ページの先頭行へ戻る
Systemwalker Desktop Keeper 運用ガイド 管理者編
FUJITSU Software

2.1.1 ポリシーとは

ポリシーとは

ポリシーとは、システムの運用方針に沿って決定した約束事です。
PCおよびスマートデバイス(Android端末およびiOS端末)使用時に許可する操作と許可しない(禁止する)操作、および、どの操作のログを採取するかが定められている情報です。

ポリシーで設定できること

Systemwalker Desktop Keeperでは、ポリシーとして「禁止する操作」と「ログを採取する操作」を設定できます。

禁止する操作を設定する(PC)

PCにクライアント(CT)をインストールすることで禁止できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。

  • ファイル持出し禁止

    ドライブ、ネットワークドライブ、リムーバブルドライブまたは、DVD/CDへのファイルやフォルダの持出しを、条件付きで禁止できます。
    設定条件によっては、禁止されたドライブなどへ、「持出しユーティリティ」を使用して、ファイルやフォルダを持ち出すことができます。持ち出すときには、暗号化することもできます。
    「持出しユーティリティ」については、“運用ガイド クライアント編”の“持出しユーティリティを使用してファイルやフォルダを持ち出す”を参照してください。

  • 読み込み禁止

    リムーバブルドライブ、ネットワークドライブまたは、DVD/CDからのデータ読み込みを禁止できます。

  • 印刷禁止

    指定したアプリケーション以外の印刷を禁止できます。

  • PrintScreenキー禁止

    キーボードのPrintScreenキーを使用した画面のハードコピーの採取を禁止できます。このとき、どんな画面のハードコピーを採取しようとしたかが明らかになるように、画面キャプチャを採取することもできます。

  • ログオン禁止

    設定したグループに所属しているユーザー名でのログオンを禁止できます。禁止設定が可能なグループは以下のとおりです。

    • Administrators

    • Backup Operators

    • Debugger Users

    • Power Users

    • Guests

    • Replicator

    • Users

    • Domain Admins

    • Domain Guests

    • Domain Users

    • Enterprise Admins

    • Group Policy Creator Owners

    • Microsoftアカウント

  • アプリケーション起動禁止

    指定したアプリケーションの起動を禁止できます。

  • メール添付禁止

    禁止対象となるファイルをメールに添付して、送信または保存することを禁止できます。
    ただし、ポート監視方式(添付ファイルを送信するときに利用するメールソフトが、SMTPプロトコルを使用するタイプのもの)の場合は、保存の禁止はできません。
    禁止対象として指定できるファイルは、暗号化していないファイル、または指定した拡張子のファイルです。
    また、添付ファイルの中に1つでも、添付禁止対象のファイルがある場合、メール(メール本文と、すべての添付ファイル)は送信できません。

  • URLアクセス禁止

    許可されていないURLへのアクセスを禁止できます。

  • FTPサーバ接続禁止

    指定したFTPサーバ以外への接続を禁止できます。

  • Webアップロード・ダウンロード禁止

    許可されていないWebサイトからのアップロード・ダウンロードを禁止できます。

  • クリップボード操作禁止

    仮想環境から物理環境、物理環境から仮想環境へクリップボードを経由した情報の伝達を禁止できます。

  • Wi-Fi接続禁止

    許可されていないWi-Fi接続を禁止できます。

  • Bluetooth接続禁止

    許可されていないBluetooth機器種別とのペアリングを禁止できます。

  • PCカード使用禁止

    許可されていないPCカードの使用を禁止できます。

  • PCI ExpressCard使用禁止

    PCI ExpressCardの使用を禁止できます。

  • 赤外線通信禁止

    赤外線通信を禁止できます。

  • シリアルポート/パラレルポート使用禁止

    シリアルポート/パラレルポートの使用を禁止できます。

  • IEEE1394使用禁止

    IEEE1394の使用を禁止できます。

ログを採取する操作を設定する(PC)

PCにクライアント(CT)をインストールすることでログを採取できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。

