危険な端末を探す

このページは、MobiControl v14.4での画面表示に基づいて、記述されています。


A. ウィルスチェックをしていないAndroid端末を探す


Android端末は、SOTIのウィルス対策ファイルサーバから定期的にウィルス対策ファイルをダウンロードします。そして、そのファイルに基づいて、
端末はウィルススキャンをします。SOTIのウィルス対策ファイルは、BitDefender社によって更新されています。



ウィルススキャンの結果、ウィルスが検出されたら、アラート・ルールに基づき、関係者にメール通報がされ、当該端末の画面にもその旨が表示されます。
更には、当該端末の端末グループ移動を自動実施し、電話機能のみのランチャー起動により端末機能の無害化などを実施します。

これらの措置を実施できるのは、端末がウィルス対策ファイルを装填していることが、前提です。


次の「ウィルスチェックをしていないAndroid端末を探す」をクリックください。




 
ウィルスチェックをしていないAndroid端末を探す





(図A1)


赤矢印部分にマウスを載せ、クリックします




(図A2)


プルダウンメニューが現れるので、「ウィルス対策定義バージョン」を選択します。




(図A3)


「未満」を選択します。




(図A4)


数値の7を入力し、「完了」ボタンを押します。




(図A5)


端末フィルタ条件式が定義できました。


右側の
を押すと、
ウィルスチェックをしていないAndroid端末の一覧が表示されます。



右側は、のように変ります。
ディスケットマーク(赤矢印)をクリックすると、(図A5)の端末フィルタ条件式を保存できます。端末フィルタ条件式に対する任意の名前を入力します。




保存した端末フィルタ条件式の名前をクリックだけで、ウィルスチェックをしていないAndroid端末が表示されます。

ウィルスチェックをしていないAndroid端末を探す作業は、頻度多く実施することをお勧めします。




B. 構成プロファイルがインストールされてない端末を探す


構成プロファイルを端末グループに割り当てたのにかかわらず、それがインストールされてないことは、なんらかの問題があります。
そこで、構成プロファイルがインストールされてない端末を探します。


情報漏洩を防ぐために、構成プロファイルで、様々な機能制限を端末に課すことができます。
その情報漏洩を防ぐ機能制限項目は、多々ありますが、次はその例です。



対象
設定項目
防ごうとするリスク
iOS
端末データをiCloudへバックアップさせない
会社支給端末内のドキュメントをiCloudにアップロードし、私物のPCなどでそれをダウンロードし、社外へ持ち出す。
macOS
コンピュータ
My Mac iCloudサービスに戻ることを無効にする
iCloudの「どこでも My Mac」を利用し、会社のmacOSコンピュータと
自宅のコンピュータとの間でデータを共有できる。会社のコンピュータのデータを自宅のコンピュータにも取り込める。
Android Plus
USBストレージの機能停止
端末をUSBストレージとして使う。
会社のPCにUSB接続し、会社のサーバやPCのデータを端末にコピーする。端末にコピーされたデータが社外に流出する可能性がある。
Android Enterprise
USBファイル転送およびUSBストレージを無効にする


次の「構成プロファイルがインストールされてない端末を探す」をクリックしてください。





 
構成プロファイルがインストールされてない端末を探す





(図B1)


赤矢印部分にマウスを載せ、クリックします




(図B2)


プルダウンメニューが現れるので、「プロファイル」を選択します。




(図B3)


「ステータス」を選択します。




(図B4)


不等号を選択します。




(図B5)


「インストール済み」を選択し、「完了」ボタンを押します。




(図B6)


端末フィルタ条件式ができました。

右側の
を押すと、
構成プロファイルがインストールされてない端末だけが、画面表示されます。


当該端末の名前をクリックし、「構成」タブを開くと、インストールされてないプロファイル名と、それがなぜインストールされてないのかのステータス情報が
表示されます。

右側は、のように変ります。
ディスケットマーク(赤矢印)をクリックすると、(図B6)の条件式を保存できます。条件式に対する任意の名前を入力します。



(図B7)

