませんか? もしかして、今日はすっぴんですか?

   

では、本題に入りましょう。

今回のテーマは「レガシーデバイス」です。

会社では私の存在自体がレガシーですが、それはさておき、遂に2020年後半になってスマートフォンの契約をいたしました!
しかしながら、一方で従来の折り畳み式ガラケーも手放せず、先日、ガラケーからガラケーに機種変更しました(大笑)。

「レガシー」とは一般に、既に時代遅れになった先人の遺産などを指しますが、ポケットベルやブラウン管テレビなど現実になくなってしまったものがある一方で、アナログレコード、フィルムカメラ、カセットテープなど、今でも根強いファンがいて、なかなかなくならないものもありますね。

しかし、なくならないとは言っても、それに代わるべく登場した新しい規格も登場しています。
以下、一例として。


ガラケー(携帯電話)

スマートフォン

アナログレコード

音楽用コンパクトディスク
携帯音楽プレーヤー

フィルムカメラ

デジタルカメラ

カセットテープ

ICレコーダー

さて、パソコンで使用する周辺機器にも新しい規格が登場する一方、レガシーだけどなかなかなくならないものがあります。

1. フロッピーディスク(フレキシブルディスク)ドライブ

パソコンの世界で外部記憶装置と呼ばれるもののうちいくつかは、レガシーデバイスに該当するかと思います。

皆さんはフロッピーディスクをご存知でしょうか。黒くて薄っぺらな円盤型磁気ディスクですが、私が学校を出て会社に入った頃は、直径8インチや5.25インチ(1インチは25.4ミリメートル)サイズのものが多かったように思います。

8インチや5.25インチのものは「エンベロープ」というカバーに保護されていましたが、磁性粉の付いたディスクの記録面が一部むき出しになっていたり、「曲げ」に弱かったこともあって扱いには神経を使いました。

ハードディスクが非常に高価だった時代に、OSの入ったフロッピーディスクでコンピューターを起動したり、ワープロなどのアプリケーションをフロッピーディスクから起動したりしていました。もちろんデータ(ファイル)もフロッピーディスクに保存します。

フロッピーディスク1枚にOSやワープロなどのアプリケーションが入っていたのですから、今考えると驚きです。
なにしろ、パソコン用によく使われていたと思われるもので640キロバイト~1.44メガバイトくらいの容量でしたから。
この容量で十分な時代だったのですね…。

しばらくして、3.5インチのフロッピーディスクが出てきたときは衝撃でした。何しろサイズが小さくてビックリの上、プラスチックの丈夫なハードカバーに入っていて、しかも記録面にアクセスしない時は、ディスクがスライドカバーに保護されていたのですから…。

3.5インチのフロッピーディスク

今でもフロッピーディスクドライブ(読み書き装置)は、主に外付けのUSBデバイスとして存続していますが、レガシーデバイスの筆頭ではないでしょうか。

DeviceLockは、「フロッピーディスクドライブ」に対する、タイプレベル制御に対応しています!
もちろん、外付けのUSBフロッピードライブは、「USBポート」でポートレベル制御をすることも可能です!

ちなみにうちの押し入れには、当時の5.25インチや8インチのフロッピーディスクも残っていますが、もちろんファイルを読み出せるドライブはありませんっ!(笑)

2. シリアルポート/パラレルポート

USBポートが主流になる以前から、様々なポートが活躍していました。ポートというのは、簡単に言うとデータの出入り口のことです。
外付けのキーホード、バーコードリーダー、イメージスキャナーなどからデータを取り込んだり、逆に外付けのプリンター、ディスプレイ、モデムなどにデータを書き出すときに、それぞれ最適な仕様のポートを経由していました。

現在販売されているパソコンには、シリアルポートやパラレルポートが付いていないものや、購入時に選択することでポートを装備することができるようなものが多くなっているようですね。

ところで、そもそも、シリアルポート/パラレルポートって、どんなものでしょう。

シリアルポートは、その名の通り(シリアル=連続)、コンピューターと外部デバイスの間で、1度に1ビットずつのデータを送受信するためのポートです。一人ずつ縦に並んで細い橋を順に渡るようなもので、難しく言うと「逐次」転送、転送効率はあまりよくなさそうです。