  • アプリケーション起動ログ

  • アプリケーション終了ログ

  • アプリケーション起動禁止ログ

  • ウィンドウタイトル取得ログ

  • メール送信ログ

  • メール受信ログ

  • メール送信中止ログ

  • メール添付禁止ログ

  • コマンドプロンプト操作ログ

  • デバイス構成変更ログ

  • 印刷操作ログ

  • 印刷禁止ログ

  • ログオン禁止ログ

  • ファイル持出しログ

  • PrintScreenキー操作ログ

  • PrintScreenキー禁止ログ

  • Web操作ログ

  • Web操作禁止ログ

  • FTP操作ログ

  • FTP操作禁止ログ

  • クリップボード操作ログ

  • クリップボード操作禁止ログ

  • ファイル操作ログ

  • ログオン/ログオフログ

  • 環境変更ログ

  • 連携アプリケーションログ

  • Wi-Fi接続ログ

  • Bluetooth接続ログ

  • PCカード接続ログ

禁止する操作を設定する(Android端末)

Android端末にスマートデバイス(エージェント)(Android)をインストールすることで禁止できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。

  • Wi-Fi接続禁止

    ポリシーとして設定したWi-Fiアクセスポイントに接続を許可または接続を禁止できます。

  • Bluetooth接続禁止

    ポリシーとして設定したBluetooth機器とのペアリングを許可または禁止できます。

  • アプリケーション使用禁止

    ポリシーとして設定したアプリケーションの使用を禁止できます。

ログを採取する操作を設定する(Android端末)

Android端末にスマートデバイス(エージェント)(Android)をインストールすることでログを採取できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。

  • Wi-Fi接続ログ

  • Bluetooth接続ログ

  • アプリケーション使用ログ

  • Webアクセスログ

  • SDカードマウント/アンマウントログ

  • SIMカードマウント/アンマウントログ

  • 電話発着信ログ

  • アプリケーション構成変更ログ

禁止する操作を設定する(iOS端末)

iOS端末にスマートデバイス(エージェント)(iOS)をインストールすることで禁止できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。

  • デバイスの機能の使用

    ポリシーとして設定したカメラの使用、画面の取り込み、Siriなどのデバイスの機能の使用を許可または禁止できます。

  • アプリケーションの使用

    ポリシーとして設定したYouTube、iTunes Store、Safariなどのアプリケーションの使用を許可または禁止できます。

  • iCloudの使用

    ポリシーとして設定したiCloudへのバックアップ、書類の同期などのiCloudの使用を許可または禁止できます。

  • セキュリティとプライバシーの設定

    ポリシーとしてAppleへのデータ送信、強制暗号化バックアップなどを設定できます。

  • コンテンツレーティングの設定

    ポリシーとしてコンテンツ(ムービー、テレビ番組、App)の閲覧について設定できます。

緊急時に一時的にポリシーを変更する(PC)

セキュリティリスクの発生時に、クライアント(CT)に設定するポリシーを一時的に変更します。

設定できるポリシーは、上記の“禁止する操作を設定する(PC)”および“ログを採取する操作を設定する(PC)”で設定するポリシーです。

これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。

ポリシーの設定対象

定義したポリシーを、何に対して設定するかによって、ポリシーの名称が異なります。

ポリシーを「クライアント(CT)」および「スマートデバイス(エージェント)」に対して設定する場合、「CTポリシー」といいます。
ポリシーを「ユーザー」に対して設定する場合、「ユーザーポリシー」といいます。「ユーザーポリシー」は「スマートデバイス(エージェント)」には設定できません。

また、セキュリティリスクの発生時に、クライアント(CT)に一時的に設定するポリシーを「緊急対処設定ポリシー」といいます。

クライアント(CT)およびスマートデバイス(エージェント)に対して設定する

クライアント(CT)およびスマートデバイス(エージェント)に対して設定するポリシーを、CTポリシーといいます。クライアント(CT) およびスマートデバイス(エージェント)の操作時に、CTポリシーが有効になっている場合、どのユーザーが操作しても、クライアント(CT) およびスマートデバイス(エージェント)に設定されているポリシーに従って、禁止操作やログ採取が実施されます。クライアント(CT) およびスマートデバイス(エージェント)ごとに異なるポリシーを設定できます。

