ポリシーとは
ポリシーとは、システムの運用方針に沿って決定した約束事です。
PCおよびスマートデバイス(Android端末およびiOS端末)使用時に許可する操作と許可しない(禁止する)操作、および、どの操作のログを採取するかが定められている情報です。
ポリシーで設定できること
Systemwalker Desktop Keeperでは、ポリシーとして「禁止する操作」と「ログを採取する操作」を設定できます。
PCにクライアント(CT)をインストールすることで禁止できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
ファイル持出し禁止
ドライブ、ネットワークドライブ、リムーバブルドライブまたは、DVD/CDへのファイルやフォルダの持出しを、条件付きで禁止できます。
設定条件によっては、禁止されたドライブなどへ、「持出しユーティリティ」を使用して、ファイルやフォルダを持ち出すことができます。持ち出すときには、暗号化することもできます。
「持出しユーティリティ」については、“運用ガイド クライアント編”の“持出しユーティリティを使用してファイルやフォルダを持ち出す”を参照してください。
読み込み禁止
リムーバブルドライブ、ネットワークドライブまたは、DVD/CDからのデータ読み込みを禁止できます。
印刷禁止
指定したアプリケーション以外の印刷を禁止できます。
PrintScreenキー禁止
キーボードのPrintScreenキーを使用した画面のハードコピーの採取を禁止できます。このとき、どんな画面のハードコピーを採取しようとしたかが明らかになるように、画面キャプチャを採取することもできます。
ログオン禁止
設定したグループに所属しているユーザー名でのログオンを禁止できます。禁止設定が可能なグループは以下のとおりです。
Administrators
Backup Operators
Debugger Users
Power Users
Guests
Replicator
Users
Domain Admins
Domain Guests
Domain Users
Enterprise Admins
Group Policy Creator Owners
Microsoftアカウント
アプリケーション起動禁止
指定したアプリケーションの起動を禁止できます。
メール添付禁止
禁止対象となるファイルをメールに添付して、送信または保存することを禁止できます。
ただし、ポート監視方式(添付ファイルを送信するときに利用するメールソフトが、SMTPプロトコルを使用するタイプのもの)の場合は、保存の禁止はできません。
禁止対象として指定できるファイルは、暗号化していないファイル、または指定した拡張子のファイルです。
また、添付ファイルの中に1つでも、添付禁止対象のファイルがある場合、メール(メール本文と、すべての添付ファイル)は送信できません。
URLアクセス禁止
許可されていないURLへのアクセスを禁止できます。
FTPサーバ接続禁止
指定したFTPサーバ以外への接続を禁止できます。
Webアップロード・ダウンロード禁止
許可されていないWebサイトからのアップロード・ダウンロードを禁止できます。
クリップボード操作禁止
仮想環境から物理環境、物理環境から仮想環境へクリップボードを経由した情報の伝達を禁止できます。
Wi-Fi接続禁止
許可されていないWi-Fi接続を禁止できます。
Bluetooth接続禁止
許可されていないBluetooth機器種別とのペアリングを禁止できます。
PCカード使用禁止
許可されていないPCカードの使用を禁止できます。
PCI ExpressCard使用禁止
PCI ExpressCardの使用を禁止できます。
赤外線通信禁止
赤外線通信を禁止できます。
シリアルポート/パラレルポート使用禁止
シリアルポート/パラレルポートの使用を禁止できます。
IEEE1394使用禁止
IEEE1394の使用を禁止できます。
PCにクライアント(CT)をインストールすることでログを採取できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
アプリケーション起動ログ
アプリケーション終了ログ
アプリケーション起動禁止ログ
ウィンドウタイトル取得ログ
メール送信ログ
メール送信中止ログ
メール添付禁止ログ
コマンドプロンプト操作ログ
デバイス構成変更ログ
印刷操作ログ
印刷禁止ログ
ログオン禁止ログ
ファイル持出しログ
PrintScreenキー操作ログ
PrintScreenキー禁止ログ
Web操作ログ
Web操作禁止ログ
FTP操作ログ
FTP操作禁止ログ
クリップボード操作ログ
クリップボード操作禁止ログ
ファイル操作ログ
ログオン/ログオフログ
連携アプリケーションログ
Wi-Fi接続ログ
Bluetooth接続ログ
PCカード接続ログ
Android端末にスマートデバイス(エージェント)(Android)をインストールすることで禁止できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
