皆さんこんにちは。ラネクシー社員Kです。
おかげさまで、このコラムも、なんとか11回目を迎えました。
幸い「こんなふざけたコラムはやめろ」という声は聞こえてきませんので、変わらず続けさせていただきます(笑)。
さて今回ですが。
DeviceLockには、「コンテンツ認識ルール」という、名前だけ聞いても何のことかよくわからない、不可思議(?)な機能があります。
通常の物理デバイス制御と異なるこの機能はいったいどのようなものでしょうか。
1. コンテンツ認識ルールの想い出
この機能はDeviceLockバージョン6.4からあります。・・・ということは2009年ですね。
私は10年以上、「コンテンツ認識ルール」という機能名を見るたびに、モヤモヤとした、スッキリしない感情がよみがえってくるのです。
DeviceLockにこの機能が追加された当時、この機能の日本語名称の命名には苦慮したものです。
オリジナルの英語バージョンでは「Content-Aware Rules」というので、仮に「コンテンツ認識ルール」としましたが、何か意味不明な気がして、社内の技術チームで真剣(?)に検討した結果、やっぱり「コンテンツ認識ルール」に落ち着きました(笑)。(今だったら、「コンテンツ制御ルール」って、命名するかな…?)
「モヤモヤとした、スッキリしない感情」は、このときの記憶によるものです。
2. コンテンツ認識ルールのコンセプト
コンテンツ認識ルールは、いわゆる「デバイス制御」というのとは少々異なり、「コンテンツ制御」とでも言うべきものですが、ここで言う「コンテンツ」とは、
「ファイル、印刷データ、クリップボードデータ、Web検索ワード、SNSメッセージ、メール本文」など、
さまざまなものを指しています。
そしてこの機能を一言でいうと、デバイスやネットワークに対する書き込みや読み込みの際に、これらのコンテンツの内容をチェックして、それが、あらかじめ決められたルールに該当していると、それに対応した処理をする、というものです。
少し言葉を変えて、
事前にルール(条件と対象と操作と処理)を決めておいて、「特定の条件を満たす特定のコンテンツに特定の操作をすると、それに応じた特定の処理をする」
と考えると少しわかりやすいかなと思います。
条件 | 「ファイルの種別」「特定のキーワードを含む」「ファイルサイズがXX以上」など |
---|---|
対象 | 「USBメモリー」、「プリンター」、「Webメール」など |
操作 | 「書込み」、「ファイル添付」、「メール送信」など |
処理 | 「禁止する」「ログをとる」「アラートを発信する」など |
例を挙げると、
- 「MS-EXCELとMS-WORDのファイルは、USBメモリーに書込み禁止」
- 「サイズが2GBを超えるファイルは、ファイルサーバーに書込み禁止」
のような感じです。
またルールは、コンピューターのユーザー/グループ毎に設定することができます。
いろいろ書きましたが・・ご理解いただけましたでしょうか。
コンテンツ認識ルールには、この原稿の執筆時点(バージョン8.3)で、以下の種類があります。
上で書いた「条件と対象と操作と処理」のうち「条件」に該当するものが、これだけあるということです。
条件一覧
ファイルタイプ検知 | ファイルタイプに基づいて、コンテンツへのアクセスを制御します |
---|---|
キーワード | ドキュメント内に特定の語句があるかどうかに基づいて、コンテンツへのアクセスを制御します |
パターン | 正規表現によって記述されたパターンに基づいて、テキストコンテンツへのアクセスを制御します |
ドキュメントのプロパティ | ファイルのプロパティ(ファイル名やサイズなど)に基づいて、コンテンツへのアクセスを制御します |
デジタルフィンガープリント | デジタルフィンガープリントに基づいて、コンテンツへのアクセスを制御します |
Oracle IRM | Oracle IRMを使用してシールされたドキュメントへのアクセスを制御します |
複合 | 上の条件を組み合わせて構成された複合条件に基づいて、コンテンツへのアクセスを制御します |
コンテンツ認識ルールの実装当初は「ファイルタイプ検知」しかありませんでした。
現在、「ファイルタイプ検知」のみ、BASEライセンスに含まれており、BASEライセンスを購入していただくと追加の出費なしでご利用になれますが、その他をご利用になるには、BASEライセンスのほかに、「ContentLock」というオプションのライセンスを購入していただく必要があります。
(ライセンス体系については 【 でばいすろっくコラム:第6回 DeviceLockのライセンス 】 をご覧ください)
つまり、こういうことです。
ファイルタイプ検知 | BASEライセンスに含む |
---|---|
キーワード | ContentLockオプションが別途必要 |
パターン | |
ドキュメントのプロパティ | |
デジタルフィンガープリント | |
Oracle IRM | |
複合 |
