パソコンからの情報漏えい防止、内部不正の未然防止FUJITSU Software Systemwalker Desktop Keeper
機能

Systemwalker Desktop Keeperは、リスクとなり得るエンドポイント操作の「記録」「禁止」「分析」により、情報漏えい・内部不正リスクを未然に防止する、エンドポイント向けのセキュリティ対策を実現します。

• 最新バージョンの機能強化ポイント

機能説明

• 禁止機能
• 記録機能
• 管理機能
• ログ分析機能
• レポート出力機能

禁止機能

スマートデバイスに対応

スマートデバイスにおける以下の機能を禁止します。

• Wi-Fi接続禁止（Android）
• Bluetooth接続禁止（Android）
• アプリケーション使用禁止（Android / iOS）

スマートデバイス対応状況については、「スマートデバイスにおける動作条件」をご覧ください。

アプリケーション起動禁止

インストールされているアプリケーション情報を取得し、指定アプリケーションの起動を禁止します。Windowsをセーフモードで起動した場合でも禁止します。禁止の例として以下のようなことが実現できます。

• 業務以外のソフトウェアの使用を禁止する。
• ゲーム / CD-R書込ソフトウェアを使用させない。

許可のないUSB媒体の使用禁止

ファイルの持ち出しを許可する場合に、個々のUSB媒体におけるメーカーおよびシリアル番号を識別し、特定のUSB媒体に対してのみデータの持ち出しを許可することができます。管理者が特定のUSB媒体のみに使用を限定させることで、データの持ち出しに関する安全性が向上します。

使用できるUSB媒体の動作検証実績機種は、以下のとおりです。

• USB媒体動作検証実績機種一覧（113KB / 2pages）

ログオン制御

Administrator権限などでのログオンを監視し、ポリシーに違反するIDでのログオン操作を無効とします。

印刷の禁止

印刷禁止アプリケーションからの印刷操作を禁止します。なお、以下の場合は印刷禁止ができません。

• ActiveXやCOMインターフェースを使用して印刷処理を行っている場合
• Windows規約外で作成されたアプリケーションの印刷（フリーソフトウェアの一部）
• Windows® Internet Explorer® 10 / 11 でMicrosoft XPS Document Writerに印刷を行った場合

紙の印刷量削減（グリーンICT対応）

クライアント（CT）ごとに印刷ページ数の上限値を設定することができます。上限値を超えた場合、管理者に通知すると共に、以下の2つのモードで動作します。

• 「印刷を禁止」して、かつクライアント画面に「警告メッセージを表示」
• クライアント画面に「警告メッセージを表示」

Print Screenキーの無効化

PrintScreenキー押下による画面のハードコピー取得を無効化します。また操作時の画面キャプチャーを採取することもできます。

メール添付ファイルの禁止

管理者の設定したポリシーによりメールへのファイルの添付を禁止することができます。対象は、SMTPプロトコルを使用するメールソフトウェアおよびMicrosoft® Outlook®（注1）です。禁止する場合のポリシーは以下の3種類です。

• 指定拡張子のみ禁止する
• 暗号化ファイルのみ許可する
• 指定拡張子のみ許可する

• 注1
  対応するバージョンは、Microsoft® Outlook® 2007、Microsoft® Outlook® 2010、Microsoft® Outlook® 2013、Microsoft® Outlook® 2016です。

ファイル持出し禁止

指定ドライブへの書き込みを監視し、設定により、禁止や半強制的に暗号化を行います。指定した時間帯のみ、持ち出し可能にすることもできます。Windowsをセーフモードで起動した場合も禁止します。デバイスタイプ（リムーバブルなど）での設定もできます。指定できるパターンは以下のとおりです

1. 持出し不可
2. 暗号化すれば持出し（移動 / 複写など）可とするが操作記録を取る
3. ユーザーが暗号化 / 平文持ち出しを選択したうえで持ち出し（移動 / 複写など）可とするが操作記録を取る

なお、外部へ持ち出す場合は、必ずSystemwalker Desktop Keeperが提供する「持出しユーティリティ（注2）」を使用する必要があります。

• 注2
  Systemwalker Desktop Keeper が提供する「持出しユーティリティ」は、持出し制御が有効となっている場合のコピーツールであり、内蔵する暗号化機能は該当処理目的での利用となります。ネットワークドライブへの書き込み禁止はできません。