再度、同じ端末フィルタ条件式で端末を探したいときは、左の歯車マークをクリックします。
今まで保存した端末フィルタ条件式の名前一覧が表示されます。その中から選択すると、同じフィルタリングができます。

頻度多く検索する端末フィルタ条件式は、保存しておくと便利です。




構成プロファイルがインストールされてないことは、なんらかの問題がありますから、この端末検索を、頻度多く実行することをお勧めします。






C. 本日一度もチェックインしてないiOS端末及びmacOSコンピュータを探す


iOS端末及びmacOSコンピュータは、デフォルトでは、2時間に1回は、MobiControlサーバにチェックインします。
しかし、その端末が24時間経過しても、チェックインしてないのは、なんらかの問題があります。

理由として、「インターネットに接続していない環境におかれている」「バッテリが上がっている」「電源オフになっている」などが考えられます。
紛失も考えられます。


チェックインスケジュールは、更新スケジュールの設定で変更できます。

参考情報として「Apple製品のチェックインの仕組み」を参照ください。


次の「本日一度もチェックインしてないiOS端末及びmacOSコンピュータを探す」をクリックください。




 
本日一度もチェックインしてないiOS端末及びmacOSコンピュータを探す





(図C1)


赤矢印部分にマウスを載せ、クリックします




(図C2)


プルダウンメニューが現れるので、「MDMステータス更新」を選択します。




(図C3)


「以下」を選択します。「以下」はここでは「以前」の意味です。




(図C4)


カレンダがポップアップしますので、昨日の日付をクリックし、「完了」ボタンを押します。




(図C5)


端末フィルタ条件式が定義できました。


右側の
を押すと、
本日、チェックしていないiOS端末及びmacOSコンピュータが一覧に表示されます。

端末一覧に表示されるコラムに、端末プロファイルとして「MDMステータス更新」を加えておくと、端末一覧に
端末毎のチェックイン日時が表示されます。


端末一覧に、端末プロファイルとして「MDMステータス更新」を加える方法は、「端末一覧の端末プロパティの入れ替え」を
参照ください。




D. iOS端末及びmacOS以外で、本日一度もチェックインしてないの端末やエンドポイントPCを探す


本日一度もチェックインしてないAndroid端末及びWindows PCを探します。

それには、前項の(図C2)で、「MDMステータス更新」の替わりに、「エージェントチェックイン時間」を選択します。


端末一覧に表示されるコラムに、端末プロファイルとして「エージェントチェックイン時間」を加えておくと、端末一覧に
端末毎のチェックイン日時が表示されます。




E. 互換性のあるTPMを組み込んでないWindows PCを探す


TPM(Trusted Platform Module)は、暗号化/復号鍵などを保存しておく、ハードウェアモジュールです。

TPMが組み込まれてないWindows PC は、ドライブの暗号化ができません。盗難に遭うと、
HDDを他のPCの外付けドライブとするだけで、すぐに情報は漏洩します。

TPMのバージョンには、1.2と2.0があります。TPM2.0でないと、次項で述べる、Microsoftの正常性構成証明書の中のレポートプロパティには
何も記述されてきません。
TPM2.0を「互換性のあるTPM」と呼びます。

社内で、互換性のあるTPMを組み込んでないPCを検出します。

次の「互換性のあるTPMを組み込んでないWindows PCを探す」をクリックしてください。





 
互換性のあるTPMを組み込んでないWindows PCを探す





(図E1)


赤矢印部分にマウスを載せ、クリックします




(図E2)


プルダウンメニューで、「ヘルス検証」を選択します。




(図E3)


「最新レポートの状態」を選択します。




(図E4)


等号を選択します。




(図E5)


「TPM非互換」を選択して、「完了」ボタンを押します。




(図E6)


