今回のテーマ
USBデバイスの利用を一時的に許可するには?
Question: やりたいこと
既にDeviceLockを導入してUSBポートの利用を禁止しています。ただ業務上USBメモリーを利用する必要があるので、会社支給のUSBメモリーはホワイトリストに登録して、これだけは利用することができるようになっています。
最近、パソコンを取引先など社外に持ち出して利用することが多くなっています。その際現地で、本来許可されていないUSBデバイスを利用する必要が生じることがあり、セキュリティ上やむを得ないと思いつつも不便を感じています。
パソコンの持ち出し先で、一時的に任意のUSBデバイスを使えるようにすることはできるのでしょうか。
Answer: こうすればできる
DeviceLockのポリシーを一時的に変更(例えば、USBポートの制限を解除、等)することで任意のUSBデバイスを利用できるようにはできますが、無制限に利用を許可してしまうと望ましくないデバイスを利用されることで、マルウェアの侵入を許したり、パソコン内の機密データ流出のリスクが高くなったりします。
DeviceLockは、管理ツールと通信の出来ない状況にあるクライアントでも、一時的に利用したいUSBデバイスを個体識別して「これだけ利用許可」する「一時的ホワイトリスト」機能により、このような状況下でもユーザーの利便性を損なわないような仕様になっています。
- 管理ツールと通信のできない(同一ネットワークにない)状況でDeviceLockポリシーを変更する方法については「テクニカルガイド 第3回 スタンドアロンクライアントのポリシーを変更するには」をご覧ください。
Step: 準備(DeviceLock証明書の適用)
クライアントでUSBデバイスの利用を一時的に許可するには、DeviceLockの管理側、クライアント側の両方に、対になるDeviceLock証明書が適用されていることが必要です。
- DeviceLock証明書の生成、適用方法については「テクニカルガイド 第2回 DeviceLock証明書を生成するには」をご覧ください。
Step: クライアントからの一時利用申請(申請者)
まず、クライアント側のユーザー(申請者)からDeviceLockの管理者(管理者)に対して、手元にあるUSBデバイスの一時利用申請をします。
手続きは申請者作業から始まります。
- 一時利用したいUSBデバイスを申請者のパソコンに装着し、コントロールパネルから「DeviceLock」アプレットを起動します。
- コントロールパネルの表示方法を「カテゴリ」表示にしているとDeviceLockアプレットは表示されません。この場合は表示方法を「大きいアイコン」または「小さいアイコン」に変更してください。
- クライアントのDeviceLock ServiceにDeviceLock証明書が適用されていない状態でDeviceLockアプレットを起動すると、「証明書がインストールされていません。」というエラーが出ます。
- 「一時的 White List 許可ツール」をチェックし「次へ」をクリックすると、パソコンに接続されているUSBデバイスの一覧がツリー表示されますので、一時利用を申請したいデバイスをクリックして反転表示にした後、「次へ」をクリックします。
パソコンに接続されているUSBデバイスの一覧表示では製品(機種)名は出ません。「USB 大容量記憶装置」などのUSB属性から判断してください。
- 選択したデバイスの情報などから26桁のデバイスコードが生成されますので、これを電話やメールなどで管理者に伝達します。
管理者から「解除コード」の伝達があるまで、この画面を閉じたり、前のページに戻ったりしないでください。再度、最初からやり直しになります。
Step: 管理者による「解除コード」の生成(管理者)
続いて、ここからは管理者側の作業になります。
- 「DeviceLock 署名ツール」を起動します。
Windows10の場合 : [スタート] → [DeviceLock] → [DeviceLock 署名ツール]
Windows7の場合 : [スタート] → [すべてのプログラム] → [DeviceLock] → [DeviceLock 署名ツール] - 申請者から伝達されたデバイスコードを入力します。
[証明書名]欄に、クライアント側のDeviceLock Serviceに適用されているものと対のDeviceLock証明書名が表示されていることを確認してください。
- パラメーターを確認し、必要があれば変更します。
デバイスクラス
一時利用申請されたUSBデバイスの種別を示します。(表示のみ)
管理者は、申請者からの申告内容と現実のデバイス種別が異なっていないか、チェックできます。
ここが(タイプ)の場合は機種識別、(ユニーク)の場合は個体識別になります。許可期間
一時利用申請されたUSBデバイスの許可期間を次の中から選択します。
取り外されるまで、ユーザーログオフまで、5 分、15 分、30 分、60 分、5 時間、1 日、2 日、1 週間、2 週間、1 カ月タイプとして監査/シャドウイング
一時利用申請されたUSBデバイスのデバイスタイプに設定された監査/シャドウイング設定を当該デバイスに適用し、監査ログ・シャドウイングログを取得します。
読込み専用
一時利用申請されたUSBデバイスを読込み専用デバイスとして利用します。
- [生成]をクリックして解除コードを生成します。生成された解除コードを、申請者に伝達します。
Step: クライアントからの一時利用申請(申請者)
ここから、申請者側の作業になります。
- 管理者から伝達された解除コードを入力します。
管理者から「解除コード」の伝達があるまで、この画面を閉じたり、前のページに戻ったりしないでください。再度、最初からやり直しになります。
- パラメーターを確認し、必要があれば変更します。
アクセス権を与える前にデバイスを再初期化
デバイスへのアクセスを許可する前にこのデバイスの再初期化(再接続)を強制的に行なう必要がある場合にチェックします。
例えば、再初期化しないと動作しないデバイス(USBマウスなど)ではチェックを入れ、記憶デバイス(フラッシュドライブ、光学ドライブ、外付けハードドライブなど)ではチェックを外しておくことをお勧めします。
また、デバイスドライバーがソフトウェアリプラグをサポートしていないため再初期化できないデバイスは、USBポートからこのデバイスを一旦取り外してから手動で再接続し、デバイスドライバーを再起動してください。 - [終了]をクリックすると、直ちに、デバイスに対するアクセス権が適用されます。
管理者・申請者とも、開いているウインドウを閉じて、USB一時利用許可の作業は終了です。
Reference: 参考
- 一度設定した許可期間を短縮したり、許可を取り消すことはできません。一度設定した許可期間と異なる許可期間で同じUSBデバイスを再度利用許可設定すると、許可期間の長い方が適用されます。
- 申請者側の許可申請ツール(「DeviceLock」コントロールパネルアプレット)は、利用許可が完了するまで、前のページに戻ったり、許可申請ツールを終了したりしないでください。このようにした場合、再度申請のやり直しになります。
- 管理者による「解除コード」の生成時、[許可期間]で指定した期間が経過すると、デバイスに対するアクセス権が直ちに失効します。ファイルのコピー中、文書の印刷中など、データの処理中にアクセス権が失効すると、処理が中断され失敗に終わります。
- 申請者からの「デバイスコード」、管理者からの「解除コード」をオンラインで送信する機能はありません。電話や電子メール等で伝達してください。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年02月27日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?