マイクロソフト
セキュリティ レスポンス マネージャ
小野寺 匠

 今回は,前回の群で考えた情報漏えい対策について,具体的な設定や方法について確認していくことにする。USBメモリーの利用制限や,データ暗号化の方法についてだ。

 Windows Serverの標準機能であるActive Directoryを使って認証を統一し,各クライアント・パソコン(PC)を群管理する環境では,情報漏えい対策として以下のことが可能である。
・USBの利用制限をはじめとするPCの動作ルールを確実に配布・強制できる
・適切なログ記録・分析により,配布したルールの順守具合を確認できる
・統一された認証(ID)により,「誰が」「いつ」「何を」を確認できる

 情報漏えいのシナリオとして最もよくあるのは,USBメモリーやUSBハード・ディスクによる情報の持ち出しや,重要情報を記録したUSBメモリーなどの紛失だろう。情報の持ち出しや,USBメモリーに保存されたデータを情報漏えいから保護するには,特別な認証機能や暗号化機能といった情報漏えい対策機能を備えたUSBメモリーを使う必要がある。余談になるが,Windows 7ではUSBメモリ―などのリムーバブル・メディア全体の暗号化を可能にするBitLocker to goが提供され,この問題への対処がより容易になる。

 Windows Vista以降のOSでは,利用するUSBメモリーを情報漏えい対策用の製品に限定できれば,USBメモリーの紛失・盗難の際でも情報を保護できる。まずグループポリシーで,[管理用テンプレート]-[システム]-[デバイスのインストール]-[デバイスのインストールの制限]の以下の二つのポリシーを使うことで実現できる(写真1,表1)。

写真1●グループポリシー (デバイスのインストール制限)
[画像のクリックで拡大表示]

表1●許可したデバイスだけ利用可能にする設定

ポリシー名設定
他のポリシー設定で記述されていないデバイスのインストールを禁止する有効
これらのデバイスIDと一致するデバイスのインストールを許可する管理者が承認したUSBメモリーのハードウエアID

 利用を許可するUSBメモリーを一度,管理者のPCに接続すると,デバイスマネージャ(mmc devmgmt.msc) でハードウエアIDを確認できる。この際,複数のデバイスIDを確認できる(写真2)。重要なのは,USBメモリーの利用制限を設定する際の,デバイスIDの選び方だ。

タイトル
写真2●デバイスマネージャで確認できるハードウエアID

 ハードウエアIDは各デバイスのモデルごとに一意に設定されており,メーカー識別子,デバイス種別,リビジョン番号などの情報が含まれている。一番上に表示されているIDがすべての情報を含んだもので,厳密にデバイス(USBメモリー)を特定できる。これに対して2番目以降のハードウエアIDは,いくつかの情報が省略されていて,多少のモデルの違いがあっても一致する。このため,購入時期などによってハードウエアIDが頻繁に変わるような製品を使う場合には,簡略化されたハードウエアIDを使う方が運用しやすい。

 次に,USBメモリーへのデータの記録(書き込み)を許可する場合は,[管理用テンプレート]-[システム]-[デバイスのインストール]-[リムーバブル記憶域へのアクセス]にある以下のポリシーを設定する。

表2●許可したデバイスだけ利用可能にする設定

ポリシー名設定
リムーバブル・ディスク:書き込みアクセスの拒否有効

 全社のPCが群管理されていれば,これらのポリシーを全社展開することで,同じルールを使用できる。特定の部門,特定のコンピュータに対してだけ,USBメモリーへの書き込みや保護されていないUSBメモリーの利用を許可することで,運用面で情報の持ち出しを管理することが容易になる。ただ,この設定の前にすでに導入済みのデバイスについては,このポリシーでは制限できない。別途,不要なデバイスの排除が必要になる場合がある。