デバイス制御機能について
作成日:2024年6月19日 | 更新日:2025年5月21日
この記事では、Endpoint Central Cloudのデバイス制御(Device Control)機能について説明しています。デバイス制御機能を使用することで、USBストレージデバイスなどの使用制限(禁止・許可)が可能になります。
デバイス制御機能について
デバイス制御機能は、管理対象コンピューター(Windows, Mac)に接続されるUSBデバイスを制御する機能です。
Endpoint CentralのもつUSB制御機能を拡張・強化し、MacコンピューターでのUSBデバイス制御や、Windowsコンピューターへの期限付き許可など、より柔軟なUSBデバイスの運用が可能になります。
各エディションで利用できるUSB制御機能の差異
Enterprise EditionやUEM Editionにおいては、「構成」機能の一つである「USB制御」機能を使用して、Windowsコンピューターに対するUSBデバイスの「使用許可」/「禁止」/「許可済みデバイス以外は制限」といった制限が可能です。また、Mac/Linuxコンピューターに対する「すべてのUSBの許可」/「すべてのUSBの禁止」の操作も実行可能です。
最上位のエディションであるSecurity Editionでは、このナレッジで説明しているデバイス制御機能を利用可能です(本ナレッジの内容は、Enterprise Edition、UEM Editionではご利用いただけません)。
参考:Endpoint Central CloudのEditionと無料版について
Enterprise EditionやUEM Editionにおいては、「構成」機能の一つである「USB制御」機能を使用して、Windowsコンピューターに対するUSBデバイスの「使用許可」/「禁止」/「許可済みデバイス以外は制限」といった制限が可能です。また、Mac/Linuxコンピューターに対する「すべてのUSBの許可」/「すべてのUSBの禁止」の操作も実行可能です。
最上位のエディションであるSecurity Editionでは、このナレッジで説明しているデバイス制御機能を利用可能です(本ナレッジの内容は、Enterprise Edition、UEM Editionではご利用いただけません)。
参考:Endpoint Central CloudのEditionと無料版について
| Endpoint Centralの エディション |
利用可能なUSB制御の機能 | ||
|---|---|---|---|
| Windows | Mac | Linux | |
| Enterprise Edition UEM Edition |
〇構成 | △スクリプト | △スクリプト |
| Security Edition | ◎デバイス制御 ( + 〇構成) | ◎デバイス制御 ( + △スクリプト) | △スクリプト |
デバイス制御機能の概要
Windows / Mac コンピューターが対象です。Linuxコンピューターの制御には対応しておりません。
デバイスの接続に関して、デバイスの種類ごとに 一律許可 / 登録されたデバイスのみ許可(ホワイトリスト) / 一律ブロック をデバイスポリシーとして設定し、カスタムグループごとに異なる条件を適用できます。また、制限時間を設定した一時的なアクセスの許可や、各ユーザーからの一時的なアクセス許可申請を許可/却下する機能があります。
- USBポートの監査
USBポートに加えて、レガシーなインターフェースであるシリアルポート(COMポート)やパラレルポート(LTPポート)の接続履歴を記録します。許可されていないデバイスが接続された場合、即座にデバイスをブロックし、アラートを送信します。
- USBデバイスアクセスポリシーの作成
デバイスの種類ごとに、読み取り専用/書き込みの許可など、アクセス権限を設定できます。また、USBデバイスでのファイル作成権限、USBデバイスからコンピューターへのデータ移動権限など、ファイルアクセスに関する権限設定も可能です。
- 信頼できるデバイスの登録
デバイスインスタンスパス(シリアル番号)を用いて登録します。接続履歴からの登録、CSVからの一括インポートにも対応しており、インスタンスパスの一部をワイルドカードにすることも可能です。
- 一時的なアクセスの申請
