eset endpoint security v5.0 / eset endpoint v5.0 デバイス...
TRANSCRIPT
Copyright © 2016 Canon IT Solutions Inc.
ESET Endpoint Security V5.0 / ESET Endpoint アンチウイルス V5.0
デバイスコントロール機能 紹介資料
キヤノンITソリューションズ株式会社
作成日:2016/10/24
Copyright © 2016 Canon IT Solutions Inc.
はじめに
• 近年、スマートフォンやメディアプレーヤーの普及により、それらのデバイスをユーザーが社内に持ち込むケースが増えております。
その結果、利用許可されていないユーザーの私物デバイスを業務端末へ接続してしまうことで、ウイルス感染や情報流出の事件も発生しております。
このような背景から、エンドポイントセキュリティと共にデバイス制御の必要性が再認識されつつあります。
• ESET Endpoint Security および ESET Endpoint アンチウイルスでは、上述のリスクを軽減するための機能として標準でデバイスコントロール機能が搭載されており、利用できるデバイスを制限することができます。
• 本資料では、ESET Endpoint Security V5.0 / ESET Endpoint アンチウイルス V5.0のデバイスコントロール機能についてご紹介いたします。
1
Copyright © 2016 Canon IT Solutions Inc.
もくじ
• デバイスコントロール機能概要
• デバイスコントロール ルールの作成
• ルール名とデバイスタイプと権限の設定
• 特定のデバイスだけ利用を許可する運用
• ユーザーごとにデバイスを制御する運用
• 管理ツールとの連携 -ログの一元管理と設定の配布-
• 管理ツールとの連携 -グループ機能とポリシー機能-
• 管理ツールと連携した運用
• 参考:パスワードによる設定の保護
2
Copyright © 2016 Canon IT Solutions Inc.
デバイスコントロール機能概要
• ESET Endpoint Security および ESET Endpoint アンチウイルスに搭載されているデバイスコントロール機能では、デバイスタイプと権限を組み合わせて、デバイスへのアクセスを制御します。
3
制御時の画面イメージ
①USBメモリをブロックするルールを事前に設定します。
②USBメモリを利用しようとすると…
③ブロックした旨の通知がされます。
④実際にアクセスしようとしてもデバイスコントロール機能で制御されているためアクセスが拒否されます。
Copyright © 2016 Canon IT Solutions Inc.
デバイスコントロール ルールの作成
• デバイスコントロールのルールはルールエディタで作成します。
作成手順につきましては、以下のWebページをご確認ください。
【特定のリムーバブルメディアへのアクセスを制御するには?】
http://eset-support.canon-its.jp/faq/show/56?site_domain=business
4
ルールエディタの画面イメージ
ルール名とデバイスタイプと権限の設定
デバイスのパラメーターの設定(任意)
ユーザーまたはグループの設定(任意)
Copyright © 2016 Canon IT Solutions Inc.
ルール名とデバイスタイプと権限の設定
• 基本的なデバイスコントロール ルールの設定は、任意のルール名とデバイス
タイプと権限の3つです。設定可能なデバイスタイプと権限は以下の通りです。
デバイスコントロールで設定可能なデバイスタイプと権限
デバイスタイプ 権限
備考 読み込み / 書き込み 読み込み専用 ブロック
ディスクストレージ ○ ○ ○ USBメモリ
光学式ドライブ(※1) ○ ○ ○ CD/DVDメディア
FireWireストレージ ○ ○ ○
イメージングデバイス ○ - ○ スキャナやカメラ
USBプリンタ ○ - ○
Bluetoothデバイス ○ - ○
スマートカードリーダー ○ - ○ ICカード読み取り機
モデム ○ - ○
ポータブルデバイス ○ - ○ Windows ポータブル デバイス(※2)として認識する、携帯電話・カメラ・メディアプレイヤーなど
※1:光学式ドライブの場合、ドライブ単位ではなく、メディア(CD/DVDなど)単位の制御になります。また、既知の不具合として、一部のライティングソフトからCDなどへの書き込み操作に対して、ルールが適用されない場合があります。その場合、ライティングソフトが書き込みを行う際にログの出力や書き込みのブロックが行われません。 ※2:MTP/PTP接続するデバイスはWindows ポータブル デバイス(WPD)として認識いたしますので制御可能です。 ※3:設定画面のデバイスタイプに「LPT/COMポート」の項目が表示されますが、ご利用いただけませんのでご注意ください。 ※4:上記に記載のデバイスタイプでも、デバイスによっては正しく制御されない場合があります。必ず導入前に評価していただきますようお願いします。
5
Copyright © 2016 Canon IT Solutions Inc.