端末フィルタ条件式が定義できました。


右側の
を押すと、
互換性あるTPMが組み込まれてないPCが一覧表示されます。


当該端末の名前をクリックし、「端末の詳細構成」タブの右下に、Microsoftが送ってきた正常性構成証明書の内容が表示されています。

「最新レポートの状態」の値が「正常でない」となっているはずです。また、正常性構成証明書のレポートプロパティには、何も記されていないはずです。







F. 正常性構成証明の内容が不適切なWindows PCを探す



ウィルス対策ソフトを導入しただけでは、Windows PCは安全ではありません。

標的型攻撃では、正常な業務内容と見まがうメールに、暗号化したマルウェアファイルを添付します。暗号化しているのでウィルス対策ソフトは開くことができずスルーします。
そして、別メールでそのパスワードを送ってきます。普通の従業員は、業務上の義務としてそのファイルを開けてしまいます。

ファイルレス・マルウェアもあります。これはファイルがないので、ウィルス対策ソフトをすり抜けて、PCに侵入し、リモート操作ができる環境を設定します。
そして、社内サーバへのログインIDとパスワードを盗みます。そして、貴社の重要データを盗みます。

攻撃者は、例えばメモリダンプツールなどを使って、PC内のパスワード情報や認証トークンを盗みます。

Windows10では、これらの重要情報は、独立したセキュリティ領域に保存できます。当該PCのローカル管理者権限のアカウントを盗んでも、Windows OSのどの機能を使っても、このセキュリティ領域を開けることができません。
「泥棒が家に侵入しても、金庫の鍵は開けられない」状態にできます。

このセキュリティ領域が設定されているか否かを含め、PCの構成が正常であるかどうかを、Microsoftはチェックをし、報告書をMobiControlに送ってきてくれます

コンソールの端末一覧の中の
Windows Modern PCの端末名をクリックすると、「端末の詳細」の画面が現れます。この画面の右下に、「デバイス正常性構成証明の詳細」のセクションがあります。

このセクションに、Microsoftから送られてきた「デバイス正常性構成証明書」の内容が記されています。多くのチェック項目が記載されています。
その中で、「仮想セキュアモードが有効」と報告されていれば、前述の「泥棒が家に侵入しても、金庫の鍵は開けられない」状態になっています。

しかし、

「仮想セキュアモードが無効」になっていれば、そのPCは危険です。

日本の企業の中には、「仮想セキュアモードが無効」のままになっているPCが多くあると言われています。貴社も、Microsoftの「デバイス正常性構成証明書」を入手することを
強くお勧めします。

MobiControlなどのMDMを導入しないと、Microsoftの「デバイス正常性構成証明書」は入手できません。
詳しくは、「Windows PC正常性構成証明書を参照ください。



次の「正常性構成証明の内容が不適切なWindows PCを探す」をクリックしてください。



 
正常性構成証明の内容が不適切なWindows PCを探す





(図F1)


赤矢印部分にマウスを載せ、クリックします




(図F2)


プルダウンメニューで、「ヘルス検証」を選択します。




(図F3)


「適用されたコンプライアンスポリシー」を選択します。




(図F4)


等号を選択します。




(図F5)


FALSEを選択して、「完了」ボタンを押します。




(図F6)


端末フィルタ条件式が定義できました。


右側の
を押すと、
正常性構成が不適正なWindows PCの一覧が表示されます。


当該端末の名前をクリックし、「端末の詳細構成」タブの右下に、Microsoftが送ってきた正常性構成証明書の内容が表示されています。


右側は、のように変ります。
ディスケットマーク(赤矢印)をクリックすると、(図F6)の条件式を保存できます。条件式に対する任意の名前を入力します。





ウィルス対策ソフトの導入をしていなくても、MobiControlは、MicrosoftのWindows Defenderで、ウィルススキャンを行います。
Windows Defenderが有効になっているかどうかも、正常性構成証明書の中に記述されています。