信頼されていないデバイスが接続された際、端末のユーザーはIT管理者に対して接続の申請(リクエスト)を送信できます。管理者は申請をメール通知で受信でき、コンソール画面からデバイス・期限を指定した一時的な許可を付与できます。また、Endpoint Central Cloudと通信できない環境でUSBデバイスを使用したい場合は、管理者が送付するアクセスコードを入力することで許可が付与されます。デバイスへの一時アクセスのリクエストは、Endpoint Centralエージェントのトレイアイコンを右クリック→「デバイス一時アクセスポータルを開く」より実行可能です。
- ファイルシャドウイング(データミラーリング)
USBデバイスのデータをネットワーク上の共有フォルダーにバックアップします。拡張子やファイルサイズに応じて、一部をバックアップ対象から除外することで、効率的なバックアップが可能です。 ※現在クラウド版では未実装です。将来的に実装予定です。
- ファイルトレース
USBデバイスに保存されたファイルの複製、変更、送信先、操作したユーザー、実行されたデバイスについて履歴を保存し、監査できます。 ※現在クラウド版では未実装です。将来的に実装予定です。
デバイス制御機能の操作方法
Endpoint Central Cloudの「Device Control」タブ(環境によっては「デバイス制御」タブ)を開き、デバイス制御ポリシーを作成して管理対象コンピューターへ配布します。また、必要に応じてファイルアクセス/送信制御の設定を追加し、レポートとアラートの設定を構成します。
これにより、管理対象コンピューターにおいて適切なUSBの使用を実現し、使用履歴を保持することで客観的なセキュリティの確保が可能になります。デバイス制御タブを開くと表示される「はじめに」から、手順の概要を確認できます。
左側の「ポリシー作成」「ポリシー配布」「信頼済みデバイスの分類」「一時アクセス許可」をクリックすると、手順イメージが表示されます。
ポリシーの作成
- Endpoint Central Cloudの「デバイス制御」タブ →「ポリシー」→「ポリシーの作成」をクリックして開きます。
- ポリシーの一覧が表示されます。新規追加する場合は [+ポリシーの作成]をクリックし、続いて「Windows」または「Mac」を選択します。
- ポリシーの名前と説明を入力します。
- デバイスの種類ごとにアクセス制御を選択します。
リムーバブルストレージデバイスの場合
- 「ブロック」:該当する種類のデバイスについて、すべてのデバイスをブロック(使用禁止)します。
Windows用ポリシーでこれを選択した場合、続いてUSB接続/SCSI接続のいずれをブロックするか、ブロックしたい方にチェックを入れます。 - 「信頼されたデバイスを許可」:該当する種類のデバイスについて、「信頼されたデバイス」として登録されているデバイスのみ使用を許可し、登録されていないデバイスをブロックします。これを選択した場合、続いて信頼されたデバイスの一覧から、許可したいデバイスを選択します。
信頼されたデバイスのリストを更新する場合は更新ボタンを、新規にデバイスを信頼済みデバイスとして登録する場合は[+]をクリックします。また、必要に応じて詳細な制御についても設定します。Windows向けポリシー- ファイルアクセス設定: 許可デバイスに対するアクセス制限を設定可能です。以下の項目があります。
- リムーバブルストレージデバイスからのファイル移動を制限(Restrict file transfer from removable storage device): デバイス内からコンピューターへのファイルコピーやファイルの移動を禁止します。
- リムーバブルストレージデバイスへの書き込み制限(Restrict modifications and transfer to removable storage device):デバイスへの書き込み操作を禁止します。有効化すると、このポリシーを配布したコンピューターで指定したUSBデバイスを読み取り専用に設定できます。
- ファイル拡張子によるデバイスでのファイル作成を許可する:必要に応じて、リムーバブルストレージデバイスに書き込みが許可されるファイルの種類(拡張子)を制限します。指定すると、これら以外の拡張子をもつファイルを書き込めなくなります。
- 許可される最大サイズ:書き込みを許可するファイルの上限サイズを指定します。指定すると、これより大きいファイルを書き込むことができなくなります。特に制限を設けない場合 0 を入力します。
- 装置のアクセス設定
- 自動実行を無効にする:リムーバブルストレージデバイスの自動実行を無効化します。