Wi-Fi接続禁止
ポリシーとして設定したWi-Fiアクセスポイントに接続を許可または接続を禁止できます。
Bluetooth接続禁止
ポリシーとして設定したBluetooth機器とのペアリングを許可または禁止できます。
アプリケーション使用禁止
ポリシーとして設定したアプリケーションの使用を禁止できます。
Android端末にスマートデバイス(エージェント)(Android)をインストールすることでログを採取できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
Wi-Fi接続ログ
Bluetooth接続ログ
アプリケーション使用ログ
Webアクセスログ
SDカードマウント/アンマウントログ
SIMカードマウント/アンマウントログ
電話発着信ログ
アプリケーション構成変更ログ
iOS端末にスマートデバイス(エージェント)(iOS)をインストールすることで禁止できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
デバイスの機能の使用
ポリシーとして設定したカメラの使用、画面の取り込み、Siriなどのデバイスの機能の使用を許可または禁止できます。
アプリケーションの使用
ポリシーとして設定したYouTube、iTunes Store、Safariなどのアプリケーションの使用を許可または禁止できます。
iCloudの使用
ポリシーとして設定したiCloudへのバックアップ、書類の同期などのiCloudの使用を許可または禁止できます。
セキュリティとプライバシーの設定
ポリシーとしてAppleへのデータ送信、強制暗号化バックアップなどを設定できます。
コンテンツレーティングの設定
ポリシーとしてコンテンツ(ムービー、テレビ番組、App)の閲覧について設定できます。
ポリシーの設定対象
定義したポリシーを、何に対して設定するかによって、ポリシーの名称が異なります。
ポリシーを「クライアント(CT)」および「スマートデバイス(エージェント)」に対して設定する場合、「CTポリシー」といいます。
ポリシーを「ユーザー」に対して設定する場合、「ユーザーポリシー」といいます。「ユーザーポリシー」は「スマートデバイス(エージェント)」には設定できません。
クライアント(CT)およびスマートデバイス(エージェント)に対して設定するポリシーを、CTポリシーといいます。クライアント(CT) およびスマートデバイス(エージェント)の操作時に、CTポリシーが有効になっている場合、どのユーザーが操作しても、クライアント(CT) およびスマートデバイス(エージェント)に設定されているポリシーに従って、禁止操作やログ採取が実施されます。クライアント(CT) およびスマートデバイス(エージェント)ごとに異なるポリシーを設定できます。
また、部門ごとにクライアント(CT) およびスマートデバイス(エージェント)をグループ化したり、使用目的が同じクライアント(CT) およびスマートデバイス(エージェント)をグループ化したりして、そのグループに対して設定するポリシーをCTグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
上記イメージ図では、管理コンソールからクライアント(CT)およびスマートデバイス(エージェント)とCTグループに対して、以下の設定を行っています。
クライアント(CT) およびスマートデバイス(エージェント)ごとに以下のポリシーを設定します。
1つのCTポリシーに対して、クライアント(CT)に対応する設定(印刷禁止、ファイル持出し禁止など)とスマートデバイス(エージェント)に対応する設定(Wi-Fi接続禁止、Bluetooth接続禁止など)両方の設定ができます。
CTポリシーの適用先がクライアント(CT)の場合は、クライアント(CT)に対応する設定が有効になり、適用先がスマートデバイス(エージェント)の場合は、スマートデバイス(エージェント)に対応する設定が有効となります。
CT(1)は、印刷だけできます。
印刷禁止:しない(有効)
ファイル持出し禁止:する(有効)
アプリケーション起動禁止:する(有効)
Wi-Fi接続禁止:する(無効)
CT(2)は、ファイル持出しだけできます。
印刷禁止:する(有効)
ファイル持出し禁止:しない(有効)
アプリケーション起動禁止:する(有効)
Wi-Fi接続禁止:しない(無効)
スマートデバイスエージェント(1)は、Wi-Fiが使えません。
アプリケーション使用禁止:しない(無効)
Wi-Fi接続禁止:する(有効)
クライアント(CT) およびスマートデバイス(エージェント)をグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各クライアント(CT) およびスマートデバイス(エージェント)には、次回起動時または即時にCTポリシーが適用されます。ポリシーが適用されると、適用されたポリシーに従って動作します。
