CrowdStrike Falconプラットフォームの一部であるDevice Control(デバイス制御)機能は、エンドポイントに接続されるUSBデバイスの使用を詳細に可視化し、制御することで、組織のデータ保護とマルウェア感染リスクの低減を支援するモジュールです。

特に、持ち運びが容易で便利なUSBデバイスは、企業のデータ漏洩やマルウェア侵入の主要なリスク要因の一つとなり得るため、その利用を適切に管理することが現代のセキュリティ対策において非常に重要です。

CrowdStrike関連の記事一覧はこちら

Device Controlの主な機能

Device Controlは、追加のエージェントやハードウェアなしに、Falconプラットフォーム上で以下の主要な機能を提供します。

USBデバイスの利用状況の完全な可視化

ネットワーク内のどのエンドポイントで、いつ、どのUSBデバイス(製造元、製品名、シリアルなど)が接続されたかを自動的に検出し、リアルタイムおよび履歴データとして記録します。
デバイスからファイルが書き込まれたアクティビティも記録・監視し、データの持ち出しリスクを把握できます。

2つのモニター設定

”モニターおよび強制”と”モニターのみ”の2つの設定が存在しています。
"モニターおよび強制"では、ポリシー設定に基づいてデバイスでアクションが実行されます。
"モニターのみ"では、ポリシー設定で定義されたデバイスの接続とアクションが記録されますが、割り当てられたホストで制限が強制されることはありません。
本番環境で”Device Control”を適用する前に、"モニターのみ"を設定することで、実際にどのデバイスがブロックされることになるのか、その影響範囲を事前に調査することが可能です。

きめ細かなアクセス制御ポリシー

デバイスの種類(クラス)や特定のデバイスごとに、以下のよう詳細なアクセス権限を設定できます。

• 読み取り、書き込み、実行
• 読み取り／書き込み専用
• 読み取り専用
• フルブロック

このポリシーを、ホストグループごとに適用し、柔軟な運用が可能です。

ログの記録と監視

USBデバイスの接続試行、書き込みアクティビティ、ポリシー違反などのイベントが詳細にログとして記録されます。
これらのログはインシデント調査やコンプライアンス管理に活用できます。

Device Controlを導入するメリット

データ漏洩リスクの低減

承認されていないUSBへのデータ書き出しを制限または禁止することで、内部不正や誤操作による機密情報の外部持ち出しを防ぎます。

マルウェア感染の阻止

不審なUSBデバイスからのマルウェア侵入を未然にブロックし、企業ネットワーク内への拡散リスクを大幅に軽減します。

コンプライアンスの強化

USBデバイスの利用状況を完全に可視化し、アクセス制御の証跡を残せるため、監査対応やセキュリティポリシー遵守を容易にします。

管理負荷の軽減

クラウドベースの単一プラットフォームで、既存のFalconセンサーを利用するため、追加のエージェントや管理インフラが不要で、ポリシー管理を効率化できます。

インシデント調査の迅速化

デバイスの利用履歴やファイル書き込みログにより、インシデント発生時の原因究明や影響範囲の特定を迅速に行えます。

デバイスポリシーの設定

デバイスコントロール機能を利用するには、”デバイスポリシー”を設定し、他のポリシーと同様に、ホストグループに割り当てることで利用できるようになります。

”エンドポイントセキュリティ > デバイスコントロール > デバイスポリシー”から作成できます。
※Windows、macOSそれぞれ作成が必要です。

USBモードとPCIeのモニター設定や、通知の設定を行います。
詳細に許可設定などをする場合は、”USBデバイス”や”PCIeデバイス”から設定を行います。

”割り当て済みホストグループ”から”ホストグループの割り当て”でポリシーを割り当てることで利用することが出来ます。

まとめ

CrowdStrike Falcon Device Controlは、単にUSBをブロックするだけでなく、”安全な使用”を実現するためのソリューションです。
便利なUSBデバイスの利用を完全に禁止するのではなく、必要な利用は許可しつつ、リスクのある利用は制御するという、バランスの取れたセキュリティ対策を可能にします。
この機能により、企業はセキュリティを損なうことなく、従業員の生産性を維持し、増大するエンドポイントのリスクに効果的に対応することができます。