第17回 テレワークとDeviceLock

皆さんこんにちは。ラネクシー社員Kです。

今回は「DeviceLock質問コーナー」から始めましょう。

DeviceLockのマニュアルを見たいのですが、どうしたら手に入りますか?

マニュアルはDeviceLockのインストールプログラム(メディアキット・ダウンロード版)に含まれています。別売りはしていませんが、トライアル版にも含まれています。PDFファイルですので、Adobe Acrobat Readerなど、PDFファイルを表示できるソフトウェアがあれば読むことができます。

DeviceLockのプログラムのセキュリティアップデートをしたいのですが、パッチを提供してもらえますか?

DeviceLockでは、公式アップグレードではないけれども重要なプログラム修正については、「サポートビルド」として具体的なサポート案件対応の際に必要に応じてラネクシーのサポートセンターから提供させていただくことにしています。プログラムの一部のみ提供して「パッチを当てる」のではなく、プログラム一式の提供になり、現状のプログラムに上書きインストールしていただくことで修正が適用されるようになっています。

クライアントへのDeviceLockのインストール後、アクティベーションは必要ですか?

DeviceLockをご利用いただくにはライセンスの適用が必要ですが、管理側のコンピューターで管理ツールをインストール中(またはインストール後)にライセンスファイルを読み込ませることによりこれを適用します。この操作にはインターネット接続などは必要なく、そのコンピューターとライセンスファイルがあれば行なうことができます。なおクライアント側にはライセンス適用の必要はありません。

DeviceLockでネットワークも制御できるって本当ですか?

「デバイスロック」と名乗ってはいますが、オプションの「NetworkLock(ネットワークロック)」を導入することで、インターネットのホームページや電子メール、クラウドストレージやSNS、Windowsのファイル共有などのネットワーク(プロトコル)を制御できるようになります。
詳しくは弊社DeviceLockのホームページをご覧いただくか、営業担当宛てにお問い合わせください。

使っているコンピューターがパソコンではなくタブレット型なんですが、DeviceLockは使えますか?

タブレット型であっても、動作要件を満たしていればDeviceLockのご利用は可能です。OSがAndroidやiOSのタブレットは対応していませんが、パソコンに搭載しているものと同じWindowsを搭載したタブレットであれば大丈夫です。

DeviceLockでUSBポートを使用禁止にしたら、USBキーボードやマウスも使えなくなるのですか?

DeviceLockの既定の設定では、キーボードやマウスなど、ヒューマン・インターフェース・デバイス(HID)に該当するデバイスは、USB接続であってもUSBポート制限の影響を受けないようになっています。もちろん、HIDも制御するように設定を変えることもできます。

DeviceLockコラムは一体いつまで続けるつもりですか?

このようなものにも毎度「締め切り」というのがあって、著述が本業でない私には荷が重いのですが、これをやめてしまうと私の会社での立場が微妙になってしまうので、当分やめるつもりはありません。

それでは本編に参りましょう。

今回のテーマは、「テレワークとDeviceLock」です。

2020年は、企業のテレワーク導入が一気に進んだ年になったかと思います。

テレワークは、基本的には個人や会社所有の機材(パソコンなど)を自宅や外出先などに持ち出して仕事をする、といった内容ですが、業種や職種によってテレワーク向き・不向きがあったり、業務システムやファイル共有をどうするの?といった問題もありますのでなかなか簡単にはいかないようですね。

その中でも、会社の機密情報についてのセキュリティ(情報漏えいなど)対策は、特に忘れてはならない重要課題です。

なにしろテレワーク業務では、他の人の目の届かないところで会社のデータを扱いますので、会社としても心配で気が気ではないでしょう。

もっとも、このような問題は今に始まったことではなく、以前からありました。

いつの頃からか、ノートパソコンの小型軽量化やタブレット型パソコンの登場なとで、外出時にパソコンを持ち出して顧客先でプレゼンテーションしたり、移動中や休憩時の喫茶店などでメールのチェックや見積書の作成をしたり、といった便利な使い方ができるようになりました。

これらは今や当たり前の光景になりましたが、当初は今ほど機密データのセキュリティに神経質でなかったのか、パソコンの持ち出しも今より気軽に行なわれていた気がします。

私は、当時は「パソコンを持ち歩いてまで仕事したくないなあ」と思い、周囲からの圧力がかかるギリギリまで「仕事でパソコンは持ち歩かない主義」を通しておりました(笑)。

さて、今ではそんなことも言っていられませんので、どうしたらテレワーク先で会社の機密情報が保護できるのかを考えてみましょう。

1. 会社内での機密情報保護

今時の会社では、多くの場合「ファイルサーバー」という会社のメンバーだけがアクセスできる共有ファイルの保管場所が用意されていて、メンバーは社内ネットワークを通してこれにアクセスすることでファイルの共有ができるようになっています。

執務室のパソコンからファイルサーバーにアクセスすることで必要なファイルが手に入るのですから、USBメモリーなどの物理デバイスを介さなくても、簡単にファイルのやり取りができます。

