今回のテーマ
マイナンバーを含むファイルの書き出しを禁止するには?
Question: やりたいこと
職種柄、社内でマイナンバーデータを取り扱っています。マイナンバーデータを含んだファイルは外部デバイスに書き出さないように決められているのですが、人為的ミスにより書き出してしまうリスクを減らすため、既に導入済みのDeviceLockでマイナンバーデータに特化した書き出し制御ができれば、利用したいと考えています。DeviceLockで、マイナンバーデータを含んだファイルの、外部デバイス(USBメモリー)への書き出しを禁止することはできますか?
Answer: こうすればできる
DeviceLockには、外部デバイスへのファイルの書き出し・外部デバイスからのファイルの読み込み時に、そのファイルの特徴を調べ、それがあらかじめ定義されている条件に適合する場合に、特定の処理(禁止・許可)をする、という機能があります。
これを「コンテンツ認識ルール」と言い、本件の場合は、「USBメモリー(着脱可能デバイス)に書き出そうとしたファイルにマイナンバーが含まれる場合に書き出しを禁止する」というルールを追加することで、実現できます。
- 今回は、コンテンツ認識ルールによるファイル検査の内容を「1ファイル中にマイナンバー形式の数列を5回以上検出した場合にマイナンバーを含むデータとみなす」とし、条件を満たすファイルが着脱可能デバイスに書き出す行為が行なわれたときに、これを禁止するよう設定します。
- 個人用マイナンバーは12桁の数列ですが、コンテンツ認識ルールによる検査では、検査用数字の計算による評価を加え認識精度を上げています。しかしマイナンバーでない12桁の数列をマイナンバーとして認識することがあります。
操作方法などについての詳細は下記をご覧ください。
Step: 設定方法(アクセス制御)
ここでは、「マイナンバー形式の数列が5回以上検出されたファイルを着脱可能デバイスに書き出させない」設定方法について説明します。
前提として、USBポートおよび着脱可能デバイスに対するアクセス制御は設定されていない(フルアクセスが可能)ものとします。
- 今回は、コンテンツ認識ルールの仕組みを理解しやすいよう、単純な設定にしています。実際には、組織のセキュリティポリシーにしたがって適切なアクセス権を設定してください。
アクセス制御設定
最初に、「USBポート」「着脱可能デバイス」のアクセス許可を「フルアクセス可能」に設定します。
- DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
- 左ペインで[DeviceLock Service]-[デバイス]-[アクセス許可]と展開すると、右ペインに、設定可能なデバイス・ポートがリストされます。
- 右ペインのリストから「USBポート」を探し、ダブルクリックするか、右クリックして表示されるコンテキストメニューから[アクセス許可の設定...]を選択すると、アクセス許可変更画面が表示されます。
- 初期値は全てのユーザー(Everyone)に対してフルアクセス権([ユーザーの権利]の全ての項目が[許可])が設定されています。現在の状態が初期値と異なる場合、下図のように、ユーザー[Everyone]に対しユーザーの権利の全てで[許可]がチェックされている状態に設定してください。
- 右ペインのリストから「着脱可能デバイス」を探し、ダブルクリックするか、右クリックして表示されるコンテキストメニューから[アクセス許可の設定...]を選択すると、アクセス許可変更画面が表示されます。
- 初期値は全てのユーザー(Everyone)に対してフルアクセス権([ユーザーの権利]の全ての項目が[許可])が設定されています。現在の状態が初期値と異なる場合、下図のように、ユーザー[Everyone]に対しユーザーの権利の全てで[許可]がチェックされている状態に設定してください。
ここまでの設定で、USBメモリーに対する全てのファイル書き込みは許可されるようになります。
コンテンツ認識ルール設定
- コンテンツ認識ルールに、「マイナンバー形式の数列が5回以上検出されたファイルを着脱可能デバイスに書き出させない」ルールを設定します。
左ペインの[デバイス]を展開して「コンテンツ認識ルール」を探し、右クリックして表示されるコンテキストメニューから[管理...]を選択すると、コンテンツ認識ルール(デバイス)設定画面が表示されます。
- 初期値では[ユーザー][ルール]欄に何も設定されていません。
