デバイスコントロール:見落とされがちな技術
ITのセキュリティに関してIvantiは、米国のインターネットセキュリティセンター(CIS)の基本的なセキュリティコントロールを支える製品を提供することで、多層防御を強く支持しています。CISの上位1と上位2の基本的なセキュリティコントロールには、それぞれ「許可されたデバイスと無許可のデバイスのインベントリ」と「許可されたソフトウェアと無許可のソフトウェアのインベントリ」となっています。デバイスコントロールは、セキュリティ対策を直接的に強化できる方法ですが、多くの場合パッチやアプリケーション管理技術の影に隠れてしまっています。
見落とされがちなこの技術に目を向ける
基本的なデバイスコントロールは一般的に、ワークステーションやサーバー、もしくはノートパソコンなどのモバイルシステムに接続される物理的なコンポーネントの管理を提供します。通常システムには、現在インストールされているハードウェアを検出し、インベントリ(目録)を作成し、他のデバイスの接続をモニタリングするエージェントがインストールされています。
接続される他のデバイスの中で最も懸念されるのが、USBドライブです。USBドライブには機密データがコピーされ、施設から持ち出される可能性があります。しかも多くの場合、形跡が残りません。デバイスコントロールでは、この種のデバイスの接続を完全に阻止する設定を行うことができます。または、ベンダーやモデル、シリアル番号までをも追跡することで、この種のデバイスを管理することを可能にします。例えば、社内でSanDisk Model xy12 USBデバイスの使用を許可し、他のUSBデバイスの使用を許可しない設定を行うことができます。これにより、事前にマルウェアがインストールされている可能性のある不明なデバイスがユーザーによって挿入されることを防止できます。
当社はこれまで、データ保存機能が装備されたスマートキーボードやBluetoothトランスミッタ、追加のネットワークカードなど、追加のリスクを伴う多数の種類のデバイスをブロックしている企業の例をたくさん見てきました。デバイスコントロールは成熟した技術です。お客様の必要な要件に合わせた機能を提供するための柔軟性の範囲は、無限といっても過言ではありません。
物理デバイスの管理に留まらない
「デバイスコントロール」という言葉は多くの場合、単純に物理デバイスのみの管理を示す言葉として解釈されるため、デバイスコントロールには、考慮すべき追加の側面があります。Ivantiのデバイスコントロールには、物理的な管理だけでなく、情報漏洩対策(DLP)の観点からデータの暗号化やデータのモニタリング/管理も含まれます。
基本オペレーティングシステムは、データが盗難された場合に、強化された水準のセキュリティをノートパソコンに提供するシステムディスクの暗号化を提供できるように設定することができます。ただし、この暗号化の対象範囲は、通常リムーバルドライブまで及びません。デバイスコントロールは、この追加の保護を提供し、リムーバルドライブも暗号化できます。このため、パスワード認証を使用してその他のマシンでリムーバルドライブを使用することや、リムーバルドライブをデバイスコントロールエージェントがインストールされたマシン上でのみ使用できる場合にリムーバルドライブをロックダウンすることが可能となります。
また、デバイスコントロールはデバイスへのデータ通信量とデータの種類もモニタリングできます。パスワード認証を使用してその他のマシンでリムーバルドライブを使用できる場合、マシンやユーザーがリムーバルメディアにコピーできるデータ量の制限を設定できます。同様に、デバイスコントロールエージェントは、使用中のファイルの名前と種類をモニタリングし、記録します。ファイルシャドーイングは、このオプションの拡張機能で、ファイル全体のコピーがレビュー用に第2のストレージに送信されます。さらにデバイスコントロールエージェントによってキーワード検索が実行され、ファイルがコピーされるとファイル自体の中身が検索され、事前に設定されたポリシーにしたがって適切な措置がとられることがあります。お読みいただいた通り、Ivantiのデバイスコントロールは単にUSBデバイスをブロックすることに留まらないのです。
デバイスコントロールの実装
デバイスコントロールの実装は、簡単で論理的なプロセスです。デバイスコントロールエージェントが希望のエンドポイントすべてにインストールされ、最初にデバイスの使用状況を取得するための設定が行われます。この情報は、ログアクティビティとして収集され、分析のために管理コンソールに送り返されます。管理者は使用中のデバイスをレビューし、企業のニーズに基づいてポリシーを構築します。
このブログで主に取り上げられている通り、このポリシーは、セキュリティの物理的側面、暗号化の側面、そしてDLPの側面に対応できるだけでなく、必要に応じてシンプルにも複雑にもできます。構築されるとこのポリシーはエンドポイントに適用され、監査モードに設定されます。ベストプラクティスでは、サンプルテストグループとしてシステムのサブセットを設定する必要があると指示されています。監査モードでは、阻止するデバイスと許可するデバイスを特定するために、どのようにポリシーが実行されているかが表示されます。これは、コンセプトの点でアプリケーションコントロールが通常展開される方法と類似しています。この時点で、ポリシーをアップデートもしくは「微調整」し、強制モードに設定できます。一定期間が経過し、十分なフィードバックが得られたら、ポリシーをさらに大規模なシステムグループに展開できます。繰り返しとなりますが、実装は自社のペースで進めることができ、自社のセキュリティ目標を確実に実現できます。
デバイスコントロールは、ハードウェアの詳細なインベントリ(目録)と各種デバイスの使用状況の高水準管理を実現できるだけでなく、各種デバイス上でのデータのコピーや保管も管理できます。ソフトウェア資産を直接管理することはありませんが、デバイスコントロールは、使用中のソフトウェアに関する詳細情報を提供します。デバイスコントロールは、実装が容易で、すべての注意がネットワークベースの攻撃に向けられている場合に見落とされていることが多いエリアに保護を提供できます。
自社のセキュリティプログラムを構築する際、デバイスコントロールを考慮してください。デバイスコントロールは、多層防御戦略において、極めて有用な技術と追加の保護層を提供します。
ぜひこの機会に、Ivantiの実証されたデバイスコントロール技術に関する詳細をご確認ください。
製品ページはこちらから>> https://www.ivanti.co.jp/products/device-control <<