今回のテーマ
特定のタイプのファイルだけ書き込みを許可するには?
Question: やりたいこと
DeviceLockで社用USBメモリーに対して書き込み禁止設定をしています。USBメモリーにファイル(ファイル共有サーバーにある)を書き込む必要があるときは、書き出しを許可された共用のコンピューターが別にあり、このコンピューターまでUSBメモリーを持って行って、書き込み操作をしています。
しかしこれでは使用者にとって不便なので、PDFファイルに限り、使用者のコンピューターからUSBメモリーに直接書き込みができるようにしたいと思っています。
DeviceLockでこのような設定はできますか。
Answer: こうすればできる
DeviceLockには、デバイスへのファイルの書き込み・読み込み時に、そのファイルの素性を調べ、それがあらかじめ定義されている条件に適合する場合に、特定の処理(禁止・許可)をする、という機能があります。
これを「コンテンツ認識ルール」と言い、本件の場合は、「USBメモリー(着脱可能デバイス)に書き込もうとしたファイルがPDFフォーマットの場合のみ書き込みを許可する」というルールを追加することで、実現できます。
- 本書では、許可設定をするにあたり、対象としてコンテンツ認識ルールにあらかじめ内蔵されているファイルタイプ定義を利用しています。PDFファイルのほかに、XPS、Post Scriptなども同時に許可されます。
Step: 設定方法(アクセス制御)
ここでは、ユーザーに対する「着脱可能デバイス」のアクセス許可を「書き込み禁止」に設定した上で、「PDFファイルのみ着脱可能デバイスに書き込み許可」するよう、設定します。
アクセス制御設定
- DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
- 左ペインで[DeviceLock Service]-[デバイス]-[アクセス許可]と展開すると、右ペインに、設定可能なデバイス・ポートがリストされます。
- 右ペインのリストから「着脱可能デバイス」を探し、ダブルクリックするか、右クリックして表示されるコンテキストメニューから[アクセス許可の設定...]を選択すると、アクセス許可変更画面が表示されます。
初期値は全てのユーザー(Everyone)に対してフルアクセス権([ユーザーの権利]の全ての項目が[許可])が設定されています。 - 次のように、コンピューターを使用するすべてのユーザーに対し、「読み込み可能」「書き込み不可」に設定します。[ユーザー]欄で[デフォルト設定]ボタンをクリックすると3つのユーザー・グループが出てきますので、[Administrators]を選択(クリック)してから[削除]ボタンをクリックして削除します(「Everyone」「SYSTEM」が残ります)。
[SYSTEM]を選択して、[ユーザーの権利]の全ての項目が「許可」にチェックされていることを確認します。
※ SYSTEMユーザーに対するフルアクセス権付与は、Windowsがリムーバブルデバイスを適切に認識できるようにするためです。 - [Everyone]を選択して[ユーザーの権利]の項目を、「一般・書込み」をノーチェックに変更して[OK]ボタンをクリックします。
これで、USBメモリー(着脱可能デバイス)が、ユーザー「Everyone」に対し、「読み込み可能」「書き込み不可」に設定されました。 - この時点でコンピューターにUSBメモリーを装着し、「読み込みはできるが書き込みはできない」状態になっているか、確認してください。
Step: 設定方法(コンテンツ認識ルール)
次に、USBメモリー(着脱可能デバイス)に対して、PDFファイルだけは書き込みができるよう、コンテンツ認識ルールの設定をします。
コンテンツ認識ルール設定
「コンテンツ認識ルール」の「ファイルタイプ検知」を設定します。
- DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
- 左ペインで[DeviceLock Service]-[デバイス]-[コンテンツ認識ルール]と展開すると、コンテンツ認識ルールがまだ何も設定されていない初期値では、右ペインに、「パラメーターが構成されていません」と表示されます。
- 左ペインの[コンテンツ認識ルール]を右クリックして表示されるコンテキストメニューから[管理...]を選択実行します。
