特集
» 2011年02月24日 05時00分 公開

運用:USBメモリからの情報漏えいを防げ! (1/2)

USBメモリによる情報漏えいやウイルス感染が問題に。利用を禁止する、紛失しても情報漏えいを防ぐ方法など、USBメモリ対策を解説する。

[井上孝司,著]
「運用」のインデックス

連載目次

 かなり以前から問題になっているにもかかわらず、依然として止む気配がないのが、USBメモリを介したウイルス感染や情報漏えいといったセキュリティ関連事件だ。

 USBメモリそのものは、大容量データの保存や受け渡しを安価に行える便利な周辺機器だが、利用に際して何がしかのリスクを伴っていることは否定できない。自分専用で、特定のコンピュータでバックアップなどに使用するだけであればまだしも、他者との間で行き来するUSBメモリについては注意が必要だ。しかし、人間の注意力にだけ依存するのでは不十分という考えから、USBメモリの利用そのものを制限したいと考える場合もあるだろう。

 そこで本稿では、USBメモリを安全に利用するための対策や、利用に際しての注意点についてまとめてみた。

セキュリティ問題につながりやすいUSBメモリ

 「インターネット経由の不正侵入や攻撃を防ぐには、物理的にインターネットと接続しなければよい」というのは1つ真理だが、それだけで安心していると、ウイルスなどの侵入を許してしまう場合がある。その多くは、USBメモリが感染ルートになっている。

 つまり、ウイルスのプログラムなどが入り込んだUSBメモリをコンピュータに取り付けた際に、自動的あるいは手作業でウイルスのプログラムを実行してしまい、結果としてウイルスの侵入を許してしまうわけだ。

 実際、中東方面を管轄する米中央軍(USCENTCOM:US Central Command)が利用するコンピュータにおいて、インターネットから切り離して独立したネットワークを構築していたにもかかわらずウイルス感染事件が発生したことがある(「Defending a New Domain The Pentagon's Cyber strategy」参照」)。その原因はUSBメモリであり、結果として多数のコンピュータが被害を受けたことを、ウィリアム・リン国防副長官が明らかにしている。また、イランの核施設を狙ったのではないかとして話題になったStuxnetワームも、USBメモリを介して感染を広げたと報告されている。

 その他、重要な機密情報を保存したUSBメモリの紛失、あるいは盗難によって情報漏えい事件が発生した事例は数多く報告されている。入る側だけでなく、出る側についても注意が必要ということだ。

 こうした事故を防ぐには、ユーザーが注意するだけでなく、USBメモリの使用を何らかの手段で制限する、あるいはUSBメモリに書き込んだ情報を安全な形で保持する、といった対策が必要と考えられる。

USBメモリの利用を禁止する

 まず、USBメモリの使用を制限する手段から取り上げていこう。具体的な手段としては、ソフトウェアによる制限と、物理的な制限が考えられる。

 ソフトウェアによる制限とは、USBメモリを取り付けても認識させない、あるいはUSBメモリにアクセスさせない、といった手段のことだ。これを実現するには、OSが制限機能を備えているか、あるいは専用のソフトウェアを導入する必要がある。ただし場合によっては、USBの外付け型ハードディスクなども利用できなくなるので設定には注意が必要だ。

 Windowsを利用しているのであれば、Windows Vistaから加わった新しいポリシー項目を利用すると、Active Directoryとグループポリシーの組み合わせによってUSBメモリの利用を制限できる。グループポリシーはドメインごと、あるいはOU(組織単位)ごとに使い分けられるので、部署によって異なるポリシー設定を使い分けることも可能だ。このために利用するポリシー項目には、以下のものがある。

  • ポリシー項目の場所:
    [コンピューターの構成]−[ポリシー]−[管理用テンプレート]−[システム]−[リムーバブル記憶域へのアクセス]
    [ユーザーの構成]−[ポリシー]−[管理用テンプレート]−[システム]−[リムーバブル記憶域へのアクセス]
  • 利用可能なポリシー項目:
    [リムーバブルディスク : 読み取りアクセス権の拒否]
    [リムーバブルディスク : 実行アクセス権の拒否]
    [リムーバブルディスク : 書き込みアクセスの拒否]

