危険な端末を探す

MobiControl v14 Manual


このページは、MobiControl v14.4での画面表示に基づいて、記述されています。

A. ウィルスチェックをしていないAndroid端末を探す

Android端末は、SOTIのウィルス対策ファイルサーバから定期的にウィルス対策ファイルをダウンロードします。そして、そのファイルに基づいて、 端末はウィルススキャンをします。SOTIのウィルス対策ファイルは、BitDefender社によって更新されています。
ウィルススキャンの結果、ウィルスが検出されたら、アラート・ルールに基づき、関係者にメール通報がされ、当該端末の画面にもその旨が表示されます。 更には、当該端末の端末グループ移動を自動実施し、電話機能のみのランチャー起動により端末機能の無害化などを実施します。
これらの措置を実施できるのは、端末がウィルス対策ファイルを装填していることが、前提です。
次の「ウィルスチェックをしていないAndroid端末を探す」をクリックください。

ウィルスチェックをしていないAndroid端末を探す

  • (図A1)
    赤矢印部分にマウスを載せ、クリックします
    (図A2)
    プルダウンメニューが現れるので、「ウィルス対策定義バージョン」を選択します。
    (図A3)
    「未満」を選択します。
    (図A4)
    数値の7を入力し、「完了」ボタンを押します。
    (図A5)
    端末フィルタ条件式が定義できました。
    右側の を押すと、 ウィルスチェックをしていないAndroid端末の一覧が表示されます。

    右側は、のように変ります。 ディスケットマーク(赤矢印)をクリックすると、(図A5)の端末フィルタ条件式を保存できます。端末フィルタ条件式に対する任意の名前を入力します。
保存した端末フィルタ条件式の名前をクリックだけで、ウィルスチェックをしていないAndroid端末が表示されます。
ウィルスチェックをしていないAndroid端末を探す作業は、頻度多く実施することをお勧めします。

B. 構成プロファイルがインストールされてない端末を探す

構成プロファイルを端末グループに割り当てたのにかかわらず、それがインストールされてないことは、なんらかの問題があります。 そこで、構成プロファイルがインストールされてない端末を探します。

情報漏洩を防ぐために、構成プロファイルで、様々な機能制限を端末に課すことができます。 その情報漏洩を防ぐ機能制限項目は、多々ありますが、次はその例です。
対象設定項目防ごうとするリスク
iOS端末データをiCloudへバックアップさせない 会社支給端末内のドキュメントをiCloudにアップロードし、私物のPCなどでそれをダウンロードし、社外へ持ち出す。
macOS
コンピュータ
My Mac iCloudサービスに戻ることを無効にするiCloudの「どこでも My Mac」を利用し、会社のmacOSコンピュータと 自宅のコンピュータとの間でデータを共有できる。会社のコンピュータのデータを自宅のコンピュータにも取り込める。
Android PlusUSBストレージの機能停止端末をUSBストレージとして使う。 会社のPCにUSB接続し、会社のサーバやPCのデータを端末にコピーする。端末にコピーされたデータが社外に流出する可能性がある。
Android EnterpriseUSBファイル転送およびUSBストレージを無効にする
次の「構成プロファイルがインストールされてない端末を探す」をクリックしてください。

構成プロファイルがインストールされてない端末を探す

  • (図B1)
    赤矢印部分にマウスを載せ、クリックします
    (図B2)
    プルダウンメニューが現れるので、「プロファイル」を選択します。
    (図B3)
    「ステータス」を選択します。
    (図B4)
    不等号を選択します。
    (図B5)
    「インストール済み」を選択し、「完了」ボタンを押します。
    (図B6)
    端末フィルタ条件式ができました。
    右側の を押すと、 構成プロファイルがインストールされてない端末だけが、画面表示されます。
    当該端末の名前をクリックし、「構成」タブを開くと、インストールされてないプロファイル名と、それがなぜインストールされてないのかのステータス情報が 表示されます。

