第19回 DeviceLockのピリ辛機能

皆さんこんにちは。ラネクシー社員Ｋです。

ラネクシーではこれまで、日々の活動やこのコラムなどでDeviceLockのいろいろな機能をご紹介してきましたが、一般的にはいまだに「USB制御」のイメージが強いようで、「Webアクセスの制御もできます」とか、「クリップボードからのペーストを制御できます」など、他の色々な機能についてのアピールがまだまだ足りないのではないかと思います。

そこで、今回は、これまでとりあげられることがほとんどなかった、地味だけど ピリッと辛い機能 にスポットを当ててみたいと思います！

1. アンチキーロガー　※ピリ辛度　

ハードウェアキーロガーとは、キー入力を記録するデバイスのことです。

キーロガーは、ユーザーがWindowsにログオンする際や、会員制サイトの認証時などに入力する、ユーザー名やパスワード、住所、氏名、電話番号などの、識別IDや個人情報を搾取することもでき、なりすましログオンや金銭被害の原因になりかねません。

そこでDeviceLockは、コンピューターに接続されたハードウェアUSBキーロガーを検出すると、次のような処置をします。

DeviceLockはPS/2キーロガーにも対応していて、PS/2キーボードからの入力内容をスクランブル(暗号)化することで、PS/2キーロガーに無意味なデータを記録させ、実際のキー入力の記録を防止する機能もあります。

• DeviceLockはPS/2キーロガーを検出した際にユーザーに通知することはできません。
• PS/2というのは、USBポートの登場以前に、主にキーボードやマウスを接続していたポートで、現在でもこれを採用しているコンピューター製品はあるようですが、USBやBluetoothを利用した接続方式への移行が進んでいる現状から、PS/2キーボードやPS/2マウスは、もはやレガシーデバイスの仲間入りをしている印象があります。

さて、ここで「アンチキーロガー機能あるある」ですが、アンチキーロガー機能を有効にしている場合、困ったことに、一部のノート型コンピューターで、実際にはキーロガーはないのに、あるように検出されることで、キーボードがブロックされてしまい、キーボードからの入力ができなくなることがあります。

その結果、Windowsのログオン認証(ユーザー名／パスワード)入力ができなくなりますので、パスワード認証方式ではWindowsにログオンできなくなります。

とはいえ、そのような場合でもマウスは使用可能なので、スクリーンキーボードを起動してパスワードを入力できます。
そして、DeviceLockのアンチキーロガー機能を無効に設定変更してください！

ここでは「ちょいピリ」としましたが、アンチキーロガー機能はセキュリティ上、強力な機能です。
上の「アンチキーロガー機能あるある」をご承知の上で、一度利用してみてください。

2. 関係チャート　※ピリ辛度　

関係チャートはDeviceLockの無償オプションであるDeviceLock Enterprise Serverの標準機能で、DeviceLockクライアントで行なわれたネットワーク通信の統計データを調べるために、DeviceLock Enterprise Serverに集められた監査ログとシャドウイングログのデータを視覚化するものです。

ネットワーク通信のログを採ることになるので、DeviceLockにネットワークプロトコル制御機能を追加する「NetworkLock」オプションの導入が必要になります。

インスタントメッセンジャー(IM)のチャットや転送ファイル、Skypeのコール、ソーシャルネットワーク(SNS)のチャット、電子メールのメッセージや添付ファイルなどの通信履歴をもとに、下のようなチャート図を生成します。

管理画面では文字の多いDeviceLockですが、こんなグラフィカルな画面もあったんですね。

チャートはノード（関係者）とラインで構成されます。

• ノードは、Active Directory(AD)、ドメイン、組織単位(OU)、ユーザーなどのオブジェクトを表します。
• ラインは、2つのノード間の接続または関係を表します。

下のチャートは、コンピューター [WIN10-WG] のユーザー [shain-k] から、[donata@runexy.co.jp] への電子メール送信と [test-shain@runexy.co.jp] からの電子メール受信、という関係性(※)を表しています。