また、部門ごとにクライアント(CT) およびスマートデバイス(エージェント)をグループ化したり、使用目的が同じクライアント(CT) およびスマートデバイス(エージェント)をグループ化したりして、そのグループに対して設定するポリシーをCTグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。

上記イメージ図では、管理コンソールからクライアント(CT)およびスマートデバイス(エージェント)とCTグループに対して、以下の設定を行っています。

クライアント(CT) およびスマートデバイス(エージェント)ごとに以下のポリシーを設定します。

1つのCTポリシーに対して、クライアント(CT)に対応する設定(印刷禁止、ファイル持出し禁止など)とスマートデバイス(エージェント)に対応する設定(Wi-Fi接続禁止、Bluetooth接続禁止など)両方の設定ができます。

CTポリシーの適用先がクライアント(CT)の場合は、クライアント(CT)に対応する設定が有効になり、適用先がスマートデバイス(エージェント)の場合は、スマートデバイス(エージェント)に対応する設定が有効となります。

  • CT(1)は、印刷だけできます。

    印刷禁止:しない
    ファイル持出し禁止:する
    アプリケーション起動禁止:する
    Wi-Fi接続禁止:する

  • CT(2)は、ファイル持出しだけできます。

    印刷禁止:する
    ファイル持出し禁止:しない
    アプリケーション起動禁止:する
    Wi-Fi接続禁止:しない

  • スマートデバイスエージェント(1)は、Wi-Fiが使えません。

    アプリケーション使用禁止:しない
    Wi-Fi接続禁止:する

クライアント(CT) およびスマートデバイス(エージェント)をグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。

各クライアント(CT) およびスマートデバイス(エージェント)には、次回起動時または即時にCTポリシーが適用されます。ポリシーが適用されると、適用されたポリシーに従って動作します。

【各CTにCTポリシーを適用した場合】
  • CT(1)は、誰が操作しても、印刷だけできます。

  • CT(2)は、誰が操作しても、ファイル持出しだけできます。

  • スマートデバイスエージェント(1)は、Wi-Fiの利用は禁止されています。

【CT(1)にはCTポリシーを適用し、CT(2)、スマートデバイスエージェント(1)にはCTグループポリシーを適用した場合】
  • CT(1)は、誰が操作しても、印刷だけできます。

  • CT(2)は、誰が操作しても、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。

  • スマートデバイスエージェント(1)は、Wi-Fiの利用は許可されています。

ユーザーに対して設定する

クライアント(CT)がインストールされたPCで、Windowsへのログオン時に入力するユーザー名に対して設定するポリシーを、ユーザーポリシーといいます。クライアント(CT)の操作時に、ユーザーポリシーが有効になっている場合、どのPCから操作しても、ログオンしたユーザー名に設定されているポリシーに従って、禁止操作やログ採取が実施されます。ユーザー名ごとに異なるポリシーを設定できます。

また、部門ごとにユーザーをグループ化したり、作業内容が同じユーザーをグループ化したりして、そのグループに対して設定するポリシーをユーザーグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。

なお、スマートデバイス(エージェント)には、ユーザーポリシーおよびユーザーグループポリシーの設定はできません。

上記イメージ図では、管理コンソールからユーザーとユーザーグループに対して、以下の設定を行っています。

ユーザーごとに以下のポリシーを設定します。

  • ユーザー名:0100のユーザーは、印刷だけできます。

    印刷禁止:しない
    ファイル持出し禁止:する
    アプリケーション起動禁止:する

  • ユーザー名:0200のユーザーは、ファイル持出しだけできます。

    印刷禁止:する
    ファイル持出し禁止:しない
    アプリケーション起動禁止:する

  • ユーザー名:0300のユーザーは、アプリケーション起動だけできます。

    印刷禁止:する
    ファイル持出し禁止:する
    アプリケーション起動禁止:しない

    ユーザーをグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。

    各ユーザー名でWindowsにログオンすると、ユーザーポリシーが適用されます。ポリシーが適用されると、ログオンしたクライアント(CT)のCTポリシーに関係なく、ユーザーポリシーに従って動作します。

