2.9.5 禁止操作の抑止

セキュリティポリシーには、コンピュータでの操作を抑止する設定ができます。操作を抑止することで、外部への情報の持ち出しによる情報漏えいを防止できます。

印刷の抑止
印刷操作を抑止できます。持ち出し禁止の情報を、印刷して持ち出されることを防止できます。
印刷の許可パスワードを設定できるので、印刷を許可する利用者だけにパスワードを教えて、印刷の利用を限定することもできます。
注意
インターネット接続のプリンタは抑止できません。ローカルプリンタでFileポートまたはLAN Managerポートを使用する場合も抑止できません。また、Windowsのネットワーク共有プリンタは抑止できない場合があります。
印刷機能を利用したPDFファイルへの出力は、利用者のコンピュータに印刷抑止のメッセージが表示されても、PDFファイルが出力されることがあります。
機器の操作の抑止
USBデバイスやCD/DVDドライブの利用を抑止できます。外部メディアを利用して情報が持ち出されることを防止できます。抑止できるのは、次の機器の操作です。
  • USBデバイスの読み取りと書き込み
  • 内蔵CD/DVDドライブの書き込み
  • 内蔵FDドライブの読み取りと書き込み
  • IEEE1394接続メディアの読み取りと書き込み
  • 内蔵SDカードスロットの読み取りと書き込み
  • リムーバブルディスクの読み取りと書き込み
抑止対象のUSBデバイスは、デバイスのプロパティの[ハードウェア]タブを表示したときに、[デバイスの機能]に「USB 大容量記憶装置」と表示されます。
IEEE1394接続メディア、および内蔵SDカードスロットは、OSの[ハードウェアの安全な取り外し]ダイアログでデバイスコンポーネントを表示したときに、次のように表示されます。
  • IEEE 1394 SBP2 Drive
  • Secure Digital Storage Device
参考
抑止対象のコンピュータのOSによって、抑止できる項目が異なります。
参考
機器の操作の抑止は、セキュリティポリシーが割り当てられているコンピュータが再起動したあとで有効になります。コンピュータにセキュリティポリシーが適用されると、再起動を促すバルーンヒントが定期的に表示されます。
警告
JP1/IT Desktop Management以外の、外部メディアの使用を抑止する製品(WindowsのグループポリシーやActive Directoryのポリシー適用など)とは、同時に使用しないでください。同時に使用すると、JP1/IT Desktop Managementでの設定内容が他製品によって変更されたり、他製品での設定内容がJP1/IT Desktop Managementによって変更されたりするおそれがあります。
ソフトウェアの起動抑止
ファイル共有ソフトウェアやメッセンジャーソフトウェアなど、情報漏えいにつながるおそれのあるソフトウェアの起動を抑止できます。
起動を抑止できるのは、次の拡張子の実行ファイルで起動するソフトウェアです。
  • exe
  • com
  • scr
なお、実行ファイル名とフォルダ名を合わせた文字列が260文字以上の場合は、起動を抑止できません。
注意
起動後すぐに終了するソフトウェアは、起動を抑止する前にプログラムが終了するおそれがあるため、起動を抑止できないことがあります。
警告
OSやJP1/IT Desktop Managementの動作に関係する実行ファイルは、起動を抑止しないでください。起動を抑止すると、OSやJP1/IT Desktop Managementが正しく動作しなくなるおそれがあります。
この項の構成
(1) 抑止対象となる外部メディア
(2) 使用を許可できるUSBデバイスの種類
(3) 禁止操作の抑止時の注意事項
(4) ソフトウェアの起動抑止の注意事項
(5) 印刷の抑止の注意事項
(6) 外部メディアの抑止の注意事項

(1) 抑止対象となる外部メディア

セキュリティポリシーの禁止操作の設定では、エージェント導入済みのコンピュータでのUSBデバイス、CD/DVD ドライブなどの利用を抑止できます。抑止項目、コンピュータのOSごとの抑止の可否、および抑止の対象を次の表に示します。