今回は、「コンテンツ認識ルール入門編」として「ファイルタイプ検知」について少し詳しくお話しします。
その他については、別の機会にご紹介するつもりです。
3. コンテンツ認識ルールの「ファイルタイプ検知」
「ファイルタイプ検知」のお話ですが、そもそも「ファイルタイプ」とはどのようなものでしょうか。
皆さんも、コンピューター(ソフトウェア)を使って何かのデータを作成することがあるかと思うのですが、例えば、下の表のように、それぞれ、違うソフトを使って、作ったデータに名前を付けてファイルに保存したとします。
No. | ソフトウェアと作業 | 保存した内容 | 保存したファイル名 | 拡張子 |
---|---|---|---|---|
データ1 | 年賀状ソフトAで、はがきのデザインを作成 | はがきファイル | nengajo.hgk | hgk |
データ2 | ワープロソフトBで、忘年会のご案内を作成 | 文書ファイル | bunsho.wrd | wrd |
データ3 | グラフィックソフトCで、お絵かき | イメージファイル | image.grp | grp |
データ4 | CADソフトDで、住宅の設計 | 設計ファイル | sekkei.des | des |
※この表に記載された内容は、私が説明用に創作した架空のものです。
それぞれファイル名についている拡張子(下記参照)が異なっていて、これを見ればどんなファイルか、一応はわかるようになっています。
拡張子とは?
Windowsで使用するファイルの名前の最後の方には、「.」(ピリオド、ドット)の右側に3~4文字くらいのアルファベットや数字があることが多いのですが、これを拡張子と言います。
例えば、こんな具合です。
- runexy.doc では「doc」が拡張子、主に文書ファイルなどに付く
- shain-k.txt では「txt」が拡張子、主にテキストファイルなどに付く
拡張子があることで、そのファイルがどんなアプリケーションで作られたかとか、どんな性質のものか、などがなんとなくわかるようになっています。
しかし、拡張子の文字列には厳格な決まりがあるわけではなく、つけようと思えばどんな文字列でもつけられますし、ファイルを作った後で拡張子を変更したり、拡張子そのものをなくしたりすることもできます。
そのため、厳密には、拡張子から得られる情報を鵜呑みにすることはできません。
コンテンツ認識ルールの「ファイルタイプ検知」は、ファイル名や拡張子には頼らずファイルの内容(実データ)を見て、
「これは○○ソフトで作ったデータファイルだな」
「これは圧縮されているけど、中にテキストファイルが入っているな」
など、そのファイルの正体を ドンピシャッ と言い当てることができるのです。
この「ファイルの正体」こそが「ファイルタイプ」です。
上で例を挙げたような、アプリケーションごとの独自のファイルタイプだけでなく、汎用的なファイルタイプも数多く存在します。例えば、
ファイルタイプ | 拡張子の例 |
---|---|
テキストファイル | txt、html、xml など |
イメージファイル | bmp、gif、jpg など |
オーディオ・ビデオファイル | avi、mp4、wmv など |
PDFファイル | |
実行(プログラム)ファイル | com、exe など |
これらの「ファイルタイプ」を「条件」に据えて、コンテンツ認識ルールを作成するのです。
4. コンテンツ認識ルールの「ルール」
さて、ここからが本題です。
「ルール」というのは、
XXXX さんが、
XXXX デバイスに、
XXXX しようとしているファイルのファイルタイプが、
XXXX だったら、これを
XXXX する。
といった規則で、伏字( XXXX )のところに具体例を入れると、例えば、次のようになります。
山田さん が、
着脱可能デバイス に、
書き込み しようとしているファイルのファイルタイプが、
MS-EXCELのデータ だったら、これを
禁止 する。
コンテンツ認識ルールは、DeviceLockのデバイス制御機能のうち、「タイプ」制御に優先するため、これを応用すると、こんな使い方もできます。
例 1
「着脱可能デバイス」タイプを書き込み禁止に設定することで、USBメモリーなどリムーバブルデバイスへのファイル書き込みを禁止しています。
しかし例外として、PDFファイルだけは、リムーバブルデバイスへの書き込みができるようになっています。
この場合、コンテンツ認識ルールでは、
コンピューターの使用者全員 が、
着脱可能デバイス に、
書き込み しようとしているファイルのファイルタイプが、
PDFファイル だったら、これを
許可 する。
のように設定します。
例 2
「着脱可能デバイス」タイプをアクセス禁止に設定することで、USBメモリーなどリムーバブルデバイスへの読み書きを禁止しています。
例外として、ユーザーグループ「Eigyo」のメンバーは、リムーバブルデバイスに対して、CADソフト「○○-CAD」の設計ファイルを、読み込みのみできます。