    右側は、のように変ります。 ディスケットマーク(赤矢印)をクリックすると、(図B6)の条件式を保存できます。条件式に対する任意の名前を入力します。
    (図B7)
    再度、同じ端末フィルタ条件式で端末を探したいときは、左の歯車マークをクリックします。 今まで保存した端末フィルタ条件式の名前一覧が表示されます。その中から選択すると、同じフィルタリングができます。
    頻度多く検索する端末フィルタ条件式は、保存しておくと便利です。
    構成プロファイルがインストールされてないことは、なんらかの問題がありますから、この端末検索を、頻度多く実行することをお勧めします。

C. 本日一度もチェックインしてないiOS端末及びmacOSコンピュータを探す

iOS端末及びmacOSコンピュータは、デフォルトでは、2時間に1回は、MobiControlサーバにチェックインします。 しかし、その端末が24時間経過しても、チェックインしてないのは、なんらかの問題があります。
理由として、「インターネットに接続していない環境におかれている」「バッテリが上がっている」「電源オフになっている」などが考えられます。 紛失も考えられます。
チェックインスケジュールは、更新スケジュールの設定で変更できます。
参考情報として「Apple製品のチェックインの仕組み」を参照ください。
次の「本日一度もチェックインしてないiOS端末及びmacOSコンピュータを探す」をクリックください。

本日一度もチェックインしてないiOS端末及びmacOSコンピュータを探す

  • (図C1)
    赤矢印部分にマウスを載せ、クリックします
    (図C2)
    プルダウンメニューが現れるので、「MDMステータス更新」を選択します。
    (図C3)
    「以下」を選択します。「以下」はここでは「以前」の意味です。
    (図C4)
    カレンダがポップアップしますので、昨日の日付をクリックし、「完了」ボタンを押します。
    (図C5)
    端末フィルタ条件式が定義できました。
    右側の を押すと、 本日、チェックしていないiOS端末及びmacOSコンピュータが一覧に表示されます。
    端末一覧に表示されるコラムに、端末プロファイルとして「MDMステータス更新」を加えておくと、端末一覧に 端末毎のチェックイン日時が表示されます。
    端末一覧に、端末プロファイルとして「MDMステータス更新」を加える方法は、「端末一覧の端末プロパティの入れ替え」を 参照ください。

D. iOS端末及びmacOS以外で、本日一度もチェックインしてないの端末やエンドポイントPCを探す

本日一度もチェックインしてないAndroid端末及びWindows PCを探します。
それには、前項の(図C2)で、「MDMステータス更新」の替わりに、「エージェントチェックイン時間」を選択します。
端末一覧に表示されるコラムに、端末プロファイルとして「エージェントチェックイン時間」を加えておくと、端末一覧に 端末毎のチェックイン日時が表示されます。

E. 互換性のあるTPMを組み込んでないWindows PCを探す

TPM(Trusted Platform Module)は、暗号化/復号鍵などを保存しておく、ハードウェアモジュールです。
TPMが組み込まれてないWindows PC は、ドライブの暗号化ができません。盗難に遭うと、 HDDを他のPCの外付けドライブとするだけで、すぐに情報は漏洩します。
TPMのバージョンには、1.2と2.0があります。TPM2.0でないと、次項で述べる、Microsoftの正常性構成証明書の中のレポートプロパティには 何も記述されてきません。 TPM2.0を「互換性のあるTPM」と呼びます。
社内で、互換性のあるTPMを組み込んでないPCを検出します。

次の「互換性のあるTPMを組み込んでないWindows PCを探す」をクリックしてください。

互換性のあるTPMを組み込んでないWindows PCを探す

  • (図E1)
    赤矢印部分にマウスを載せ、クリックします
    (図E2)
    プルダウンメニューで、「ヘルス検証」を選択します。
    (図E3)
    「最新レポートの状態」を選択します。
    (図E4)
    等号を選択します。
    (図E5)
    「TPM非互換」を選択して、「完了」ボタンを押します。
    (図E6)
    端末フィルタ条件式が定義できました。
    右側の を押すと、 互換性あるTPMが組み込まれてないPCが一覧表示されます。
    当該端末の名前をクリックし、「端末の詳細構成」タブの右下に、Microsoftが送ってきた正常性構成証明書の内容が表示されています。
    「最新レポートの状態」の値が「正常でない」となっているはずです。また、正常性構成証明書のレポートプロパティには、何も記されていないはずです。

