Systemwalker Desktop Keeper よくあるご質問（FAQ）

サポートOSはなんですか？

動作OS を参照してください。

推奨のハードスペックはなんですか？

Systemwalker Desktop Keeperの構成毎に推奨するハードウェアスペックは以下のとおりです。

統合管理／管理サーバ

• CPU
  Pentium(R)4またはXeon 1GHz以上
• 必要メモリ容量(注1)
  1GB以上(OS除く)
• 必要ディスク容量(OS除く)(注1)
  -データベースシステム(Systemwalker Desktop Keeper標準添付)
  250MB以上
  
  

  (注1)必要メモリ容量や必要ディスク容量は、システム構成、規模、および資源量によって変わります。

クライアント

• 必要CPU
  Pentium(R) 100MHz以上
  Pentium(R)II 266MHz以上(記録機能使用時)
  Pentium(R)III 600MHz以上(画面キャプチャ機能使用時)(Standard Edition機能)
• 必要メモリ容量
  32MB以上(OS除く)
• 必要ディスク容量
  73MB以上
  88MB以上(画面キャプチャ機能使用時)
  773MB以上(原本保管機能使用時)
  788MB以上(画面キャプチャ機能および原本保管機能使用時)

管理コンソール

• 必要CPU
  Pentium(R)II 333MHz以上
• 必要メモリ容量(注1)
  128MB以上(OS除く)
• 必要ディスク容量
  20MB以上

• 必要CPUスペック
  Pentium(R) 100MHz以上
  Pentium(R)III 600MHz以上(画面キャプチャ機能使用時)
• 必要メモリ容量
  128MB以上(OS除く)
• 必要ディスク容量
  20MB以上

必須ソフトウェアはありますか？

管理サーバ（統合管理サーバ）、管理コンソール、ログビューア、クライアント（CT）にInternet Explorerがインストールされている必要があります。

• Microsoft(R) Internet Explorer 5.5 Service Pack2
• Microsoft Internet Explorer 6(R) Service Pack1
• Microsoft Internet Explorer 7(R)

また、Desktop Keeper V13.3.0では、以下のSymfowareの一部の機能を使用します。

• Symfoware Server Enterprise Edition V9.1.1
• Symfoware Client Enterprise Edition V9.1.1

データベースソフトウェアを購入する必要がありますか？

Desktop Keeper V13 から、製品にデータベースを取り込みました。
別途、準備する必要はありません。

Systemwalker Desktop Keeper V12 まで使用していた SQL Server2000 をデータベースとして使用することはできますか？

Desktop Keeper V13 から、製品にデータベースを取り込みました。
これ以外のデータベースを使用することはできません。
移行コマンドを準備していますので、データの移行を行なってください。

Systemwalker Desktop Keeper V12 でサポートしていた Windows98 や Windows ME を使用したいのですが？

クライアント端末には、Desktop Keeper V12 をインストールしてください。
この場合、利用できる機能範囲は、V12 のサポート機能範囲です。

Systemwalker Desktop Keeper V13.2でサポートしていた Windows NTを使用したいのですが？

クライアント端末には、Desktop Keeper V13.2 をインストールしてください。
この場合、利用できる機能範囲は、V13.2 のサポート機能範囲です。

異なるバージョンやエディションで使用することができますか？

管理サーバ(統合管理サーバを含む)、管理コンソール、およびログビューアは、 同一のバージョン、レベル、エディションである必要があります。
また、管理サーバのバージョンとレベルは、クライアントと同じかそれ以上である 必要があります。クライアントが Standard Edition の場合、接続する管理サーバは Standard Edition である必要があります。
管理サーバとクライアントで バージョン、レベル、エディションのいずれかが異なる場合、動作する機能範囲は、 クライアントのサポートする機能範囲になります。

