デバイス制御システムはUSBポート等に接続された外部機器を検知し疑わしいアクセスを拒否するための仕組みです。
悪意のある誰かが企業内のパソコンにUSBメモリを接続しても情報を取り出せなくしたり、たまたま接続したDVDの中にウィルスが混入していても企業ネットワーク内への侵入を防ぐ事ができるといった効果が期待できます。
デバイス制御には制御方法にいくつかの種類があります。
制限する機器をあらかじめ決めておく観点からは、利用可能な機器を許可リスト化しておき、その他の機器は一切接続させないホワイトリスト方式や、その逆で接続させない拒否リストに無いものはすべて接続させるブラックリスト方式が一般的です。
その他にも、特定のメーカーの機器を接続させないためにベンダーIDを接続制限対象としたり、USBメモリや光学ドライブのような記憶領域を持つ機器類をまとめて接続制限対象とする方法もあります。
もちろん、セキュリティを万全にする観点だけで言えば、全ての機器を一律接続不可脳にする事が最も望ましいです。
一方で業務都合で顧客に対してDVDで完成物を納品したり、カメラやマイクを利用してWeb会議をしたりするケースもありますので、現実的には自社の業務で必要となる機器類をリストアップした上で、それらの機器は許可リストに入れて、その他の機器は接続不可とするといった運用が想定されるでしょう。
またデバイス制御の対象はネットワーク内の全機器とする事も特定の機器のみとする事もできます。
機器による制御だけでなく、利用者の役職によって接続可能な機器の種類を限定させるといったことも可能です。
例えば特定のPCのみDVDの書き込みを許可したり、管理職の方のみUSBメモリの接続許可を与えるといった設定もできます。
逆に下級の権限しか持たない利用者に対して印刷拒否して紙による情報漏洩を防ぐ対応もできます。
そして、導入後は日々の業務に応じて定期的に許可リスト、拒否リストそれぞれの見直しが必要となります。
数台程度のパソコンであれば直接端末を操作してリストを更新する事も可能できますが、台数が増えてくると作業工数の増大やミスの増加等、段々と手に負えなくなってきます。
そのような場合でも、デバイス制御システムでは管理対象となるパソコンに対して一斉にリストを配信し常に最新の状態に保つための仕組みを有しています。
さらに、いつの時点で、どのパソコンに対してどのような機器が接続されたかをログとして一元的に管理できるため、そのため未知の脅威に対しても素早く正確に対応する事ができます。