【JP1/ITDM2】情報漏洩の徹底防止！USBデバイスの制御機能を使いこなそう！

2022年6月、兵庫県尼崎市の全市民46万人分の個人情報が入ったUSBメモリが、一時所在不明となりニュースになりました。この事をきっかけとして、USBデバイスの管理見直しを検討されるJP1/ITDM2ユーザ様も多く、サポートセンターにも本機能について多数のお問い合わせをいただきました。

そこで今回のブログでは、JP1/ITDM2のデバイス制御機能の概要や利用方法についてご紹介します。

JP1/ITDM2 の USBデバイス制御機能とは

JP1/ITDM2 では、

・登録済みのUSBメモリ以外の使用禁止

・特定のUSBデバイスすべてを使用禁止（読み書き禁止）

・特定の種別のUSBデバイスについては書き込み抑止のみ行う

といった制御ができます。

この制御機能により、使用を許可していないUSBデバイスが利用者のPCに接続された場合に、管理者はすぐに把握ができます。

デバイス制御機能イメージ

JP1/ITDM2 の USBデバイス制御機能でできること

使用を抑止する機能

使用抑止の対象となるデバイスの一覧を、下記の図で示します。

なお、抑止対象としたいデバイスが、JP1/ITDM2 で抑止可能となるかについては、OSのデバイスマネージャーで、「何のデバイスとして認識されるか」によって決まります。JP1/ITDM2 で抑止対象とする前提条件の詳細は、マニュアルのこちらを確認ください。

赤枠の単位で、書き込みのみ抑止する設定も可能です。

使用抑止対象デバイス一覧

登録済みのUSBメモリのみ使用を許可する機能

USBメモリについては、管理者側で許可登録したデバイスのみ使用を許可できます。これにより、社内で管理している業務用のUSBメモリのみ使用を許可し、私物のUSBメモリは使用を禁止することができます。

使用を許可する設定は2種類あります。

1.個別に許可する設定

JP1/ITDM2ではUSBデバイスの識別時に、USBデバイスの「デバイスインスタンスID」を利用します。ユニークなデバイスインスタンスIDを持つUSBデバイスは、各デバイス毎に個別に使用を許可できます。

2.製品単位（メーカー単位）で許可する設定

一方、USBデバイスによっては、デバイスインスタンスIDが変化したり、ユニークでないものが存在します。JP1/ITDM2ではデバイスインスタンスIDの一部を用いた前方一致による許可登録ができます。これにより、同じメーカーのUSBデバイスはすべて使用を許可するといった設定も可能です。

設定方法

デバイスの抑止設定

本手順では、下記の流れを想定した手順をご紹介します。

①現在適用済みのセキュリティポリシーのコピー

②デバイスの抑止設定の有効化

③セキュリティポリシーの適用

以下、詳細手順です。

①現在適用済みのセキュリティポリシーのコピー

本番適用前の動作確認のために、新規でセキュリティポリシーを作成します。

新規でセキュリティポリシーを作成するにあたって、JP1/ITDM2 導入時にデフォルトで適用されている「デフォルトポリシー」もしくは、既に運用でご利用いただいているセキュリティポリシーの設定をベースとするために、現在適用済みのセキュリティポリシーをコピーします。

1.[セキュリティ]画面を選択後、[セキュリティポリシー一覧]を開きます。

▲クリックで画像拡大

2.コピー対象となるセキュリティポリシーを選択し、画面右上 [操作メニュー]より、[ポリシーをコピーする]を
　クリックします。

▲クリックで画像拡大

3.[セキュリティポリシー名]に任意の名称を指定します。

▲クリックで画像拡大

②デバイスの抑止設定の有効化

1.[禁止操作]を選択し、[有効]状態にします。

▲クリックで画像拡大

2.[機器の使用抑止]欄にある[使用抑止デバイスの一覧]にて、抑止対象としたいデバイスにチェックを入れま
　す。

▲クリックで画像拡大

3.[抑止メッセージ表示デバイスの一覧]にて、必要に応じて表示対象とするデバイスにチェックを入れてくださ
　い。

JP1/ITDM2が該当のUSBデバイスを抑止した際に、抑止した旨のメッセージを利用者端末側に表示させることができます。（表示メッセージのサンプルは、「③セキュリティポリシーの適用」の項番3で確認いただけます）

