デバイス制御機能について
作成日:2024年6月19日 | 更新日:2024年7月1日
この記事では、Endpoint Central Cloudのデバイス制御(Device Control)機能について説明しています。デバイス制御機能を使用することで、USBストレージデバイスなどの使用制限(禁止・許可)が可能になります。
デバイス制御機能について
デバイス制御機能は、管理対象コンピューター(Windows, Mac)に接続されるUSBデバイスを制御する機能です。
Endpoint CentralのもつUSB制御機能を拡張・強化し、MacコンピューターでのUSBデバイス制御や、Windowsコンピューターへの期限付き許可など、より柔軟なUSBデバイスの運用が可能になります。
Enterprise EditionやUEM Editionにおいては、「構成」機能の一つである「USB制御」機能を使用して、Windowsコンピューターに対するUSBデバイスの「使用許可」/「禁止」/「許可済みデバイス以外は制限」といった制限が可能です。また、Mac/Linuxコンピューターに対する「すべてのUSBの許可」/「すべてのUSBの禁止」の操作も実行可能です。
最上位のエディションであるSecurity Editionでは、このナレッジで説明しているデバイス制御機能を利用可能です(Enterprise Edition、UEM Editionではご利用いただけません)。
参考:Endpoint Central CloudのEditionと無料版について
エディション | 利用可能なUSB制御の機能 | ||
---|---|---|---|
Windows | Mac | Linux | |
Enterprise Edition UEM Edition |
〇 | △ | △ |
Security Edition | ◎ ( + 〇) | ◎ ( + △) | △ |
デバイス制御機能の概要
Windows / Mac コンピューターが対象です。Linuxコンピューターの制御には対応しておりません。
デバイスの接続に関して、デバイスの種類ごとに 一律許可 / 登録されたデバイスのみ許可(ホワイトリスト) / 一律ブロック をデバイスポリシーとして設定し、カスタムグループごとに異なる条件を適用できます。また、制限時間を設定した一時的なアクセスの許可や、各ユーザーからの一時的なアクセス許可申請を許可/却下する機能があります。
- USBポートの監査
USBポートに加えて、レガシーなインターフェースであるシリアルポート(COMポート)やパラレルポート(LTPポート)の接続履歴を記録します。許可されていないデバイスが接続された場合、即座にデバイスをブロックし、アラートを送信します。
- USBデバイスアクセスポリシーの作成
デバイスの種類ごとに、読み取り専用/書き込みの許可など、アクセス権限を設定できます。また、USBデバイスでのファイル作成権限、USBデバイスからコンピューターへのデータ移動権限など、ファイルアクセスに関する権限設定も可能です。
- 信頼できるデバイスの登録
デバイスインスタンスパス(シリアル番号)を用いて登録します。接続履歴からの登録、CSVからの一括インポートにも対応しており、インスタンスパスの一部をワイルドカードにすることも可能です。
- 一時的なアクセスの申請
信頼されていないデバイスが接続された際、端末のユーザーはIT管理者に対して接続の申請(リクエスト)を送信できます。管理者は申請をメール通知で受信でき、コンソール画面からデバイス・期限を指定した一時的な許可を付与できます。また、Endpoint Central Cloudと通信できない環境でUSBデバイスを使用したい場合は、管理者が送付するアクセスコードを入力することで許可が付与されます。デバイスへの一時アクセスのリクエストは、Endpoint Centralエージェントのトレイアイコンを右クリック→「デバイス一時アクセスポータルを開く」より実行可能です。
- ファイルシャドウイング(データミラーリング)
USBデバイスのデータをネットワーク上の共有フォルダーにバックアップします。拡張子やファイルサイズに応じて、一部をバックアップ対象から除外することで、効率的なバックアップが可能です。
- ファイルトレース
USBデバイスに保存されたファイルの複製、変更、送信先、操作したユーザー、実行されたデバイスについて履歴を保存し、監査できます。
デバイス制御機能の操作方法
Endpoint Central Cloudの「Device Controll」タブ(環境によっては「デバイス制御」タブ)を開き、デバイス制御ポリシーを作成して管理対象コンピューターへ配布します。また、必要に応じてファイルアクセス/送信制御の設定を追加し、レポートとアラートの設定を構成します。
これにより、管理対象コンピューターにおいて適切なUSBの使用を実現し、使用履歴を保持することで客観的なセキュリティの確保が可能になります。ポリシーの作成
- Endpoint Central Cloudの「デバイス制御」タブ →「ポリシー」→「ポリシーの作成」をクリックします。
- ポリシーの一覧が表示されます。新規追加する場合は [+ポリシーの作成]をクリックし、続いてOS(WindowsまたはMac)を選択します。
- ポリシーの名前と説明を入力します。
- デバイスの種類ごとにアクセス制御を選択します。
- 「ブロック」:該当する種類のデバイスについて、すべてのデバイスをブロック(使用禁止)します。
- 「信頼されたデバイスを許可」:該当する種類のデバイスについて、信頼されたデバイスとして登録されているデバイスのみ使用を許可し、登録されていないデバイスをブロックします。
- 「ブロックを解除」:以前作成されたブロックを解除します。「ブロック」と「ブロック解除」の両方が適用された場合、ブロック解除が優先されます。
- 「変更なし」:設定を変更をしない場合に選択します。
- Windowsの場合