昔、一般の電話回線やISDN回線などを利用してファイル転送をするのに使った「モデム」を接続する差込口がシリアルポートでしたし、そのほか、バーコードスキャナーや無停電電源装置(UPS)との通信用に使ったりもしました。

また、私が会社でMacintosh担当だったころ、Local Talkという簡易ネットワークをMacintoshのシリアルポートを使って構成したりしました。繋ぐだけでネットワークができるので大変便利でした。

一方、パラレルポートですが、こちらは「逐次」に対して「並列」っていうのでしょうか。今考えると結構大きな差込口でしたね。

個人的に、昔はパラレルポートといえばプリンターを繋ぐイメージでした。

プリンター
(こういう形のプリンターもあまり見なくなりましたね…)

ですがプリンターのほかにも、アプリケーションのドングルを装着することもありました。

ドングルとは、主にアプリケーションの不正利用を防ぐため、その起動時などにコンピューターにドングルが装着されているかを確認して、装着されていないとアプリケーションが動作しなくなる、といった一種のプロテクト手法です。

私の知っているドングルは、パソコンのパラレルポートに取り付けて、さらにそのドングルにプリンターケーブルが接続できるようになっていました。
パラレルポートとプリンターケーブルにドングルが挟まれている感じです。ですからプリンターの利用が制限されることはありません。

最近では、パラレルポートを装備していないパソコンが多いからか、ドングルもUSBタイプのものが多くなっているようですね。

DeviceLockは「シリアルポート」「パラレルポート」に対するポートレベル制御に対応しています!もちろんプリンターについては「プリンター」タイプレベルで制御することも可能です!

3. テープ(磁気テープ)

レガシー人間の私ですので、幼少のころからメディアと言えばテープです。もちろん今でも昭和のラジカセにカセットテープを入れて楽しんでいます。

ICレコーダーやスマートフォンなどで手軽に録音できる昨今ですが、手軽にいかないアナログ録音こそがオーディオ趣味の醍醐味ですね。

・・・話がそれておりますが、こういう話を始めると収拾がつかなくなるのがレガシー人間の困ったところです。

テープデバイスといえば、時代遅れという印象をお持ちの方もいらっしゃるかも知れませんが、オーディオ用としてはともかく、コンピューターのデータ保存・バックアップ用としてはおそらく今でも現役バリバリなのではないかと思います。

その理由はやはり、テープメディアの特徴にあると思います。

とにかく大容量で、容量あたりの単価が安い。運用ではメディア交換が可能で、サイズも小さく保管や送付がしやすく、信頼性も高い、などの理由から、夜中にスケジュール設定しておけば勝手にバックアップしてくれる、サーバーのバックアップや長期データ保存用途などに向いています。

一方、データがメディア内のあちこちに不連続に書き込まれるハードディスクなどで行なわれているような、ランダムアクセスは苦手です。

テープデバイス(DDS)
※DDS(DAT)テープの製造・販売は終了しているようです。

今ではハードディスクや光学ドライブ(Blu-rayなど)、USBメモリーなどが大容量化し、かつ容量あたりの単価が下がっていますので、コスト面でのテープメディアの優位性は相対的に下がっているのかなと思わなくもないですが、テープメディアは、他のメディアでは代えがたい利点により、まだまだ引退はさせてもらえないようです。

レガシーだなんて言ってごめんなさい。

ちなみに、私が家でパソコンを始めた頃は、フロッピードライブやハードディスクドライブが無くても、ゲームなどのソフトウェアはカセットテープ媒体で提供されていて、テープレコーダーからパソコンにプログラムをロードすることで実行できるようになっていました。

全部のソフトがそうだったかは覚えがありませんが、今と比べるとまだのんびりした時代でした。

DeviceLockは、「テープ」タイプレベルの制御に対応しています!