【各CTにユーザーポリシーを適用した場合】

どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。

  • ユーザー名:0100のユーザーは、印刷だけできます。

  • ユーザー名:0200のユーザーは、ファイル持出しだけできます。

  • ユーザー名:0300のユーザーは、アプリケーション起動だけできます。

【ユーザー名:0100、ユーザー名:0200にはユーザーポリシーを適用し、ユーザー名:0300にはユーザーグループポリシーを適用した場合】

どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。

  • ユーザー名:0100のユーザーは、印刷だけできます。

  • ユーザー名:0200のユーザーは、ファイル持出しだけできます。

  • ユーザー名:0300のユーザーは、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。

緊急時に一時的にクライアント(CT)のポリシーを変更する

セキュリティリスクの発生時に、クライアント(CT)に設定するポリシーを一時的に変更します。管理者の操作またはクライアント(CT)利用者の操作により、緊急対処設定ポリシーが適用されます。緊急対処設定ポリシーは、クライアント(CT)利用者が解除操作を行うまで適用されます。

CTポリシー/ユーザーポリシー/緊急対処設定ポリシー設定可能な項目

CTポリシー、ユーザーポリシーおよび緊急対処設定ポリシーで設定できる項目が異なります。以下に設定可能な項目の一覧を示します。

設定項目

CTポリシー

ユーザーポリシー

緊急対処設定ポリシー

クライアント
(CT)

スマートデバイス
(エージェント)(Android)

スマートデバイス
(エージェント)(iOS)

クライアント
(CT)

クライアント
(CT)




ファイル持出し禁止

読み込み禁止

印刷禁止

PrintScreenキー禁止

ログオン禁止

― (注)

アプリケーション起動禁止

メール添付禁止

URLアクセス禁止

FTPサーバ接続禁止

Webアップロード・ダウンロード禁止

クリップボード操作禁止

PCカード使用禁止

赤外線通信禁止

シリアルポート/パラレルポート使用禁止

IEEE1394使用禁止

Wi-Fi接続禁止

Bluetooth接続禁止

アプリケーション使用禁止

デバイスの機能の使用

アプリケーションの使用

iCloudの使用

セキュリティとプライバシーの設定

コンテンツレーティングの設定

アプリケーション起動ログ

アプリケーション終了ログ

アプリケーション起動禁止ログ

ウィンドウタイトル取得ログ

メール送信ログ

メール受信ログ

メール送信中止ログ

メール添付禁止ログ

コマンドプロンプト操作ログ

デバイス構成変更ログ

印刷操作ログ

印刷禁止ログ

ログオン禁止ログ

― (注)

ファイル持出しログ

PrintScreenキー操作ログ

PrintScreenキー禁止ログ

Web操作ログ

Web操作禁止ログ

FTP操作ログ

FTP操作禁止ログ

クリップボード操作ログ

クリップボード操作禁止ログ

ファイル操作ログ

― (注)

ログオン/ログオフログ

― (注)

環境変更ログ

― (注)

連携アプリケーションログ

― (注)

画面キャプチャ

PCカード使用ログ

PCカード使用禁止ログ

Wi-Fi接続ログ

Wi-Fi接続禁止ログ

Bluetooth接続ログ

Bluetooth接続禁止ログ

アプリケーション使用ログ

アプリケーション使用禁止ログ

Webアクセスログ

SDカードマウント/アンマウントログ

SIMカードマウント/アンマウントログ

電話発着信ログ

アプリケーション構成変更ログ

○:設定できます。
―:設定できません。

注) クライアント(CT)操作時にユーザーポリシーが有効になる運用の場合、ユーザーポリシーとして設定できない項目に対しては、操作しているクライアント(CT)のCTポリシーの設定値が有効になります。