G. 端末ユーザの操作によりMobiControlによる管理から離脱した端末を探す


端末ユーザの操作により、端末やPCをMobiControlによる管理から離脱(登録解除)させることがあります。

これらは私用に使われているかもしれません。他人の手に渡っても、コンソール管理者は管理できません。


次の「端末ユーザの操作によりMobiControlによる管理から離脱した端末を探す」をクリックください。




 
端末ユーザの操作によりMobiControlによる管理から離脱した端末を探す





(図G1)


赤矢印部分にマウスを載せ、クリックします




(図G2)


プルダウンメニューで、「端末モード」を選択します。





(図G3)


等号を選択します。




(図G4)


「ユーザーによる登録解除」を選択して、「完了」ボタンを押します。




(図G5)


端末フィルタ条件式が定義できました。


右側の
を押すと、
端末ユーザにより登録解除された端末やPCの一覧が表示されます。







iOS端末では、監視モードに設定してあれば、端末側操作では、MobiControlからの登録解除はできなくすることができます。

詳しくは、「端末操作でのMobiControl登録の解除」を参照ください。
Android端末でも、端末側操作では、MobiControlから登録解除ができないようにすることができます。

詳しくは、「端末登録解除の禁止」を参照ください。







H. 「脱獄」または「ルート奪取」をした端末を探す


「脱獄(ジェイルブレーク)」をしたiOS端末と、「ルート奪取」をしたAndroid端末を探します。

どちらのインシデントも、アラートルールを設定しておけば、関係者に通報メールを送り、端末の無害化を実施できます。




次の「脱獄」または「ルート奪取」をした端末を探す」をクリックください。




 
「脱獄」または「ルート奪取」をした端末を探す





(図H1)


赤矢印部分にマウスを載せ、クリックします




(図H2)


プルダウンメニューで、「OSセキュア」を選択します。





(図H3)


等号を選択します。




(図H4)


「FALSE」を選択して、「完了」ボタンを押します。




(図H5)


端末フィルタ条件式が定義できました。


右側の
を押すと、
脱獄したiOS端末とルート奪取したAndroid端末が表示されます。








以上、危険な端末を探すための、端末フィルタ条件の作り方を、幾つか紹介しました。


これ以外のリスクを持つ端末を探したい場合は、適宜、端末フィルタ条件を作成して検索を実施してください。

端末フィルタ条件は、端末プロパティに着目し、その値が一定の値だと、フィルタリングするようになっています。

(図A2)などを開いてみるとお分かりのように端末プロパティは、100種類以上あります。
端末プロパティに関しては、「端末一覧の端末プロパティの入れ替え」を、
参照ください。


適切な端末プロパティを端末一覧に常時表示することでも、危険な端末を把握することができます。

また、アラートルールを設定することにより、異常事態の発生に対し、関係者に報知メールを出し、端末を無害化することもできます。



I. 指定するアプリをインストールしている端末を列挙


端末グループの端末の中で、指定するアプリがインストールされている端末だけを列挙します。



「指定するアプリをインストールしている端末を列挙」をクリックしてください。






 
指定するアプリをインストールしている端末を列挙





(図H1)


赤矢印部分にマウスを載せ、クリックします




(図H2)


条件式のプルダウンから「アプリ」を選択します。





(図H3)


「名前」を選択します。





(図H4)


「含む」を選択します。




(図H5)


アプリの名前の一部を入力します。ここでは、SOTI Surfと入力します。






(図H6)


条件式の入力が終わりました。
これを実行すると、「SOTI surf」という文字列が含まれているアプリがインストールされている
端末の一覧が表示されます。







画面の右上に、CSVダウンロードボタン(赤矢印)があります。これをクリックすると、「CSVをダウンロード」のポップアップが
現れます。それの「完了」ボタンを押すと、Excelが起動し、端末一覧表がExcel表示されます。

このExcelファイルを保存したり、印刷しておくと、アプリの展開に関する管理ができます。


コンソールでの端末フィルタで説明した、OSや設定モードの条件式と 
(図H6)の端末フィルタ条件式を、AND で連結すると、特定のOSや設定モードの端末での
アプリの展開状況を把握できます。