- BitLockerで暗号化されたデバイスのみ許可する:BitLockerで暗号化されたリムーバブルストレージデバイスのみ接続が許可されます。
Mac向けポリシー
- ファイルアクセス設定: 許可デバイスに対するアクセス制限を設定可能です。以下の項目があります。
- リムーバブルストレージデバイスへの書き込み制限(Restrict modifications and transfer of files to removable storage device):デバイスへの書き込み操作を禁止します。有効化すると、このポリシーを配布したコンピューターで指定したUSBデバイスを読み取り専用に設定できます。
- ファイルアクセス設定: 許可デバイスに対するアクセス制限を設定可能です。以下の項目があります。
- 「許可」:以前作成されたブロックを解除します。なお「ブロック」と「ブロック解除」の両方が適用された場合、ブロック解除が優先されます。
- 「変更なし」:設定を変更をしない場合に選択します。
その他のデバイス
- 「ブロック」:該当する種類のデバイスについて、すべてのデバイスをブロック(使用禁止)します。
- 「信頼されたデバイスを許可」:該当する種類のデバイスについて、信頼されたデバイスとして登録されているデバイスのみ使用を許可し、登録されていないデバイスをブロックします。
- 「読み取り専用」:該当する種類のデバイスについて、読み取り専用にします。
- 「許可」:以前作成されたブロックを解除します。「ブロック」と「ブロック解除」の両方が適用された場合、ブロック解除が優先されます。
- 「変更なし」:設定を変更をしない場合に選択します。
- WindowsにおけるUSBデバイスの種類
- USBフラッシュメモリなどの記憶媒体を制限する場合: 「リムーバブルストレージデバイス」の項目について、「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- スマートフォンを制限する場合: 条件によって識別される種類が異なります。iOS/iPad(iOS/iPad OSデバイス)の場合「Appleデバイス」として、Android(PTPモード)の場合「Windowsポータブルデバイス」や「イメージングデバイス」として、Android(MTPモード)の場合「Windowsポータブルデバイス」として検出されるため、これらの項目について「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- Bluetoothデバイスを制限する場合: 「Bluetoothデバイス」の項目について、「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- MacにおけるUSBデバイスの種類
- USBフラッシュメモリなどの記憶媒体を制限する場合: 「リムーバブルストレージデバイス」の項目について、「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- スマートフォンを制限する場合: iOS/iPad(iOS/iPad OSデバイス)の場合「Appleデバイス」として、Androidの場合「Windowsポータブルデバイス」として検出されるため、これらの項目について「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- Bluetoothデバイスを制限する場合: 「Bluetoothデバイス」の項目について、「変更なし」を「ブロック」または「信頼されたデバイスを許可」に変更します。
- 「ブロック」:該当する種類のデバイスについて、すべてのデバイスをブロック(使用禁止)します。
- デバイス監査の設定を選択します。
- すべてのデバイスアクティビティを監視する:デバイス制御の監査機能(USB監査レポートなど)を有効化する場合は、この項目をかならず有効化します。
- 次の期間ごとにエージェントからレポートを生成:USB監査レポートの情報は即時反映ではなく、指定間隔で更新されます。指定可能な間隔は、6~24時間または1~30日です。
- ブロックされたデバイスの情報をすぐサーバーに送信する:ブロック対象のデバイスが接続された際に、情報を即時送信する場合は有効化します。無効化すると、ブロック対象のデバイスが接続された場合に、その情報は次のリフレッシュサイクルにおいて送信されます。
- アラートに関する設定を選択します。
