Device Control Enterpriseのネットワーク接続管理

SECUDRIVE Device Control Enterprise(以下DC Ent.)には、ネットワークに対する接続を制限する機能があります。これは、社員がノートPCやタブレットを社外に持ち出して、安全が確認されていないネットワークに不用意に接続することを防ぐのが狙いです。
また、昨今はいたるところに無線ルータが設置されておりますので、社内においても、周囲にある第三者の無線ルータに意図的あるいは無意識に接続されてしまうという恐れがあります。

ネットワーク接続の脆弱性

通常は、社員が利用する端末は安全の確認された社内のネットワークを利用します。

しかし、外部の無線アクセスポイントにうっかり接続すると、機密情報の漏えいや社内ネットワークに入り込んで深刻なダメージを与えるリスクがあります。

さらに、社内の機密情報の入ったノートPCやタブレットなどのモバイル端末を社外に持ち出すと、危険なネットワークに接続されるリスクはさらに高まります。

DCは、あらかじめ許可された無線アクセスポイントにしか接続できないように制限したり、社外に持ち出した場合にはネットワーク接続を遮断するなど、モバイル端末のネットワーク接続による情報漏洩リスクをプロテクトします。

2つのポリシーモード

DCでは、管理者がデバイスのUSB機器、入出力ポート、Wi-Fi機器などを使用可能にしたり禁止したりといった設定をすることができます。この設定を「ポリシー」と呼びます。

ポリシーはデバイスがオンラインのときとオフラインのときの2つの状態に合わせて個々に設定ができます。ここでいうオンラインとは、デバイスがDC Managerに接続できている状態を言い、オフラインとは、デバイスがDC Managerに接続できていない状態を言います。

オンラインモード

DC Enterprise ManagerとAgentが通信可能なときはオンラインモードとなり、クライアント端末には「オンラインポリシー」が適用されます。

オンラインモードの時、DC Enterprise ManagerとDC Agentは、次のような通信を行っています。

ポート

通信内容

TCP 8231

ManagerとAgent間のポリシー、ログなど

TCP 8232

AgentがインストールされたPCのUSBデバイスリストを検索

TCP 8233

ファイルエクスポートの際、データをバックアップ

DC Agentはポリシー更新間隔(デフォルトは300秒)の周期でManagerと接続し、接続が成功したらオンラインと判断し、接続が失敗したらオフラインと判断します。

オフラインモード

デバイスが社外に持ち出されるなどして、社内のDC Enterprise Managerと接続できなくなると、オフラインモードとなります。

オフラインモードのときDC Agentは15秒ごとにManagerとの接続を試行し、接続に成功した場合はオンラインモードに戻ります。

運用シナリオ

例えば次のようにポリシーを設定することができます。

 

オンラインポリシー

オフラインポリシー

ポートの制御

ネットワーク接続許可

ネットワーク接続禁止

Wi-Fi制御

許可されているAPのみ利用可能

全てのAPに対して接続を禁止

このようにポリシーが設定されているとき、このタブレット端末を社内から自宅に持ち帰り、再度社内に戻した時の動作を説明します。

オンラインモード

クライアント端末が社内ネットワークに接続されているときはオンラインモードとなり、社内のゲートウェイを通してInternet接続をするなど、通信が可能な状態となっています。しかし、許可されていないAPには接続できないので、会社の近くにある身元不明のAPなどには接続しようとしてもできません。

オフラインモード

クライアント端末を社外に持ち出した時、DC Ent Managerとの接続ができないのでオフラインモードとなります。オフラインポリシーでは、「ネットワーク接続禁止」となっているので、有線LANケーブルを接続しても通信は不可能となります。また、「全てのAPに対して接続を禁止」となっているので、いかなる無線APに対しても接続はできなくなります。

オフラインモードの時、クライアント端末はネットワーク通信を遮断されていますが、唯一、DC Enterprise Managerが存在しているIPアドレスに対するDCのプロコルだけはActive状態となっています。これは、オンラインモードに復帰するために必要な動作となります。

社内に戻した時

持ち出していたクライアント端末を社内に戻した時、DC Agentは15秒ごとにManagerとの接続を試みていますので、すぐに接続に成功しオンラインモードに戻ります。オンラインポリシーでは「ネットワーク接続許可」となっていますので、社内のファイル共有やゲートウェイを通してのインターネット接続などが可能となります。

FAQ

質問

DC Enterprise ManagerがインストールされているPCのネットワークケーブルを外すなどして社内LANから外れると、クライアント端末はどうなりますか?

回答

DC Agentはオフラインと判断し、クライアント端末にはオフラインポリシーが適用されます。特に多くの端末を管理する環境では、DC Enterprise Managerをインストールする管理用PCは固定IP、冗長化など、運用中にネットワークからいなくならないような構成にしてください。

質問

オンラインポリシーで「ネットワークを遮断」に設定してしまったら、クライアント端末はOSの再インストールでもしない限り、二度とネットワークに接続できなくなるのではないですか?

回答

DC Agentは、インストールされたときに設定された「DC Enterprise ManagerがインストールされているPCのIPアドレス」を記憶し、このIPアドレスに対するDCの特殊なプロトコルだけはActive状態にしています。このネットワークを通して情報が漏えいすることはありありませんし、この経路を使ってManagerからいつでも「ネットワーク許可」に戻すことができます。

mautic is open source marketing automation