サービス / プロセス起動制御

登録しているサービス一覧・プロセス一覧を取得し、強制終了、起動制御を行います。制御の例としては以下があります。

• リモートアクセスを禁止する。
• ワームなどウイルスソフトウェアの活動を検知する。

リムーバブルメディアからのデータ読み込み禁止

リムーバブルメディアからはデータを読み込ませない設定ができます。これにより、リムーバブルメディアを介した不正なデータやソフトウェアの持ち込みを防止できます。

URLアクセス禁止

アクセスを禁止するURLを設定して、許可されていないURLへのアクセスを禁止します。許可されていないURLにアクセスした場合、利用者の端末に警告メッセージを表示してウェブブラウザのタブを強制的に閉じます。（注3）

• 注3
  Windows® Internet Explorer® 7 / 8 / 9 / 10 / 11、Microsoft Edge™、Firefox 49以降、およびGoogle Chrome 53以降をサポートします。

ウェブサーバへのファイルのアップロード、ダウンロードの禁止

許可されていないウェブサーバに対しアップロード、ダウンロード操作をした場合、クライアントへ警告メッセージを表示します（注4）

• 注4
  Windows® Internet Explorer® 7 / 8 / 9 / 10 / 11、Microsoft Edge™、Firefox 49以降、およびGoogle Chrome 53以降をサポートします。

FTPサーバへの操作禁止

FTPサーバからのアップロード、またはダウンロードを許可するサーバを設定して、許可のないFTPサーバへの操作を禁止します。許可されていないFTPサーバへファイルをアップロード、またはFTPサーバからファイルをダウンロードしようとした場合、利用者の端末に警告メッセージを表示します。

仮想PCとパソコン間のクリップボード操作を禁止

仮想環境とパソコン間のクリップボードを利用したコピーを禁止します。禁止された操作が行われた場合は、クリップボードが無効となり、禁止ログが記録されます。

ネットワークドライブの操作禁止

許可されていないネットワークドライブへの操作を禁止します。

DVD / CDドライブからの読み込み禁止

DVD / CDドライブへの書き込みの禁止に加え読み込みも禁止します。

スマートデバイスの盗難・紛失対策

リモートロック・ワイプ機能により、盗難・紛失したスマートデバイスからの情報漏えいリスクを低減させることができます。

スマートデバイスでのアプリケーション利用制御

指定アプリケーションについて、指定した時間内のみ起動可能にすることができます。これにより、業務アプリケーションを就業時刻内のみ使用させることができます。また、指定した時間にスマートデバイス内の業務データを削除することができ、就業時刻外での業務データの流出を抑止できます。

クライアント（CT）への緊急対処

以下の製品との連携により、セキュリティリスクの発生を検知すると、クライアント（CT）への緊急対処（ネットワークの無効化、緊急対処設定ポリシーの適用、セキュリティリスクの通知）を行うことができます。

• iNetSec SF
• Windows Defender

記録機能

スマートデバイス（Android OS）に対応

スマートデバイス上での以下の操作についてログが記録できるため、監査ができます。

• ウェブアクセスログ
• SDカードのマウント / アンマウント
• SIMカードのマウント / アンマウント
• Wi-Fi接続ログ
• Bluetooth接続ログ
• 電話発着信ログ
• アプリケーション使用ログ
• アプリケーション構成変更ログ

スマートデバイス対応状況については、「スマートデバイスにおける動作条件」をご覧ください。

クライアント操作の記録

クライアントの各種操作を記録することで、漏えい操作の発見、追跡、特定を実現します。記録するログを選択でき、収集したログはサーバ側で保存されます。また、ドライブ種別を指定したログの検索ができるので、すべての操作ログを表示対象とするのではなく、必要なログだけ検索表示できます。さらに、Windowsをセーフモードで起動した場合でもアプリケーション起動ログを採取します。