以上のように、DeviceLockは、さまざまなレガシーデバイスに対応しています。

レガシーデバイスといえども、未だ現役のものや、それに代わるものがないため使い続けているものなど、現場にはまだまだたくさんあると思います。

レガシーデバイスによる情報の流出リスクが組織のセキュリティポリシー上の盲点にならないよう、このようなデバイスたちにも気を使ってあげてくださいね。

ではまた。

投稿日:2021年01月15日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

45:クライアントのServiceがアンインストールされたことを知るには

今回のテーマ

クライアントのServiceがアンインストールされたことを知るには

Question: やりたいこと

社内のワークグループネットワークでDeviceLockを運用中ですが、一部のクライアントではユーザーにWindows管理者権限を付与しています。

DeviceLock Serviceをアンインストールできる権限と思いますが、アンインストール自体は阻止できないとしても、アンインストールされたことを何らかの方法で情報システム管理者に知らせることは出来ないでしょうか。

Answer: こうすればできる

DeviceLockで何らかの管理者イベントが実行されたときに、それを通知する機能が「アラート」です。Questionのように、DeviceLock Serviceがアンインストールされた場合にもアラートを発信することができ、アラートを受け取った情報システム管理者は、アラートの情報をもとに直ちに調査を開始することができます。

  • アラートの通知方法には「SNMP」「SMTP」「Syslog」の3種類がありますが、本ページでは、最も一般的と思われる、電子メールプロトコル「SMTP(Simple Mail Transfer Protocol)」での設定について説明します。

Step: 設定方法

ここでは、SMTPを利用した管理者アラートの送信方法について説明します。

SMTP設定

  1. DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
  2. 左ペインで[DeviceLock Service]-[Serviceオプション]-[アラート]と展開すると、右ペインに、アラートの設定項目が表示されますので、[SMTP]をダブルクリックするか、右クリックして表示されるコンテキストメニューから[管理...]を選択すると、SMTPのアラート設定画面が表示されます。
  3. 以下のSMTP設定をします。

    接続先 - SMTPホスト

    SMTPサーバーのホスト名またはIPアドレスを入力します。

    接続先 - ポート

    SMTPホストと通信するポート番号を入力します。

    • デフォルトは「25」です。

    指定したSMTPサーバーへのSSL(暗号化)接続および非SSL(非暗号化)接続の両方をサポートします。DeviceLockは自動的に暗号化およびタイプを識別します。

    セキュリティ - サーバーは認証が必要

    SMTPサーバーで使用する認証のタイプを指定します。基本認証を指定するにはチェックボックスを選択、認証を指定しないときはチェックボックスをクリアします。

    セキュリティ - ユーザー名

    基本認証を指定した場合、SMTPサーバーとの認証に使用するユーザー名を指定します。

    セキュリティ - パスワード

    基本認証を指定した場合、SMTPサーバーとの認証に使用するパスワードを指定します。

    オプション - 送信者アドレス

    アラートの送信元の電子メールアドレスを指定します。

    オプション - 宛先アドレス

    電子メールの宛先(アラートメール通知を受信する相手)の電子メールアドレスを指定します。
    複数の電子メールアドレスを指定するには、カンマ(,)またはセミコロン(;)で区切ります。

    メッセージの編集


    テンプレートに基づいて、アラートの電子メールメッセージの定義済みコンテンツをカスタマイズします。

    [メッセージ題名]に電子メールメッセージのタイトルを指定します。

    すべてのメッセージの形式をプレーンテキストまたはHTMLに変更するには、
    [テキスト]または[HTML]のいずれかをクリックします。デフォルトでは、電子メール
    はプレーンテキスト形式で送信されます。

    [ロード]ボタンで、タブ区切りのテキストファイル(.txt)から、指定したメッセージ
    本文をロードします。ロードしたテキストは必要に応じて、プレーンテキストにすることもHTMLにすることもできます。

    [デフォルト]ボタンで、デフォルト設定に戻します。

    本ページのように管理者アラートのみ利用する場合は本設定の必要はありません。

    管理者メッセージの編集


    テンプレートに基づいて、管理者アラートの電子メールメッセージの定義済みコンテンツをカスタマイズします。

    [メッセージ題名]に電子メールメッセージのタイトルを指定します。

    すべてのメッセージの形式をプレーンテキストまたはHTMLに変更するには、[テキスト]または[HTML]のいずれかをクリックします。デフォルトでは、電子メール
    はプレーンテキスト形式で送信されます。

    [ロード]ボタンで、タブ区切りのテキストファイル(.txt)から、指定したメッセージ本文をロードします。ロードしたテキストは必要に応じて、プレーンテキストにすることもHTMLにすることもできます。

