情報漏えい USBメモリ対策をどう考えるか
セキュリティ担当、IT担当者にとって、情報漏えいの不正・事故に対する対策は尽きません。完璧な対策をすればするほど、コストも高騰し、バランスが崩れます。自社の環境や状況にあったバランスを取ることが求められところです。
どの企業でのどの場面でも問題に挙げられるのが、メールとUSBメモリという問題。ここでは、USBメモリに対する考えを述べてみたいと思います。
今や、ギガ単位の容量を持つUSBメモリ。もちろん、今やUSBメモリだけではなくSDカードのように媒体はより小さく、容量は大きく進化しています。
掌に隠せる程度の媒体で多大な容量が持ち出せる。便利ではあるが、不正や事故につながることも...
そこで、USBメモリ対策はどんなものがあるか...
(1)USBメモリを禁止
もちろん、ルールを決めてUSBメモリを禁止するということはできますが、パソコンで使えなくすることをどうするか...
ひとつの策ですが、Windows Vista/Windows Server 2008の場合、
[コンピュータの構成]-[管理用テンプレート]-[システム]-[デバイスのインストール]-[デバイスのインストール制限]
をたどっていくと、USBデバイスのインストールを抑止できます。通常、新しいUSBメモリをPCに接続すると自動的にデバイスがインストールされて使用ができるようになりますが、このデバイスのインストールを抑制する方法です。
デバイスID毎に許可できるので、会社で許したUSBメモリのみを使用許可することもできます。
Windows XPなどの場合は、隠しフォルダの「%SystemRoot%\inf」フォルダ以下にある「UsbStor.inf」と「UsbStor.pnf」。
右クリックメニューで[プロパティ]を選択すると表示されるダイアログで[セキュリティ]タブに移動する。→[詳細設定](Windows 2000では[詳細])ボタンをクリックする。→[アクセス許可]タブで、[追加]ボタンをクリックする。→オブジェクト名として[Everyone]と入力して[OK]ボタンをクリックする。→すべてのアクセス権について[拒否]側のチェック・ボックスをオンにする。[許可]側がすべてオフになっていることを確認する。→順番に[OK]をクリックしてダイアログを閉じる。
もうひとつは、レジストリ。
キー HKEY_LOCAL_MACHINE\のSYSTEM\CurrentControlSet\Services\USBSTOR
値の名前 Start
型 REG_DWORD
値 3(使用を許可)/4(使用を禁止)
を設定しておけば、デバイス・ドライバが使えなくなるのでUSBメモリが利用できなくなる。
(2)USBメモリへの書き込みを禁止する
Windows Vista/Windows Server 2008の場合、
・[コンピュータの構成]-[管理テンプレート]-[システム]-[リムーバブル記憶域へのアクセス]
・[ユーザーの構成]-[管理テンプレート]-[システム]-[リムーバブル記憶域へのアクセス]
にたどる。前者はコンピュータ、後者はユーザーを単位として設定する。いずれも、ポリシー項目[リムーバブル ディスク:書き込みアクセスの拒否]を有効にすると、USBメモリをはじめとする各種のリムーバブル・メディアを読み取り専用に設定できる。
Windows XP SP2以降の場合は、レジストリ値を変更する。
キー HKEY_LOCAL_MACHINE\のSystem\CurrentControlSet\Control\StorageDevicePolicies(StorageDevicePoliciesキーがない場合、キーを新規に作成する)
値の名前 WriteProtect
型 REG_DWORD
値 1
以上あげた策は、完璧ではありません。ユーザー自身に、この情報を知られてしまうと設定を戻されてしまうことも考えられますし、そもそも、業務に支障が生じることも考えられます。適用には、よくよく検討をしなければならないでしょうが、現実策として知っておくと良い方法だと思います。
Active Directory環境なら、グループ・ポリシーの管理用テンプレートを設定することで、複数のコンピュータのデバイスのインストールを一括して抑止できると思います。
また、有料のセキュリティツールを使用することでより強固で、設定が容易なものもあります。有名どころでは、秘文やForth Eyeなど...
一番重要なのは、ユーザーである従業員の意識改革だと思います。USBメモリという便利な反面リスクの高いツールに対して、どう取り組んで向き合っていくか。セキュリティ担当、IT担当にとっては、気の抜けない状況であることには間違いないようです。
">
