splash

PGP® Endpoint Device Control

デバイスとポートを制御して、USB メモリや CD/DVD などを介した情報漏えいを防止

製品概要 | 技術仕様 | FAQ

製品概要

顧客情報や重要情報の漏えい事件が後を絶ちません。これらの情報漏えいの多くは、内部関係者によるものであるとの調査もあります。つまり、外部からの攻撃に備えるだけでは、情報漏えいを防ぐことはできない、ということです。内部関係者による情報の持ち出しを制限するためには、エンドポイントのセキュリティを強化することが急務と言えるでしょう。

なかでも、急速に利用が広がっているリムーバブル ストレージ デバイス (USB メモリ、外付けディスクおよび CD/DVD ドライブ)、あるいは周辺機器接続技術 (USB、Wi-Fi、Firewire および Bruetooth) を介した情報漏えいのリスクは高まっています。

PGP Endpoit Device Control は、リムーバブル ストレージ デバイスやその他の周辺機器の接続を自動的に検出し、承認されたデバイスであるかどうかをホワイトリストに照らし合わせて検証し、ポリシーに基づいてアクセス制御や暗号化を適用します。

あらゆるメディア、デバイスおよびポートを監視し、きめ細かく制御

PGP Endpoint Device Control Client は、企業情報のエンドポイントに位置するデスクトップ PC、ノート PC などのクライアント PC に常駐し、デバイスやポートの利用を監視・検出し、ホワイトリストやポリシーに従って利用を制御します。

PGP Endpoint Device Control Client は、クライアント PC の各種入出力ポートを監視し、様々なデバイス (各種のストレージ デバイスやプリンタ/スキャナなど) の接続を検出し、ポリシーやホワイトリスに従って利用の許可/制限/禁止を行い、制御します。ファイル サイズによる制限や時間帯での制限、また、PC そのものの利用制限をすることもでき、ユーザーによって制限の内容を変えることもできます。リムーバブル ストレージ デバイスへの書き出し時に、強制的に暗号化するような制御もできます。

ホワイトリストによる万全のセキュリティ

一般的なセキュリティ ソリューションで採用されているブラックリスト方式は、「認められていないデバイスのリスト」なので、新しいデバイスや未知のデバイスに対しては「リストに載っていないので接続を許可する」ということになります。そのデバイスの接続を制限するためには、リストをアップデートしなければならず、この方法では、日々続々と生み出される新規デバイスへの対応は追いつきません。

これに対して、ホワイトリストは、「リストに載っていないデバイスの接続を認めない」方式です。ホワイトリストに記載されているもの以外は、一切の外部デバイスの接続を拒否します。システム管理部門が認めたデバイスだけをリストに追加していくことにより、会社指定のデバイスの利用が、認められたユーザーにのみ認められることになります。個人が持ち込んだ USB メモリや、認められていないユーザーが勝手にプリンタにファイルを出力しようとしても、システム管理者が明示的に認めない限りは不可能です。リストのアップデートは必要な時に行えば良く、承認されているものから順次リストに登録していけば良いため、迅速に運用を開始することができます。

管理サーバーによる集中管理

PGP Endpoint Administration Server は、柔軟できめ細かいセキュリティ ポリシーの集中管理と、クライアント PC の操作ログの収集を行います。

管理対象クライアントにインストールされた PGP Endpoint Device Control Client から、各ユーザーのデバイス利用に関するアクセス ログを収集し、データベースに保存します。また、システム管理者の設定変更ログも全て記録します。

また、リムーバブル ストレージ デバイスへのファイル書き込みの監視では、ファイルの名称やファイル データそのもののコピーを保存することが可能です。また、持ち込まれたデバイスやデータに対しても同等の監視とログ取得を行うことができます。

PGP Endpoint Administration Server Console の強力なレポーティング機能により、必要な情報を簡単に抽出し、画面より確認することが可能です。保存されたログは CSV 形式でエクスポートすることができ、サードパーティ製のレポート ツールを活用して詳細なレポートの作成が可能です。

