概要
この機能では、USBドライブおよびモバイル端末の利用制限・制御と、USB上のフォルダー・ファイル操作のログ取得を行えます。
できること
- USBドライブ/モバイル端末の利用制限・制御
- USB上でのファイル/フォルダー操作ログの取得
- アラート通知
対象となるUSBドライブ
- USB メモリー
- SD カード
- USB 接続の HDD/SSD
※ 対象外
- 内蔵接続(IDE/S-ATA)のHDD
- USB接続のCD/DVDドライブ
- スマートフォン(iPhone/Android)、iPad
- パスワード付きUSBメモリ
モバイル端末の定義
上記USB対象外の iPhone、スマートフォン、および Android タブレット、 iPad を指します。
USBドライブ/モバイル端末の利用制限・制御時の挙動
Watchyがインストールされた端末のみが、利用制限・制御の対象です。
ルールの設定で利用制限を行わなかった場合、すべての USB ドライブとモバイル端末を使用することができます。
- 制限を有効にした場合
- 許可されていないUSBドライブは即座に取り外し処理が実行され、使用不可になります。
- モバイル端末は端末上で無効化され、使用不可になります。
モバイル端末接続時の注意点
USBケーブルには次の2種類があります。
制御の対象となるのは【2. データ転送対応ケーブル】です(※見た目では区別できません)。
- 充電専用ケーブル(→制御の対象外)
- 充電+データ転送対応ケーブル(→制御の対象)
※【2】のケーブルを使用した場合、制限されると充電もできなくなります。
その他の注意点
USBドライブおよびモバイル端末がすでに接続された状態で制限ルールを有効化した場合や、端末の環境によっては、制限が正しく動作しない可能性があります。あらかじめご了承ください。
USBドライブのルールの種類と設定方法(USBドライブ利用ルール)
次の3つの利用ルールが設定できます。
- すべての USBドライブの利用を許可する
- すべての USBドライブの利用を許可しない
- 許可されたUSBドライブのみ利用を許可する
1.すべての USBドライブの利用を許可する方法
USBドライブ利用制限の項目の「USBドライブの利用を制限する」のオプションを無効にします。
2.すべてのUSBドライブの利用を許可しない方法
USBドライブ利用制限の項目の「USBドライブの利用を制限する」のオプションを有効にし、「すべてのUSB を制限する」オプションを選択します。
3.許可された USBドライブのみ利用を許可する方法
USB ドライブ利用制限の項目における「USBの利用を制限する」オプションを有効にし、「一部の利用を許可して制限する」オプションを選択します。
オプション下部の「+追加する」ボタンより、利用を許可するUSBドライブを選択します。複数指定が可能です。
※利用を許可するUSBドライブは事前に登録が必要です。登録方法については、次節の「利用を許可する USB ドライブの登録」を参照してください。
利用を許可する USB ドライブの登録手順
1.USBドライブ監視のルール一覧ページにて、「許可USBを管理」ボタンをクリックします。
2.利用を許可するUSBドライブの一覧が表示されます。画面右上の「USBを登録」または「CSVで一括登録」ボタンから登録できます。
USBを登録する手順
- 「USB を登録」ボタンをクリックするとダイアログが表示されます。利用を許可する USBドライブのデバイス名とシリアル番号を入力して登録します。
- USBドライブのデバイス名とシリアル番号の取得方法については、「USB Scanner(USBドライブ監視用補助ツール)」を参照してください。
※デバイス名とシリアル番号の組み合わせが重複した場合は登録エラーとなります。
複数のUSBを一括登録する場合の手順
- 一括登録するためのテンプレートファイル(CSV)をダウンロードします。
- ダウンロードしたCSVファイルに利用を許可するUSBドライブを記載します。
- 編集したCSVファイルをアップロードします。
◆ CSVの編集方法
許可 USB が登録済みか否かで、次の様に CSV ファイルの内容が変わります。
- 許可USB が未登録の場合
- 許可USB が1つ以上登録されている場合
※ID の値はシステム側で自動に生成される文字列です。
- USB ドライブを追加する場合、ID(列A)の値は空白のまま、デバイス名とシリアル番号を追加してください。
