管理者が使用を許可したUSBデバイスだけを使用して、ファイルの持出しや読み込みを行う場合の、運用例を説明します。
USBデバイスへのファイル持出しは一切禁止しますが、業務上必要として許可されたUSBデバイスに格納されているファイルの持込、参照は、許可したい場合です。
この運用は、以下の設定により実現できます。
持出しユーティリティを使用した持出しを禁止します。また、エクスプローラなど(持出しユーティリティ以外)を使用した持出しも禁止します。エクスプローラなど(持出しユーティリティ以外)を使用した読み込みだけ許可します。
ポリシーの設定については、“運用例1のポリシー設定”を参照してください。
ファイル持出しは、持出しユーティリティを使用して暗号化した場合だけ許可します。また、管理者が想定していないソフトウェアなどを、外部から持ち込む(コピー)ことを禁止するため、エクスプローラなど(持出しユーティリティ以外)からは、USBデバイスへのアクセスを禁止したい場合です。
この運用は、以下の設定により実現できます。
持出しユーティリティを使用し、暗号化しての持出しだけを許可します。エクスプローラなど(持出しユーティリティ以外)を使用した持出しや読み込みは禁止します。
ポリシーの設定については、“運用例2のポリシー設定”を参照してください。
ファイル持出しは、持出しユーティリティを使用して暗号化した場合だけ許可します。エクスプローラなど(持出しユーティリティ以外)からは、読み込みだけ許可したい場合です。
この運用は、以下の設定により実現できます。
持出しユーティリティを使用し、暗号化しての持出しだけを許可します。エクスプローラなど(持出しユーティリティ以外)を使用した読み込みは許可しますが、持出しは禁止します。
ポリシーの設定については、“運用例3のポリシー設定”を参照してください。
ロック機能や暗号化機能を持つUSBデバイスはセキュリティ機能があるため、利便性を考慮しエクスプローラなど(持出しユーティリティ以外)を使用しての持出しを許可したい場合です(ファイル持出しユーティリティを使用せず、USBデバイスに装備されているセキュリティ機能を使用します)。
または、許可されたUSB接続の外付けHDDに対して、バックアップを取得したい場合です。
運用例4では、ファイル持出しユーティリティを使用せず、エクスプローラなど(持出しユーティリティ以外)からUSBデバイスにファイルをコピーできます。ただし、ファイル持出しユーティリティを使用していないため、ファイル持出しログの取得や、持出したファイルの原本を保管することはできません。USBデバイスへのアクセスは、ファイル操作ログを取得することにより確認できます。
ファイル持出しログの取得や、持出したファイルの原本を保管する場合は、ファイル持出しユーティリティの設定を行い、ファイル持出しユーティリティからファイル持出しを行う運用にしてください。
この運用は、以下の設定により実現できます。
エクスプローラなど(持出しユーティリティ以外)を使用した持出しも読み込みも許可します。
持出しユーティリティに関する設定は必須ではありませんが、ファイル持出しログの取得や、持出したファイルの原本を保管したい場合も考慮し、上記の図では設定する例となっています。
ポリシーの設定については、“運用例4のポリシー設定”を参照してください。
USBデバイスに使用期限を設定することで、ある決まった期間だけUSBデバイスの利用を許可することができます。使用期限を過ぎてしまったUSBデバイスは、利用することができなくなります。使用期限が過ぎてしまったUSBデバイスは、使用期限を再設定することで利用することができるようになります。
この運用は、以下の設定により実現できます。
USBデバイスの使用期限の設定を行い、持出しも読み込みも許可します。
利用を持出しユーティリティだけに限定することや読み込み専用にすることもできます。
ポリシーの設定については、“運用例5のポリシー設定”を参照してください。
膨大なUSBデバイスが存在する場合、個々のクライアント(CT)や利用者に対してUSBデバイスの許可、不許可を設定することは困難です。このような場合、管理サーバ/統合管理サーバに登録されているUSBデバイスであれば、利用を許可するという運用を行うことで解決することができます。
この運用は、以下の設定により実現できます。
管理サーバに登録されているすべてのUSBの使用を許可し、持出しも読み込みも許可します。
利用を持出しユーティリティだけに限定することや読み込み専用にすることもできます。
ポリシーの設定については、“運用例6のポリシー設定”を参照してください。
製品ID、メーカーIDが同一のUSBデバイスが存在し、その一部のUSBデバイスだけ、ある部門の利用を不許可にしたい場合です。
この運用は、以下の設定により実現できます。
[USBデバイス登録]画面でUSBデバイスAを[製品一致]で登録します。また、USBデバイスBを[使用不可]として登録します。
登録の際、USBデバイスAとUSBデバイスBの製品ID、メーカーIDは同一になります。
部門Aに対しては、グループポリシーとして、管理サーバに登録されているすべてのUSBの使用を許可し、持出しも読み込みも許可します。
部門Bに対しては、グループポリシーとしてUSBデバイスBを設定します。
ポリシーの設定については、“運用例7のポリシー設定”を参照してください。
製品ID、メーカーIDが同一のUSBデバイスが存在し、その一部のUSBデバイスだけ、ある部門の利用を不許可にしたい場合です。運用例4に加え、デジタルカメラの使用を制限する運用です。許可されたデジタルカメラだけを使用可能とし、それ以外のデジタルカメラ、スキャナー、ICレコーダー等の使用を禁止します。
なお、ポータブルデバイス/イメージングデバイスに関しては、読み込みや書き込みの許可設定はありません。また、持出しユーティリティに限定する運用もありません。
この運用は、以下の設定により実現できます。
エクスプローラなど(持出しユーティリティ以外)を使用した持出しも読み込みも許可します。
持出しユーティリティに関する設定は必須ではありません。
ポリシーの設定については、“運用例8のポリシー設定”を参照してください。