- [ユーザー]欄で[追加]ボタンを押して[ユーザーまたはグループの選択]画面を表示して、コンテンツ認識ルールを適用するユーザーまたはグループを指定します。ここでは全てのユーザーを対象にするために、「Everyone」を指定します。
- [コンテンツデータベース]欄で[Japan: Social Security and Tax Number System]を探してポイントしてから、[複製]ボタンをクリックします。
ここでコンテンツを複製するのは、[Japan: Social Security and Tax Number System]の条件に「5回以上」の条件を追加するためです(元々のビルトインコンテンツは条件変更ができません)。
- [Japan: Social Security and Tax Number System]は、12桁の連続した数値と検査用数字の算出結果を元に、マイナンバーと推測される数値配列パターンを検出するものです。コンテンツ認識ルールでは「パターン」タイプに分類されます。
- [パターングループの追加]画面が表示されたら、複製元の[Japan: Social Security and Tax Number System]を元に、新しいパターンを作成して登録します。
[名前] 新しいパターンに任意の名前を設定します。
既定では[コピー ~ Japan: Social Security and Tax Number System]となっていますが、ここでは、「マイナンバー 5回」に変更しておきます。[説明] パターンの説明を記述します。
ここでは、内容の変更はしません。[式] パターンの文字列マッチング条件を正規表現で表記します。
ここではマイナンバーの「数値12桁」をあらわす正規表現が既に設定されていますので、内容の変更はしません。[確認] 正規表現だけでは設定できないマッチング条件が、あらかじめビルトインされています。
既に「日本: 社会保障・マイナンバー制度」(検査用数字の計算)が選択されていますので、内容の変更はしません。[条件] パターンマッチ数がこの条件を満たすと、ルールを適用するトリガーとなります。
ここでは、「マイナンバー形式の数列が5回以上検出」されることがトリガーになるので、次のように条件を設定します。
そのほかの項目の設定は変更せず、[OK]ボタンをクリックしてパターンを登録します。
- コンテンツ認識ルール(デバイス)設定画面に戻ると、前項で登録したパターン[マイナンバー 5回]がコンテンツデータベースにリストされています。
ユーザー[Everyone]をポイント(一度クリック)してから、[コンテンツデータベース]欄で[マイナンバー 5回]を探して左クリックすると[追加]ボタンが有効になりますのでこれをクリックします。
- [追加]ボタンが有効にならない場合、[ユーザー]欄のユーザー名(Everyone)を再度ポイントしてから、再度[マイナンバー 5回]をクリックしてみてください。
- [ルールの追加]設定ウインドウが開きます。この画面で、各種ルールを設定します。
[名前] これから設定するルールに任意の名前を付けます。
既定では、ルールの名前はコンテンツグループと同じ名前になっています。必要に応じてルールの名前を変更することができます。[適用対象] どの機能にルールを適用するかを選択します。
アクセス許可 アクセス制御操作に適用します。 シャドウイング シャドウコピー操作に適用します。 検知 転送データ、ログ検知イベント、および管理者へのアラート送信などのコンテンツに適用します。 ここでは、[アクセス許可]をチェックし、[シャドウイング][検知]のチェックは外しておきます。
[ルール適用時の処理] ルールの適用時に実行させるアクションを指定します。
アラートを送信 アラートを送信します。 イベントのログを記録 イベントを監査ログに記録します。 シャドウコピー データのシャドウコピーを作成します。 ここでは、[イベントのログを記録]をチェックし、[アラートを送信][シャドウコピー]のチェックは外しておきます。
[デバイスタイプ] このルールを適用するデバイスタイプを選択します。
コンテンツ認識ルールは、[クリップボード]、[フロッピー]、[iPhone]、[光学ドライブ]、[Palm]、[MTP]、[プリンター]、[着脱可能デバイス]、および[Windows Mobile]の各デバイスタイプに適用できます。ここでは、[着脱可能デバイス]のみにチェックします。
- [デバイスタイプ]欄に表示されるデバイスは、[適用対象]欄でチェックした項目によって異なります。
[アクション] ファイルに対して「許可または禁止」「シャドウログに記録」「検知」されるユーザーアクションを指定します。