CT(1)は、誰が操作しても、印刷だけできます。
CT(2)は、誰が操作しても、ファイル持出しだけできます。
スマートデバイスエージェント(1)は、Wi-Fiの利用は禁止されています。
CT(1)は、誰が操作しても、印刷だけできます。
CT(2)は、誰が操作しても、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
スマートデバイスエージェント(1)は、Wi-Fiの利用は許可されています。
クライアント(CT)がインストールされたPCで、Windowsへのログオン時に入力するユーザー名に対して設定するポリシーを、ユーザーポリシーといいます。クライアント(CT)の操作時に、ユーザーポリシーが有効になっている場合、どのPCから操作しても、ログオンしたユーザー名に設定されているポリシーに従って、禁止操作やログ採取が実施されます。ユーザー名ごとに異なるポリシーを設定できます。
また、部門ごとにユーザーをグループ化したり、作業内容が同じユーザーをグループ化したりして、そのグループに対して設定するポリシーをユーザーグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
なお、スマートデバイス(エージェント)には、ユーザーポリシーおよびユーザーグループポリシーの設定はできません。
上記イメージ図では、管理コンソールからユーザーとユーザーグループに対して、以下の設定を行っています。
ユーザーごとに以下のポリシーを設定します。
ユーザー名:0100のユーザーは、印刷だけできます。
印刷禁止:しない
ファイル持出し禁止:する
アプリケーション起動禁止:する
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
印刷禁止:する
ファイル持出し禁止:しない
アプリケーション起動禁止:する
ユーザー名:0300のユーザーは、アプリケーション起動だけできます。
印刷禁止:する
ファイル持出し禁止:する
アプリケーション起動禁止:しない
ユーザーをグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各ユーザー名でWindowsにログオンすると、ユーザーポリシーが適用されます。ポリシーが適用されると、ログオンしたクライアント(CT)のCTポリシーに関係なく、ユーザーポリシーに従って動作します。
どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。
ユーザー名:0100のユーザーは、印刷だけできます。
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
ユーザー名:0300のユーザーは、アプリケーション起動だけできます。
どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。
ユーザー名:0100のユーザーは、印刷だけできます。
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
ユーザー名:0300のユーザーは、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
CTポリシー/ユーザーポリシーと設定可能な項目
CTポリシーとユーザーポリシーで、設定できる項目が異なります。以下に、設定可能な項目の一覧を示します。
設定項目 | CTポリシー | ユーザーポリシー | |||
|---|---|---|---|---|---|
クライアント | スマートデバイス | スマートデバイス | クライアント | ||
禁 | ファイル持出し禁止 | ○ | ― | ― | ○ |
読み込み禁止 | ○ | ― | ― | ○ | |
印刷禁止 | ○ | ― | ― | ○ | |
PrintScreenキー禁止 | ○ | ― | ― | ○ | |
ログオン禁止 | ○ | ― | ― | ― (注) | |
アプリケーション起動禁止 | ○ | ― | ― | ○ | |
メール添付禁止 | ○ | ― | ― | ○ | |
URLアクセス禁止 | ○ | ― | ― | ○ | |
FTPサーバ接続禁止 | ○ | ― | ― | ○ | |
Webアップロード・ダウンロード禁止 | ○ | ― | ― | ○ | |
クリップボード操作禁止 | ○ | ― | ― | ○ | |
PCカード使用禁止 | ○ | ― | ― | ○ | |
赤外線通信禁止 | ○ | ― | ― | ○ | |
シリアルポート/パラレルポート使用禁止 | ○ | ― | ― | ○ | |
IEEE1394使用禁止 | ○ | ― | ― | ○ | |
Wi-Fi接続禁止 | ○ | ○ | ― | ○ | |
Bluetooth接続禁止 | ○ | ○ | ― | ○ | |
アプリケーション使用禁止 | ― | ○ | ― | ― | |
