情報漏洩のリスクを低くするため、持出しユーティリティを使用したファイルやフォルダの持出しを行う場合に、使用できるUSBデバイスを個別に制限することができます。
使用を許可するUSBデバイスは、管理コンソールでポリシー設定します。
これらの手順は、“USBデバイスを登録する”および“使用を許可するUSBデバイスをポリシーに設定する”を参照してください。
エクスプローラなどを利用して持出す場合は、USBデバイス個別の使用制限は有効になりません。通常のドライブレターまたはデバイス種別ごとの持出し禁止動作が行われます。
持出された情報、使用した媒体、持出し日時、持出した人物などが、ファイル持出しログとして採取されます。
また、USBデバイスを個別に使用制限する場合、使用許可されていないUSBデバイス(リムーバブルと認識するものに限る)を装着したとき、「違反」としてデバイス構成変更ログに記録されます。この情報は、管理者へメール通知することができます。また、イベントログとして記録できます。
登録したUSBデバイス情報は、CSVファイルに出力できます。以下の用途があります。
登録済みのUSBデバイスを確認する
登録済みのUSBデバイス情報を別の管理サーバに移行する
登録済みのUSBデバイス情報を変更する
登録済みのUSBデバイス情報を削除する
手順は、“登録されているUSBデバイス情報をCSVファイルに出力する”および“登録されているUSBデバイス情報を変更する”を参照してください。
登録は、システム管理者または部門管理者が行います。
サーバ設定ツールの[管理者情報設定]画面の[詳細権限]で、[USBデバイス登録/更新/削除]権限が設定されている必要があります。
登録は、管理コンソールで行います。
3階層のシステム構成の場合は、統合管理サーバに接続する管理コンソールで登録します。ユーザー情報の一元管理の実施には関係ありません。
登録可能なUSBデバイスは、10,000個です。
以下の条件をすべて満たすUSBデバイスを登録できます。
USBインタフェースである(USBインタフェースでも、CD/DVD-R/RW装置などは登録できません)
ドライブ種別がリムーバブルと識別されるデバイスである
メーカーID/製品ID/内部シリアル番号、または、メーカーID/製品IDが、USB装置から取得できる
登録できるUSBデバイスの例は、以下のとおりです。
USBデバイス | 説明および注意 |
|---|---|
USBフラッシュメモリ | USB-HUB経由も登録できます。 |
USBハードディスク | USB-HUB経由も登録できます。 |
USBカードリーダ/ライタ経由SDカード、など | 装置自身を登録可能なUSBデバイスとして認識します。 装着したメモリ媒体を個々に認識することはできません。 |
USBフロッピーディスク装置 | 装置自身を登録可能なUSBデバイスとして認識します。 装着したフロッピーメディアを個々に認識することはできません。 |
USB MO装置 | 装置自身を登録可能なUSBデバイスとして認識します。 装着したMOメディアを個々に認識することはできません。 |
登録したデバイス情報は、ポリシーに「許可デバイス」として設定後、CTポリシーまたはユーザーポリシーとして配信することができます。
[USBデバイス登録]画面で1個ずつ登録します。
以下に手順を示します。
[管理コンソール]を起動します。
[動作設定]メニューから[USBデバイス登録]を選択します。
→[USBデバイス登録]画面が表示されます。
項目名 | 説明 | |
|---|---|---|
[登録されているUSBデバイス一覧] | 登録されているUSBデバイスの内容が表示されます。 | |
[ドライブ名] | [USBデバイス情報を取得]ボタンによりUSBデバイス情報を読み込む場合、そのデバイスが装着されているドライブを選択します。 | |
[USBデバイス情報を取得] | クリックすると、指定されたドライブに挿入されているUSBデバイスから情報を読み込みます。 | |
[設定項目] | [USB装置名] | 半角で80文字まで入力できます。ただし、以下の文字は入力できません。 本項目は、必ず入力してください。 |
[備考] | 半角で128文字まで入力できます。ただし、以下の文字は入力できません。 | |
[USBデバイス情報] | [メーカー ID] | 読み込んだUSBデバイス情報が表示されます。 |
[USBデバイスの識別方法] | [完全一致] | 持出しユーティリティを使用してUSBデバイスにファイルを持ち出すときに、許可されたUSBデバイスかどうかを識別する方法です。 |
[製品一致] | 持出しユーティリティを使用してUSBデバイスにファイルを持ち出すときに、許可されたUSBデバイスかどうかを識別する方法です。 | |