Windows 7、Windows Server 2008、Windows Vista
抑止項目Windows 7Windows Server 2008Windows Vista抑止の対象※1
USBデバイスの読み取りと書き込み※2○ ○ ○ 次の手順で対象のデバイスを確認してください。
  1. [スタート]メニューから[デバイスとプリンター]を選択します。
  2. 表示されるダイアログで、デバイスのアイコンを右クリックして[プロパティ]を選択します。
表示されるダイアログの[ハードウェア]タブの[デバイスの機能]に「USB 大容量記憶装置」と表示されるデバイスが対象となります。
CD/DVDドライブの書き込み△ △ ※4△ [デバイス マネージャー]の[デバイス(種類別)]で、[DVD/CD-ROM ドライブ]の配下に表示されるドライブが対象となります。
また、内蔵とUSB接続の両方が対象になります。
FDドライブの読み取りと書き込み△ △ ※4△ [デバイス マネージャー]の[デバイス(種類別)]で、[フロッピー ディスク ドライブ]の配下に表示されるドライブが対象となります。
また、内蔵とUSB接続の両方が対象になります。
リムーバブルディスクの読み取りと書き込み※3△ △ ※4△ エクスプローラ上でドライブの種類が「リムーバブルディスク」として表示されるドライブ、 およびUSB接続でドライブの種類が「ローカルディスク」として表示されるドライブが対象となります。
また、内蔵とUSB接続の両方が対象になります。
(凡例)○:抑止できる(抑止のイベントが送信される、抑止のメッセージが表示される) △:抑止できる(抑止のイベントが送信されない、抑止のメッセージが表示されない)
注※1 OSの設定などによって、表示される項目が異なる場合があります。
注※2 USBデバイスを抑止する場合でも、登録済みのUSBデバイスだけ使用を許可する運用ができます。
注※3 ここでのリムーバブルディスクとは、内蔵SDカード、USB接続のSDカードなどのデバイスを指します。
注※4 機器に依存して、抑止できない場合があります。
参考
リムーバブルディスクを抑止している場合、USB接続のリムーバブルディスクをハードウェア資産として登録しても、使用は許可できません。
参考
Windows 7、Windows Server 2008、およびWindows Vistaの場合、USBデバイスまたはリムーバブルディスクのどちらか一方だけ抑止設定ができます。このため、抑止対象としたいデバイスがどのようにOS に認識されるか検証してから、抑止設定をすることをお勧めします。
Windows Server 2003、Windows XP、Windows 2000
抑止項目Windows Server 2003Windows XPWindows 2000抑止の対象※1
USBデバイス読み取りと書き込み※2○ ○ ○ [ハードウェアの安全な取り外し]ダイアログで、[デバイスコンポーネントを表示する]をチェックしたときに「USB大容量記憶装置デバイス」と表示されるドライブが対象となります。
書き込み× ※3△ × ※3
内蔵CD/DVDドライブの書き込み※4△ △ × CD/DVDドライブのプロパティで[書き込み]タブが表示されるデバイスが対象となります。
内蔵FDドライブの読み取りと書き込み※4△ △ △ [マイコンピュータ]で、[リムーバブル記憶域があるデバイス]に表示されるデバイスが対象となります。
IEEE1394接続メディアの読み取りと書き込み△ △ △ [ハードウェアの安全な取り外し]ダイアログで、[デバイス コンポーネントを表示する]を チェックしたときに「IEEE 1394 SBP2 Device」と表示されるドライブが対象となります。
内蔵SDカードスロットの読み取りと書き込み※4× △ × [ハードウェアの安全な取り外し]ダイアログで、[デバイス コンポーネントを表示する]をチェックしたときに「Secure Digital Storage Device」と表示されるドライブが対象となります。
(凡例)○:抑止できる(抑止イベントの送信、抑止メッセージの表示ができる) △:抑止できる(抑止イベントの送信、抑止メッセージの表示ができない) ×:抑止できない
注※1 OSの設定などによって、表示される項目が異なる場合があります。
注※2 USBデバイスを抑止する場合でも、登録済みのUSBデバイスだけ使用を許可する運用ができます。
注※3 USBデバイスの書き込みを抑止した場合、読み取りと書き込みが抑止されます。
注※4 「内蔵」とは、各種メディアのスロットがコンピュータに内蔵されているタイプのものを指します。コンピュータの本体の中で、スロット装置がUSB接続されているタイプもありますが、その場合は「内蔵」に該当しません。

なお、抑止の対象となるUSBデバイスは、USB接続でデータを記録できるデバイスです。 USB接続でデータを記録できるデバイスは、次に示すデバイスセットアップクラスを持つデバイスです。

デバイスセットアップクラスClassGuid
CD-ROM{4d36e965-e325-11ce-bfc1-08002be10318}
Disk Drive{4d36e967-e325-11ce-bfc1-08002be10318}
Floppy Disk{4d36e980-e325-11ce-bfc1-08002be10318}
参考
デバイスセットアップクラスのClassGuidについては、デバイスの開発元に確認してください。