 これらの設定を利用することで、ユーザー単位、あるいはコンピュータ単位でUSBメモリへの書き込みやプログラム実行を阻止できる。

 具体的には、TIPS「グループポリシーエディタの使用法」を参照して、グループポリシーエディタを起動し、Active DirectoryのドメインまたはOUごとに設定を行う。グループポリシーエディタの左側のツリーで[コンピューターの構成]/[ユーザーの構成]−[ポリシー]−[管理用テンプレート]−[システム]−[リムーバブル記憶域へのアクセス]を選択し、右ペインの[リムーバブルディスク : 読み取りアクセス権の拒否]などをダブルクリックし、上記のポリシー項目を全て[未構成]から[有効]に変更すればよい。

グループポリシーエディタの画面 グループポリシーエディタの画面
ここで、[コンピューターの構成]/[ユーザーの構成]−[ポリシー]−[管理用テンプレート]−[システム]−[リムーバブル記憶域へのアクセス]を選択し、右ペインの[リムーバブルディスク : 読み取りアクセス権の拒否]などをダブルクリックする。
  (1)左ツリーで[リムーバブル記憶域へのアクセス]を選択する。
  (2)右ペインの[リムーバブルディスク : 読み取りアクセス権の拒否]などをダブルクリックしてポリシーを開く。→[A]

[A]

[リムーバブルディスク : 実行アクセス権の拒否]のポリシー設定画面 [リムーバブルディスク : 実行アクセス権の拒否]のポリシー設定画面
ここでポリシーを[未構成]から[有効]に変更する。これで、実行アクセス権が拒否に設定され、USBメモリからのプログラム実行が行えなくなる。同様に、ほかの項目を設定することで、読み取り/書き込みも拒否するように設定すれば、リムーバブルディスク(USBメモリなど)が利用できなくできる。
  (1)[有効]を選択する。

 このほか、[カスタム クラス : 読み取りアクセス権の拒否]や[カスタム クラス : 書き込みアクセスの拒否]といったポリシー項目を用いる方法も考えられる。しかし、いちいちGUIDを調べて設定しなければならないので、設定は煩雑にならざるを得ない。リムーバブルディスクに対して一括設定する方が無難、かつ確実だろう。

 さらに一歩進めて、[コンピュータの構成]−[管理用テンプレート]−[システム]−[デバイスのインストール]−[デバイスのインストールの制限]以下にあるポリシー項目[リムーバブル デバイスのインストールを禁止する]を有効にして、USBメモリのインストールそのものを阻止する方法もある。

 いずれにしても、グループポリシーを利用する方法はActive Directoryに対応したエディションのWindowsを必要とするので、Active Directory非対応エディションや、(まだまだ多く使われている)Windows XPでは別の方法が必要になる。また当然ながら、Active Directoryを利用していないコンピュータに対しては、この機能を適用することはできない。

 OSから独立した方法としては、USBメモリをコンピュータに取り付けたり、あるいはそのUSBメモリにファイルを書き込んだりすると阻止する/管理者に警告を発する、といった機能を提供する企業向けソフトウェアがある。

 このほか、リムーバブルメディアからプログラムを自動実行する機能を抑止する方法も考えられる。Windows 7では既定値で自動再生をオフにした状態になっているので、主としてそれより前のバージョンが対象になる。このために利用するポリシー項目には、以下のものがある。

  • ポリシー項目の場所:
    [コンピューターの構成]−[管理用テンプレート]−[Windowsコンポーネント]−[エクスプローラー]−[以前のバージョン]
  • 利用可能なポリシー項目:
    [自動再生機能をオフにする](Windows 2000以降に対応。有効化した上で、自動実行を無効にするドライブの種類を指定する)
    [自動実行の既定の操作](Windows Vista以降に対応。有効化した上で、自動実行の有無を指定する
       1|2 次のページへ

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。