特定のデバイスだけ利用を許可する運用
• デバイスのタイプや権限のほかに、制御したいデバイスのパラメーター(ベンダ・モデル・シリアル番号)を設定することで、より細かなデバイスコントロール ルールを設定することが可能です。この設定をうまく利用することで、特定のデバイスのみを制御することが可能です。
6
特定のデバイスだけ利用可能にする運用
【設定しているルール】 デバイスタイプ → ディスクストレージ ベンダ:Canon → 許可 その他のベンダ → ブロック
ベンダ:Canon
ベンダ:○○社
Copyright © 2016 Canon IT Solutions Inc.
ユーザーごとにデバイスを制御する運用
• デバイスコントロール ルールを特定のユーザーまたはグループに限定することが可能です。特定のユーザーにのみ、デバイスの利用を許可する、または、デバイスの利用を禁止することが可能です。
7
ユーザーごとにデバイスを制御する運用
ユーザーAはUSBメモリの 「読み込み/書き込み」ルールを適用!
ユーザーCはUSBメモリの 「ブロック」ルールを適用!
ユーザーBはUSBメモリの 「読み込み専用」ルールを適用!
ユーザーA
ユーザーB
ユーザーC
Copyright © 2016 Canon IT Solutions Inc.
管理ツールとの連携 -ログの一元管理と設定の配布-
• 管理ツールであるESET Remote Administratorで管理されているクライアントについては、デバイスコントロールログの一元管理が可能です。
また、タスク機能のコンフィグレーションタスクを利用し、デバイスコントロールの設定を配布することも可能です。
8
ログの一元管理 設定の配布
クライアントで出力された、[デバイスコントロール]ログを収集し、ESET Remote Administratorで一元管理することが可能です。クライアント名やデバイスの詳細、実施したアクションなどの確認ができます。
タスク機能の[コンフィグレーション]タスクを利用し、リモートから設定を適用させることができます。デバイスコントロール ルールを含んだ設定ファイルを配布することで、リモートからデバイスを制御することが可能です。
ESET Remote Administrator
ESET Remote Administrator クライアント クライアント
デバイス コントロール ログ
デバイス コントロール 設定
一元管理 デバイス制御
Copyright © 2016 Canon IT Solutions Inc.
管理ツールとの連携 -グループ機能とポリシー機能-
• グループ機能を使うことでデバイスの利用を許可するグループとデバイスの利用を禁止するグループに分けて管理し、運用することも可能です。
また、ポリシー機能により、一定の条件を満たしたクライアントに対してデバイスの利用を制御することも可能です。
グループ機能 ポリシー機能
グループ機能を使うことで、グループごとにクライアントを管理することができます。 これを利用して「デバイス許可グループ」と「デバイス禁止グループ」で分けて管理することが可能です。
ポリシー機能では、一定の条件を満たしたクライアントに対して特定のポリシーを適用させることができます。デバイスコントロール ルールを設定したポリシーを用意しておくことで、条件によって制御することが可能です。
9
デバイス 許可グループ
デバイス 禁止グループ
【条件例】 コンピュータ名
IPアドレス グループ
禁止ポリシー
許可ポリシー
Copyright © 2016 Canon IT Solutions Inc.
管理ツールと連携した運用
• デバイスコントロール機能と管理ツールを連携することで、コンピュータ名やIPアドレス、グループなどでデバイスを制御することが可能です。
コンピュータ名で制御
•正社員PC(R-XX)は認められ
ているUSBメモリの利用を許
可
•派遣社員PC(T-XX)はUSBメ
モリの利用禁止
運用
正社員PC (R-XX)
派遣社員PC (T-XX)
•東京拠点(192.168.10.X)は
認められているUSBメモリの
利用を許可
•大阪拠点(192.168.20.X)は
USBメモリの利用を禁止
運用
東京拠点 (192.168.10.X)
IPアドレスで制御 所属部グループで制御
大阪拠点 (192.168.20.X) 営業部グループ 技術部グループ
•技術部グループのクライアン
トは認められているUSBメモ
リの利用を許可
•営業部グループのクライアン
トはUSBメモリの利用を禁止
運用
10
Copyright © 2016 Canon IT Solutions Inc.
参考:パスワードによる設定の保護
• ユーザー側での設定変更を防止するため、パスワードによる設定の保護が可能です。設定を保護している場合、設定変更およびアンインストール時にパスワードを促す画面が表示されます。
パスワード保護
①パスワードによる保護を実施します。
②ユーザーが設定変更やプログラムのアンインストールをしようとすると…
③パスワードの入力画面が表示されます。
④アンインストールをしようとした場合、ウィザード上にパスワードの入力画面が表示されます。
11