ですから、この環境での記憶用物理デバイスの利用は制限してしまっていいのではないか、という考え方もあるのではないかと思います。

そこでDeviceLockの出番です。

DeviceLockでは、USBメモリーはもちろん、SDカード、外付けハードディスク、光学ドライブ(CD/DVD)、そしてプリンターに至るまで、外部物理デバイスの利用を制限することができます。

USBメモリーやSDカードのような、サイズが小さく、ファイルをコッソリ持ち出すのに好都合なデバイスの利用を自在に制限することができるのは、機密情報保護のツールとして大変心強いのではないでしょうか。

とはいえ、会社の執務室は、場所が場所だけに同僚の目もあり、私物のUSBメモリーなどの会社に利用を認められていない外部デバイスを利用するのは難しいとも考えられます。そのため、会社内での外部デバイス利用については、業務における利便性の低下が懸念されることもあってあまり厳しく制限しない場合もあるようです。

では、パソコンを社外に持ち出して利用する場合の機密情報保護についてはどうでしょう。

2. パソコンの持ち出し先での機密情報保護

会社のパソコンを自宅で利用したり、顧客先などへの訪問の際に持ち出したりすることは今では珍しいことではなくなりました。

外出中は同僚の目もありませんので開放的になりがちですが、その分、利用者は情報セキュリティに対する意識を特に強く持つことを求められます。

ここで特に問題になるのは、パソコンを社内で利用しているときより社外で利用するときの方が、物理的および心理的に会社の機密情報を含んだファイルを外部デバイスに書き出しやすくなるのでは、という心配です。

つまり、会社内にいるときは様々な要因から抑制が効いていた機密データに対する情報セキュリティ感覚が、一人になると途端に弱まってしまうのではないか、ということです。

パソコンが社内にある時と社外にあるときとで、同じデバイス制御をしていて大丈夫なのでしょうか?

3. DeviceLockで2つのセキュリティポリシー

結論を先に書いてしまいますが、DeviceLockはデバイスに対するセキュリティポリシー(デバイスの利用をどのように制限するか)を状況に応じて2つ使い分けられるようになっています。

「2つ」というのは、「オンライン用のポリシー」と「オフライン用のポリシー」のことで、あらかじめこの2つのポリシーを設定しておくと、それぞれの状況における最適なセキュリティポリシーを、条件の変化に応じて自動的に切り替え、適用してくれるのです。

DeviceLockが想定する「オンライン」「オフライン」を簡単に説明すると、次のような状況を表します。

オンラインパソコンが、主に会社の中にあり、会社のネットワークの管理下にある状況を想定
オフラインパソコンが、主に会社から持ち出されていて、会社のネットワークの管理下にない状況を想定

比較的自制が利き易い社内では「オンライン用の緩いアクセス制限」、比較的自制が利き難い社外では「オフライン用の厳しいアクセス制限」を適用したら、どうでしょうか。

これなら、「社内では利便性重視、社外ではセキュリティ重視」の運用ができますね。

ところで、DeviceLockは、「オンライン状態」と「オフライン状態」を、どのように識別するのでしょうか。
「オンライン状態」と「オフライン状態」を区別する方法は、3種類用意されていて、そのうち1つを選択します。

サーバー接続
  • DeviceLockのオプションである「DeviceLock Enterprise Server」サービスに接続できる状態にあるかどうかで区別します。
  • 接続できる状態であれば「オンライン」、接続できない状態であれば「オフライン」とみなします。
  • DeviceLock Enterprise Serverがセットアップされていない環境では、常に「オフライン」になります。
  • DeviceLock Enterprise Serverがセットアップされている環境でも、コンピューター(DeviceLock Service)がDeviceLock Enterprise Serverに接続する設定になっていない場合は、「オフライン」になります。
ドメイン接続
  • コンピューターがドメインコントローラーに接続できる状態にあるかどうかで区別します。
  • 接続できる状態であれば「オンライン」、接続できない状態であれば「オフライン」とみなします。
  • ドメインコントローラーがセットアップされていないネットワーク環境では、常に「オフライン」になります。
  • ドメインコントローラーがセットアップされているネットワーク環境でも、コンピューターがドメインに参加する設定になっていない(ワークグループ)場合は、「オフライン」になります。
  • コンピューターの状態により、実際はドメインコントローラーに接続できない状態でも「キャッシュログオン」していることがありますが、この場合は「オフライン」になります。
ケーブル接続
  • コンピューターにネットワークケーブルが接続されているかどうかで区別します。
  • 有効なネットワークケーブルが接続されていれば「オンライン」、接続されていなければ「オフライン」とみなします。
  • 「ネットワークに参加している」という条件ではないので、無線LAN(Wi-Fi)のネットワークが設定され参加していても、有線LANのケーブルが接続されていなければ「オフライン」になります。

各々制約もありますので、どの条件を採用するかはネットワーク環境などを考慮して検討する必要があるかと思いますが、個人的には偽装のしやすい(これ言っちゃダメですね・・)「ケーブル接続」はなるべく避けるのがよいかと思います。