F. 正常性構成証明の内容が不適切なWindows PCを探す

ウィルス対策ソフトを導入しただけでは、Windows PCは安全ではありません。

標的型攻撃では、正常な業務内容と見まがうメールに、暗号化したマルウェアファイルを添付します。暗号化しているのでウィルス対策ソフトは開くことができずスルーします。 そして、別メールでそのパスワードを送ってきます。普通の従業員は、業務上の義務としてそのファイルを開けてしまいます。

ファイルレス・マルウェアもあります。これはファイルがないので、ウィルス対策ソフトをすり抜けて、PCに侵入し、リモート操作ができる環境を設定します。 そして、社内サーバへのログインIDとパスワードを盗みます。そして、貴社の重要データを盗みます。

攻撃者は、例えばメモリダンプツールなどを使って、PC内のパスワード情報や認証トークンを盗みます。
Windows10では、これらの重要情報は、独立したセキュリティ領域に保存できます。当該PCのローカル管理者権限のアカウントを盗んでも、Windows OSのどの機能を使っても、このセキュリティ領域を開けることができません。 「泥棒が家に侵入しても、金庫の鍵は開けられない」状態にできます。
このセキュリティ領域が設定されているか否かを含め、PCの構成が正常であるかどうかを、Microsoftはチェックをし、報告書をMobiControlに送ってきてくれます

コンソールの端末一覧の中の Windows Modern PCの端末名をクリックすると、「端末の詳細」の画面が現れます。この画面の右下に、「デバイス正常性構成証明の詳細」のセクションがあります。
このセクションに、Microsoftから送られてきた「デバイス正常性構成証明書」の内容が記されています。多くのチェック項目が記載されています。 その中で、「仮想セキュアモードが有効」と報告されていれば、前述の「泥棒が家に侵入しても、金庫の鍵は開けられない」状態になっています。

しかし、 「仮想セキュアモードが無効」になっていれば、そのPCは危険です。
日本の企業の中には、「仮想セキュアモードが無効」のままになっているPCが多くあると言われています。貴社も、Microsoftの「デバイス正常性構成証明書」を入手することを 強くお勧めします。
MobiControlなどのMDMを導入しないと、Microsoftの「デバイス正常性構成証明書」は入手できません。 詳しくは、「Windows PC正常性構成証明書を参照ください。

次の「正常性構成証明の内容が不適切なWindows PCを探す」をクリックしてください。

正常性構成証明の内容が不適切なWindows PCを探す

  • (図F1)
    赤矢印部分にマウスを載せ、クリックします
    (図F2)
    プルダウンメニューで、「ヘルス検証」を選択します。
    (図F3)
    「適用されたコンプライアンスポリシー」を選択します。
    (図F4)
    等号を選択します。
    (図F5)
    FALSEを選択して、「完了」ボタンを押します。
    (図F6)
    端末フィルタ条件式が定義できました。
    右側の を押すと、 正常性構成が不適正なWindows PCの一覧が表示されます。
    当該端末の名前をクリックし、「端末の詳細構成」タブの右下に、Microsoftが送ってきた正常性構成証明書の内容が表示されています。

    右側は、のように変ります。 ディスケットマーク(赤矢印)をクリックすると、(図F6)の条件式を保存できます。条件式に対する任意の名前を入力します。
ウィルス対策ソフトの導入をしていなくても、MobiControlは、MicrosoftのWindows Defenderで、ウィルススキャンを行います。 Windows Defenderが有効になっているかどうかも、正常性構成証明書の中に記述されています。

G. 端末ユーザの操作によりMobiControlによる管理から離脱した端末を探す

端末ユーザの操作により、端末やPCをMobiControlによる管理から離脱(登録解除)させることがあります。
これらは私用に使われているかもしれません。他人の手に渡っても、コンソール管理者は管理できません。
次の「端末ユーザの操作によりMobiControlによる管理から離脱した端末を探す」をクリックください。