デバイスの機能の使用 | ― | ― | ○ | ― | |
アプリケーションの使用 | ― | ― | ○ | ― | |
iCloudの使用 | ― | ― | ○ | ― | |
セキュリティとプライバシーの設定 | ― | ― | ○ | ― | |
コンテンツレーティングの設定 | ― | ― | ○ | ― | |
記 録 機 能 | アプリケーション起動ログ | ○ | ― | ― | ○ |
アプリケーション終了ログ | ○ | ― | ― | ○ | |
アプリケーション起動禁止ログ | ○ | ― | ― | ○ | |
ウィンドウタイトル取得ログ | ○ | ― | ― | ○ | |
メール送信ログ | ○ | ― | ― | ○ | |
メール送信中止ログ | ○ | ― | ― | ○ | |
メール添付禁止ログ | ○ | ― | ― | ○ | |
コマンドプロンプト操作ログ | ○ | ― | ― | ○ | |
デバイス構成変更ログ | ○ | ― | ― | ○ | |
印刷操作ログ | ○ | ― | ― | ○ | |
印刷禁止ログ | ○ | ― | ― | ○ | |
ログオン禁止ログ | ○ | ― | ― | ― (注) | |
ファイル持出しログ | ○ | ― | ― | ○ | |
PrintScreenキー操作ログ | ○ | ― | ― | ○ | |
PrintScreenキー禁止ログ | ○ | ― | ― | ○ | |
Web操作ログ | ○ | ― | ― | ○ | |
Web操作禁止ログ | ○ | ― | ― | ○ | |
FTP操作ログ | ○ | ― | ― | ○ | |
FTP操作禁止ログ | ○ | ― | ― | ○ | |
クリップボード操作ログ | ○ | ― | ― | ○ | |
クリップボード操作禁止ログ | ○ | ― | ― | ○ | |
ファイル操作ログ | ○ | ― | ― | ― (注) | |
ログオン/ログオフログ | ○ | ― | ― | ― (注) | |
連携アプリケーションログ | ○ | ― | ― | ― (注) | |
画面キャプチャ | ○ | ― | ― | ○ | |
PCカード使用ログ | ○ | ― | ― | ○ | |
PCカード使用禁止ログ | ○ | ― | ― | ○ | |
Wi-Fi接続ログ | ○ | ○ | ― | ○ | |
Wi-Fi接続禁止ログ | ○ | ○ | ― | ○ | |
Bluetooth接続ログ | ○ | ○ | ― | ○ | |
Bluetooth接続禁止ログ | ○ | ○ | ― | ○ | |
アプリケーション使用ログ | ― | ○ | ― | ― | |
アプリケーション使用禁止ログ | ― | ○ | ― | ― | |
Webアクセスログ | ― | ○ | ― | ― | |
SDカードマウント/アンマウントログ | ― | ○ | ― | ― | |
SIMカードマウント/アンマウントログ | ― | ○ | ― | ― | |
電話発着信ログ | ― | ○ | ― | ― | |
アプリケーション構成変更ログ | ― | ○ | ― | ― | |
○:設定できます。
―:設定できません。
注) クライアント(CT)操作時にユーザーポリシーが有効になる運用の場合、ユーザーポリシーとして設定できない項目に対しては、操作しているクライアント(CT)のCTポリシーの設定値が有効になります。
運用形態と、有効になる禁止操作/採取されるログ
CTポリシーやユーザーポリシーが設定され、クライアント(CT)に反映されると、クライアント(CT)での操作禁止やログ採取ができるようになりますが、運用形態によって、有効になる禁止操作と採取されるログが異なります。
以下に、有効になる項目の一覧を示します。
また、使用している環境によって、機能が制限される場合があります。詳細は、“1.2 機能に関する留意事項”を参照してください。
運用形態 | Systemwalker Desktop Keeperのクライアント(CT)の操作を記録する場合 | Citrix XenApp | |||
|---|---|---|---|---|---|
OSの起動モード | 通常モードで | セーフモード | 通常モードで起動 | ||
Windows Vista® | Windows Server® 2003 | ||||
禁 | ファイル持出し禁止 | ○ | ○ | ○ | ― |
印刷禁止 | ○ | ― | ― | ― | |
PrintScreenキー禁止 | ○ | ○ | ○ | ― | |
ログオン禁止 | ○ | ○ | ○ | ― | |
アプリケーション起動禁止 | ○ | ○ | ○ | ― | |
メール添付禁止 | ○ | ― | ○ | ― | |
URLアクセス禁止 | ○ | ○ | ○ | ― | |
FTPサーバ接続禁止 | ○ | ○ | ○ | ― | |