また、ユーザーグループ「Sekkei」のメンバーは、リムーバブルデバイスに対して、CADソフト「○○-CAD」の設計ファイルを、読み込みと書き込みの両方ができます。
この場合、コンテンツ認識ルールでは、次のように両方設定します。
「Eigyo」グループのメンバー が、
着脱可能デバイス から、
読み込み しようとしているファイルのファイルタイプが、
CADソフト「○○-CAD」の設計ファイル だったら、これを
許可 する。
「Sekkei」グループのメンバー が、
着脱可能デバイス に、
読み込みまたは書き込み しようとしているファイルのファイルタイプが、
CADソフト「○○-CAD」の設計ファイル だったら、これを
許可 する。
5. コンテンツ認識ルールを実行すると・・
次に、コンテンツ認識ルールの適用イメージを、実例でご説明しましょう。
例えば、次のようなルールを設定しておいたとします。
基本のアクセス制御で「着脱可能デバイス」をアクセス許可に設定しておいて、例外として、コンテンツ認識ルールでMS-WORDのデータファイルは「着脱可能デバイス」に書き込み不可、とする。
次に、USBメモリー(着脱可能デバイス)をコンピューターに装着して、デスクトップにあるMS-WORDの文書データファイルをこれにコピーしてみましょう。
ファイルをドラッグ・アンド・ドロップで・・・
USBメモリーにアイコンができた!
コピーが終了したように見えています。
ところが・・? 何か表示されたぞ?
アイコンが消えた!
デスクトップ上の「MS-WORDファイル.docx」ファイルをUSBメモリーに対してコピーする操作をして、USBメモリーにアイコンができたのですが、すぐに消えてしまいました。これはどういうことでしょう。
実はこのように、コンテンツ認識ルールで対象コンテンツ(ファイル)のコピーを禁止していても、コピー先に一旦アイコンが作成されます。
コピーが成功したように見えるのですが、アイコンができるだけで、この時点ではファイル本体のコピーは行なわれていません。
この時、コピー操作をしたコンテンツが、コンテンツ認識ルールに定義されているルールに該当するか、バックグラウンドで検査が行なわれています。
今回の場合、設定したルールは、
「 MS-WORDのデータファイル は 着脱可能デバイス に 書き込み不可 」
というものでしたので、コピー操作をしたMS-WORDのデータファイルは「該当」となり、書き込みがキャンセルされた、というわけです。
いかがでしょうか。
なかなか面白い機能でしょう。
今回ご紹介した「ファイルタイプ検知」はBASEライセンスを購入していただくだけでご利用になれますが、「ContentLock」オプションライセンスを導入していただくことで、今回紹介できなかった、コンテンツ認識ルールの別の機能である「キーワード」や「パターン」などのルールが作成でき、また複数の機能を組み合わせて、より複雑な「複合ルール」を設定することもできるようになります。
DeviceLockのほぼすべての機能がご利用になれるトライアル版でお試しになってみてはいかがでしょうか。
(トライアル版については 【 でばいすろっくコラム:第4回 トライアルのススメ 】 をご覧ください。)
ではまた。
- « 前の記事へ
- でばいすろっくコラムTOP
- 次の記事へ »
投稿日:2020年10月23日
でばいすろっくコラム 記事一覧
- 第20回 DeviceLockマスターへの道
- 第19回 DeviceLockのピリ辛機能
- 第18回 不思議な差の世界
- 第17回 テレワークとDeviceLock
- 第16回 マイナンバーを検出する
- 第15回 DeviceLockの集中管理
- 第14回 レガシーデバイスとDeviceLock
- 第13回 DeviceLockの管理のしくみ
- 第12回 一時的ホワイトリストによるUSBデバイスの一時許可
- 第11回 「コンテンツ認識ルール」って、なに?
- 第10回 「DeviceLock Lite」とは?
- 第9回 「シャドウイング」ログって、なに?
- 第8回 USBデバイスの識別IDとは?
- 第7回 アクセスの記録を監査ログに残す
- 第6回 DeviceLockのライセンス
- 第5回 光学ドライブのアクセス制御
- 第4回 トライアルのススメ
- 第3回「USBを止める」って、どういうこと?
- 第2回 DeviceLockのしくみ
- 第1回 パソコンとデバイス
- でばいすろっくコラムとは?
国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"
DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。
DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。
- ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より