第5回 光学ドライブのアクセス制御

皆さんこんにちは。ラネクシー社員Kです。

なんとか5回目の掲載にこぎ着けた「でばいすろっくコラム」ですが、ラネクシーには既に実績のある「マイログコラム」「バックアップコラム」があるため、これらの陰に隠れて今一つ知名度が上がっていない気がします。

そこで!! 私ラネクシー社員Kはこのたび、「でばいすろっくコラム」テコ入れのため、この手のコラムに不足しがちな若年層読者の開拓を図り、コラムに花を添える、専属のオリジナルマスコットキャラクターを開発しましたので謹んでご紹介をさせて頂きます。

ジャ~ン!!

命名「セキュリティの妖精 でばいすろっ君」!!

その使命は、皆さんの組織をデバイスやネットワークを使った情報漏えいから守る、セキュリティの番人!

RUNEXY(ラネクシー)の「R」をボディに、DeviceLock(デバイスロック)の「D」と「L」を両腕に配したストレートで分かりやすい、シンプルで無駄のないデザイン、それでいて活動的でやんちゃな性格付け、さらに着ぐるみ製作の容易さ・着用性・動きやすさを実現したフォルム、そしてぬいぐるみやキーホルダーなどのキャラクター商品にしても可愛いアイドル性と、すべてを兼ね備えたマスコットキャラクターの理想形!! 

(※ラネクシー及びDeviceLock社からは完全非公認です。数日後にはこの部分だけ消されてるかもしれません・・・・)

というわけで、今回は光学ドライブのお話です。
張り切っていきましょう。

1. イマドキの光学ドライブ

皆さんが組織で利用しているコンピューターは、ノートパソコンでしょうか、それとも、デスクトップ(タワー型などの据え置き型)パソコンでしょうか。最近は「シンクライアント」や「タブレット」とお答えになる方も多くなってきたのかなと思います。

会社の業務で使うコンピューターと言えば、今ではノートパソコンが主流でしょう。デスクトップでも仕事はできるでしょうが、場所をとるとか、モニター画面やキーボード、マウスを別に用意しなければならないとか、ネットワークが有線で配線が煩雑で邪魔だとか、移設が大変だとか、ノートパソコンに比べると制約ばかりが目立っています。

ノートパソコンはこれだけですが・・

500

デスクトップ(タワー型)パソコンはいろいろ面倒・・

ノートパソコンはデスクトップパソコンと正反対で、場所をとらず、モニター画面・キーボード・タッチパッドつきのオールインワン、ネットワークは無線、配線は電源だけ、持ち運びが自在、と良いことだらけのように見えます。

そんな状況の中、筐体の小型化もあって光学ドライブを内蔵しない(できない)ノートパソコンも多く、またデスクトップパソコンでも光学ドライブの実装の有無を選択して構成・出荷するものがあるなど、なんだか光学ドライブの存在感がなくなってきているように思います。

光学ドライブと言えばCDやDVD、ブルーレイをいいますが、ビジネスシーンでは需要が減っているのかもしれません。一昔前は、市販のソフトウェアの提供媒体はCDやDVDが多かったように思いますが、DeviceLockもいつもまにかダウンロードによるプログラム提供になっていますし(光学メディア販売もあります)。

2. DeviceLockでの光学ドライブ制御

DeviceLockでは、光学ドライブについて、「何らかのタイプの接続インターフェース (IDE、SATA、USB、FireWire、PCMCIA など) を持つ内蔵および外付けのすべてのCD/DVD/BDデバイス」と定義しています。

言い換えると、デスクトップパソコンに内蔵しているものでも、ノートパソコンにUSB接続している外付けのものでも、およそWindowsに光学ドライブと認識されるものは全て制御できる、と言っています。

しかし注意点があります。DeviceLockは、光学ドライブへの読み込み/書き出しにあたり、Windowsの内部処理(OSが内蔵する読み込み/書き出しプログラム)を利用する場合のみ、制御が可能です。もう少しわかりやすく言うと、DeviceLockは光学ドライブへのアクセス(読み込み/書き出し)が行なわれたかを知るために、Windowsによる内部処理の発行を監視しています。そのため、Windowsの内部処理を使わずに別の方法で光学ドライブにアクセス(書き出しソフト独自の仕様によるアクセスなど)した行為は、仕様上、検知できないのです。

ですから、光学ドライブのセキュリティ対策として、Windowsの内部処理を使わない、独自仕様のアクセスプログラムが使われることのないよう、コンピューターの使用者にプログラムのインストール権限を与えない、また書き出しプログラムを導入する際には評価版などでDeviceLockでの制御が可能かどうか事前検証をする、といった対策が重要になります。

