• セキュリティリスクと課題

  Bluetooth 利用におけるセキュリティ対策は、情報システム部門が直面する重要な課題の一つです。 Bluetooth を利用したファイル送信の制限を導入しない場合、具体的には以下のリスクが発生します：
  
  

  ● データ漏洩のリスク: Bluetooth を介して簡単にファイルを送受信できるため、機密情報が外部に流出するリスクが高まります。

  ● マルウェアの侵入: Bluetooth デバイスを利用して、悪意のあるソフトウェアが企業ネットワークに侵入する可能性があります。

  ● トレーサビリティの欠如: USBメモリーとは異なり、 Bluetooth 経由でのファイル送受信は追跡が困難であり、不正なデータ移動を検知することが難しいです。

  
  Bluetooth でのファイル共有は手軽で便利な反面、セキュリティリスクや転送速度の遅さなど、いくつかのデメリットがあります。特にセキュリティ面では十分な注意が必要です。
  これらの問題点を踏まえ、 Bluetooth を利用したファイル送信の制限を早急に実施することが求められます。適切な対策を導入することで、企業の情報セキュリティを強化し、データ漏洩やマルウェアの侵入を未然に防ぐことが可能です。
  
• Bluetooth 制限を実現する方法

  Bluetooth の全面的な制限は現実的ではありません。キーボードやマウス、ヘッドセットなど、 Bluetooth 接続が不可欠なデバイスが多く存在するためです。
  そのため、 Bluetooth 経由の「ファイル共有機能」のみをターゲットにした制限を導入するのが有効です。
  

• ホワイトリスト方式による UUID の選定

  今回作成するポリシーは、いわゆるホワイトリスト方式となります。ホワイトリスト方式とは、安全と判断された対象のみをリストに登録し、それ以外は禁止する方法です。対照的にブラックリスト方式は、危険とされる対象をリストに登録し、それらを禁止する方法です。
  
  まずは、利用する Bluetooth の機能を下記「ポリシー CSP - Bluetooth」ページの「サービス一覧の利用ガイド」 から確認し、対象となる UUID を選定します。
  

  サービス一覧の利用ガイド

  
  上記URLには、一般的な値が掲載されています。この中からデータ転送に関連する UUID を除外し、それ以外を登録します。
  具体的には、以下の UUID を登録します。
  
  ・HFP (ハンズ フリー プロファイル)
    {0000111E-0000-1000-8000-00805F9B34FB}
  ・汎用オーディオ サービス
    {00001203-0000-1000-8000-00805F9B34FB}
  ・ヘッドセット サービス クラス
    {00001108-0000-1000-8000-00805F9B34FB}
  ・PnP 情報
    {00001200-0000-1000-8000-00805F9B34FB}
  ・A2DP ソース (詳細なオーディオ配信)
    {0000110B-0000-1000-8000-00805F9B34FB}
  ・AV リモート コントロール対象サービス
    {0000110C-0000-1000-8000-00805F9B34FB}
  ・AV リモート コントロール サービス
    {0000110E-0000-1000-8000-00805F9B34FB}
  ・AV リモート コントロール コントローラー サービス
    {0000110F-0000-1000-8000-00805F9B34FB}
  ・HID (ヒューマン インターフェイス デバイス)
    {00001124-0000-1000-8000-00805F9B34FB}
  ・汎用アクセス属性
    {00001801-0000-1000-8000-00805F9B34FB}
  ・HID Over GATT
    {00001812-0000-1000-8000-00805F9B34FB}
  ・GAP (汎用アクセス プロファイル)
    {00001800-0000-1000-8000-00805F9B34FB}
  ・DID (デバイス ID)
    {0000180A-0000-1000-8000-00805F9B34FB}
  ・スキャン パラメーター
    {00001813-0000-1000-8000-00805F9B34FB}
  
  

• ポリシー作成手順

  Microsoft Intune でポリシーを作成する具体的な手順をご説明します。

  • Microsoft Intune 管理センターを開きます。

    Microsoft Intune 管理センター の公式サイト

    
    

  • 左部のナビゲーションから[エンドポイント セキュリティ] – [攻撃面の減少] – [＋ポリシーの作成] の順にクリックします。

    

  • 「プロファイルの作成」画面が表示されたら、それぞれ下記の通りに選択し、[作成] をクリックします。
    プラットフォーム： Windows
    プロファイル：デバイス コントロール
    

    

  • ポリシー作成ウィザードが表示されます。基本情報タブで[名前]を入力し、[Next] をクリックします。ここでは、「 Bluetooth で利用可能なサービス」と入力しました。

    

  • 構成設定タブが表示されたら、画面を下にスクロールし、 Bluetooth セクションの [+追加] をクリックします。

    

  • [使用できるサービス] 欄に事前にピックアップした UUID を一行ずつ入力し、[Next] をクリックします。

    

  • スコープ タブが表示されたら、[Next] をクリックします。

    

  • 割り当てタブが表示されたら、ポリシーを適用するデバイスグループを選択し、[Next] をクリックします。ここでは、 Autopilot_V1 というセキュリティ グループを選択しています。

    

  • 確認して作成タブが表示されたら、内容を確認し、[Save] をクリックします。

    
    
    

    実際にはここで追加した UUID 以外にも、企業のニーズに応じて利用を許可すべき Bluetooth デバイスが存在すると思います。
    さらに細かく UUID をリストに登録することで、企業の実情に合った柔軟な制御が可能となります。
    調査や実装に関しては、弊社営業または下記フォームよりお問い合わせください。

解説は以上です。

パシフィックネットは、確かな技術力をもとに、お客様に合った最適な環境をご提案・構築いたします。
ご質問やご相談がございましたら、お気軽に当社までご相談ください。

執筆者：水口 博文