[使用不可] | 登録されたUSBデバイスを、一時的に使用できない設定とします。 [登録されているUSBデバイス一覧]において、その行全体が、グレイアウトされます。 | |
[設定内容の出力/取込] | [ファイル出力] | [USBデバイス情報出力ファイル指定]画面が表示されます。 |
[ファイル取り込み] | [USBデバイス情報取り込みファイル指定]画面が表示されます。 | |
[追加] | USBデバイスを登録します。 | |
[更新] | USBデバイス情報を更新します。 | |
[削除] | 登録されているUSBデバイスを削除します。 | |
登録するUSBデバイスを、管理コンソールのPCに挿入します。
[ドライブ名]で、PCが認識したドライブを選択し、[USBデバイス情報を取得]ボタンをクリックします。
→[USBデバイス情報]に、挿入されているUSBデバイスの情報が表示されます。
媒体からUSBデバイス情報を読み込めない場合は、登録できません。
[USBデバイスの識別方法]を選択します。
[USB装置名]、[備考]を入力します。
登録情報は、3階層の場合は統合管理サーバで保存し、2階層の場合は管理サーバ単位で保存し、配下の複数部門の情報が混在します。このため、ポリシー設定時は、自部門で許可するUSBデバイスを、大量の登録情報の中から選択することが予想されます。[登録されているUSBデバイス一覧]に表示される各項目はソートできますが、[備考]に部門や利用者名などの識別情報を設定し、選択しやすくすることを推奨します。
[追加]ボタンをクリックします。
→[登録されているUSBデバイス一覧]に登録内容が表示されます。
[管理コンソール]を起動し、[USBデバイス登録]画面を表示します。
[登録されているUSBデバイス一覧]で、更新するUSBデバイスを選択します。
→登録内容が表示されます。
該当する項目を更新し、[更新]ボタンをクリックします。
→[登録されているUSBデバイス一覧]に更新内容が反映されます。
[管理コンソール]を起動し、[USBデバイス登録]画面を表示します。
[登録されているUSBデバイス一覧]で、削除するUSBデバイスを選択します。
→登録内容が表示されます。
情報を削除する場合は、[備考]の部門や利用者名などの識別情報も参考に、自部門のUSBデバイス情報であることを確認してから実施してください。
[削除]ボタンをクリックします。
→[登録されているUSBデバイス一覧]から情報が削除されます。
ポリシー設定は、システム管理者または部門管理者が行います。
ファイル持出し禁止のポリシーの設定項目と、採取されるデバイス構成変更ログの情報との関係について、以下に示します。
ファイル持出し禁止ポリシーの設定項目 | ユーザーの操作 | デバイス構成変更ログの情報 | |||||
|---|---|---|---|---|---|---|---|
ファイルアクセス制御 | 持出しユーティリティのUSBデバイス使用制限 | 指定USBデバイスのみ許可する | |||||
ログを取得する設定の場合 | ログを取得しない設定の場合 | ||||||
ログの取得 | 区分に記録される情報 | ログの取得 | 区分に記録される情報 | ||||
する | する | チェックする | 許可されたUSBデバイスを装着する | ○ | 正規 | × | - |
不許可のUSBデバイスを装着 | ○ | 違反 | ○ | 違反 | |||
チェックしない | USBデバイスを装着する | ○ | 違反 | ○ | 違反 | ||
しない | - | USBデバイスを装着する | ○ | 正規 | × | - | |
しない | する | チェックする | 許可されたUSBデバイスを装着する | ○ | 正規 | × | - |
不許可のUSBデバイスを装着する | ○ | 正規 | × | - | |||
チェックしない | USBデバイスを装着する | ○ | 正規 | × | - | ||
しない | - | USBデバイスを装着する | ○ | 正規 | × | - | |
使用を許可するUSBデバイスを指定して情報漏洩のリスクを低くするには、黄色に網がけされているポリシー設定を実施してください。
設定項目の詳細は、“2.4.1.2 [ファイル持出し禁止]タブの設定”を参照してください。
[次回起動時に更新する]ボタンまたは[即時更新を行う]ボタンをクリックして、ポリシーを設定します。
CTポリシーの場合は、CT起動時に反映されます。ユーザーポリシーの場合は、ログオン時に反映されます。
また、ポリシーの即時更新でも反映されます。
[管理コンソール]を起動し、[USBデバイス登録]画面を表示します。
