【問題】
 あなたの会社では,機密情報保護のために,ユーザーがUSBメモリーにデータを保存するのを禁止したいと考えている。ネットワークはActive Directoryで管理され,Windows Server 2008とWindows Vistaを実行している。最低限の管理負担でポリシーを実装するには,どのようにしたらよいか。

A. レジストリ・キーの「HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR」にある「Start」値を設定するような管理用テンプレート・ファイルを作成。その後,GPOを作成し,管理用テンプレートを追加して,値のデータを「4」に設定して任意のOUにリンクする
B. GPOを作成し,セキュリティが強化されたWindowsファイアウォールで「HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR」をブロックするようにプログラムの受信ルールを作成し,すべてのプロファイルに適用する。このGPOを任意のOUにリンクする
C. GPOを作成し,[コンピュータの構成\管理用テンプレート¥システム¥リムーバブル記憶域へのアクセス]にある,「リムーバブルディスク:書き込みアクセスの拒否」を有効にする。このGPOを任意の組織単位(OU)にリンクする
D. サーバー・マネージャの[機能]で,「SAN用記憶マネージャ」を削除する

正解:C

【解説】

 情報漏えいに対する危惧から,従業員によるデータの持ち出しを規制をすることが求められるようになってきた。Windows XP/Windows Server 2003では,ドライブ・レターを使用したドライブへのアクセス禁止や,CD-ROMへの書き込み禁止であればグループ・ポリシーを使って制限できたが,USBメモリーに対して制限する項目はなかった。

 Windows Vista以降,GPOの管理用テンプレートに追加された[リムーバブル記憶域へのアクセス]([コンピュータの構成¥管理用テンプレート¥システム¥リムーバブル記憶域へのアクセス])を使用すると,CDやDVD,フロッピ・ドライブなどの個々のメディアに対して読み取りまたは書き込みアクセスを禁止できる(図6-1)。よって正解は選択肢Cである。

図6-1●USBデバイスへの書き込みが禁止された画面
図6-1●USBデバイスへの書き込みが禁止された画面

 読み取りと書き込みの制限を別々に設定できるので,「内容を見ることはできるが,書き込みは禁止する」というルールで,データの持ち出しを防止することも可能だ。USBメモリーを含むこれらのメディア全般に対して禁止するのであれば,リムーバブル・ディスクに対して一律に書き込みを禁止すればよい。

 また,カスタムクラスを作成して,リムーバブル記憶域クラスのGUID(Globally Unique Identifier)を使って書き込みを制限することも可能だ。しかし,実際にはデバイスをクラスのGUIDで識別することは難しい。

 もう一つの制限方法は,デバイスのインストールを禁止する方法である。

 [コンピュータの構成¥管理用テンプレート¥システム¥デバイスのインストール]-[デバイスのインストールの制限]で,USBデバイスのインストールを制御できる(図6-2)。

図6-2●デバイスのインストール制限設定
図6-2●デバイスのインストール制限設定
[画像のクリックで拡大表示]

 ここでは,すべてのデバイスのインストールを禁止しておいて,管理者が許可するデバイスのみ,そのデバイスのハードウエアIDと互換性IDまたはセットアップIDで利用可能にできる。これらのIDは,デバイス・マネージャで調べられる。

 選択肢Aのように,レジストリ・キーを使用した管理用テンプレートを追加することでも,USBメモリーの制御はできる。しかし,ファイルを作成するのは簡単な作業とはいえない。Windows Server 2003まででは,USBメモリーの使用を禁止するためにこの方法を取ることもあった。

 選択肢Bのように,レジストリ・キーへの値のデータ設定を,セキュリティが強化されたWindowsファイアウォールのルールで構成することはできない。ファイアウォール・ルールでは,例えばHTTPをInternet Explorerのみに制限するように,送受信のルールをプログラムに対して制限することはできるが,ローカルでのプログラム使用を制限することはできない。

 選択肢Dのように,サーバー・マネージャの[機能]で,SAN用記憶マネージャ機能の追加と削除はできるが,USBメディアに対するアクセス制御とは無関係である。