- 登録済みのデータを編集する場合、ID(列A)の値は変更せずに、デバイス名とシリアル番号のみを更新してください。
- カスタム項目も同時に登録することができます。カスタム項目を追加する場合は、列D以降に追加してください。
- カスタム項目も同時に更新する場合
USBを登録する際の注意点
- デバイス名とシリアル番号は必須項目です。
- デバイス名とシリアル番号の組み合わせで重複するデータは登録できません。
- 登録できる例
- デバイス名:AAAAA、シリアル番号:0000-0000-0000
- デバイス名:AAAAA、シリアル番号:0000-0000-1111
- 登録できない例
- デバイス名:AAAAA、シリアル番号:0000-0000-0000
- デバイス名:AAAAA、シリアル番号:0000-0000-0000 ⇒ 重複エラー
- 登録できる例
- 登録できるデバイス数は100個までです。
- デバイス名とシリアル番号の値、カスタム項目のタイトルと値、それぞれの値の文字数は128文字以内です。
- 追加できるカスタム項目は20個までです。
- 5MBより大きい CSV ファイル、もしくは CSV 以外のファイルはアップロードできません。
USBドライブの情報取得方法(USB Scanner)
USBドライブ監視で利用を許可する USBドライブの情報を登録する際、USBドライブの「デバイス名」と「シリアル番号」の情報が必要となります。
デバイス名とシリアル番号は、対象 USB ドライブのプロパティなどで取得することができません。
これらの情報を取得するために、「USB Scanner」(USBドライブ監視用補助ツール)を使用します。
<E、F、G ドライブに USBドライブが取り付けられている場合の画面表示例>
<上記の USBドライブの情報を取得した場合の画面表示例>
USB Scanner の使用方法
- USBの登録画面、USBの編集画面、CSV で一括登録画面のいずれかよりダウンロードします。
<USBの登録画面>
<USBの編集画面>
<CSVで一括登録画面>
- ダウンロードした zip ファイルを解凍します。
- 解凍したフォルダー内の「USB Scanner」フォルダーに「USBScanner.exe」ファイルがあるので、実行します。
- もし、USB Scanner を使用する端末に「.NET Runtime」のモジュールが、インストールされていない場合、次のようなエラーメッセージが表示されます。
エラーメッセージダイアログの「いいえ」をクリックし、2.で解凍したフォルダーに「runtime-6.0.36-win-x64」フォルダーがあるため、そのフォルダー内の「windowsdesktop-runtime-6.0.36-win-x64.exe」を実行し、「.NET Runtime」をインストールします。
- USB Scanner が実行されると、次のようなダイアログが表示されます。
- 情報(デバイス名とシリアル番号)を取得したい USB ドライブを、USB Scanner を実行している端末に取り付けます。
- 5で表示されたダイアログの右下の「USB ドライブをスキャンする」をクリックします。
- USBドライブを取り付けていない、もしくは USB ドライブの情報が正常に取得できなかった場合、次のようなメッセージが表示されます。
USB ドライブを取り付けているにも関わらず情報が取得できなかった場合、USB ドライブを一度取り外してから、再度取り付けてください。再取り付け後、Windows エクスプローラーの「デバイスとドライブ」の一覧で、取り付けた USB ドライブが表示されることを確認してから、再度 USB Scanner の「USB ドライブをスキャンする」をクリックしてください。
- USB ドライブの情報が取得できた場合は次のように表示されるため、管理画面で利用を許可する USB ドライブを登録する際に、デバイス名とシリアル番号の値をコピーしてください。
- USB Scanner を終了する場合、ダイアログ右上の「x」をクリックしてください。次のような確認ダイアログが表示されるので、終了する場合は「はい」を、終了しない場合は「いいえ」をクリックしてください。
(補足)USB Scanner 実行時に「PCが保護されました」と表示された場合