- [コンテンツ認識ルール (デバイス)]画面が表示されたら、画面左下の[ユーザー]欄に「Everyone」(ドメイン環境では「Domain Users」)を指定します。
- [コンテンツ認識ルール (デバイス)]画面の上部、[コンテンツデータベース]欄から、[PDF, PostScript & XPS Documents]を探し、マウスでポイントして[追加]ボタンをクリックすると、[ルールの追加]画面が表示されます。
- [適用対象]欄で[アクセス許可]をチェックします。
- [デバイスタイプ]欄で[着脱可能デバイス]をチェックすると、[アクション]欄に、設定できる[ユーザーの権利]が表示されます。
※この内容は、デバイスによって異なります。 - [一般 – 書込み]の[許可]をチェックします。その他は未チェックのままにしておきます。
- [OK]をクリックして、[ルールの追加]画面を閉じます。
- [コンテンツ認識ルール (デバイス)]画面に戻ったら、画面右下の[ルール]欄にルールが追加されていることを確認し、[OK]ボタンをクリックしてこれを閉じます。
- DeviceLock管理コンソールの左ペイン[コンテンツ認識ルール]を展開し、設定したユーザーのルール(「Everyone」または「Domain Users」ユーザー)ができていること確認します。
- この時点でコンピューターにUSBメモリーを装着し、「PDF以外のファイルは、読み込みはできるが書き込みはできない」「PDFファイルは、読み込みも書き込みもできる」状態になっているか、確認してください。
以上で、「コンテンツ認識ルール」機能を利用した、USBメモリー(着脱可能デバイス)に対する、PDFファイルのみの書き込み許可権限の付与設定は終了です。
今回は、コンテンツ認識ルールの簡易で代表的な設定例を提示する目的から、説明が複雑になることを避け、かつ要望が簡単に実現できるよう、許可設定をするにあたり、コンテンツ認識ルールにあらかじめ内蔵されているファイルタイプ定義を利用しています。厳密にPDFファイルのみを許可したい場合は、別途カスタム定義した「ファイルタイプ検知グループ」を利用することになりますが、これについては、別の機会に説明します。
Reference: 参考
- 「コンテンツ認識ルール」機能では「ファイルタイプ検知」のみBaseライセンスに含まれます。それ以外の「キーワード」「パターン」等をご利用になるには「ContentLock」オプションの導入が必要です。
- 「コンテンツ認識ルール」が有効な状態で外部記憶デバイスにファイルをコピーすると、コピー先のデバイスにファイルのアイコンが直ちに出現し、コピーが完了したように見えますが、実際はファイルタイプの検出が終わるまでは、ファイルの実体はコピーされていません。
- 「ファイルタイプ検知」で操作対象のファイルのタイプを検出するのに、時間がかかることがあります。書き込み操作の後、タイプ検出の間は、外部記憶デバイスは抜かないよう、ご注意ください。タイプ検出の終了は、通知領域への「コンテンツベリファイ完了メッセージ」の表示にて知ることができます。
- 「ファイルタイプ検知」で検出できるファイルタイプは、DeviceLockプログラムに組み込み済みのものに限られます。ユーザー操作により新しいファイルタイプを追加することはできません。
- 「ファイルタイプ検知」によるファイルタイプ検出は、ファイル拡張子による判定ではなく、ファイル内部の構造(ヘッダ等)を基に判定しています。ユーザー操作でファイルの拡張子を変更しても、ファイルタイプ検出の結果は変わりません。
- 複数ファイルをZIP形式などにアーカイブしたものを「ファイルタイプ検知」で評価する場合、アーカイブファイルに内包するファイルを個別に検査し、ひとつでも「不可」条件を満たすファイルがあれば、アーカイブファイル全体が「不可」条件を満たしたものとして処理されます。
- パスワード付きZIPなど、ファイルタイプの検出ができない場合は、操作「不可」処理を適用します。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年05月05日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?