PC周辺デバイスは、ユーザの多様な要求に対応するため、さまざまな機能の周辺デバイスが登場しています。しかし、これらの周辺デバイスはユーザに便利さをもたらす一方で、企業に未知のリスクをもたらす可能性があります。
IT管理担当者なら、周辺デバイスの管理に頭を悩ませていることでしょう。今までのデバイス制御は基本的に既知の周辺デバイスを禁止するブラックリスト技術を採用していましたが、それでは既知の周辺デバイスしか禁止できません。それを解消するためのホワイトリスト制御機能もあります。各PCの許可デバイスをホワイトリストに登録すれば、ホワイトリスト以外のハードウェアデバイスをすべて禁止することができます。
下の例で具体的な運用方法を説明します。
- セキュリティポリシーで認証済みのネットワークカードしか許可せず、それ以外のネットワークカード(例:個人持ち込みデバイスなど)による接続を防ぐ場合、事前に許可したネットワークカードをホワイトリストに登録すれば、登録外のデバイス接続を禁止できます。
- PCに物理デバイスを1つ接続するだけで、デバイスマネージャーに複数の仮想デバイスが表示されることがあります。仮想デバイスには異なる特徴があり、TSFはこれらのデバイスの特徴でデバイスを特定してホワイトリストやブラックリストで制御できます。
周辺デバイスの特徴
- クラス(Class):デバイスの特性に基づいて分類されます。例:USBメモリはDiskDrive、マウスはMouse
- デバイスインスタンスパス:デバイス製造業者がWindowsシステムに認識させるために提供したPID、VID、またはシリアルナンバー
周辺デバイスの管理方法
デバイスクラス(Class)の制御
デバイスのクラス属性に基づいて周辺デバイスを許可または禁止します。
例:マウス、キーボードのクラス属性はHIDなので、Class = HIDを制御ホワイトリストに登録します
デバイスインスタンス(Instance)の制御
デバイスのVID_XXXXやPID_XXXXまたはシリアルナンバーに基づいて個々のデバイスを許可または禁止します。
例:パンデミック対策として、テレワークなどを実施する場合、社員に配布したビデオカメラのVIDとPIDを事前にホワイトリストに登録して制御すれば、登録外のデバイスを禁止することができます。
デバイスのホワイトリスト登録
ポリシーでホワイトリストスキャンを実施することでPCの周辺デバイスのスナップショットを取り、一括でホワイトリストに登録します。
例:製造ラインのPCで決めたデバイスしか許可しない場合で、登録外のデバイスを禁止できます。
デバイスのホワイトリスト登録+単一デバイス制御
周辺デバイスをホワイトリストに登録した後、追加デバイスが必要な場合はデバイスの特徴を取得できればホワイトリストに追加登録できます。登録後のポリシーを同期してPCに配布して、追加デバイスを許可できます。
デバイス管理の注意事項
同じPID・VID
一部のデバイスのPIDとVIDはユニーク値ではありません。同じロットのデバイスはPIDとVIDが同じ場合があるので、許可する際は特に注意が必要です。
異なるUSBポートから別ハードウェアとして認識される場合
システムはハードウェアの特徴を比較します。例えば「デバイスインスタンスパス(Instance Path)」を基準とする場合、次のようなケースが考えられます
- デバイスにシリアルナンバーがない場合:ハードウェアを異なるUSBポートに接続するとインスタンスパスが変わり、異なるデバイスと見なされます。
- デバイスにシリアルナンバーがある場合:シリアルナンバーを絶対値として認識するので、USBポートを変更してもインスタンスパスは変わりません。
TSFのシステムでは、USBポートしか違いがないと認識する場合は同じハードウェアと判断します。
直接接続と間接接続の影響
同じハードウェアデバイスは直接PCに接続してもハブに接続してもハードウェアの認識に影響しませんが、許可する場合は経由したハブなどのデバイスも一緒に許可する必要があります。また、外部記憶デバイス出力制御・CD/DVD書き込み制御・プリンタ制御などTSFの他の制御と組み合わせてより柔軟な制御を実現することができます。