ネットワーク環境上の導入条件はなんですか？

以下のプロトコルで通信可能であることが条件です。また、回線交換式(ダイヤルアップ)の環境には適用できません。

• 管理サーバ－クライアント(CT)間：TCP/IPソケット通信
• 統合管理サーバ－管理サーバ間：HTTP(3階層構成の場合)
• 管理サーバ－管理コンソール間：HTTP
• 管理サーバ－ログビューア間：HTTP

また、管理サーバ（統合管理サーバ含む）とクライアント間がNAT（Network Address Translation）で構成されている環境では利用できません。
VPN接続で（統合）管理サーバとCTを接続した場合、メール送信ログが採取できないなど、Systemwalker Desktop Keeperの動作に影響を及ぼす可能性があります。
IPv6では動作しません。IPv4が動作する環境で使用してください。

FireWallが存在する場合の注意事項はありますか？使用ポートを教えてください。

管理サーバとクライアント間では下記のポート番号を使用します。

• 10010(tcp)
• 10004(http)
• 100012(http)
• 10006(tcp)
• 10008(tcp) ※3階層構成の場合のみ使用

また、以下の通信を行う場合、ポート137番～139番、および445番を開ける必要があります。

• 統合管理サーバ－管理サーバ間の通信
• 統合管理サーバ－クライアント（CT）間の通信
• 管理サーバ－クライアント（CT）間の通信

VLAN環境での注意事項はありますか？

VLANを使用することによってセグメント間で通信が制限される場合、通信可能な範囲で管理サーバを設置する運用となるので、 管理サーバが複数必要となる場合があります。

クライアントがDHCP環境での注意事項はありますか？

特に問題はありません。
Desktop Keeperでは、独自IDを使用してクライアントを管理します。
したがいまして、IPアドレス変更に伴う設定変更作業はありません。

名前解決について教えてください。

Systemwalker Desktop Keeperのシステムの通信では、名前解決が行われている必要はありません。

管理コンソールは複数台設置可能ですか？

ポリシーの設定作業を行う管理コンソールは、基本的に1管理サーバにつき1台設置します。
3階層のシステム構成では、ポリシーの設定を一元管理するために最上位の統合管理サーバに管理コンソールを1台設置します。
※複数の管理コンソールからポリシーを配付した場合は、最後に設定したポリシーがクライアントに反映されます。

ログビューアは複数台設置可能ですか？

複数台設置可能です。

管理コンソールやログビューアにログインする「管理ユーザ」を複数作成することはできますか？

管理ユーザは複数作成することができます。また、管理ユーザ単位に以下の権限を設定できます。

• 一切の権限がないユーザ
• ログビューアのみ実行できるユーザ
• 管理コンソールとログビューア、サーバ設定ツールの管理者通知設定が実行できるユーザ
• 管理コンソールとサーバ設定ツールの管理者通知設定が実行できるユーザ
• ログビューアのみ実行できる部門管理ユーザ
• 管理コンソールとログビューアが実行できる部門管理ユーザ
• 管理コンソールのみ実行できる部門管理ユーザ
• バックアップツール、バックアップコマンド、リストアツールを実行できるユーザ

管理サーバのデータベースの見積もりはどのように計算すればよいですか？

以下の例では、約23GB程度必要となります。

• 端末：100台
• ログ保存期間：3ヶ月
• クライアント1台につき、1日あたりのイベント数：
  ファイル操作ログ件数 500件
  ファイル操作以外のログ係数 500件

クライアントの操作ログはどのように保持・管理していますか、またその保持期間はどのくらいですか？

管理サーバ上のデータベースにて管理します。
保持期間は、設計時のデータベースの見積もりで決定します。
Desktop Keeperの管理機能で、保持する期間を指定したり、データの削除や上書きなどは行いません。