その後、[OK]ボタンを押下し、セキュリティポリシーの設定を保存します。

▲クリックで画像拡大

ここまでの作業により、セキュリティポリシーの作成と、作成したセキュリティポリシーに対して、デバイスの抑止設定の追加が完了します。続いて、特定のPCに対して、作成したセキュリティポリシーを適用します。

③セキュリティポリシーの適用

1.[機器のセキュリティ状態]-[機器一覧(機器種別)]を選択し、セキュリティポリシーを適用したいエージェントPCに
　チェックを入れます。その後、[操作メニュー]より、[ポリシーを割り当てる]をクリックします。

▲クリックで画像拡大

2.[ポリシーの割り当て]画面にてプルダウンを開き、適用したいセキュリティポリシーを選択し、[OK]ボタンを
　クリックします。

▲クリックで画像拡大

3.[割り当てたポリシー]列にて、新しいセキュリティポリシーが割り当てられることを確認します。

▲クリックで画像拡大

ここまでの作業により、マネージャーサーバ側でエージェントPCに対するセキュリティポリシーの割り当て作業が完了します。セキュリティポリシーが割り当てられますと、即時にエージェントPCに対して、新しいセキュリティポリシーが送信されます。エージェントPCにてセキュリティポリシーの設定を受信しますと、デバイス制御の設定が反映されます。

抑止メッセージを表示する設定を行っていた場合、抑止対象のエージェントPCでUSBデバイスを使用すると下記メッセージがエージェントPC側に表示されます。

デバイスの使用抑止

登録済みのUSBデバイスのみ許可する設定

本手順では、下記の流れを想定した手順をご紹介します。

①[登録済みのUSBデバイスは使用を許可する]の設定を有効化
②USBデバイスの許可登録

以下、詳細手順です。

①[登録済みのUSBデバイスは使用を許可する]の設定を有効化

前述の「デバイスの抑止設定」にて作成したセキュリティポリシーに対して、「登録済みのUSBデバイスは使用を許可する」の設定を有効にします。

1.[禁止操作]を選択し、[USBデバイス]の[抑止設定]列にて、[登録済みのUSBデバイスの使用を許可する]にチェック
　を入れ、[OK]ボタンを押下します。

※[使用を許可する資産を限定する]の設定に関する詳細は、こちらのブログで紹介しております。

▲クリックで画像拡大

②USBデバイスの許可登録

USBデバイスの許可登録を行います。JP1/ITDM2 - Agent を導入している端末をご用意ください。

1.Windows のスタートメニューより、[JP1_IT Desktop Management 2 - Agent] 内にある [USBデバイスの登
　録] メニューをクリックします。

USBデバイスの登録

2.USBデバイスの登録画面が表示されることを確認し、登録したいUSBデバイスをPCに接続します。接続後、
　登録可能なUSBデバイスの場合、下記の通り情報が表示されるため、[登録]ボタンをクリックします。

▲クリックで画像拡大

3.USBデバイスの登録画面にて、下記の通りチェックを外し、[OK]ボタンを押下します。

▲クリックで画像拡大

4.USBデバイスの情報がマネージャーサーバに通知されます。

▲クリックで画像拡大

ここまでの作業により、許可登録対象のUSBデバイスの情報をマネージャーサーバに登録できます。しかし、このままでは抑止の除外対象（ホワイトリスト）に登録されません。この後の作業により、登録されたUSBデバイスを、管理者側で許可対象にします。

5.[資産]画面を選択し、[ハードウェア資産]-[資産一覧(部署)]を選択します。

▲クリックで画像拡大

6.フィルタのアイコンをクリックし、USBデバイスの情報のみ表示する設定にします。

▲クリックで画像拡大

7.登録作業を行ったUSBデバイスの情報が表示されることを確認し、チェックを入れ、[状態を変更]ボタンを押
　下します。

▲クリックで画像拡大

8.[資産状態]を[運用中]に変更し、その他必須項目を入力後、[OK]ボタンを押下します。

▲クリックで画像拡大

ここまでの作業により、登録されたUSBデバイスが抑止の除外対象（ホワイトリスト）に登録されます。ホワイトリストは順次エージェントPCに送信されます。

使用を許可していないUSBデバイスの接続状況の確認方法

本機能を利用し、実際にエージェントPC側でUSBデバイスが抑止されると、JP1/ITDM2 の Web管理画面より、どの端末で何回抑止が行われたか確認可能です。

1.[レポート]-[セキュリティ詳細レポート]-[禁止操作の状況]を開きます。

▲クリックで画像拡大

2.[オプション]より、[対象操作]に[機器の操作]を選択し、[適用]ボタンをクリックします。

▲クリックで画像拡大

管理対象となっているエージェントPCの中で、抑止処理が行われた回数を確認できます。USBデバイスで何かを行おうとしたユーザーを洗い出すための参考情報として活用いただき、情報漏洩対策をご検討ください。