Microsoft Defender やその他のセキュリティソフトをインストールしている場合、USBScanner の実行時に悪意のあるプログラムとして判断されてしまう場合もあります。
▼Microsoft Defender の場合
▶
このダイアログが表示された場合、左側の「詳細情報」をクリックし、その後に表示される「実行」ボタンをクリックし、作業を進めてください。
モバイル端末のルールの種類と設定方法(USB接続ルール)
次の2つの利用ルールが設定できます。
- すべてのUSB接続の利用を許可する
- すべてのUSB接続の利用を許可しない
1.すべてのUSB接続の利用を許可する方法
USB 接続制限の項目における「USB経由のモバイル端末接続を制限する」オプションを無効にします。
2.すべてのUSB接続の利用を許可しない方法
USB 接続制限の項目における「USB 経由のモバイル端末接続を制限する」オプションを有効にします。
アラートの種類と設定方法
◆ USBドライブ利用ルール
USBドライブの利用方法について、次の3つのいずれかの設定ができることを説明しました。
- すべての USB ドライブの利用を許可する。
- すべての USB ドライブの利用を許可しない。
- 許可された USB ドライブのみ利用を許可する。
利用方法の設定によって、設定できるアラートも異なるため、それぞれの設定について説明します。
1.すべてのUSBドライブの利用を許可している場合
- ファイル操作アラート
-
USB ドライブ上の指定したキーワードに当てはまるフォルダー、もしくはファイルが操作された際にアラートが出ます。
アラート例
・キーワード「納品書」を含むファイルを追加しました
・キーワード「経費」「クレジットカード」を含むファイルが削除されました
-
- 着脱アラート
- USB ドライブの取り付け時、または取り外し時にアラートが出ます。
アラート例 ・USBデバイスが取り付けられました
2.すべての USB ドライブの利用を許可していない場合
- 利用制限アラート
- すべての USB ドライブの利用を許可していないため、取り付け時と取り外し時にアラートが出ます。
アラート例 ・許可されていないUSBデバイス「デバイス名(シリアル番号)」が 取り付けられました
3.許可された USB ドライブのみ利用を許可している場合
- ファイル操作アラート
- USB ドライブ上の指定したキーワードに当てはまるフォルダー、もしくはファイルが操作された際にアラートが出ます。
アラート例 ・キーワード「納品書」を含むファイルを追加しました ・キーワード「経費」「クレジットカード」を含むファイルが削除されました
- 着脱アラート
- 許可された USB ドライブの取り付け時、または取り外し時にアラートが出ます。
アラート例 ・USBデバイスが取り付けられました
- 利用制限アラート
- 許可されていない USB ドライブの取り付け時と取り外し時にアラートが出ます。
アラート例 ・許可されていないUSBデバイス「デバイス名(シリアル番号)」が取り付けられました
◆ USB接続ルール
USB の接続ルールの設定にて、モバイル端末の利用方法について、次の2種類のいずれかの設定ができることを説明しました。
- すべての USB 接続の利用を許可する
- すべての USB 接続の利用を許可しない
利用方法によって、設定できるアラートも異なるため、それぞれの設定について説明します。
1.すべての USB 接続の利用を許可している場合
- 接続アラート
- モバイル端末の接続時、また切断時にアラートがでます。
アラート例 ・モバイル端末が切断されました
2.すべての USB 接続の利用を許可していない場合
- 接続制限アラート
- モバイル端末の接続時にアラートがでます。
アラート例 ・許可されていないモバイル端末が接続されました
ログ画面の見方
次の操作ログが日付の新しい順で表示されます。
- USB ドライブの着脱
- USB ドライブ上でのフォルダーおよびファイル操作
- モバイル端末の接続 / 切断
画面上部に表示するログを絞り込むための条件を設定することができます。
「追加する」をクリックすると、条件を追加することができるので、絞り込みを行いたい項目とその値を指定することにより、表示するログを絞り込むことができます。
USBを利用制限した場合の対象端末側の表示について
この機能がオンになった際、対象端末側には以下のような通知が表示されます。
※Windows の設定で通知がオフとなっている場合は表示されません。