デバイスコントロールモジュールは、コンピュータに接続されている外部ストレージデバイスへのアクセスを制御します。デバイスコントロールは、データ漏えいの防止に役立ちます。また、ファイル検索と組み合わせることで、セキュリティリスクからの保護に役立ちます。
デバイスコントロールの施行設定 ([ポリシー] または [コンピュータ] の [デバイスコントロール] タブ) は、サポートされているデバイスの種類ごとに、無制限から制限付きまで、フルアクセス、読み取り専用、ブロックの3つのオプションに設定できます。
特定の種類のデバイスが保護対象のエンドポイントに接続されると、その種類のデバイスに対して処理が実行されます。ユーザの処理によって違反が発生した場合、デバイスコントロールイベントが次のWorkload Securityコンソールに送信されます ([イベント & レポート] > [イベント] > [デバイスコントロールイベント])。
例外は、ポリシーまたはコンピュータ (コンピュータの[デバイスコントロール][例外]) に追加して、アクションが読み取り専用またはブロックに設定されている場合でも、デバイスへのフルアクセスを許可することができます。
デバイスコントロールを有効にして設定するには、デバイスコントロールの設定を参照してください。

デバイスコントロールプロトコル

デバイスの種類に対する処理

デバイスコントロールを有効にすると、各デバイスタイプにプロトコルが割り当てられます。
プロトコル
読む
コピー
除外
書き込み
削除
フルアクセス
読み取り専用
ブロック

USB自動実行

デバイスコントロールを使用すると、USBデバイスがコンピュータに接続されているときにUSB自動実行が実行されないようにすることができます。

デバイスコントロールを設定する

  1. [ポリシー]に移動します。または、特定のコンピュータでこの機能を有効にするには、そのコンピュータの[デバイスコントロール]タブに移動します。
  2. デバイスコントロールを有効にするポリシーをダブルクリックします。
  3. [デバイスコントロール] > [一般] を選択します。
  4. [デバイスコントロールの状態]に対して、[オン]を選択します。
  5. [保存]を選択します。

プロトコルの設定

次の表は、デバイスの種類ごとに使用可能な処理設定を示しています。
使用可能な設定
説明
USB大容量ストレージ
注意
注意
この機能は、Windowsの場合はDeep Security Agent 20.0.0~4959以降、macOSの場合は20.0.158以降でサポートされます。
  • フルアクセス
  • 読み取りのみ
  • ブロック
USBデバイスのアクセスポリシーの設定
USB自動実行機能
注意
注意
Agent for macOSでは現在サポートされていません。
  • 許可
  • ブロック
USBデバイスの自動実行を許可またはブロックする
モバイル (MTP/PTP)
注意
注意
これは、macOSおよびWindows Server Coreのエージェントでは現在サポートされていません。
  • 許可
  • ブロック
USBモバイルデバイスのアクセスポリシーの設定

USBデバイスの除外設定

新しいデバイスを作成

USBマスストレージがブロックまたは読み取り専用に設定されている場合に特定のUSBデバイスへのアクセスを許可するには、除外ルールを設定します。
除外ルールごとに名前を入力し、ベンダー、モデル、およびシリアル番号を指定します。
アクセスが除外ルールのベンダー、モデル、およびシリアル番号に一致する場合、アクセス違反はバイパスされます。
USBデバイスに関する情報については、デバイスコントロールでUSBストレージデバイスおよび携帯電話を除外するを参照してください。

既存のデバイスを選択

既存のデバイスを複数のポリシーに含めることができます。ポリシーに既存のデバイスを含めるには、[リスト内の既存のデバイスを選択]をクリックし、関連するデバイスを選択します。

デバイスコントロールイベントのタグ付け

デバイスコントロールモジュールによって生成されたイベントは、Workload Securityコンソールの[イベントとレポート] > [デバイスコントロールイベント]の下に表示されます。イベントタグ付けは、イベントを整理し、どのイベントをさらに調査する必要があるか、どのイベントが正当であるかを判断するのに役立ちます。
イベントを右クリックし、[タグの追加] をクリックすると、イベントに手動でタグを適用できます。選択したイベントのみにタグを適用するか、類似のデバイスコントロールイベントにタグを適用するかを選択できます。
また、自動タグ付け機能を使用し、複数のイベントをグループ化してラベルを付けることもできます。 Workload Security コンソールでこの機能を設定するには、[イベントとレポート] > [デバイスコントロールイベント] > [自動タグ付け] > [新しい信頼済みのソース]の順に選択します。タグ付けの実行に使用できるソースは3つあります。
  • 信頼済みのローカルコンピュータ
  • トレンドマイクロのソフトウェア安全性評価サービス
  • 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです。
イベントのタグ付けの詳細については、イベントを識別およびグループ化するためのタグの適用を参照してください。