• アプリケーションの起動 / 終了
  クライアント（CT）でウィンドウを持つアプリケーションを起動 / 終了したときのログです。ウィンドウを持たないアプリケーションの場合は、採取できません。画面を表示しない（不可視ウィンドウを保有している）アプリケーションは採取されます。
• メール送信
  クライアント（CT）でメールを送信したときのログ（注5）です。
• メール受信
  クライアント（CT）でメールを受信したときのログ（注6）です。
• コマンドプロンプト操作
  クライアント（CT）のコマンドプロンプトでコマンドを実行したときのログです。
• 印刷
  プリンターへ印刷した情報を記録します。
• ログオン / ログオフ / PC起動 / PC終了 / PC休止 / PC復帰
  クライアントに対する以下の該当操作のログを記録します。Windowsをセーフモードで起動した場合も該当操作のログを記録します。
  • ログオン / ログオフ
  • PC起動 / 終了 / 休止 / 復帰
• ファイル / フォルダー操作
  ファイル操作（参照、作成、更新、削除、複写、移動、変名）を記録します。これにより、漏えい操作の追跡、特定を実現します。Windowsをセーフモードで起動した場合もログを記録します。
• ウィンドウタイトル
  クライアント（CT）でウィンドウを持つアプリケーションを起動した場合、ウィンドウが表示されたときのログを記録します。
• PrintScreenキー操作
  PrintScreenキーを操作したログが採取（注7）できます。また、操作時の画面キャプチャーを採取することもできます。
• 環境変更
  クライアント（CT）でIPアドレスが変更された場合、緊急対処が実施されたときのログです。

• 注5
  メール送信ログは、メールの送信にSMTPプロトコルを使用するメールソフトウェアおよびMicrosoft® Outlook® 2007、Microsoft® Outlook® 2010、Microsoft® Outlook® 2013、Microsoft® Outlook® 2016 が対象です。
• 注6
  メール受信ログは、Microsoft® Outlook® がインストールされているクライアント（CT）が対象です。
• 注7
  PrintScreenキーにより、画面のハードコピーを採取するソフトウェアがインストールされている場合、PrintScreenキー操作ログを取得できない場合があります。

デバイス構成変更の記録

運用中のパソコンにおける機器構成の変化を検知し、記録します。USBメモリデバイスなどの記録媒体の「追加」、「変更」の記録に加え、以下の詳細情報を記録（注8）します。

• ボリューム
• デバイス名
• 内部シリアル番号
• サーバ名・共有名

• 注8
  Windows Vista®、Windows® 7、Windows® 8、Windows® 10、または、Microsoft Windows Server® 2008、Microsoft® Windows Server® 2012、Microsoft® Windows Server® 2016、Microsoft® Windows Server® 2019でUACが有効な場合、一般ユーザーが管理者に昇格してネットワークドライブに接続したときのデバイス構成変更ログは採取されません。

画面キャプチャー

画面に表示されたウィンドウのタイトルに、指定したアプリケーション名やキーワードが含まれる場合、画面のスナップショットを記録します。ログビューアーより採取した画面イメージを表示できます。

ファイル持ち出しの記録（原本保管）

外部記録媒体へファイルの持出しを許可する場合、持出しユーティリティで強制的に暗号化します。持ち出しの際にはログが記録されます。さらに、ファイル原本をサーバに保管します。ファイル原本のサイズが大きい場合は、ファイル原本を分割してサーバに保管します。

Citrix XenAppクライアント（仮想端末）上での操作の記録

Citrix XenAppクライアント（仮想端末）上での以下の操作について、ログを記録し、監査できるようになります。画面に表示されたウィンドウのタイトルに、指定したアプリケーション名やキーワードが含まれる場合、画面のスナップショットを記録します。ログビューアーより採取した画面イメージを表示できます。

• コマンドプロンプト操作ログ
• 印刷操作ログ
• ファイル操作ログ
• ログオン / ログオフログ
• アプリケーション起動 / 終了ログ
• ウィンドウタイトル取得ログ
• PrintScreenキー操作ログ
• FTP操作ログ
• ウェブ操作ログ
• クリップボード操作ログ

ウェブサーバからのファイルアップロード、ダウンロード記録

ウェブサーバ（注9）からのアップロード、ダウンロードを許可するサーバを設定して、許可のないウェブサーバからのファイルアップロード、ダウンロードを記録します。

• 注9
  Windows® Internet Explorer® 7 / 8 / 9 / 10 / 11、Microsoft Edge™、Firefox 49以降、およびGoogle Chrome 53以降をサポートします。