データベースのバックアップやリストアはどのように行うのですか？

Desktop Keeper独自のバックアップ、リストア機能を使用します。作業手順については、マニュアルをご参照ください。

クライアントの管理台数はどのくらいですか？

使用用途に応じて、1管理サーバあたりのクライアント台数(最大2000台)をご検討ください。
OA処理端末や事務処理端末などの一般事務用の端末では2000台(1日あたり300ログを想定)、ソフトウェア開発端末やヘルプデスク・オペレータ端末など、比較的ウィンドウ起動／切替えが多く発生する端末では1000台(1日あたり600ログを想定)、ファイル操作記録機能を使用する場合には500台(1日あたり1000ログを想定)を目安としてください。

管理サーバの階層化は可能ですか？

可能です。
管理サーバの上位に「統合管理サーバ」を設置することができます。
例えば、各拠点に管理サーバを設置し、センターに統合管理サーバを設置します。
3階層構成とする場合は、統合管理サーバをはじめに構築してください。

管理サーバを階層化した場合、各管理サーバにデータベースが必要ですか？

統合管理サーバ、管理サーバにそれぞれ構築が必要です。
Desktop Keeperは、V13から製品にデータベースを取り込んでいます。

Desktop Patrolと同一サーバ上に構築することは可能ですか？

サーバの負担が高くなることから、別々のサーバに構築することをおすすめします。

クライアントのインストールはどのように行うのですか？

対話型のウィザード形式とサイレントインストール形式をサポートしています。
Systemwalker Centric ManagerやDesktop Patrolなどの資源配付ソフトを導入されている環境では、サイレント形式での一括展開が可能です。

Desktop Keeperの導入サービスはなにがありますか？

スタートアップサービスにて、管理サーバの構築(DBの構築含む)、クライアントの構築を実施しています。

クライアントのポリシー設定は一括制御できますか？

ポリシーはシステム管理者が管理コンソールにて一括して設定します。
セキュリティの観点から、エンドユーザが自らポリシーを設定・変更できないよう考慮しています。
V13.2.0からは、システム全体の管理者は、部門毎に管理者を設定して、部門単位でのポリシー管理や利用状況の監視を委任できます。

クライアントのポリシーはログオンユーザ毎に設定可能ですか？

可能です。
ただし、クライアント端末と管理サーバがネットワーク通信可能な状態である必要があります。
また、設定は管理サーバごとに設定する必要があります。

ポリシーがクライアントへ反映されるタイミングはどうなっていますか？

クライアントへのポリシーは、リアルタイムに反映可能です。
また、クライアントが起動していなかった場合は、クライアントの再起動後にポリシーが反映される仕組みになっています。

ポリシーの設定を簡単に行う方法はありますか？

管理コンソールにて、雛型となるクライアントのポリシーを他のクライアントにコピーすることが可能です。
CSVファイルでの一括設定はできません。

クライアントの構成情報はCSVファイル等で一括して移入できますか？

CSVファイルを作成して一括移入することはできません。
しかし、Systemwalker Desktop Patrolの構成情報（CSVデータ）を取り込むことは可能です。
Systemwalker Desktop Keeper V13.2からは、Active DirectoryのOU（組織）を取り込むことができます。（Standard Edtion機能）

サーバとの通信が遮断されている場合、クライアント側で一時的に保持する操作系ログの容量はどれくらいですか？

クライアントで保持するログファイルは以下のようになります。

操作系ログ

• 条件
  LAN非接続時に、操作系ログを記録
• 上限サイズ
  30MB(3万件)
• ファイルへの書き込み方式
  ファイルへ追記して書く日がまたがった場合でも、同じファイルへ追記していく
• 上限まで使用した場合の動作
  追記はしない。新たな操作形ログは放棄する

抑止系ログ

• 条件
  LAN非接続時に、抑止系ログを記録
• 上限サイズ
  10MB(1万件)
• ファイルへの書き込み方式
  ファイルへ追記して書く日がまたがった場合でも、同じファイルへ追記していく
• 上限まで使用した場合の動作
  追記はしない。新たな抑止形ログは放棄する