    [デフォルト]ボタンで、デフォルト設定に戻します。

    しきい値

    アラートを生成する際に、イベント統合時間の間隔(時間、分、秒単位)を指定します。以下の条件がすべて該当する場合に、しきい値の時間内に発生した複数の類似イベントが統合され、1つのアラート内に要約が生成されます。

    1. イベントが同じタイプである。(成功、失敗、および情報)
    2. イベントが同じデバイスタイプ/プロトコルに関連付けられている
    3. イベントが同じユーザーに関連付けられている
    4. イベントが同じPID(プロセスID)に関連付けられている

    デフォルトは10分です。

    テスト

    テストの電子メール通知を送信して、アラート設定が正しく構成されていることを確認します。
    このテスト動作には2通りの結果があり、各結果により、表示されるメッセージが以下のように異なります。

    1. テストが正常に完了した場合。これは、設定された電子メール通知パラメーターを使用してテストの電子メール通知が正常に送信されたことを意味します。表示されるメッセージは、「テストの SMTP アラートは正常に送信されました」となります。
    2. テストが失敗した場合。これは、テストの電子メール通知が送信されなかったことを意味します。表示されるメッセージは、「テストの SMTP アラートは次のエラーのため送信されませんでした: <エラー内容>」となります。
      テスト送信:成功

      テスト送信:失敗

      テストメールの例

続いて、管理者に通知したい管理者アラートを選択します。

管理者アラート選択

  1. DeviceLock管理コンソールを起動して、管理者アラートを選択したいコンピューターのDeviceLock Serviceに接続します。
  2. 左ペインで[DeviceLock Service]-[Serviceオプション]-[アラート]-[管理者向けアラート]と展開すると、右ペインに、管理者アラートのリストが表示されます。
  3. リストをダブルクリックすると[標準]列の[有効][無効]が切り替わります。

    [有効]にすると、イベントの発生時に管理者アラートを発信します。
    [無効]にすると、イベントが発生しても管理者アラートは発信されません。

    オンライン(標準)とオフラインで異なる管理者向けアラートを有効にすることができます。
    オンラインアラート(標準プロファイル)は、クライアントコンピューターがオンラインで動作している場合に生成されます。オフラインアラート(オフラインプロファイル)は、クライアントコンピューターがオフラインで動作している場合に生成されます。
    デフォルトでは、DeviceLockはネットワークケーブルがクライアントコンピューターに接続されていないときにはオフラインモードで動作します。オフラインポリシーの詳細については、「テクニカルガイド 第17回 PC持ち出し時に自動で制御ポリシーを変えるには」をご覧ください。

以下、選択可能な管理者アラートについて説明します。

管理者アラートの種類と概要
  • DeviceLock管理者設定が変更されたら通知する

    DeviceLock管理者設定に変更が行なわれた場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • Service 設定の変更が拒否されたら通知する

    DeviceLockセキュリティが有効で、アクセス権限が不十分なユーザーがDeviceLock Serviceの設定を短期間に複数回変更しようとした場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • 「ローカルポリシーを上書き」が有効となっている Service 設定の変更が拒否されたら通知する

    DeviceLockグループポリシーマネージャーで[ローカルポリシーを上書き]パラメーターが有効になっていて、DeviceLock管理コンソールを操作しているユーザーがDeviceLock Serviceを実行しているコンピューターのサービス設定を変更しようとした場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • Service 設定が変更されたら通知する

    DeviceLock管理者設定を除く1つ以上のDeviceLock Service設定が変更された場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、関わっているデバイスまたはプロトコルのタイプ、ユーザーの動作タイプ、プロファイルのタイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • Service 設定が壊れていたら通知する

    DeviceLock Serviceが起動し、自身の設定が壊れていることを検出した場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

    • DeviceLock Serviceは、チェックサム計算を使用して設定を確認します。
    • 壊れている設定は、すべて自動的に復元されます。
  • Service が復旧したら通知する

    DeviceLock Driverが起動し、1つ以上のDeviceLock Serviceインストールファイルの削除を検出した場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

    • 欠けているファイルは、すべて自動的に復元されます。
  • ローカルストレージ割り当てを超過したら通知する

    監査/シャドウイングデータ、アラートキュー、コンテンツ分析用データのローカルストレージ割り当てを超過した場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • Service が停止したら通知する