FTPサーバへの操作記録

FTPサーバからのアップロード、またはダウンロードを許可するサーバを設定して、FTPサーバへの操作を記録します。

仮想PCとパソコン間のクリップボード操作ログ

仮想PCとパソコン間でクリップボード操作を行うとログを取得します。

仮想環境への接続・切断ログ

仮想環境への接続・切断ログ採取できます。

クリップボード操作ログ

仮想PCからパソコンまたは、パソコンから仮想PCへクリップボードを経由していた場合、操作ログを取得します。

管理機能

管理コンソール

Systemwalker Desktop Keeperの管理コンソールは、以下の機能をサポートしています。パソコン単位、グループ単位にセキュリティポリシーを設定し、配付を行うことができます。また、個人所有 / 会社支給端末を区別した制御ができます。

• クライアントのグループ化
• クライアントのポリシー設定
• クライアントポリシーの配付
• プロセス・サービスの監視および制御

ポリシー設定、配付（PC / PCのグループ単位またはユーザー単位）

PC単位、PCグループ単位、ユーザー単位でポリシーを設定、配付することができます。
3階層構成の場合、管理サーバがメンテナンスなどで停止中でも、クライアントが自動的に代替管理サーバにユーザーポリシーを問い合わせるため、ユーザーポリシー運用を継続できます。

部門管理機能

部門ごとの管理者による各種設定管理により、部門統制環境の構築ができます。管理者権限はシステム全体の管理者と部門管理者の2階層で、それぞれの部門における運用状況、管理状況を全体管理者が監査できます。
Active Directoryとの連携により、組織変更などにも柔軟かつ迅速に対応できます。

メール通知機能、イベントログ出力機能

クライアントで特定操作があった場合、管理者へメールを通知、および（統合）管理サーバのイベントログへ操作内容を出力通知します。これにより、即時に管理者は違反操作などを検知できます。

自己版数管理機能

クライアントモジュールの自己版数を自身が管理し、版数アップ時の自己更新を行います。版数チェックタイミングは端末起動時で、版数が違う場合は端末利用者が更新を「即時に行う」、「後から行う」から選択できます。自己版数アップは、IPアドレスの範囲指定により、以下の運用ができます。

• 全体展開する前に特定の部門だけテストする
• 部門ごと、あるいは事業所ごとに順次展開する
• 負荷分散のため、展開するPCを区切って展開する

ログビューアー

クライアントから収集したログに対して、期間・時間帯・曜日・キーワードを指定してログ検索することができます。

• 特定日、特定時間帯に操作したパソコンの特定 （例：土・日曜日の午前0時から午前5時）
• 特定のアプリケーションを起動し、操作したパソコンの特定
• 違反操作の多いパソコンのランキング表示

ファイル追跡機能

ログビューアーの検索結果から該当するファイルの操作履歴を追跡することができます。

• バックトレース
  該当ファイルへの操作履歴（ファイル操作（参照、作成、更新、削除、複写、移動、変名）、ファイル持出し）を過去に遡って検索できます。
• フォワードトレース
  該当ファイルの操作履歴（ファイル操作（参照、作成、更新、削除、複写、移動、変名）、ファイル持出し、印刷、印刷禁止、メール送信、メール添付禁止）を未来に向かって検索できます。

ログフィルター機能

操作機能について以下のようなフィルター機能を提供します。

• ウィンドウタイトルログフィルター機能
  • 重複ログフィルター
    同じログが発生した場合にサプレスします。
  • キーワードフィルター
    プロセス名、キーワードの指定によるログの記録の有無を指定できます。
• ファイル操作ログフィルター機能
  ドライブ種別（リモート、リムーバブル）の指定によるログの記録の有無を指定できます。

クライアントパソコンの状況表示

クライアントパソコンの状況表示について以下のような機能を提供します。

• Systemwalker Desktop Patrolとの連携
  Systemwalker Desktop Patrolを導入している場合、トップ画面「状況画面」に両製品の運用状況を表示します。（ログインは1回のみ）

  

• パソコン状況をひと目で把握可能
  メインメニューのトップ画面「状況画面」で、運用状況をひと目で把握できます。また、「状況画面」を参照するだけで業務への影響の有無がわかります。

  

バックアップログの操作ログ閲覧

過去にバックアップした操作ログをログビューアーで参照することができます。
バックアップしたログを閲覧用データベースにリストアすることにより、運用系システムを停止すること無く、過去の操作ログを参照できます。