端末ユーザの操作によりMobiControlによる管理から離脱した端末を探す

  • (図G1)
    赤矢印部分にマウスを載せ、クリックします
    (図G2)
    プルダウンメニューで、「端末モード」を選択します。
    (図G3)
    等号を選択します。
    (図G4)
    「ユーザーによる登録解除」を選択して、「完了」ボタンを押します。
    (図G5)
    端末フィルタ条件式が定義できました。
    右側の を押すと、 端末ユーザにより登録解除された端末やPCの一覧が表示されます。
  • iOS端末では、監視モードに設定してあれば、端末側操作では、MobiControlからの登録解除はできなくすることができます。
    詳しくは、「端末操作でのMobiControl登録の解除」を参照ください。
  • Android端末でも、端末側操作では、MobiControlから登録解除ができないようにすることができます。
    詳しくは、「端末登録解除の禁止」を参照ください。

H. 「脱獄」または「ルート奪取」をした端末を探す

「脱獄(ジェイルブレーク)」をしたiOS端末と、「ルート奪取」をしたAndroid端末を探します。
どちらのインシデントも、アラートルールを設定しておけば、関係者に通報メールを送り、端末の無害化を実施できます。
次の「脱獄」または「ルート奪取」をした端末を探す」をクリックください。

「脱獄」または「ルート奪取」をした端末を探す

  • (図H1)
    赤矢印部分にマウスを載せ、クリックします
    (図H2)
    プルダウンメニューで、「OSセキュア」を選択します。
    (図H3)
    等号を選択します。
    (図H4)
    「FALSE」を選択して、「完了」ボタンを押します。
    (図H5)
    端末フィルタ条件式が定義できました。
    右側の を押すと、 脱獄したiOS端末とルート奪取したAndroid端末が表示されます。

以上、危険な端末を探すための、端末フィルタ条件の作り方を、幾つか紹介しました。
これ以外のリスクを持つ端末を探したい場合は、適宜、端末フィルタ条件を作成して検索を実施してください。
端末フィルタ条件は、端末プロパティに着目し、その値が一定の値だと、フィルタリングするようになっています。
(図A2)などを開いてみるとお分かりのように端末プロパティは、100種類以上あります。 端末プロパティに関しては、「端末一覧の端末プロパティの入れ替え」を、 参照ください。
適切な端末プロパティを端末一覧に常時表示することでも、危険な端末を把握することができます。
また、アラートルールを設定することにより、異常事態の発生に対し、関係者に報知メールを出し、端末を無害化することもできます。

I. 指定するアプリをインストールしている端末を列挙

端末グループの端末の中で、指定するアプリがインストールされている端末だけを列挙します。
「指定するアプリをインストールしている端末を列挙」をクリックしてください。

指定するアプリをインストールしている端末を列挙

  • (図H1)
    赤矢印部分にマウスを載せ、クリックします
    (図H2)
    条件式のプルダウンから「アプリ」を選択します。
    (図H3)
    「名前」を選択します。
    (図H4)
    「含む」を選択します。
    (図H5)
    アプリの名前の一部を入力します。ここでは、SOTI Surfと入力します。
    (図H6)
    条件式の入力が終わりました。
    これを実行すると、「SOTI surf」という文字列が含まれているアプリがインストールされている 端末の一覧が表示されます。
    画面の右上に、CSVダウンロードボタン(赤矢印)があります。これをクリックすると、「CSVをダウンロード」のポップアップが 現れます。それの「完了」ボタンを押すと、Excelが起動し、端末一覧表がExcel表示されます。
    このExcelファイルを保存したり、印刷しておくと、アプリの展開に関する管理ができます。
    コンソールでの端末フィルタで説明した、OSや設定モードの条件式と (図H6)の端末フィルタ条件式を、AND で連結すると、特定のOSや設定モードの端末での アプリの展開状況を把握できます。