今回のテーマ
スマートフォンへのファイル書き出しを禁止するには?
Question: やりたいこと
社内セキュリティポリシーに設定した情報漏えい防止ポリシーの一環で、社内のコンピューターから社員個人のスマートフォン(Android)へのUSBポート接続でのファイル書き出しを禁止していますが、取り決めだけでなく、物理的なデバイス制御により書き出しを強制的に禁止したいと考えています。
DeviceLockを利用して、ファイルのスマートフォン(Android)への書き出しを制御することはできますか?
Answer: こうすればできる
DeviceLockで、各種USB接続デバイスを利用可能に維持しつつ、USB接続のAndroid機器に対してのみファイル転送を禁止するには、「MTP」デバイスタイプでアクセスを制御します。
- 「MTP」とは、「Media Transfer Protocol」の略で、USBポートを介して、コンピューターをAndroidスマートフォン・デジタルオーディオプレーヤー等と接続し、メディアファイルを転送するプロトコルです。この場合Androidスマートフォンは厳密には「外部ストレージ」ではなく「コンピューター」であり、ファイル管理もAndroidスマートフォン側で行ないます。
操作方法などについての詳細は下記をご覧ください。
Step: 設定方法(アクセス制御)
ここでは、Android OSを搭載したスマートフォンを、「MTP」デバイスタイプで制御する方法について説明します。
MTPデバイスタイプ制御によるアクセス制御設定
- DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
- 左ペインで[DeviceLock Service]-[デバイス]-[アクセス許可]と展開すると、右ペインに、設定可能なデバイス・ポートがリストされますので「MTP」を探し、ダブルクリックするか、右クリックして表示されるコンテキストメニューから[アクセス許可の設定...]を選択すると、アクセス許可変更画面が表示されます。
- 初期値は全てのユーザー(Everyone)に対してフルアクセス権([ユーザーの権利]の全ての項目が[許可])が設定されています。
- ここでは、MTPデバイスに対するアクセス制御設定を「Everyone」ユーザーに対して設定します。[ユーザー]欄では右のように「Everyone」を指定しておきます。
- [ユーザーの権利]欄で、必要なアクセス権を設定します。
読み込みを許可し、書き出しを禁止します。
読み込みを禁止し、書き出しを許可します。
(読み込みを禁止していても、ストレージのファイルリストを参照することはできます)
読み込み・書き出しとも禁止します。 - [OK]ボタンをクリックして、設定画面を閉じます。
以上で、Android OSを搭載したスマートフォンを、「MTP」デバイスタイプで制御する設定は終了です。
Step: 設定方法(ブロックメッセージ)
デバイスへのアクセスを拒否した場合に、通知領域にメッセージを表示することができます。
デバイスアクセス時のブロックメッセージを表示する設定
- DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
- 左ペインで[DeviceLock Service]-[Service オプション]と展開すると、右ペインに、設定可能な項目がリストされますので「デバイス読込みブロックメッセージ」「デバイス書込みブロックメッセージ」を探します。
- 項目名をダブルクリックするか、右クリックして表示されるコンテキストメニューから「プロパティ...」を選択すると、メッセージの編集画面が表示されます。
-
メッセージ編集画面で必要なパラメーターを指定します。
デバイス XXX ブロックメッセージを有効にする
ブロックメッセージの表示を有効にします。デバイスへの書き出しまたはデバイスからの読み込み時に、DeviceLockのアクセス制御設定によりこれが拒否された場合に、あらかじめ定義されたメッセージを表示します。
このブロックメッセージは、以下のデバイスへのアクセスについて有効です。
- プリンター及びクリップボードは、書き出し時のみ
- フロッピー
- ハードディスク
- 光学ドライブ
- 着脱可能デバイス
- テープ
- MTP
- iPhone
- Palm
- Windows Mobile
- プリンター
- クリップボード
(テキストのコピー、イメージのコピー、オーディオのコピー、ファイルのコピー、不明なコンテンツのコピー) - ターミナルサービスデバイス
(クリップボード出力テキスト、クリップボード出力イメージ、クリップボード出力オーディオ、クリップボード出力ファイル、クリップボード出力不明コンテンツ)
キャプション
ブロックメッセージを表示する際の見出しを指定します。
テキスト
ブロックメッセージの内容を指定します。
- キャプション及びテキストでは、以下の2つの定義済みマクロを使用できます。
%FILENAME% : 書き出し・読み込みされたファイル名を挿入します。
%DEVICE% : システムから受け取ったデバイス名を挿入します。 (例. USB大容量記憶装置デバイス)
MTPデバイスからの読込みがブロックされたときのブロックメッセージ例
以上で、MTPデバイスへのアクセスが拒否された場合に通知領域にブロックメッセージを表示する設定は終了です。
Reference: 参考
- MTPデバイス側の仕様により、USBポートに書き込み権限を設定しないとMTPデバイスのストレージにアクセスできない場合があります。
- USBポートを介してスマートフォンをコンピューターに接続した後、スマートフォン側で、接続したデバイスの用途の指定が必要になる場合があります。指定方法や用途の選択肢などについては機種により異なることがあります。詳しくはスマートフォンの説明書をご覧になるか、供給元にお問い合わせください。
この画面例では、スマートフォンをMTPデバイスとしてコンピューターに認識させるためには「ファイルを転送する」を選択します。
この画面例では、「写真を転送する (PTP)」を選択するとスマートフォンは「PTPデバイス」(※)として認識されますが、DeviceLockでは、PTPデバイスについても「MTP」デバイスタイプで制御します。
- PTP :「Picture Transfer Protocol」の略で、デジタルカメラからコンピューターに画像を転送するためのプロトコル。
なお、スマートフォンをMSCデバイス(大容量記憶装置)として認識させることのできる機種の場合、DeviceLockではMSCデバイスを「着脱可能デバイス」デバイスタイプで制御します。
- 変更したアクセス制御設定が直ちに反映されない場合は、コンピューターを再起動させる、MTPデバイスを着脱し再度改めて認識させるなどの操作をして再度お試しください。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年09月08日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?