3. 光学ドライブへの書き出し方式とアクセス制御

Vista以降のWindowsでは、光学ドライブへの書き出し方式が、メディアごとに次の2種類から選択できるようになりました。

  • マスタ方式 ・・ Windows XP以前のOSとの互換性を重視、メディアに一括書き込み
  • ライブファイル方式 ・・ USBメモリのように、ファイル単位の追記や削除が行なえる

これらは具体的にどう違うのでしょうか。

マスタ方式で書き出しを行なう場合、まず書き出し対象のファイルを集めてひとつのイメージファイルにまとめ、それから、CDやDVDにイメージファイルのまま一気に書き出します。

DeviceLockで「書き出し」を認識するのはイメージファイルが書き出されようとしたタイミングです。つまり、DeviceLockで光学ドライブに対して「書き出し禁止」を設定している場合、書き出しエラーが表示されるのは、使用者が書き出しソフトで「書き出し」ボタンをクリックするなどのアクションを起こした時ではなく、イメージファイルの作成が終わりいざメディアに書き出そうとする時になります。「書き出し指令」から「実際の書き出し処理」まで時間がかかるということです。

また、マスタ方式では、書き出し対象の個々のファイルに対しての記録(ログ)が残せません。なぜならば、実際にメディアに書き出されたファイルはイメージファイルなので、ログに残るのはイメージファイルの情報であり、そしてイメージファイルにどんなファイルが入っているか分からないからです。

一方、ライブファイル方式での書き出しは、USBメモリやUSB外付けハードディスクなどと同様、ファイル単位での都度書き出しとなりますので、使用者による書出しアクションと実際の書き出し処理が一致し、ファイル名が表示されたログが生成されます。

つまり、光学ドライブへの書き出しにおいて、ライブファイル方式で書き出す場合のみ、書き出したファイルの名称等がログとして取得可能となるのです。

マスタ方式のイメージ

イメージファイルにまとめて書き出し

ライブファイル方式のイメージ

ファイルをそのまま個々に書き出し

4. 特定の光学メディアを読み込み可能に設定 - Media White List

お話ししてきましたように、DeviceLockで光学ドライブに対してアクセス制限をかけることができます。このとき、光学ドライブに対して読み込み・書き出しを禁止した場合でも、特定のメディアのみ読み込みを許可する方法があります。

メディアを制御例外リストに登録する「Media White List」です。

Media White Listを使用することにより、光学メディアを(前回書き出し時に記録された)データ署名で識別し、DeviceLockが光学ドライブを読み込み禁止にしている場合でも、あらかじめ許可されたメディアへの読み込みアクセスを許可することができます。

CDやDVDなどの光学メディアは、データの書き出しの際、「データ署名」という、長~い暗号みたいな文字列も一緒に記録します。これはランダムに近い内容でかつ非常に桁数が多いため、他のメディアのデータ署名と同じになることは理論上(ほとんど)ありません。なので、これを識別情報としてホワイトリストに登録して、メディア読み込み時に照合することで、読み込みを許可する・許可しないを判断するのです。

  • ちなみに私が持っているDVDメディアのデータ署名を調べたら下のようになっていました。これと全く同じデータ署名を持ったメディアがこの地球のどこかに無いとは言えませんが、データ署名が被るなんて、限りなく低い確率でしょうね。
    56EEA9DB6CD66091BD91F2582F03BADC
  • メディアに書出しをするたびに、データ署名は変更されます。そのため、変更前のデータ署名で登録したホワイトリストは、この時点で無効(データ署名変更後のメディアはアクセスを許可されない)になります。

なお、DeviceLockのフルマニュアルにはこんな注意が書いてありますが、ちょっと難しいですね・・。

注意:Media White Listによるアクセス権は「光学ドライブ」タイプレベルにのみ付与します。光学ドライブがUSBやFireWireポートに接続されていて、このポートへのアクセスを拒否に設定している場合は、Media White Listに追加されているディスクであっても、ポートレベルでアクセスが拒否されます。

これは簡単に言うと、次のような意味です。

  • 基本的に「光学ドライブ」というデバイスの種類をアクセス禁止に設定しているとメディアは読めません。
  • でもMedia White Listに登録されているメディアは、「光学ドライブ」のアクセス禁止設定を無視して、読めます。
  • でも、そもそも、「USBポート」のような「○○ポート」といったデータの出入り口をふさがれて(アクセス禁止に設定されて)いたら、Media White Listをもってしても、こっちの制限に引っ掛かってメディアは読めません。

Media White Listについては、いずれ別の機会に詳しく紹介しようと思っています。

ではまた。

投稿日:2020年03月06日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

資料請求

ラネクシーDLPソリューションの詳細な資料、導入事例集、各種リーフレットをご用意しております!
下記資料請求よりお申込みください。

menu_book 資料請求はこちら