    DeviceLock Serviceが停止後に起動したときに通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、DeviceLock Serviceのバージョン番号、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • Service がアンインストールされたら通知する

    DeviceLock Serviceがアンインストールされたときに通知します。
    この通知には、イベントの種類、コンピューター名、イベントを受け取った日付と時間、ユーザーの動作タイプDeviceLock Serviceのバージョン番号、ユーザー名、ユーザーのSID、イベントIDの情報が含まれます。
    本ページのテーマである、「クライアントのServiceがアンインストールされたことを知る」ためには、この通知を有効にしておく必要があります。また、「アラート設定が変更されたら通知する」を有効にしておくことで、通知自体が無効化された場合にもそれを知ることができます。

  • Service が終了したら通知する

    DeviceLock Serviceが不適切な終了後に再起動したときに通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、DeviceLock Serviceのバージョン番号、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • アラート設定が変更されたら通知する

    1つ以上のアラート設定が変更された場合に通知します。この通知は、変更前のアラート設定に従って送信されます。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、プロファイルのタイプ、ユーザーの名前、ユーザーのSID、このイベントに関連付けられたプロセスのID、イベントIDなどです。

  • キーロガーが検出されたら通知する

    ハードウェアUSBキーロガーが検出された場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、キーロガーとして検出されたUSBデバイスの名前、ユーザーの名前、ユーザーのSID、イベントIDなどです。

    • この通知を許可するには、[アンチキーロガー]オプションの[イベントのログを記録する]パラメーターを有効にしておく必要があります。

管理者アラートの確認

「Service がアンインストールされたら通知する」を有効にしておくことで、クライアントコンピューターでDeviceLock Serviceがアンインストールされると、電子メールの送信先アドレスに、イベントが発生したことを通知する電子メールが送信されます。

DeviceLock Serviceのアンインストールを通知するメールの例

Reference: 参考

DeviceLockは、アラート条件が満たされたときにアラートを生成し、配信します。1回目の試行でアラートを配信できない場合は、未配信アラートが指定期間にわたって格納されるキューを作成し、再送信を行います。アラートの送信を試行する最大回数を指定すること、配信試行の間隔を設定すること、未配信アラートが配信用のキューに保持される時間を定義することができます。

  1. DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
  2. 左ペインで[DeviceLock Service]-[Serviceオプション]-[アラート]と展開すると、右ペインに、アラートの設定項目が表示されますので、[配信リトライパラメーター]をダブルクリックするか、右クリックして表示されるコンテキストメニューから[管理...]を選択すると、配信リトライパラメーターの設定画面が表示されます。
  3. 以下の項目を設定します。

    配信リトライ数

    1回目の配信試行が失敗した場合に、アラートの送信を試行する最大回数を指定します。

    1回目の配信試行が失敗した場合、アラートはキューに保留され、配信試行が1回行われたことを示すマークが付けられます。その後、キュー内のアラートが送信され配信が失敗するたびに、試行回数が増加します。

    このパラメーターは、0~999の値が設定されている必要があります。デフォルト値は3回です。
    配信リトライ数に達して配信が失敗すると、エラーを監査ログに記録し、アラート配信チャネルでのさらなる送信を一時的に停止します。

    接続状態(オンラインかオフラインか)のチェック時に、指定されているSNMPサーバーとSMTPサーバー、またはSyslogサーバーとの接続を自動的に再確立しようとします。接続が回復した場合、アラートの送信を再開します。

    配信リトライ間隔: 秒

    前回の配信が失敗した場合に、アラートの次の配信を試行するまでに待つ秒数を指定します。
    このパラメーターは、10~3600の値が設定されている必要があります。デフォルト値は600秒です。

    キューに保持: 時間

    未配信アラートが削除される前に配信用キューに保持される時間数を定義します。
    同一のキューがすべての配信チャネル(SNMP、SMTP、Syslog)に使用されます。

    このパラメーターは、1~999の値が設定されている必要があります。デフォルト値は1時間です。
    このパラメーターは、標準プロファイルに対してのみ指定することができます。
    このパラメーターの値は、両方のプロファイル(通常とオフライン)に同一のものが使用されます。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム 

投稿日:2020年12月17日

How to DeviceLock 記事一覧