第19回 DeviceLockのピリ辛機能

皆さんこんにちは。ラネクシー社員Kです。

ラネクシーではこれまで、日々の活動やこのコラムなどでDeviceLockのいろいろな機能をご紹介してきましたが、一般的にはいまだに「USB制御」のイメージが強いようで、「Webアクセスの制御もできます」とか、「クリップボードからのペーストを制御できます」など、他の色々な機能についてのアピールがまだまだ足りないのではないかと思います。

そこで、今回は、これまでとりあげられることがほとんどなかった、地味だけど ピリッと辛い機能 にスポットを当ててみたいと思います!

1. アンチキーロガー ※ピリ辛度 

ハードウェアキーロガーとは、キー入力を記録するデバイスのことです。

キーロガーは、ユーザーがWindowsにログオンする際や、会員制サイトの認証時などに入力する、ユーザー名やパスワード、住所、氏名、電話番号などの、識別IDや個人情報を搾取することもでき、なりすましログオンや金銭被害の原因になりかねません。

そこでDeviceLockは、コンピューターに接続されたハードウェアUSBキーロガーを検出すると、次のような処置をします。

  1. ハードウェアUSBキーロガーに接続されているキーボードからの入力をブロックして、ユーザーがパスワードを入力するのを防止します。
  2. 監査ログにイベントを書き込みます。
  3. メッセージを表示して、ユーザーに通知します。

DeviceLockはPS/2キーロガーにも対応していて、PS/2キーボードからの入力内容をスクランブル(暗号)化することで、PS/2キーロガーに無意味なデータを記録させ、実際のキー入力の記録を防止する機能もあります。

  • DeviceLockはPS/2キーロガーを検出した際にユーザーに通知することはできません。
  • PS/2というのは、USBポートの登場以前に、主にキーボードやマウスを接続していたポートで、現在でもこれを採用しているコンピューター製品はあるようですが、USBやBluetoothを利用した接続方式への移行が進んでいる現状から、PS/2キーボードやPS/2マウスは、もはやレガシーデバイスの仲間入りをしている印象があります。

さて、ここで「アンチキーロガー機能あるある」ですが、アンチキーロガー機能を有効にしている場合、困ったことに、一部のノート型コンピューターで、実際にはキーロガーはないのに、あるように検出されることで、キーボードがブロックされてしまい、キーボードからの入力ができなくなることがあります。

その結果、Windowsのログオン認証(ユーザー名/パスワード)入力ができなくなりますので、パスワード認証方式ではWindowsにログオンできなくなります。

とはいえ、そのような場合でもマウスは使用可能なので、スクリーンキーボードを起動してパスワードを入力できます。
そして、DeviceLockのアンチキーロガー機能を無効に設定変更してください!

ここでは「ちょいピリ」としましたが、アンチキーロガー機能はセキュリティ上、強力な機能です。
上の「アンチキーロガー機能あるある」をご承知の上で、一度利用してみてください。

2. 関係チャート ※ピリ辛度 

関係チャートはDeviceLockの無償オプションであるDeviceLock Enterprise Serverの標準機能で、DeviceLockクライアントで行なわれたネットワーク通信の統計データを調べるために、DeviceLock Enterprise Serverに集められた監査ログとシャドウイングログのデータを視覚化するものです。

ネットワーク通信のログを採ることになるので、DeviceLockにネットワークプロトコル制御機能を追加する「NetworkLock」オプションの導入が必要になります。

インスタントメッセンジャー(IM)のチャットや転送ファイル、Skypeのコール、ソーシャルネットワーク(SNS)のチャット、電子メールのメッセージや添付ファイルなどの通信履歴をもとに、下のようなチャート図を生成します。

管理画面では文字の多いDeviceLockですが、こんなグラフィカルな画面もあったんですね。

チャートはノード(関係者)とラインで構成されます。

  • ノードは、Active Directory(AD)、ドメイン、組織単位(OU)、ユーザーなどのオブジェクトを表します。
  • ラインは、2つのノード間の接続または関係を表します。

下のチャートは、コンピューター [WIN10-WG] のユーザー [shain-k] から、[donata@runexy.co.jp] への電子メール送信と [test-shain@runexy.co.jp] からの電子メール受信、という関係性(※)を表しています。

  • 電子メールの、送信か受信かは、チャート図からは判別ができませんが、下のように詳細情報を表示することで情報の流れた方向がわかります。

2つのノード間の接続は、インスタントメッセンジャーチャットの総数や転送されたファイル、Skypeコール、ソーシャルネットワークチャット、電子メールメッセージや添付ファイルの数に基づいて計算されます。