技術仕様

技術仕様

サポートされているオペレーティング システム

PGP Endpoint Client

  • Microsoft Windows 7 (32 ビット版および 64 ビット版)
  • Microsoft Windows XP Professional SP2 以上 (32 ビット版および 64 ビット版)
  • Microsoft Windows Vista SP1 以上 (32 ビット版および 64 ビット版)
  • Microsoft Windows XP Embedded (XPe) (32 ビット版)
  • Microsoft Windows Embedded Point of Service (WEPOS) (32 ビット版)
  • Microsoft Windows XP Tablet PC Edition (32 ビット版)
  • Citrix Access Gateway™ 4.5
  • Citrix Presentation Server™ 4.0 for Windows Server 2003 SP1/SR2+ (32 ビット版)
  • Citrix Presentation Server 4.5 for Windows Server 2003 SP1/SR2+ (32 ビット版および 64 ビット版)
  • Microsoft Windows® Server 2000 SP4 以上 (32 ビット版)
  • Microsoft Windows 2000 Professional SP4 以上 (32 ビット版)
  • Microsoft Windows Server 2003 SP1 および SR2 以上 (32 ビット版および 64 ビット版)

PGP Endpoint Administration Server

  • VMware および Microsoft Windows Server 2008 Hyper-V 仮想プラットフォーム
  • Windows Server 2008 (32 ビット版および 64 ビット版)
  • Windows Server 2008 R2 (64 ビット版)
  • Windows Server 2003 SP1 および SR2
  • Windows 2000 Server SP4

PGP Endpoint Administration Server Console (PGP Endpoint Administration Server 用の GUI Client)

  • Microsoft Windows 7 (32 ビット版および 64 ビット版)
  • Windows Server 2008 (32 ビット版および 64 ビット版)
  • Windows Server 2008 R2 (64 ビット版)
  • Microsoft Windows XP Professional SP2 以上 (32 ビット版)
  • Microsoft Windows Server 2003 SP1 および SR2 以上 (32 ビット版)
  • Microsoft Windows Vista SP1 以上 (32 ビット版および 64 ビット版)

データベース

  • SQL Server 2008
  • SQL Server 2008 Express Edition
  • SQL Server 2005 SP2 (32 ビット版および 64 ビット版)
  • SQL 2005 Express SP2 (無償版)
  • SQL Server 2000 SP4

サポートされるインターフェース

  • USB
  • FireWire
  • Bluetooth
  • WiFi
  • PCMCIA
  • PS/2
  • LPT
  • IrDA
  • IDE
  • COM
  • S-ATA
  • SCSI

サポートされているデバイス タイプ

  • バイオメトリック デバイス
  • DVD および CD ドライブ
  • フロッピー ディスク ドライブ
  • イメージング デバイスおよびスキャナー
  • モデムおよびセカンダリ ネットワーク アクセス デバイス
  • Palm ハンドヘルド デバイス
  • プラグアンドプレイ デバイス
  • プリンタ
  • リムーバブル ストレージ デバイス
  • RIM Blackberry® ハンドヘルド デバイス
  • スマート カード リーダー
  • テープ ドライブ
  • ユーザー定義デバイス
  • Windows CE ハンドヘルド デバイス
  • ワイヤレス ネットワーク インターフェース カード

サポート言語

PGP Endpoint のクライアント マシン上でのステータス、アクセス権設定および通知でサポートされる言語

  • イタリア語
  • オランダ語
  • スウェーデン語
  • スペイン語
  • ドイツ語
  • フランス語
  • ポルトガル語
  • ロシア語
  • 英語
  • 中国語 (簡体字)
  • 中国語 (繁体字)
  • 日本語

FAQ

PGP Endpoint Device Control とは何ですか、なぜ重要なのですか?

PGP Endpoint Device Control はエンドポイント デバイスのためのデータ保護および暗号化ソフトウェアです。サーバーやクライアント PC における USB メモリやハードディスク ドライブ等のデバイス利用制御やポート制御により、ユーザーによる許可の無い重要情報の持出を防止することが可能です。また、暗号化機能によりデータ持出し時における情報漏えいを防止することもできます。

PGP Endpoint Device Control ではどのようなデバイスを制御することができますか?

以下接続方式で接続される各種デバイスの制御が可能です。
詳細は、技術仕様をご確認ください。

  • 対応接続方式
    USB,FireWire,Bluetooth,WiFi,PCMCIA,PS/2,LPT,IrDA,IDE,COM,S-ATA,SCSI
  • 対応デバイス タイプ例
    USB フラッシュ メモリ,ハードディスク ドライブ,CD/DVD ドライブ,FD ドライブ,MO/ZIP ドライブ,携帯電話,PDA,テープ ドライブ,生体認証機器, デジタル カメラ,スキャナー,プリンタ,スマート カード リーダー,モデム等

PGP Endpoint Device Control ではデバイスに対しどのような制御をかけることができますか?