[ファイル出力]ボタンをクリックします。
→[USBデバイス情報出力ファイル指定]画面が表示されます。
[出力ファイル](必須):USBデバイス情報を出力するCSVファイルを、フルパスで指定します。
半角で218文字まで入力できます。ただし、以下の記号はファイル名として使用できません。
使用できない記号:「¥」「/」「:」「*」「?」「"」「<」「>」「|」
[実行ログファイル](必須):実行結果を保存するファイルを、フルパスで指定します。
半角で218文字まで入力できます。ただし、以下の記号はファイル名として使用できません。
使用できない記号:「¥」「/」「:」「*」「?」「"」「<」「>」「|」
[実行ログファイルが存在する場合]:既存の実行ログファイルが存在する場合は必ず設定してください。
[追記する]:既存の実行ログファイルに追記する場合に選択します。
[上書きする]:既存の実行ログファイルに上書きする場合に選択します。
上記の情報を設定し、[出力開始]ボタンをクリックします。
出力が完了するとメッセージが表示されますので、[OK]ボタンをクリックします。
登録済みのUSBデバイス情報を出力したCSVファイルを利用して、以下の操作を行えます。
登録されているUSBデバイス情報の、USB装置名、備考、または識別方法を変更する
登録されているUSBデバイス情報を削除する
USBデバイス情報を別の管理サーバに移行する
手順を以下に示します。
[ファイル出力]ボタンをクリックし、USBデバイス情報をCSVファイルに出力します。
出力方法は、“登録されているUSBデバイス情報をCSVファイルに出力する”を参照してください。
必要に応じてCSVファイルの内容を変更します。
入力用CSVファイルは、テキストファイルとして編集してください。Excelなどのソフトウェアを使用して編集すると、ダブルクォーテーションなど必要な情報がなくなってしまうことがあります。
手順1.で出力したCSVファイルの各行の1項目めは、空白になっています。この状態のまま、同じ管理サーバにUSBデバイス情報を取り込んだ場合、“新規”として情報が追加されます。識別方法に“製品一致”を指定している場合は、同じ情報が複数登録されます。したがって、登録情報の重複を避けるため、変更や削除を行わない行を削除してから、管理サーバに取り込むことを推奨します。
CSVファイルの詳細は、“Systemwalker Desktop Keeper リファレンスマニュアル”の“USBデバイス一覧ファイル”を参照してください。
1項目目(処理フラグ)に“U”を指定します。
USB装置名、備考、または識別方法を変更します。CSVファイルを取り込むときは、全項目が記載されている必要があります。USB装置名、備考、または識別方法以外は、変更しないでください。
1項目目(処理フラグ)に“D”を指定します。
2項目目(GUID)が指定されていることを確認します。
移行後の管理サーバに登録するUSBデバイス情報を変更する場合は“USB装置名、備考、または識別方法を変更する場合”または“USBデバイス情報を削除する場合”を参照してください。
CSVファイルを保存します。
USBデバイス情報を取り込む管理サーバで、[ファイル取り込み]ボタンをクリックします。
→[USBデバイス情報取り込みファイル指定]画面が表示されます。
[取り込みファイル](必須):USBデバイス一覧ファイルを、フルパスで指定します。
半角で218文字まで入力できます。ただし、以下の記号はファイル名として使用できません。
使用できない記号:「¥」「/」「:」「*」「?」「"」「<」「>」「|」
[実行ログファイル](必須):実行結果を保存するファイルを、フルパスで指定します。
半角で218文字まで入力できます。ただし、以下の記号はファイル名として使用できません。
使用できない記号:「¥」「/」「:」「*」「?」「"」「<」「>」「|」
[実行ログファイルが存在する場合]:既存の実行ログファイルが存在する場合は必ず設定してください。
[追記する]:既存の実行ログファイルに追記する場合に選択します。
[上書きする]:既存の実行ログファイルに上書きする場合に選択します。
上記の情報を設定し、[取り込み開始]ボタンをクリックします。
→[USBデバイス情報取り込み状態表示]画面が表示されます。
USBデバイス情報の取り込みが終了すると、[処理状態]に「登録完了」と表示されます。[OK]ボタンをクリックします。
注意
取り込みに使用したCSVファイルは再利用できません
取り込みに使用したCSVファイルは再利用できません。CSVファイルを使用してUSBデバイス情報を変更する場合は、再度、手順1.のCSVファイルの出力から操作を行ってください。