関連リンク

(2) 使用を許可できるUSBデバイスの種類

セキュリティポリシーの禁止操作の設定でUSBデバイスの使用を抑止している場合に、ハードウェア資産として登録されたUSBデバイスだけ使用を許可するように設定できます。

参考
使用を許可できるUSBデバイスの種類は、USBストレージデバイスだけです。次の手順で対象のUSBデバイスを確認してください。
  1. [スタート]メニューから[デバイスとプリンター]を選択します。
  2. 表示されるダイアログで、デバイスのアイコンを右クリックして[プロパティ]を選択します。
表示されるダイアログの[ハードウェア]タブの[デバイスの機能]に「USB 大容量記憶装置」と表示されるUSBデバイスが対象となります。
参考
USBデバイスの識別には、USB登録時に取得されるデバイスインスタンスIDが利用されます。デバイスインスタンスIDとは、USBデバイスに設定されたIDです。USBデバイスには、個別に識別できるユニークなIDを持つデバイスと、接続するポートや環境によってIDが変化するデバイスがあります。

利用を許可できるUSBデバイスには、次の2種類があります。

個別に許可できるUSBデバイス
ユニークなデバイスインスタンスIDを持つUSBデバイスは、各デバイスを個別に使用許可できます。
なお、ユニークなIDを持つUSBデバイスは、Windowsの[デバイス マネージャー]でデバイスのプロパティの[詳細]タブを表示し、プルダウンメニューで[機能]を選択したときに「CM_DEVCAP_UNIQUEID」と表示されます。
製品単位で許可できるUSBデバイス
接続するポートや環境によってデバイスインスタンスIDが変化するUSBデバイスは、製品単位でデバイスを登録して許可を設定できます。例えば、同じメーカーの同じUSBメモリを複数所持している場合、そのUSBメモリのデバイスインスタンスIDがユニークでないときは、一つのデバイスを登録すれば同一製品の使用がすべて許可されます。
デバイスインスタンスIDが変化するデバイスの場合、IDの一部を利用してUSBデバイスが識別されます。USBデバイス登録時にデバイスインスタンスIDを指定し、登録したデバイスインスタンスIDと前方一致したUSBデバイスが、同一製品と見なされます。なお、製品単位で許可するUSBデバイスの場合、USBデバイスの登録時にメッセージが表示されます。

[図]

注意
使用を許可するUSBデバイスは、エージェント導入済みのコンピュータから登録します。なお、資産画面の[ハードウェア資産]画面でもUSBデバイスの資産情報を直接登録できますが、この方法で登録しても利用は許可されません。
注意
製品単位で許可するUSBデバイスを登録すると、同じ製品の異なるデバイスを登録しても同じハードウェア資産として扱われます。このため、セキュリティポリシーでUSBデバイスの使用抑止を設定している場合、製品単位でUSBデバイスの使用が許可されます。
注意
コンピュータとの接続方法(接続インターフェースや接続モード)が複数あるデバイスの場合、コンピュータとの接続方法によっては、そのデバイスの認識結果が異なることがあります。
注意
複数のデバイスを経由して接続するUSBデバイスの使用を許可するためには、経由するすべてのデバイスの使用を許可してください。
注意
デバイスインスタンスIDが付与されていないデバイスをコンピュータに接続した場合、OSによって不特定のデバイスインスタンスIDが生成されます。このようなデバイスは、デバイスを接続するコンピュータまたは接続ポートごとにデバイスインスタンスIDが変化するため、使用を許可できないおそれがあります。
参考
エージェントをインストールしているコンピュータに、登録済みの個別に認識されるUSBデバイスを接続すると、USBデバイスに格納されているファイルの情報が収集されます。収集された情報は、資産画面の[ハードウェア資産]画面の[格納ファイル一覧]タブに表示されます。なお、[格納ファイル一覧]タブは[機器種別]が「USBデバイス」の場合だけ表示されます。なお、製品単位で認識されるUSBデバイスの場合、ファイルの情報は収集されません。

(3) 禁止操作の抑止時の注意事項

セキュリティポリシーに禁止操作のポリシーを設定する場合に、抑止を設定できる対象ごとの注意事項を説明します。

関連リンク

(4) ソフトウェアの起動抑止の注意事項

(5) 印刷の抑止の注意事項

(6) 外部メディアの抑止の注意事項