選択できるオプションは、[読込み]、[書込み]です。ここでは、[一般]-[書込み]-[拒否]、[暗号化]-[書込み]-[拒否]のみにチェックします。
- [暗号化]設定は、特定の暗号化ソリューションとの統合機能により、暗号化のかかったデバイスに対してのみ有効になるアクション設定です。暗号化統合機能については「DeviceLockテクニカルガイド 第21回 BitLockerToGoデバイスのみアクセスを許可するには」をご覧ください。設定が終わったら[OK]をクリックしてウインドウを閉じます。
- [コンテンツ認識ルール(デバイス)]画面に戻ると、作成したルールがリストされています。
[OK]ボタンをクリックして、設定画面を閉じます。
Step: テスト方法
設定したルールが機能するか、テストします。
- マイナンバーを含んだファイルを2種類、作成します。
テキストエディター(メモ帳など)、MS-WORD、MS-EXCELのどれかを使って、デスクトップに、以下の情報を含んだ文書を作成します。
- 今回はテキストファイル(拡張子: txt)として作成します。
文書1 (マイナンバーを3つ含むファイル)
ファイル名「マイナンバー 3回」 | ||
1 | A | 123456789018 |
2 | B | 234567890121 |
3 | C | 345678901234 |
4 | D | 456789012347 |
5 | E | 567890123458 |
6 | F | 678901234563 |
7 | G | 789012345678 |
8 | H | 890123456781 |
9 | I | 901234567894 |
10 | J | 012345678904 |
文書2 (マイナンバーを7つ含むファイル)
ファイル名「マイナンバー 7回」 | ||
1 | A | 123456789017 |
2 | B | 234567890120 |
3 | C | 345678901233 |
4 | D | 456789012346 |
5 | E | 567890123457 |
6 | F | 678901234562 |
7 | G | 789012345677 |
8 | H | 890123456780 |
9 | I | 901234567893 |
10 | J | 012345678903 |
- PCにUSBメモリーを装着して、作成した2つのファイルのアイコンをドラッグ&ドロップしてコピーします。
- マイナンバーを7つ含む「マイナンバー 7回.txt」の書き出しが拒否されたことを示すメッセージが通知領域に表示されます。
- USBメモリーの内容を確認すると、マイナンバーを3つ含む「マイナンバー 3回.txt」だけが書き出されています。
また、「監査ログビューアー」で監査ログを表示すると、コンテンツ認識ルールの適用を理由に書き込みが失敗した(拒否された)ログが残っています。
以上で、マイナンバー形式の数列が5回以上検出されたファイルを着脱可能デバイスに書き出させない設定は終了です。
Reference: 参考
- 個人用マイナンバーは12桁の数列で最後の1桁が検査用数字となっています。ファイルの中に12桁の数列があり、かつその12桁目が検査用数字と合致すると、これが実際にマイナンバーでない場合でも、コンテンツ認識ルールはこれを「マイナンバー」と認識します。したがいまして、条件の設定で「マイナンバー形式の数列が複数存在する」ことをルール適用の対象とすることをお勧めします。
- コンテンツ認識ルールが適用されて書き出し・読み込みが拒否された際に表示されるメッセージは、表示の有無の選択・内容のカスタマイズが可能です。DeviceLock管理コンソールから [DeviceLock Service] – [Service オプション] を展開し、[コンテンツ認識書込みブロックメッセージ] [コンテンツ認識読込みブロックメッセージ] にて編集してください。
メッセージを有効にするには[コンテンツ認識ブロックメッセージを有効にする]をチェックしてください。
テキスト中の、「%FILENAME%」はパスとファイル名、「%CHANNEL_NAME%」はデータ転送チャネル(デバイス・プロトコル)、「%REASON%」はファイルへのアクセスが拒否・許可された理由を示します。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年09月08日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?