また、表示されるラインが太くなるにしたがって、通信関係が強くなっていくことがわかるようになっています。

紹介されることの少ない機能ですので、ユーザー様でもご存じない方も多いのではないかと思います。

3. デジタルフィンガープリント ※ピリ辛度 

「フィンガープリント」を普通に日本語訳すると「指紋」ということになりますが、コンピューターの世界では、データの同一性を評価するのに用いられます。

日本語版DeviceLockでデジタルフィンガープリント機能を搭載したのは、バージョン8.3からになりますが、どれくらいのお客様がこの機能をご利用になっているのでしょうか。

私の推理では、利用されているお客様は非常に少ないのではないかと思います。

新機能としてのアピールがちょっと足りなかったかもしれません・・。(反省)

さて、デジタルフィンガープリントは、デバイスやネットワークへの書き出し(送信)対象のファイルが、機密データであるかどうかを識別するために使用します。

例を挙げて、少し具体的に説明します。

ファイルサーバー内の機密ファイルについて、あらかじめハッシュ値(※1)を計算して、この結果をDeviceLockのデータベースに登録(※2)しておきます。

  1. ハッシュ値とは、データに対して「ハッシュ関数」という計算手法を用いて、特定の桁数を持つ文字列を算出したものを言います。例えば2つのファイルがあって、これらから同じハッシュ値が導き出されるとしたら、非常に高い確率で、これらのファイルは「同一のもの」とみなすことができます。
    ハッシュ値の実際の値は、例えば「8C565188779C1173860ABFC065E708612E1E2D9D」のような、意味の分からないものとなります。
  2. デジタルフィンガープリントのデータベースは、無償のオプション「DeviceLock Enterprise Server」で管理します。

ハッシュ値の登録後、コンピューターから何らかのファイルが書き出されるときに、このファイルのハッシュ値を計算し、この結果をハッシュ値データベースと照合して、同じものがあるか確認します。

同じものがあったら、このファイルは機密データと見なされます。

そして、現実的な利用方法としては、DeviceLockの「ContentLock」オプションで、「コンテンツ認識ルール」の判定条件に、このハッシュ値照合を指定するのですが、わかり難いので、この動作を簡単に図にしてみましょう。

  • 図を単純化するためにコンピューターの絵などは省略します。

例えば、ファイルサーバー内に保存されている、あるファイルを、コンピューターに接続したUSBメモリーに書き出すとします。

この処理の途中に、コンテンツ認識ルールのハッシュ値照合を差し挟みます。

ハッシュ値照合を差し挟んだだけでは意味がないので、判定の結果を、書き出しの許可/禁止処理に反映させます。

書き出そうとしているファイルのハッシュ値が、データベースに登録されているデータと一致することにより「機密データ」と判定されると、コンテンツ認識ルールにより書き出しが禁止され、ハッシュ値が一致しない場合は「機密ではないデータ」と判定され、書き出しは許可されます。

いかがでしょうか。

ここでは単純な動きを説明しましたが、もう少しデリケートな設定もできます。

機密データ (ファイル) を、その機密レベルに応じて、任意に設定できる分類ランク (「制限」、「機密」、「秘密」、「極秘」など) に分類しておくことで、機密レベルにしたがって異なる処理 (書き出し許可/禁止) を適用することができます。

例えば、「極秘」に分類されたデータはリムーバブルデバイスへの「読込み」「書込み」の両方を禁止する一方、「秘密」のデータは「読込み」は許可するが「書込み」は禁止、のように。

最後に念のため申し上げておきますと、デジタルフィンガープリント機能を利用するには、有償のContentLockオプションと、無償のDeviceLock Enterprise Serverオプションの導入が必要になります。

すみませんが、よろしくお願いします・・。

楽しいピリ辛機能のご紹介はこれでおしまいです。
個人的には、中辛カレーまでが限界で、それを超えて辛い料理は苦手ですが、「知る人ぞ知る」レアでピリ辛な機能にスポットを当ててみるのも、たまにはいいものだなあ・・と思ったりします。
「DeviceLock愛」ってやつですか・・。フフ。
ではまた、お会いしましょう。

投稿日:2021年07月02日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

資料請求

ラネクシーDLPソリューションの詳細な資料、導入事例集、各種リーフレットをご用意しております!
下記資料請求よりお申込みください。

menu_book 資料請求はこちら