利用の完全な禁止はもちろん、情報漏えい対策として「読込み」は許可するが「書込み」は禁止といったポリシーの適応も可能です。また、特定ユーザーへの利用を許可したり、利用可能な時間を制限するといったことも可能で、ユーザーの状況に応じたきめ細かな制御ポリシーの設定が可能です。

ホワイトリストとは何ですか、なぜ重要なのですか?

「利用を許可するもの」を明示的に設定したものがホワイトリストで、ホワイトリストにあるもののみ利用を許可し、その他全てを利用禁止とする方式がホワイトリスト方式です。「利用を禁止するもの」を明示的に設定するブラックリスト方式では、急増する新たな脅威や、続々と開発される新製品デバイスへの追随が必要で、迅速な対応を継続する負荷が大きいですが、ホワイトリスト方式では、原則全て禁止で、許可するもののみ新たに設定を加えることとなり、セキュリティのリスクを抑えつつ運用負荷を低減させることができます。

会社所有の USB メモリの利用は許可し、個人所有 (私物) の USB メモリやオーディオ デバイス、デジカメ等の使用は禁止することができますか?

はい、可能です。
PGP Endpoint Device Control では、USB メモリのシリアル No. を識別し、個別に権限を与えることができます。会社所有の USB メモリのみ利用を許可することで、それ以外の個人所有の USB メモリをはじめその他全ての機器を利用できない環境を構築することができます。また、メーカーやモデル別の使用許可を与えることもできますので、暗号化 USB メモリのみ利用を許可するといったような運用も可能です。

PGP Endpoint Device Control で市販の暗号化 USB メモリの使用を制御できますか?

はい、可能です。
暗号化 USB メモリでも、非暗号化 USB メモリ同様ユーザー/グループ別に権限を制御することが可能です。また、PGP Endpoint Device Control では、非暗号化 USB メモリを暗号化する機能も提供しています。

情報漏えい対策として、デバイスにコピーされた情報を確認することができますか?

はい、可能です。
PGP Endpoint Device Control のシャドウイング機能では、リムーバブル デバイスを介した情報の持出し (書込み) をチェックし、ファイル名またはファイル自体をコピーし保存することができます。また、持込み (読込み) ファイルに対しても同様の機能が利用できます。

持出しを許可するファイルを限定することができますか?

はい、可能です。
ファイル フィルタリング機能により、持出し/持込みデータのファイル形式を限定することができます。ファイル ヘッダー情報にフィルタをかけ、不要なファイルの持込みや、重要ファイルの持出しに対するリスクをなくします。

CD および DVD の暗号化はどのように行われますか?

PGP Endpoint Administration Server を使って、管理者は CD や DVD のようなリムーバブル メディアへのアクセスや暗号化オプションを設定することができます。ユーザーは、Windows Explorer や PGP Endpoint のクライアントに含まれる Secure Volume Browser を使って、リムーバブル メディアへのアクセス、共有、復号化、暗号化を行うことができます。詳しい情報については、PGP Endpoint Device Control のユーザー ドキュメントをご参照ください。

CD/DVD に対し読込みのみ許可の設定をすることができますか?

はい、可能です。
ホワイトリスト方式で、各デバイスに対してユーザー/ユーザー グループ別に設定することが可能で、CD/DVD ドライブに対し、読込みのみ許可の設定ができます。また、CD-ROM/DVD-ROM メディアの個体を識別し、そのメディアのみを使用できる権限設定も可能です。

一般ユーザーが PGP Endpoint Device Control のアンインストールやサービスの停止をすることはできますか?

いいえ。
一般ユーザーによって PGP Endpoint Device Control の停止やアンインストールされることはありません。

クライアント OS で管理者権限のあるユーザーは PGP Endpoint Device Control のアンインストールやサービスの停止をすることはできますか?

いいえ。
PGP Endpoint Device Control は管理者権限のあるユーザーでも停止やアンインストールすることはできません。

Windows のセーフ モードでの起動時も制御は有効ですか?