- USBフラッシュメモリなどの記憶媒体を制限する場合: 「リムーバブルストレージデバイス」の項目について、「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- スマートフォンを制限する場合: 条件によって識別される種類が異なります。iOS/iPad(iOS/iPad OSデバイス)の場合「Appleデバイス」として、Android(PTPモード)の場合「Windowsポータブルデバイス」や「イメージングデバイス」として、Android(MTPモード)の場合「Windowsポータブルデバイス」として検出されるため、これらの項目について「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- Bluetoothデバイスを制限する場合: 「Bluetoothデバイス」の項目について、「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- Macの場合
- USBフラッシュメモリなどの記憶媒体を制限する場合: 「リムーバブルストレージデバイス」の項目について、「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- スマートフォンを制限する場合: iOS/iPad(iOS/iPad OSデバイス)の場合「Appleデバイス」として、Androidの場合「Windowsポータブルデバイス」として検出されるため、これらの項目について「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- Bluetoothデバイスを制限する場合: 「Bluetoothデバイス」の項目について、「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- デバイス監査の設定を選択します。
- アラートに関する設定を選択します。
- 一時的に保存する場合は「下書きとして保存」を、保存してコンピューターに適用可能な状態にするには「保存して公開」をクリックします。
ポリシーの配布
デバイスポリシーはカスタムグループ単位で適用可能です。
- Endpoint Central Cloudの「デバイス制御」タブ →「ポリシー」→「配布ポリシー」をクリックします。
- 新規カスタムグループを作成する場合は[+ グループの作成]をクリックします。
- 既に作成済みのカスタムグループにポリシーを適用する(関連付ける)場合は[関連付けられたポリシー]をクリックします。
- カスタムグループを選択し、続いて適用したいポリシーをドラッグ&ドロップします。
- [配布]または[今すぐ配布]をクリックして、ポリシーをカスタムグループに適用します。
USBストレージデバイスをブロックするポリシーを配布した管理対象コンピューターに、許可されていないデバイスを接続すると、以下のアラートが表示されます。
信頼済みデバイスの追加
信頼済みデバイスは、使用が許可されたUSBデバイスです。
- Endpoint Central Cloudの「デバイス制御」タブ →「ポリシー」→「信頼されるデバイス」をクリックします。
- はじめてデバイスを追加する場合は「作成」をクリックして、デバイスの追加画面に移動します。
- デバイスポリシー名を入力し、続いてデバイスの種類を選択します。
- 使用履歴に記録されているデバイスを追加する場合は「既存のデバイスを追加」を選択し、一覧からデバイスを選んで「追加」をクリックします。
- 新たなデバイスを追加する場合は「新規デバイスを追加」を選択し、必要な情報を入力して「追加」をクリックします。
- 一括でデバイスを登録する場合は、CSVファイルを作成してインポートします。
- 「保存」をクリックします。
一時アクセスの申請
USBデバイスの使用が禁止されたコンピューターにおいて、ユーザーからのリクエストやスケジュールに基づき、一時的に使用を許可することが可能です。
- コンピューターを使用するユーザー側の操作
Endpoint Central Cloud で、デバイス制御機能の対象となっているエージェントには、エージェントトレイアイコンを右クリックした際に表示されるメニューに「デバイス一時アクセスポータルを開く」が表示されます。Endpoint Central Cloudと通信可能な環境から一時的なUSBデバイスの使用を申請(リクエスト)する場合、デバイスタイプ、デバイス名、使用時間を選択し、使用する理由を記述して管理者に送信します。
- IT管理者側の操作
IT管理者はメールで通知を受信します。受信したリクエストはEndpoint Central Cloudコンソール画面に表示され、承認または拒否を選択します。許可すると、Endpoint Central Cloudと通信可能な端末に対しては許可が送信され、一時的に使用が許可されます。通信できない環境に対しては、アクセスコードを提供します。ユーザーはアクセスコードを入力することで、一時的にデバイスの使用が許可されます。なお、アクセスコードは有効期限・許可デバイス・許可ユーザーが指定される、使い捨てのコードです。
接続履歴の表示
Endpoint Central Cloudの「デバイス制御」タブ →「設定」→「監査設定」より、「デバイス監査レポートを有効にする」にチェックを入れ、データの保持期間を指定します。
デバイスレポートのデータは最大90日間保持可能です。それ以上の期間のデータについては、CSV/XLS/PDF等にエクスポートして保存します(スケジュールレポートを使用して、定期的に出力可能です)。メールアラートの設定
ブロック済みデバイスが検出された場合、ユーザーからの一時アクセスリクエストが送信された場合にメールアラートを送信できます。
Endpoint Central Cloudの「デバイス制御」タブ →「設定」→「アラート設定」より、宛先メールアドレスを登録します。
USBデバイス接続履歴の確認
Endpoint Central Cloudの「デバイス制御」タブ →「レポート」または「インサイト」から、情報を確認できます。
例えば「デバイス制御」タブ →「レポート」→「デバイス監査」を開くと、以下のような履歴を確認可能です。
- ファイルシャドウイング(データミラーリング)