Reading Time: 1 minutes
昔から問題として挙がっているものの、依然、セキュリティインシデントの発生源とる一つとして、USBメモリーなどの可搬記録媒体が挙げられます。USBメモリーは、ハードディスクに比べると記憶容量は小さいですが、そのコンパクトさから、持ち運びが簡単にでき、場所を取らないという点で非常に優れています。さらに、CD-ROMなどはデータを書き込む際に特別なソフトウェアが必要ですが、USBメモリーの場合はパソコン本体に差し込むことで、データの読み書きを行うことができる点も大きなメリットです。
このようにメリットの多いUSBメモリーですが、一方で、利用に伴うリスクが存在していることも事実です。リスクの一例として、紛失による「情報漏えい」や、情報の受け渡し時の「ウイルス感染」が考えられます。
情報処理推進機構 (IPA)の「2014 年度 情報セキュリティ事象被害状況調査」によると、情報漏えいの原因となった媒体のおよそ2割は、USBメモリーなどの可搬記録媒体です。コンパクトで持ち運びができやすいというメリットの反面、その小ささから紛失の可能性が高く、保管していたデータを漏えいさせてしまう危険性があります。
参照:情報処理推進機構 (IPA) 「2014 年度 情報セキュリティ事象被害状況調査」
https://www.ipa.go.jp/files/000043418.pdf
また、もう一つのリスクに、ウイルス感染があります。NPO 日本ネットワークセキュリティ協会(JNSA)の「2014年 情報セキュリティインシデントに関する調査報告書」によると、コンピューターウイルスの感染経路の3割以上が、USBメモリーなどの可搬記録媒体によるものです。例えば、ウイルスに感染した自宅のパソコンでUSBメモリーを使用後に、会社のパソコンで使用することでウイルスに感染してしまい、その結果社内全体に感染が拡大するといった問題が考えられます。
参照:NPO日本ネットワークセキュリティ協会(JNSA)「2014年 情報セキュリティインシデントに関する調査報告書」
http://www.jnsa.org/result/incident/data/2014incident_survey_ver1.1.pdf
このような、セキュリティインシデントが起こる前の対策として、まずは全従業員に注意を促す必要がありますが、それだけでは不十分で、USBメモリーなどの可搬記録媒体の使用制限が最も有効な手段です。以下では、グループポリシーを使用した制限方法、さらに、弊社提供ツールのDesktop Centralを使用した制限方法について、ご紹介します。
1.グループポリシーを設定してUSBメモリーの利用を制限する
Active Directory環境下の場合は、ドメインまたはOU単位のグループポリシー設定により、USBメモリーの使用制限が可能です。
< グループポリシーの設定手順 >
[コンピューターの構成]-[ポリシー]-[管理用テンプレート]-[システム]-[リムーバブル記憶域へのアクセス]
※以下は、USBメモリー制限で設定可能なグループポリシーの一覧:
- リムーバブルディスク:実行アクセス権の拒否
実行ファイル( exeファイルなど)の実行を拒否します。 - リムーバブルディスク:読み取りアクセス権の拒否
ファイルへの読み取りを拒否します。 - リムーバブルディスク:書き込みアクセス権の拒否
ファイルへの書き込みを拒否します。
これらの設定を利用することで、ドメインまたはOU単位でUSBメモリーへの書き込みやUSBメモリーからのプログラム実行の阻止が可能です。また、USBメモリーのインストール自体を禁止する場合は、以下の手順からグループポリシー設定を行なうことで、実現が可能です。
< グループポリシーの設定手順 >
[コンピュータの構成]-[管理用テンプレート]-[システム]-[デバイスのインストール]-[デバイスのインストールの制限]以下にあるポリシー項目[リムーバブル デバイスのインストールを禁止する]
2.Desktop Central を使用してUSBメモリーの利用を制限する
Desktop Central は、Windows・Mac・Linuxの各デバイスに対して、パッチ管理やソフトウェア管理、ファイアウォールなどの各設定の管理が可能な「総合クライアントソフトウェア」です。 その他、USBメモリーの制御機能も可能です。
USBメモリーの利用を制限する際に、特定ユーザーを除外したい、という要望に対して、Active Directoryのグループポリシーで設定する場合、新たにOUを作成しそのOUのみポリシーの適用除外設定を行いますが、その場合、OU管理が複雑化してしまいます 。一方、Desktop Centralを使用した場合は、USBメモリー制御および除外設定を、ユーザー、コンピューター、OS種類、あらかじめDesktop Centralで定義したカスタムグループごとで設定が可能です。
以下では、Desktop Central での設定手順を、実際の画面とともに紹介します。
1)[ 端末設定 ] – [ 設定 ] – [ Windows ] タブ – [ Secure USB ] – [ユーザー] をクリック
2) 設定に対して任意の名前を入力後、ブロックするデバイスタイプを選択
3)設定対象の詳細を決定
※ 以下が設定可能な条件の一覧:
・サイト ・組織単位 ・グループ ・コンピューター ・ユーザー ・カスタムグループ ・IPアドレス ・IP範囲 ・プロセッサ ・アーキテクチャ ・OS ・マシン種別
4)任意で実行設定を行います。
このように、Desktop Centralを使用することで、USBメモリーの制御に対してより詳細な設定を、画面から簡単に行うことが可能です。
もし、本製品に少しでもご興味を持っていただきましたら、以下のリンクより30日間無料で評価できる評価版をダウンロードできますので、是非お試しください。
評価版ダウンロードURL:https://www.manageengine.jp/products/Desktop_Central/download.html
また、評価版を利用する際にインストールガイドなどが記載したスタートアップガイドもございますので、こちらもご参照ください。
スタートアップガイド:https://dc-startup.helpdocsonline.com/home
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。