デバイス制御機能に関するよくあるご質問

デバイス制御機能について、サポートセンターに多く寄せられたご質問と回答についてまとめます。

●スマートフォンやタブレットは、許可登録できますか？

　許可登録できません。上記デバイスは、Windows ポータブルデバイスとして認識されることが多く、
　抑止するか否かの設定でご利用ください。

●デジタルカメラは、許可登録できますか？

　デジタルカメラの機種によっては、USBメモリと同じデバイスとしてOS側で認識される事例がございま
　した。その場合は、許可登録できます。機種によっては、Windows ポータブルデバイスとして認識
　される場合もございます。

●デジタルカメラを許可登録していたが、資産情報の[機器種別]を「USBデバイス」から任意の機器種別
　に変更したところ、抑止されるようになってしまいました。

　[登録済みのUSBデバイスの使用を許可する]の機能が有効となる資産は、[機器種別]が「USBデバイス」
　のもののみとなります。[機器種別]を「USBデバイス」に戻してご利用ください。

●1度許可登録をしたUSBメモリを再度PCに接続し直したところ、抑止されてしまいました。

　JP1/ITDM2のデバイス制御は、各デバイスのデバイスインスタンスIDをもとに行います。
　そのため、接続する度にデバイスインスタンスIDが変更されるようなUSBメモリについては、各デバイ
　スインスタンスID毎に許可登録を行っていただくか、前述しました製品単位での許可設定で対応いただ
　く必要があります。また、パスワード機能が搭載されているUSBメモリの場合、パスワード解除前と
　パスワード解除後によって、デバイスインスタンスIDが変わることがあります。その場合は、
　パスワード解除前とパスワード解除後の状態で、USBデバイスの許可登録を行うことで対処できる
　場合があります。

●マウスやヘッドセットは抑止されてしまいますか？

　抑止対象となりません。JP1/ITDM2 における抑止対象となるデバイスについては、こちらの図を確認
　ください。

●書き込み抑止の設定を有効、かつ [登録済みのUSBデバイスの使用を許可する] の機能を利用している場合、
　登録済みのUSBデバイスについては、読み込みも書き込みもできるのですか？

　書き込み抑止の設定を有効にしつつ、登録済みのUSBデバイスについては読み込みも書き込みも許可す
　るといった設定はできません。登録済みのUSBデバイスについては、読み込みのみ可能です。

まとめ

今回は、JP1/ITDM2 におけるデバイス制御の基本機能の概要から、利用方法や、よくあるご質問内容をご紹介しました。JP1/ITDM2 では、USBデバイスの抑止だけでなく、抑止の履歴情報を保持しており、レポート機能によって情報漏洩に繋がる恐れのあるPCを特定できます。現在適用済みのセキュリティポリシーをコピーし、簡単にデバイス制御のテストを行えるため、まだ本機能をご利用いただいていない方は、この機会に是非ご活用ください。

製品正式名称(略称表記) および機能対象バージョン

JP1/IT Desktop Management 2 (JP1/ITDM2) 10-50以降

JP1/IT Desktop Management 2 - Operations Director(JP1/ITDM2-OD)

JP1ブログをご覧いただいているみなさまへご案内

いつもJP1サポート技術者ブログをご覧いただきありがとうございます。

アシストとJP1保守契約を締結されている方は、Webサポートセンター「AWSC」をご利用いただけます。本ブログサイトではご紹介しきれない3,000件以上のFAQを公開していますので、是非ご利用ください。

また、アシストではJP1ユーザ企業様向けの無償セミナーや支援サービスを多数ご提供しています。JP1の潜在リスクを洗い出す診断サービスや、バージョンアップ時のノウハウをご紹介するセミナーなどご用意していますので、貴社の課題解決へとお役立てください。

アシストと保守契約を締結されていないお客様にもご参加いただけます。

詳細は、下記リンクよりご確認ください。