「Winny商法」にご用心

ITpro

2006.04.07

　筆者のもとには毎日，電子メールで数十通のプレスリリースが送られてくる。その中で最近よく目にするのが，「Winnyの起動を禁止するツール」や「USBストレージへのデータの書き込みを制限するツール」のリリースである。こういったツールの登場を見るたびに，筆者は複雑な気持ちになってしまう。

　筆者は，こういったツールが「実際には機能しない」とか「役に立たない」というつもりはない。試してはいないが，これらはきっと確実に動作するだろう。では，なぜ筆者が複雑な気持ちになってしまうのかというと，そもそも「特定のアプリケーションの実行禁止」や「USBストレージへの書き込み禁止」は，Windowsが標準で備えている機能だからである。

　例えば，Windows XP Professionalで特定のアプリケーションの実行を禁止したいのであれば，以下のような手順を実行すればよい。［コントロールパネル］の［管理ツール］を開き，［ローカルセキュリティ設定］を起動する。そして［セキュリティの設定］−［ソフトウエア制限ポリシー］のツリーを展開し，［追加の規制］を右クリックして［新しいハッシュの規制］を選んで，実行を禁止したいアプリケーションを選択する。これだけである。

　USB外付けストレージへの書き込みを禁止する機能は，Windows XP Service Pack 2で追加された。レジストリ・エディタを起動し（［スタート］−［ファイル名を指定して実行］でregeditと入力），「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control」サブキーを開く。ここで「StorageDevicePolicies」というサブキーを作成し（［Control］を右クリックして［新規］−［キー］を選択して作成），そこに「WriteProtect」という値の名前（DWORD値）を作成する（［StorageDevicePolicies］を右クリックして［新規］−［DWORD値］を選択し，名前を「WriteProtect」とする）。作成した［WriteProtect］をダブル・クリックして，値のデータに「1」を入力すると，USB外付けストレージへの書き込みが禁止される（画像入りの記事）。

Windows Serverの標準機能でクライアント管理が可能

　これらは，Active Directoryの「グループ・ポリシー」という機能を使えば，Active Directoryドメインに参加する全クライアントに対して，まとめて設定を施すことができる（本文最後の参考資料を参照）。グループ・ポリシーは，Windows Serverをファイル・サーバーやアプリケーション・サーバーとして利用するのに必要な「Windows Server CAL（クライアント・アクセス・ライセンス，クライアント1台当たり3000～5000円ほど）」があれば利用できる。

　それではなぜ，「Winnyの起動禁止ツール」や「USB外付けストレージへの書き込み禁止ツール」のような「Windows XPが標準で備えている機能を改めて実装したアプリケーション」が次々と登場するのだろうか。

　最大の理由は，Active Directoryやグループ・ポリシーでは運用に限界があることだと思う。Active Directoryは導入が面倒だし（技術的にも社内政治的にも），どれだけグループ・ポリシーで様々な制約を施したとしても，エンドユーザーにパソコンの管理者権限（ローカルの管理者権限）を与えていたら，あらゆる設定がエンドユーザーによってキャンセルされてしまう。

　もし，前述のサード・パーティ製ツールが，Active Directoryを導入できないユーザーや，Active Directoryを「ザル状態」でしか運用できないユーザーにとって本当に有用であるならば，これらのツールは「Active Directoryの限界を超えるもの」として全面的に肯定できる。

　しかし，ベンダーがユーザーの無知や怠慢に付け込んで，場当たり的な対策ツールを売り込もうとしているのであれば，「Winny商法」「漏えい防止商法」として批判されてしかるべきだ。この問題に関しては，ITpro Watcherの岡村久道氏の連載「間違いだらけの職場持ち込み私物パソコン対策」や「続・間違いだらけの職場持ち込み私物パソコン対策」もご覧頂きたい。

もう一度Active Directoryを見直してみては？

　Active Directoryは，ファイル・サーバーの認証基盤としてだけ考えるなら明らかにオーバー・スペックだ。NTドメインやワークグループ環境からActive Directoryに移行できないユーザーはまだまだ多い。しかし，クライアント管理ツールとして考えると，Windows Server CALだけで利用できるActive Directoryは，非常に安価で強力なツールだ。

　これからも，Winnyウイルスや情報漏えい事件が新聞やニュースで話題になる度に，様々なクライアント管理ツールが登場することだろう。もしあなたがWindows Serverのユーザーであるならば，「それはActive Directoryでもできるのではないか？」と思い直してほしい。ITproでも「Windowsテーマ・サイト」で，Active Directory関連情報を発信しているので，ご覧頂ければ幸いである。

（参考資料）

●マイクロソフトが作成した，USBストレージへの書き込み禁止をグループ・ポリシーで管理するための資料

「情報漏えい対策ガイド（Windows編）」

●Active Directoryやグループ・ポリシーの概要に関する記事

「今から始めるWindows Server 2003（最終回）　グループ・ポリシーによる一元管理」
「すぐできるWindowsサーバー強化術（第2回）GPOやコマンドで一括設定する」
「グループ・ポリシーでクライアントを管理する10の方法」
「独自のグループ・ポリシーでアプリケーションの設定を統一する」