Webアップロード・ダウンロード禁止 | ○ | ○ | ○ | ― | |
クリップボード禁止 | ○ | ○ | ○ | ― | |
PCカード使用禁止 | ○ | ○ | ― | ― | |
赤外線通信禁止 | ○ | ○ | ― | ― | |
シリアルポート/パラレルポート使用禁止 | ○ | ○ | ― | ― | |
IEEE1394使用禁止 | ○ | - | ― | ― | |
Wi-Fi接続禁止 | ○ | ○ | ― | ― | |
Bluetooth接続禁止 | ○ | - | ― | ― | |
記 | アプリケーション起動ログ | ○ | ○ | ○ | ○ |
アプリケーション終了ログ | ○ | ○ | ○ | ○ | |
アプリケーション起動禁止ログ | ○ | ○ | ○ | ― | |
ウィンドウタイトル取得ログ | ○ | ○ | ○ | ○ | |
ウィンドウタイトル取得ログ(URL付き) | ○ | ○ | ○ | ○ | |
メール送信ログ | ○ | ― | ○ | ― | |
メール送信中止ログ | ○ | ― | ― | ― | |
メール添付禁止ログ | ○ | ― | ○ | ― | |
コマンドプロンプト操作ログ | ○ | ○ | ○ | ○ | |
デバイス構成変更ログ | ○ | ○ | ○ | ― | |
印刷操作ログ | ○ | ― | ― | ○ | |
印刷禁止ログ | ○ | ― | ― | ― | |
ログオン禁止ログ | ○ | ○ | ○ | ― | |
ファイル持出しログ | ○ | ○ | ○ | ― | |
PrintScreenキー操作ログ | ○ | ○ | ○ | ○ | |
PrintScreenキー禁止ログ | ○ | ○ | ○ | ― | |
Web操作ログ | ○ | ○ | ○ | ○ | |
Webアップロード禁止ログ | ○ | ○ | ○ | ― | |
Webダウンロード禁止ログ | ○ | ○ | ○ | ― | |
FTP操作ログ | ○ | ○ | ○ | ○ | |
FTP操作禁止ログ | ○ | ○ | ○ | ― | |
クリップボード操作ログ | ○ | ○ | ○ | ○ | |
クリップボード操作禁止ログ | ○ | ○ | ○ | ― | |
ファイル操作ログ | ○ | ○ | ○ | ○ | |
ログオン/ログオフログ | ○ | ○(注2) | ○(注2) | ○(注2) | |
連携アプリケーションログ | ○ | ○ | ○ | ○ | |
画面キャプチャ | ○ | ○ | ○ | ― | |
PCカード使用ログ | ○ | ○ | ― | ― | |
PCカード使用禁止ログ | ○ | ○ | ― | ― | |
Wi-Fi接続ログ | ○ | ○ | ― | ― | |
Wi-Fi接続禁止ログ | ○ | ○ | ― | ― | |
Bluetooth接続ログ | ○ | - | ― | ― | |
Bluetooth接続禁止ログ | ○ | - | ― | ― | |
○:有効です。
―:無効です。
注1) セーフモードまたはネットワークが使えるセーフモードで起動した場合は、次に通常モードで起動するまで管理サーバに操作ログが送信されないことがあります。
注2) PC休止ログ、PC復帰ログは、採取されません。
個人端末へのポリシー設定について
個人所有デバイスの業務利用においては、所有者のプライバシー保護と業務データの保全を両立する必要があります。以下の例をもとにポリシーを決定してください。
操作ログは取得しない
プライバシー保護の観点から、個人端末での操作ログ取得は避けることを推奨します。
個人端末については操作ログは「取得しない」設定としてください。
不要な禁止設定を行わない
個人端末はプライベートでも使用されるものであるため、禁止機能の設定には注意が必要です。
プライベートでの使用に影響が出ないように、禁止機能を設定してください。
業務利用するアプリケーションの管理
業務時間外アプリケーション使用禁止機能を用いて、個人端末での業務アプリケーションの使用を業務時間内に制限してください。プライベートな時間において業務アプリケーションの利用を禁止することで、情報漏洩を防止できます。
情報漏洩を誘発するアプリケーションの使用禁止
個人端末においても、明らかに使用してはいけないようなアプリケーション(情報漏洩を誘発するようなアプリケーション)のブラックリストを作成し、そのアプリケーションを使用禁止にしてください。業務利用する端末においてそのようなアプリケーションの使用を禁止することで情報漏洩を防止できます。
なお、Systemwalker Desktop Patrol V15.1以降が導入されているAndroidデバイスの場合、Systemwalker Desktop Patrolを参照することで、個人所有デバイスを判別可能です。詳細は、Systemwalker Desktop Patrolの運用ガイド 管理者編を参照してください。