運用形態と有効になる禁止操作/採取されるログ

CTポリシーやユーザーポリシーが設定され、クライアント(CT)に反映されると、クライアント(CT)での操作禁止やログ採取ができるようになりますが、運用形態によって、有効になる禁止操作と採取されるログが異なります。
以下に、有効になる項目の一覧を示します。

また、使用している環境によって、機能が制限される場合があります。詳細は、“1.2 機能に関する留意事項”を参照してください。

運用形態

Systemwalker Desktop Keeperのクライアント(CT)の操作を記録する場合

Citrix XenApp
Server上の操作を
記録する場合

OSの起動モード

通常モードで
起動(OS起動後
Windowsに
ログオン)
する場合

セーフモード
または
ネットワークが使える
セーフモードで起動する場合
(注1)

通常モードで起動
(OS起動後Windows
にログオン)する
場合




ファイル持出し禁止

印刷禁止

PrintScreenキー禁止

ログオン禁止

アプリケーション起動禁止

メール添付禁止

URLアクセス禁止

FTPサーバ接続禁止

Webアップロード・ダウンロード禁止

クリップボード禁止

PCカード使用禁止

赤外線通信禁止

シリアルポート/パラレルポート使用禁止

IEEE1394使用禁止

Wi-Fi接続禁止

Bluetooth接続禁止




アプリケーション起動ログ

アプリケーション終了ログ

アプリケーション起動禁止ログ

ウィンドウタイトル取得ログ

ウィンドウタイトル取得ログ(URL付き)

メール送信ログ

メール受信ログ

メール送信中止ログ

メール添付禁止ログ

コマンドプロンプト操作ログ

デバイス構成変更ログ

印刷操作ログ

印刷禁止ログ

ログオン禁止ログ

ファイル持出しログ

PrintScreenキー操作ログ

PrintScreenキー禁止ログ

Web操作ログ

Webアップロード禁止ログ

Webダウンロード禁止ログ

FTP操作ログ

FTP操作禁止ログ

クリップボード操作ログ

クリップボード操作禁止ログ

ファイル操作ログ

ログオン/ログオフログ

○(注2)

○(注2)

環境変更ログ

連携アプリケーションログ

画面キャプチャ

PCカード使用ログ

PCカード使用禁止ログ

Wi-Fi接続ログ

Wi-Fi接続禁止ログ

Bluetooth接続ログ

Bluetooth接続禁止ログ

○:有効です。
―:無効です。

注1) セーフモードまたはネットワークが使えるセーフモードで起動した場合は、次に通常モードで起動するまで管理サーバに操作ログが送信されないことがあります。
注2) PC休止ログ、PC復帰ログは、採取されません。

個人端末へのポリシー設定について

個人所有デバイスの業務利用においては、所有者のプライバシー保護と業務データの保全を両立する必要があります。以下の例をもとにポリシーを決定してください。

  1. 操作ログは取得しない

    プライバシー保護の観点から、個人端末での操作ログ取得は避けることを推奨します。

    個人端末については操作ログは「取得しない」設定としてください。

  2. 不要な禁止設定を行わない

    個人端末はプライベートでも使用されるものであるため、禁止機能の設定には注意が必要です。

    プライベートでの使用に影響が出ないように、禁止機能を設定してください。

  3. 業務利用するアプリケーションの管理

    業務時間外アプリケーション使用禁止機能を用いて、個人端末での業務アプリケーションの使用を業務時間内に制限してください。プライベートな時間において業務アプリケーションの利用を禁止することで、情報漏洩を防止できます。

  4. 情報漏洩を誘発するアプリケーションの使用禁止

    個人端末においても、明らかに使用してはいけないようなアプリケーション(情報漏洩を誘発するようなアプリケーション)のブラックリストを作成し、そのアプリケーションを使用禁止にしてください。業務利用する端末においてそのようなアプリケーションの使用を禁止することで情報漏洩を防止できます。

なお、Systemwalker Desktop Patrol V15.1以降が導入されているAndroidデバイスの場合、Systemwalker Desktop Patrolを参照することで、個人所有デバイスを判別可能です。詳細は、Systemwalker Desktop Patrolの運用ガイド 管理者編を参照してください。