- 通知の種類:エンドユーザー側に表示されるポップアップメッセージについて、「オフ」「既定の通知」「カスタム通知」から選択します。カスタム通知を選択すると、ポップアップメッセージのタイトルおよび本文を編集可能です。また、ポップアップメッセージ内に一時アクセス要求のボタンを表示させるかどうかを指定できます。
- 一時的に保存する場合は「下書きとして保存」を、保存してコンピューターに適用可能な状態にするには「保存して公開」をクリックします。
ポリシーの配布
デバイスポリシーはカスタムグループ単位で適用可能です。
- Endpoint Central Cloudの「デバイス制御」タブ →「ポリシー」→「配布ポリシー」をクリックします。
- 新規カスタムグループを作成する場合は[+ グループの作成]をクリックします。
- 既に作成済みのカスタムグループにポリシーを適用する(関連付ける)場合は[関連付けられたポリシー]をクリックします。
- カスタムグループを選択し、続いて適用したいポリシーをドラッグ&ドロップします。
- [配布]または[今すぐ配布]をクリックして、ポリシーをカスタムグループに適用します。
USBストレージデバイスをブロックするポリシーを配布した管理対象コンピューターに、許可されていないデバイスを接続すると、以下のようなアラートが表示されます。
信頼済みデバイスの追加
信頼済みデバイスは、使用が許可されたUSBデバイスです。
- Endpoint Central Cloudの「デバイス制御」タブ →「ポリシー」→「信頼されるデバイス」をクリックします。
- はじめてデバイスを追加する場合は「作成」をクリックして、デバイスの追加画面に移動します。
- デバイスポリシー名を入力し、続いてデバイスの種類を選択します。
- 使用履歴に記録されているデバイスを追加する場合は「既存のデバイスを追加」を選択し、一覧からデバイスを選んで「追加」をクリックします。
- 新たなデバイスを追加する場合は「新規デバイスを追加」を選択し、必要な情報を入力して「追加」をクリックします。
- 一括でデバイスを登録する場合は、CSVファイルを作成してインポートします。
- 「保存」をクリックします。
一時アクセスの申請
USBデバイスの使用が禁止されたコンピューターにおいて、ユーザーからのリクエストやスケジュールに基づき、一時的に使用を許可することが可能です。
- コンピューターを使用するユーザー側の操作
Endpoint Central Cloud で、デバイス制御機能の対象となっているエージェントには、エージェントトレイアイコンを右クリックした際に表示されるメニューに「デバイス一時アクセスポータルを開く」が表示されます。Endpoint Central Cloudと通信可能な環境から一時的なUSBデバイスの使用を申請(リクエスト)する場合、デバイスタイプ、デバイス名、使用時間を選択し、使用する理由を記述して管理者に送信します。
- IT管理者側の操作
IT管理者はメールで通知を受信します。受信したリクエストはEndpoint Central Cloudコンソール画面に表示され、承認または拒否を選択します。許可すると、Endpoint Central Cloudと通信可能な端末に対しては許可が送信され、一時的に使用が許可されます。通信できない環境に対しては、アクセスコードを提供します。ユーザーはアクセスコードを入力することで、一時的にデバイスの使用が許可されます。なお、アクセスコードは有効期限・許可デバイス・許可ユーザーが指定される、使い捨てのコードです。
接続履歴の表示
Endpoint Central Cloudの「デバイス制御」タブ →「設定」→「監査設定」より、「デバイス監査レポートを有効にする」にチェックを入れ、データの保持期間を指定します。
デバイスレポートのデータは最大90日間保持可能です。それ以上の期間のデータについては、CSV/XLS/PDF等にエクスポートして保存します(スケジュールレポートを使用して、定期的に出力可能です)。メールアラートの設定
ブロック済みデバイスが検出された場合、ユーザーからの一時アクセスリクエストが送信された場合にメールアラートを送信できます。
Endpoint Central Cloudの「デバイス制御」タブ →「設定」→「アラート設定」より、宛先メールアドレスを登録します。
USBデバイス接続履歴の確認
Endpoint Central Cloudの「デバイス制御」タブ →「レポート」または「インサイト」から、情報を確認できます。
例えば「デバイス制御」タブ →「レポート」→「デバイス監査」を開くと、以下のような履歴を確認可能です。
- ファイルシャドウイング(データミラーリング)