Systemwalker Desktop Patrolの資産管理画面の呼び出し

Systemwalker Desktop Patrolの組織情報を定期的に自動的に取り込みます。
人事異動が発生しても組織情報のメンテナンス作業を減らせます。

クライアント（CT）へ用紙使用状況の通知

ログイン時に利用者に対し前日までの複合機 / プリンターの利用状況を通知します。
先月の紙の利用状況や目標の削減状況を把握でき、紙の削減に貢献します。

PC使用時間の通知

利用者のPC使用時間を、管理者および利用者へ通知します。

• 各利用者のPC使用時間を、管理者にメール通知します。
• 利用者がクライアント（CT）にログオンした際に、PC使用時間を表示します。

また、PC使用時間実績一覧をCSVに出力し、勤怠管理システムの就業時間と突き合わせて確認することで、利用者の就業時間とPC使用時間の差異を確認できます。

ログ分析機能

情報漏えい予防診断機能

情報漏えい予防診断は、前日に収集されたログを集計し、過去一週間の各端末で発生した以下の操作ログの集計結果を表示します。情報漏えいにつながる可能性のある操作の動向を数値化し、リスク傾向を把握できます。

• ファイル持ち出し操作ログ
• ファイル操作ログ
• 印刷操作ログ
• メール送信操作ログ

目的別集計機能

情報漏えいの可能性のある各種操作ごとにリスク傾向を分析することができます。以下の視点で、集計単位や集計期間などの条件を設定してログを集計します。

• 違反操作状況を把握する
• ファイル持ち出し状況を把握する
• ファイルアクセス状況を把握する
• アプリケーション動作状況を把握する
• 印刷操作状況を把握する
• インターネットアクセス状況を把握する
• 情報漏えい状況を把握する

ログ追跡機能の強化

ログビューアーの検索結果から特定の利用者の操作履歴を追跡することができます。また、検索条件（検索期間、キーワード、ログ種別、デバイス）の指定により、ログ情報を効率よく追跡することができます。

内部不正リスク検出機能

内部不正の防止に向け、以下の検知ルールを用いてPCの操作ログを調べることで、内部不正リスク（不審な持ち出し予兆行動、不審な持ち出し行動）の早期発見を実現しました。

• 持ち出し予兆行動
  • ファイルサーバからPCへのファイル持ち込み
  • 外部デバイスの使用
  • 社外ネットワークへの接続
  • PC内部操作
  • 外部サービスへのアクセス
  • ファイル印刷
• 不審な持ち出し行動
  • 可搬記憶媒体での持ち出し
  • 社外ウェブサイトへのアップロード
  • 社外へのメール送信

レポート出力機能

ログ分析レポート

組織内のセキュリティ状況の診断結果や組織内部のコンプライアンス状況を、レポートとして印刷やファイル出力することができます。
また、分析結果を基にセキュリティポリシーの見直しを行うなど、効果的な情報漏えい対策の運用維持に役立ちます。以下のレポートが出力できます。

• 情報漏えい分析レポート：情報漏えいリスクの評価
• 端末利用分析レポート：端末の利用状況を判断
• 違反操作分析レポート：ポリシー違反状況を評価
• 総合分析レポート：各分析レポートの要点

システム管理者によるすべての管理対象のレポート出力に加え、部門管理者による自部門配下に限定したレポート出力もできます。

グリーンICT対応レポート

各ユーザーの印刷を監視し、印刷量の多いユーザーに「警告」すると共に「管理者に通知」します。また、部門ごと、または組織全体の印刷量をレポート化し、削減目標と実績値の差分を「見える化」することにより、無駄な印刷を抑止し、CO2削減に貢献します。

• 印刷量監視レポート：紙の印刷コスト削減の「見える化」

複合機の紙の使用状況の「見える化」

複合機の紙の使用量と、CO2排出量換算の結果をレポート出力できます。実績値を「見える化」することで無駄な印刷を抑止し、CO2排出量の削減に貢献できます。また、複合機ごとの使用状況を「見える化」することで複合機の削減や導入などの運用計画を支援します。

• 関連製品「Printianavi ECO Manager」の詳細
• 関連製品「PrintWalker/EM」の詳細

製品体系

Systemwalker Desktop Keeper	パソコン、仮想端末、スマートデバイスのログ収集を実現し、操作の記録と禁止および原本保管による、情報漏えい対策