• 電子メールの、送信か受信かは、チャート図からは判別ができませんが、下のように詳細情報を表示することで情報の流れた方向がわかります。

2つのノード間の接続は、インスタントメッセンジャーチャットの総数や転送されたファイル、Skypeコール、ソーシャルネットワークチャット、電子メールメッセージや添付ファイルの数に基づいて計算されます。

また、表示されるラインが太くなるにしたがって、通信関係が強くなっていくことがわかるようになっています。

紹介されることの少ない機能ですので、ユーザー様でもご存じない方も多いのではないかと思います。

3. デジタルフィンガープリント　※ピリ辛度　

「フィンガープリント」を普通に日本語訳すると「指紋」ということになりますが、コンピューターの世界では、データの同一性を評価するのに用いられます。

日本語版DeviceLockでデジタルフィンガープリント機能を搭載したのは、バージョン8.3からになりますが、どれくらいのお客様がこの機能をご利用になっているのでしょうか。

私の推理では、利用されているお客様は非常に少ないのではないかと思います。

新機能としてのアピールがちょっと足りなかったかもしれません・・。(反省)

さて、デジタルフィンガープリントは、デバイスやネットワークへの書き出し(送信)対象のファイルが、機密データであるかどうかを識別するために使用します。

例を挙げて、少し具体的に説明します。

そして、現実的な利用方法としては、DeviceLockの「ContentLock」オプションで、「コンテンツ認識ルール」の判定条件に、このハッシュ値照合を指定するのですが、わかり難いので、この動作を簡単に図にしてみましょう。

• 図を単純化するためにコンピューターの絵などは省略します。

例えば、ファイルサーバー内に保存されている、あるファイルを、コンピューターに接続したUSBメモリーに書き出すとします。

この処理の途中に、コンテンツ認識ルールのハッシュ値照合を差し挟みます。

ハッシュ値照合を差し挟んだだけでは意味がないので、判定の結果を、書き出しの許可／禁止処理に反映させます。

書き出そうとしているファイルのハッシュ値が、データベースに登録されているデータと一致することにより「機密データ」と判定されると、コンテンツ認識ルールにより書き出しが禁止され、ハッシュ値が一致しない場合は「機密ではないデータ」と判定され、書き出しは許可されます。

いかがでしょうか。

ここでは単純な動きを説明しましたが、もう少しデリケートな設定もできます。

機密データ (ファイル) を、その機密レベルに応じて、任意に設定できる分類ランク (「制限」、「機密」、「秘密」、「極秘」など) に分類しておくことで、機密レベルにしたがって異なる処理 (書き出し許可／禁止) を適用することができます。

例えば、「極秘」に分類されたデータはリムーバブルデバイスへの「読込み」「書込み」の両方を禁止する一方、「秘密」のデータは「読込み」は許可するが「書込み」は禁止、のように。

最後に念のため申し上げておきますと、デジタルフィンガープリント機能を利用するには、有償のContentLockオプションと、無償のDeviceLock Enterprise Serverオプションの導入が必要になります。

すみませんが、よろしくお願いします・・。

でばいすろっくコラム 記事一覧

• 第20回 DeviceLockマスターへの道
• 第19回 DeviceLockのピリ辛機能
• 第18回 不思議な差の世界
• 第17回 テレワークとDeviceLock
• 第16回 マイナンバーを検出する
• 第15回 DeviceLockの集中管理
• 第14回 レガシーデバイスとDeviceLock
• 第13回 DeviceLockの管理のしくみ
• 第12回 一時的ホワイトリストによるUSBデバイスの一時許可
• 第11回 「コンテンツ認識ルール」って、なに？
• 第10回 「DeviceLock Lite」とは？
• 第9回 「シャドウイング」ログって、なに？
• 第8回 USBデバイスの識別IDとは？
• 第7回 アクセスの記録を監査ログに残す
• 第6回 DeviceLockのライセンス
• 第5回 光学ドライブのアクセス制御
• 第4回 トライアルのススメ
• 第3回「USBを止める」って、どういうこと？
• 第2回 DeviceLockのしくみ
• 第1回 パソコンとデバイス
• でばいすろっくコラムとは？

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock （ デバイスロック）"