管理サーバにクライアント機能をインストールすることは可能ですか？

V13 から、管理サーバにクライアント機能をインストールすることが可能です。
ただし、いくつかの抑止機能は使用できなくなります。

クライアントで発生した操作ログを管理サーバへ送信するタイミングを設定できますか？

送信するタイミングは、随時送信する方法と、一定件数ごとにまとめて送信する方法を選択できます。

1. ［操作ログ発生時点で即時に送信する］
   ログを、発生時に即時にサーバに送信します。
2. ［操作ログを一定時間まとめてから送信する］
   ログを一定時間蓄積してから、サーバに送信します。
3. ［全てのログを指定時間に送信する］
   ログを、指定した時間に、サーバに送信します。
   ログの［送信を開始する時間］を必ず設定します。

• ［蓄積した操作ログは、接続直後に即時に送信する］
  ネットワーク非接続の環境からネットワーク接続環境に変わった時点(管理サーバ、統合管理サーバと通信開始時)で、即時にクライアント（CT）からサーバに、蓄積されたログを送信します。
• ［蓄積した操作ログは、接続後、一定件数ごとにまとめて送信する］
  ネットワーク非接続の環境からネットワーク接続環境に変わった時点（管理サーバと通信開始時）で、一定件数ごとに、クライアント（CT）からサーバに、蓄積されたログを送信します。

エンドユーザにポリシーの設定を勝手に変更させたくない。

セキュリティの観点から、エンドユーザが自らポリシーを設定・変更できないよう考慮しています。
ポリシーはシステム管理者が管理コンソールにて一括設定します。

エンドユーザに勝手にDesktop Keeperをアンインストールさせたり、サービスを勝手に停止させたくない。

アンインストールの実行時にパスワード入力が必要な仕組みになっており、エンドユーザが勝手にアンインストールできないようにしています。
なお、アンインストール時に使用するパスワードはクライアントインストール時に設定します。
また、エンドユーザがサービスを自ら停止することもできません。

クライアント操作ログでは、どのようなログが取得可能ですか？

下記のクライアントの操作ログが発生日時、コンピュータ名・ログインユーザ名とともに取得可能です。

アプリケーション動作ログ

・起動したアプリケーション名、停止したアプリケーション名、起動したウィンドウタイトル名
・起動を禁止しているアプリケーションの起動ログ（起動しようとした履歴）
・URLアクセス履歴（Standard Editionのみ）

メール送信ログ

・メールのタイトル、送信元アドレス、送信先アドレス（To、Cc、Bccの情報）、添付ファイル名
・Standard Editionのみ、メール添付抑止ログが採取可能

コマンドプロンプト操作ログ

・コマンドプロンプトを操作した際の操作履歴

デバイス構成変更ログ

・USBメモリなどの外部媒体がPCに差し込まれたことを記録します。

印刷操作ログ

・印刷した文書タイトル名、ページ数
・印刷を禁止しているアプリケーション名（印刷しようとした履歴）

ファイル持ち出しログ

・メモリスティックなどの外部媒体へコピーしたファイル名
・外部媒体へコピーしたファイルの原本

ログオン抑止ログ

・Windowsへのログオンを禁止されているグループに所属するユーザがログオンしようとした履歴を記録します。

PrintScreenキーの抑止ログ

・PrintScreenキーを押下したことを記録します。

ファイル操作ログ

・ローカルデバイスに対するファイル操作（作成、更新、削除、複写、移動、改名、参照）を記録します。（Standard Editionではローカルデバイスに加えてネットワークデバイスが記録の対象となります。）

