Windowsポータブルデバイス(MTP/PTP接続デバイス)
に対しての情報漏洩対策について
SKYSEA Client View Ver.9.22より、スマートフォンやデジタルカメラ、携帯音楽プレーヤー、タブレット端末など、MTPモードやPTPモードを持つ機器(Windows ポータブル デバイス、以下WPD)によるデータ持ち出しなどの情報漏洩対策強化のため、下記の機能に対応いたしました。
- WPD(MTP / PTP接続のデバイス)の「読み取り専用」制御対応※1
- デバイス種別「イメージスキャナー、デジタルカメラ 等」「モバイル端末」への、MTP(メディア転送プロトコル)、PTP(画像転送プロトコル)接続による「読み取り専用」の制御ができるようになりました。
- WPD(MTP / PTP接続のデバイス)へのファイル操作ログ収集対応※2
- WPDへのファイル操作を検知し、ファイル操作ログとして収集できるようになりました。
※1 Windows Vista、Windows Server 2008以前のOSでは、デバイス種別「イメージスキャナー、デジタルカメラ 等」「モバイル端末」を「読み取り専用」に設定し、対象のデバイス種別に対して、MTP、PTPによる接続が行われると、「使用不可能」と同じ動作となります。ただし、Windows Vistaの場合は、サービスパックとWindows更新プログラムの適用状況により、「読み取り専用」の制御が可能です。なお、WIA(Windows Image Acquisition)で接続されたデバイスには書き込みができないため、SKYSEA Client Viewでは制御しません(「読み取り専用」に設定されていても、書き込み禁止設定として動作しません)。
※2 Windows Vista、Windows Server 2008より後のOSのログを収集できます。ただし、Windows Vistaの場合は、サービスパックとWindows更新プログラムの適用状況により、対象のログが収集できます。
SKYSEA Client View Ver.9.22における追加機能を含めた、
WPDの使用制限方法、ならびにWPDへのファイル操作ログ確認方法をご紹介します。
1.デバイス種別ごとに一括で使用を制限する
1.1. WPDを「使用不可能」にする
①デバイス種別制御設定で、一括で使用を制限する
「デバイス種別制御設定」画面で下記の種別のイラストをクリックし、「使用不可能」に設定します。
※なぜこれらの種別について「使用不可能」に設定する必要があるかについては、こちらをご参照ください。
[設定適用]をクリックし、適用範囲を確認し、[はい]をクリックします。
※[設定適用]をクリックした際、Windows Vista/Windows Server 2008以前のOSにおける制限動作について警告画面が表示されますので、[OK]をクリックしてください。
「設定変更確認」画面が表示され、設定が適用されます。
①で一括で設定をおこなったとしても、デバイスを個別に「使用可能」に設定している場合は、個別設定の制限が優先されますので、②の作業をおこなう必要があります。
②個別設定で「使用可能」となっているデバイスを「使用不可能」に設定する
「デバイス毎制御設定」画面から、管理状態が「使用可能」となっているデバイスを選択し「詳細表示」を選択します。
「使用制限設定」タブをクリックし、「管理状態変更」をクリックします。
管理状態を「使用不可能」に設定し、「OK」をクリックします。
詳細表示画面に戻ります。[OK]をクリックします。
USBデバイスの使用制限が設定されます。
1.2. WPDを「読み取り専用」にする
※SKYSEA Client View Ver.9.22からの対応機能となります。
①デバイス種別制御設定で、一括で「読み取り専用」に設定する
「デバイス種別制御設定」画面で下記の種別のイラストをクリックし、「読み取り専用」に設定します。
※なぜこれらの種別について「読み取り専用」に設定する必要があるかについては、こちらをご参照ください。
[設定適用]をクリックし、適用範囲を確認し、[はい]をクリックします。
※[設定適用]をクリックした際、Windows Vista/Windows Server 2008以前のOSにおける制限動作について警告画面が表示されますので、[OK]をクリックしてください。
「設定変更確認」画面が表示され、設定が適用されます。
①で一括で設定をおこなったとしても、デバイスを個別に「使用可能」に設定している場合は、個別設定の制限が優先されますので、②の作業をおこなう必要があります。
②個別設定で「使用可能」となっているデバイスを「読み取り専用」に設定する
「デバイス毎制御設定」画面から、管理状態が「使用可能」となっているデバイスを選択し、「詳細表示」を選択します。
「使用制限設定」タブをクリックし、「管理状態」が「使用可能」になっていることを確認します。
「USBデバイス使用制限設定で、「読み取り専用」を選択します。
詳細表示画面に戻ります。[OK]をクリックします。
USBデバイスの使用制限が設定されます。
1.3. WPDを「使用可能」にする
デバイス種別制御設定で、一括で「使用可能」に設定する
「デバイス種別制御設定」画面で下記の種別のイラストをクリックし、「使用可能」に設定します。
※なぜこれらの種別について「使用可能」に設定する必要があるかについては、こちらをご参照ください。
[設定適用]をクリックし、適用範囲を確認し、[はい]をクリックします。
※[設定適用]をクリックした際、Windows Vista/Windows Server 2008以前のOSにおける制限動作について警告画面が表示されますので、[OK]をクリックしてください。
「設定変更確認」画面が表示され、設定が適用されます。
2.WPDへのファイル操作ログを確認する
※SKYSEA Client View Ver.9.22からの対応機能となります。
操作ログを検索して表示する
ログ閲覧画面を開き、操作ログ一覧に表示する操作ログの項目から、[ファイル操作]を選択します。
「検索条件」「対象期間」「ログイン名 / 表示名」「キーワード」を設定し、
[検索]をクリックします。キーワードに「WPD」を入力することで、 WPDへのファイル操作ログのみを絞り込むことが可能です。
「検索 / 絞込結果」の一覧にログが表示されます。
3.備考
デバイス種別制限の設定について
なぜ [イメージスキャナー デジタルカメラ等][モバイル端末][カードリーダー/ライター USBハードディスク USBメモリ等]に対して制限をかける必要があるのか?
スマートフォンをPCにUSB接続する場合、現在3つの接続モードが存在します。
- 1. MTP(Media Transfer Protocol)モード
- 2. PTP(Picture Transfer Protocol)モード
- 3. カードリーダーモード
スマートフォンによる情報の持ち出しを防ぐには、それぞれの接続モードに対して使用制限をかける必要があります。
- スマートフォンをMTPモード、PTPモードで接続した場合
- 「イメージスキャナー デジタルカメラ等」で登録・分類されます。
- スマートフォンをカードリーダーモードで接続した場合
- 「カードリーダー/ライター USBハードディスク USBメモリ 等」で登録・分類されます。
- スマートフォンをデバイス種別設定にてプリセット登録、または手動で「モバイル端末」で登録しているものについては「モバイル端末」に登録・分類されます。
※各デバイスはOSが認識したデバイス種別をもとに使用制限を行います。誤ったデバイス種別が割り振られているデバイスについては意図した制限になりません。デバイス情報をデバイスリストに登録の上、必要に応じて設定画面からデバイス種別を確認、変更してください。デバイス種別の変更は、デバイス名ごとに行えます。
初期設定もご確認ください
初期設定の状態では、未登録のUSBデバイスを使用したときには「使用不可能」になるよう設定されています。
ただし、この登録設定が「使用可能」となっていると、制御ができないため、「使用不可能」または「読み取り専用」に設定したい場合には、設定状況をご確認ください。
「デバイス管理」画面で[設定]をクリックします。
設定画面の「USBデバイス設定」タブをクリックし、設定画面を確認します。