はい、有効です。
セーフ モード起動時も、通常起動時と同様の制御を行います。

PGP Endpoint Administration Server ではなにができるのですか?

ユーザーが利用するクライアント端末にインストールされる PGP Endpoint Client を集中管理し、デバイス利用ポリシーの設定や、クライアントのデバイス利用状況のログ取得/保存、レポーティングを行うことができます。

PGP Endpoint Client と管理サーバーである PGP Endpoint Administration Server とはネットワーク接続が必須ですか?

いいえ。
ポリシー ファイルのエクスポート/インポート機能により、オフラインのクライアントでもデバイス制御の機能を利用することができます。

PGP Endpoint Client のリモート インストールは可能ですか?

はい、可能です。
PGP Endpoint Device Control にはリモート インストール ツールも含まれておりますので、他のツールを必要とせず、各クライアントに PGP Endpoint Client を展開することが可能です。MSI インストール ツールにも対応しおり、その使用によるリモート インストールも可能です。リモート インストール以外では、ディスク イメージによる配布、AD のグループ ポリシーによる自動インストール、CD からのインストールが可能です。

PGP Endpoint Client の設定が変更された場合、その内容をユーザーはどのようにして知ることができますか?

管理者がクライアント端末の制御設定を変更した際、その内容を利用ユーザーに通知するためにクライアント端末にメッセージを表示させることが可能です。メッセージは、ユーザーやデバイス別にカスタマイズが可能です。

PGP Endpoint Device Control によりデバイスの使用を拒否された際、どのようなメッセージが表示されますか?

禁止されているデバイスの利用を試みた際に、そのデバイスの利用が禁止されていることをメッセージにて表示し、ユーザーの混乱を防ぐことができます。メッセージは、ユーザーやデバイス別にカスタマイズが可能です。

PGP Endpoint Client の設定が変更された場合、その設定を有効とするにはクライアントの再起動が必要ですか??

いいえ、再起動は必要ありません。
制御設定の変更は管理コンソールからプッシュされて再起動することなく即時に反映されます。

制御の設定はクライアント端末毎に設定するのですか?

いいえ。
デバイス毎にユーザーまたはユーザー グループに対して利用制御の設定を行いますので、どのクライアント端末を使用しても設定された制御が適用されます。また、クライアント端末を限定した制御設定も可能です。(印刷用 PC、CD 作成用 PC など)

PGP Endpoint Device Control ではどのようなログを保存することができますか?

ユーザーのデバイスへのアクセス ログと、管理者による PGP Endpoint Device Control に対する操作ログを取ることができます。

ログはどのような形式で出力することが可能ですか?

csv でのエクスポート、および HTML 形式でのメール配信、syslog をサポートしています。

PGP Endpoint Device Control と PGP Whole Disk Encryption はどのように連携しますか?

PGP Whole Disk Encryption が PGP Endpoint Device Control と連携して利用されると、管理者は柔軟できめ細かいデバイス利用ポリシーを設定することができます。たとえば、管理者は USB 接続の MP3 プレイヤーを一律に使用不可にするポリシーを設定する一方で、特定の USB デバイスの利用は承認することができます。管理者はまた、複数の暗号化オプションを設定することもできます。たとえば、リムーバブル デバイスの暗号化に PGP Whole Disk Encryption を使うのか、PGP Endpoint Device Control のリムーバブル デバイス用暗号化機能を使うのか、などです。PGP Endpoint Device Control と PGP Whole Disk Encryption を同時に導入すると、リムーバブル デバイスを利用しているときに、PGP Endpoint Device Control は PGP Whole Disk Encryption に問い合わせを行い、適切にポリシーが適用されるようにします。

お問い合わせ
顧客事例

SMBC logo

三井住友銀行 (SMBC) の「パソコンバンクWeb21」では、顧客企業内部での改ざん・漏えいのリスクを回避するため、PGP Command Line を使って業務プロセス中に暗号化機能を埋め込むことにしました。

詳しく読む


Yonden logo

四電ビジネス株式会社は、全社規模でのメール暗号化に取り組むことになり、PGP Universal Gateway Email を導入しました。四電ビジネスでは、それまでの経験から、ユーザー操作に依存した方策では実効性がないことを認識していたのです。

詳しく読む


その他の事例 (海外) も、こちらからご覧いただけます。

詳しく読む