ログオン／ログオフログ

・ユーザがPCの起動・終了・休止・復帰およびログオン・ログオフした履歴を記録します。

画面キャプチャ

・プロセス名指定、キーワード条件を指定することによって、その時ユーザが操作していた内容を画像データとして取得します。

エンドユーザのファイル操作について参照しているファイル名を監視できますか？

「ファイル操作ログ」により監視可能です。

エンドユーザのファイル操作についてファイル名の変更、ファイルのコピーや削除を監視できますか？

「ファイル操作ログ」により監視可能です。

エンドユーザのファイル操作についてWindowsサーバの共有フォルダからクライアントPCのハードディスクへファイルコピーを行った場合、監視できますか？

Base Editionでは監視できません。
ネットワークドライブに対するファイル操作ログは記録しません。
Standared Editionでは監視可能です。

エンドユーザのファイル操作についてWebサーバからクライアントPCのハードディスクへファイルのダウンロードを行った場合、監視できますか？

監視できます。
ウィンドウタイトルログで記録できる範囲で可能です。
ブラウザのウィンドウタイトルから、どこのサイトを参照しているかを確認でき、ダウンロードの際に表示される「ファイルのダウンロード」ダイアログよりダウンロードしたファイル名を参照できます。
ただし、どのディレクトリへ保存したかについてはログに記録できません。

エンドユーザのファイル操作についてWindowsサーバの共有ファルダやWebサーバからクライアントPCの外部装置(FDD、USBなど)へファイルコピーを行った場合監視できますか？

監視できます。
ファイル持ち出し抑止ポリシーを設定することで可能です。
エンドユーザには、外部媒体へのファイルコピーにDesktop Keeperクライアントの「ファイル持出しユーティリティ」ツールを使用させます。
なお、ファイル持ち出し抑止ポリシーを設定した場合、エクスプローラ等から外部媒体へコピーする操作を禁止することができます。

クライアントPCのエクスプローラを使用して、WindowsサーバAの共有フォルダからサーバBの共有フォルダへファイルコピーを行った場合監視できますか？

Base Editionでは監視できません。
ネットワークドライブに対するファイル操作ログは記録しません。
Standared Editionでは監視可能です。

エンドユーザがアクセスしているホームページやURLを監視できますか？

Base Editionではウィンドウタイトルを取得できるため、ブラウザのウィンドウタイトルからどこのサイトを参照しているか確認することが可能です。
また、URLはブラウザのウィンドウタイトルにURLが埋め込まれている場合のみ取得できます。
Standared EditionではWebアクセス時のURLは監視可能です。
対象ブラウザはMicrosoft Internet Explorerです。

クライアント操作ログをCSVへ出力できますか？

CSV出力機能がログビューアにあるので可能です。
キーワード検索は、ANDあるいはOR条件で指定でき、全ログに対してユーザIDでの検索もできます。

• 抽出対象クライアントやグループを選択できます
• 抽出開始日～抽出終了日
• 曜日指定
• 時間帯指定
• キーワード検索
• ログの種類
• ドライブ種別
• 区分単位（違反、正規、すべて）

システム管理者の設定変更履歴は記録できますか？

可能です。
「いつ、どの管理ユーザが、どのクライアント／グループに対して、どのように変更したか」をすべて記録します。

ウィンドウタイトル取得ログが膨大に取得されてしまいます。何か対処方法はありますか？

Standard Editionでは、可能です。
ウィンドウタイトル取得ログにフィルタ条件を設定することで、膨大なログへの対策になります。
また、システムフォルダなどへの操作ログを除外できる除外フォルダを設定することで、膨大なログへの対策になります。

ファイル操作に関する内容を追跡することは可能ですか？

Standard Editionでは、可能です。

メールやFTPなどのアプリケーションを使用して、外部へファイルを持ち出した場合監視できますか？

FTPなど、起動したアプリケーション名やウィンドウタイトル名は取得可能ですが、外部へ持ち出したファイル名は記録できません。
ただし、直接的にひもづけはできませんが、FTPの前に開いたファイル名はウィンドウタイトルから取得可能です。

メール送信ログで添付ファイル名を記録できますか？

添付ファイル名を記録することができます。

メール送信ログを取得できるメールソフトの種類はなんですか？

メールソフトには依存しませんが、日本語のタイトルの場合、MIME iso-2022-jpでエンコードされている必要があります。
Microsoft社のOutlook Expressなどのメールソフトはデフォルト設定でMIME iso-2022-jpが設定されています。