また、「ドメイン接続」は、会社のネットワークがドメインで構成されていないと使えませんので、ドメインのない「ワークグループ」ネットワークの環境だと「サーバー接続」を選択することになるかと思います。

「サーバー接続」を選択するためには、ネットワーク内に「DeviceLock Enterprise Server」を構築しなければなりません。

無償オプションなので、本来はインストールしてご活用いただくのがよろしいかとは思いますが、DeviceLock Enterprise Serverの機能を特に必要とされない場合は、これをインストールした後、DeviceLock Enterprise Serverのサービスが起動するようにしておくだけでいいので、本来の運用では必要になる Microsoft SQL Serverデータベースのセットアップや、ソフトウェアの環境設定などは必要ありません。

4. 実際の運用

ここまで、パソコンの「オンライン状態」と「オフライン状態」はあらかじめ選択された条件によって識別され、それぞれに設定されたDeviceLockポリシーを自動的に切り替える、とお話ししてきました。

例えば、DeviceLock Enterprise Serverが社内ネットワーク内にセットアップしてある会社で、オンライン/オフラインの識別条件を「サーバー接続」にしていると、コンピューターが社内ネットワークに接続されているとき、DeviceLockは「オンライン用のポリシー」を採用します。

そして、コンピューターを持ち出して外出すると、コンピューターが社内ネットワークから離脱することで、DeviceLockがDeviceLock Enterprise Serverを見つけられらくなりますが、DeviceLockはこれを、コンピューターがオンライン状態からオフライン状態に移行したと考え、「オフライン用のポリシー」に変更します。

  • 状態を判定するタイミングにより、多少のタイムラグはありますが、この点ご容赦ください。

これら「オンライン用のポリシー」「オフライン用のポリシー」は、DeviceLock用語としては、「標準プロファイル」「オフラインプロファイル」といいます。
ですので、ここからは「標準」「オフライン」と呼ぶことにします。

さて、実際に、この2つのプロファイル(ポリシー)をどのように使い分けるかについては、DeviceLockを運用される組織のご担当にお任せするとしますが、参考のため、ここでは、分かりやすい例を考えてみましょう。

プロファイル構築の前提条件として、以下のようなデバイス利用を想定してみます。

  • 会社の中では、「許可されたUSBメモリー」「許可されたUSBプリンター」「USB接続の光学ドライブ」「USBキーボード」「USBマウス」「WiFiネットワーク」のみを利用可能とする。
  • 外出中や自宅勤務などのテレワークでは、「USBキーボード」「USBマウス」「WiFiネットワーク」のみを利用可能とする。私物USBメモリーなどの使用が必要な場合は個別申請して一時使用許可を受ける。

「会社の中」「テレワーク」は、それぞれ「標準」「オフライン」を意味し、DeviceLockの異なったプロファイルをあらかじめ設定しておきます。
プロファイルは、おおよそ、次のような設定にします。

標準プロファイル
  • USBポートを使用禁止に制御する
  • 使用許可するUSBメモリーをオンラインのホワイトリストで許可する
  • 使用許可するUSBプリンターをオンラインのホワイトリストで許可する
  • 使用許可するUSB光学ドライブをオンラインのホワイトリストで許可する
  • 「USBキーボード」「USBマウス」は初期設定で制御対象外に設定する
  • 「WiFi」は制御しない
オフラインプロファイル
  • USBポートを使用禁止に制御する
  • オフラインのホワイトリストにデバイスを設定しない
  • 「USBキーボード」「USBマウス」は初期設定で制御対象外に設定する
  • 「WiFi」は制御しない
  • 一時的に使用を許可するUSBデバイスは、使用者の申請に基づき管理者が「一時的ホワイトリスト」機能を使用して個別に許可設定する

この2つのプロファイルを「標準」「オフライン」状態の変化に応じて自動的に切り替えることで、社外持ち出し時には、社内の時より、より厳格なデバイス制御を実施し、外出またはテレワークで増大するデータ漏えいのリスクに対応します。

今回は触れませんでしたが、ほかにも、オプションの「NetworkLock」と組み合わせて、社内にいるときはどのWebサイトにもアクセスできるが、社外にいるときは会社のポータルサイトにしかアクセスできない、といったネットワークがらみのセキュリティにも対応できるようになっています。

DeviceLockで安全なテレワークを!

ではまた。

投稿日:2021年05月07日

でばいすろっくコラム 記事一覧

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock ( デバイスロック)"

DeviceLock(デバイスロック)はユーザーに負担を強いずに必要なデータだけを守るDLP(Data Loss Prevention)ソリューションです。PCのUSBポート、CD/DVDドライブ、タブレット端末などの外部デバイス制御に加え、インターネットを介したファイルのコピー、送信を制御し、個人情報や情報資産などの不正持ち出しや盗難・紛失による情報漏えいを防止します。


DeviceLockは国内5800社、40万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※のツールです。

  • ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より

資料請求

ラネクシーDLPソリューションの詳細な資料、導入事例集、各種リーフレットをご用意しております!
下記資料請求よりお申込みください。

menu_book 資料請求はこちら