メール送信ログでは、Webメールをサポートしていますか？

メール送信ログではSMTP(25番ポート)を監視しています。メールの送信にSMTPプロトコルを使用するメーラーが対象となります。

ファイル持ち出し記録／抑止について、サポート可能な外部記憶媒体の種類はなんですか？

OSが「ディスク」と認識できるものが対象です。
フロッピーディスクやMO、USBメモリ、SCSI接続のディスクやCD/DVDも対象です。

(注)立ち上げてみて、リムーバブル、または通常の内蔵ディスクと同様に見えるものであれば、制御可能です。

※CD/DVDのファイル持ち出しログは、CD/DVDへの書き込みに対して「持ち出しユーティリティ」を使用しないため、記録しません。CD/DVDの書き込み操作記録はアプリケーション動作ログ（ウィンドウタイトル名）として取得できます。
※XPではCD-R/RWへの、VistaではCD-R/CD-RW、DVD-R/DVD-RWへの持ち出しユーティリティでの書き込みが可能（Standard Edition）。

CD/DVDの持ち出し抑止の動作はどのようになりますか？

下記のメディアを持ち出し抑止します。
CD-R/RW、DVD-R/RW、DVD-R Dual Layer、DVD+R/RW、DVD+R Dual Layer、DVD-RAM （※リムーバブルディスクとして認識される場合を除く）。
※XPではCD-R/RWへの、VistaではCD-R/CD-RW、DVD-R/DVD-RWへの持ち出しユーティリティでの書き込みが可能（Standard Edition）。

暗号化したファイルの復元はどのように行いますか？

暗号化ファイル作成時にパスワードを設定し、復号時に入力します。
持ち出しユーティリティで作成される暗号化ファイルは自己復号型(exe形式)です。

外部記憶媒体への持ち出し抑止機能(コピー禁止機能)について、OS/BIOSレベルで抑止する場合との違いはありますか？

OS/BIOSレベルでの抑止は、例えばFD、CD-ROMそのものが使用できなくなります。
Desktop Keeperでは、FD、CD-ROMの読み込みは可能であり、書込みのみ抑止します。
「外部に情報漏洩させない」ことを製品思想としているため、読み込みは許可しています。

暗号化アルゴリズムは何を使用していますか？

AESを使用しています。

USB のハードディスクに対する書き込みを抑止したいのですが？

V13では、USB のハードディスクをリムーバブルディスクと認識するように改善しました。
これにより、USB のハードディスクに対する書き込み抑止が可能です。

デバイス構成変更記録ログでは、どのような項目が記録されますか？

USBメモリ等の外部媒体がコンピュータに差し込まれた時刻、ドライブ名、ユーザ名、コンピュータ名を記録します。(デバイス装着時のみ記録します。)

PrintScreenキーの抑止機能について、制限事項はありますか？

InstantCopy等の一部のハードコピーツールは、ユーザがPrintScreenキー 以外にキーに、PrintScreen機能を割り当てることが可能です。PrintScreenキー 以外のキーを抑止することはできないため、抑止することができません。 クライアントにハードコピーツールがインストールされている場合は、 「アプリケーション起動抑止機能」を使用して、ハードコピーツールの起動を 禁止するよう設定してください。

管理者へメール通知できるログの種類はなんですか？

クライアントで禁止されている操作を行った場合の禁止操作系のログを通知することができます。
また、あらかじめ通知対象とするログの種類を選択することができます。
さらに、下記の場合にメール通知をおこないます。

• DB領域枯渇時（空き容量の閾値を設定可能）
• ディスク領域枯渇時（空き容量の閾値を設定可能）
• サーバとクライアントの時刻が大きく異なっていた時
• 同じ管理情報を持つクライアントから情報が送られてきた時

クライアントが禁止されている操作を行った場合のログをCentric Managerへ通知できますか？

クライアントが禁止されている操作を行った場合のログを管理サーバのイベントログへ出力することが可能です。
イベントログを監視することでCentric Managerでメッセージを監視することができます。