［運用］ 企業におけるUSBメモリ活用ガイドライン 2．Windowsの設定でUSBメモリを使用不可能にする 井上 孝司 2008/09/18

対策1：USBメモリを使用不可能にする

　まず最も厳しい対策として、Windowsの設定によってUSBメモリの読み取り／書き込みともに不可能にする方法について解説しよう。Windowsの設定変更だけで対応できるので、追加コストは発生しない。

　これには、USBメモリに対する読み書き制限を用いる場合と、USBメモリというデバイスそのものをインストールできないようにする2つの方法がある。いずれの方法でも、USBメモリそのものを使えなくするので強力な制限が可能だが、場合によってはほかのデバイス（USB接続のCD-Rドライブなど）にも影響が及ぶ可能性が考えられる。

■Windows Vista／Windows Server 2008の場合
　 管理対象のコンピュータがWindows VistaまたはWindows Server 2008だけなら、これらのOSで拡張されたポリシー設定を利用して、簡単にUSBデバイスのインストールを抑止できる（このポリシーは、Windows XP以前では利用できない。Windows XPでも可能な設定は後述）。Active Directory環境なら、グループ・ポリシーの管理用テンプレートを設定することで、複数のコンピュータのデバイスのインストールを一括して抑止できる。使用するポリシー項目は以下のものだ。

［コンピュータの構成］−［管理用テンプレート］−［システム］−［デバイスのインストール］−［デバイスのインストール制限］

　この［デバイスのインストール制限］以下にある［リムーバブル デバイスのインストールを禁止する］を有効にすると、USBメモリを新しく接続したときに行うはずのデバイス・ドライバのインストールが行えなくなる。結果として、USBメモリを接続しても使用できない、ということになる。また、その際に表示するバルーン・メッセージについても、ポリシー設定によってタイトルやメッセージをカスタマイズできる。

Windows Vista、Windows Server 2008のグループ・ポリシー設定画面

Windows VistaやWindows Server 2008では、グループ・ポリシーの設定により、リムーバブル・デバイスのインストールを禁止できる。

　このポリシーでは、リムーバブル・デバイスのすべてを対象にするだけでなく、デバイスID（デバイスごとに設定してあるハードウェアID）や互換性ID、セットアップ・クラスといった情報を利用して、特定のデバイスについてインストールを許可、あるいは阻止する設定も可能だ。例えば、セキュリティ機能を持つ特定機種のUSBメモリに限ってインストールを許可する、といった設定もできる。

　設定に使用するポリシー項目は、以下の2種類だ。

• これらのデバイスIDと一致するデバイスのインストールを許可する
• ほかのポリシー設定で記述されていないデバイスのインストールを禁止する

デバイスIDやセットアップ・クラスの情報を用いて利用を制限するグループ・ポリシーの設定

デバイスIDやセットアップ・クラスの情報を利用すると、特定のデバイスやデバイスの種類に限定して使用を禁止する設定が可能になる。

　この設定を行うには、インストールを許可、あるいは拒否するデバイスのデバイスIDを調べる必要がある。それには、当該デバイスを接続してデバイス・ドライバをインストールした状態で、デバイス・マネージャを実行する。そして、当該デバイスのプロパティ画面で［詳細］タブに移動してリストボックスで項目を選択する。

デバイスIDの確認方法

デバイスIDは、実際にコンピュータにデバイスを接続して使用可能にした状態で、デバイス・マネージャでプロパティ画面の［詳細］タブに移動すると確認できる。

■Windows XPなどの場合
　 ドライバ情報ファイルのアクセス権を変更する方法でUSBメモリの利用をブロックすることができる。この方法は、Windows Vista／Server 2008以前でも利用可能だ。ただしこの方法はNTFSのアクセス権設定機能を用いているため、Windowsをセットアップしたドライブ（Windows OSをインストールしたシステム・ドライブ）にFATファイル・システムを使用しているときには使えない。

　設定の対象になるファイルは、隠しフォルダの「%SystemRoot%\inf」フォルダ以下にある「UsbStor.inf」と「UsbStor.pnf」だ。これらのファイルについて、以下の手順で設定を行う。

1. 右クリックメニューで［プロパティ］を選択すると表示されるダイアログで［セキュリティ］タブに移動する。

2. さらに［詳細設定］（Windows 2000では［詳細］）ボタンをクリックする。

3. 続いて表示されるダイアログの［アクセス許可］タブで、［追加］ボタンをクリックする。

4. オブジェクト名として［Everyone］と入力して［OK］ボタンをクリックする。

5. 続いて表示されるダイアログで、すべてのアクセス権について［拒否］側のチェック・ボックスをオンにする。［許可］側がすべてオフになっていることを確認する。

6. 順番に［OK］をクリックしてダイアログを閉じる。

　なお、こうしたデバイスのインストール制限は、設定後に新たに接続したデバイスのみが対象になる。そのため、すでに接続して使用したことのあるデバイスについてはデバイス・ドライバがインストール済みになっていることから、そのままでは効果がない点に注意したい。

　そこで次のレジストリの変更を行うことで、すでにインストール済みのUSBメモリの利用を抑止しておく。その後、USBメモリを接続すると、デバイス・ドライバのインストールを促すダイアログが表示される。しかし前述のデバイス・ドライバのアクセス権を変更しておくことで、デバイス・ドライバの再インストールが行えないため、結果的にUSBメモリが利用できなくなる。

レジストリの設定でUSBメモリの使用を禁止した後にUSBメモリを差し込んだときの検出ウィザードのエラー

レジストリの設定後、USBメモリをつなぐと、あらためてドライバをインストールしようとする。しかし、ドライバ情報ファイルにアクセス権がないことからエラーとなる。

［注意］

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ・エディタの操作は慎重に行うとともに、あくまでご自分の責任で設定を行ってください。何らかの障害が発生した場合でも、本 Windows Server Insider編集部では責任を負いかねます。ご了承ください。

項目	内容
キー	HKEY_LOCAL_MACHINE\のSYSTEM\CurrentControlSet\Services\USBSTOR
値の名前	Start
型	REG_DWORD
値	3（使用を許可）／4（使用を禁止）

INDEX
	[運用] 企業におけるUSBメモリ活用ガイドライン
	1．増え続けるUSBメモリによる情報漏えいを防ぐには
	2．Windowsの設定でUSBメモリを使用不可能にする
	3．Windowsの設定でUSBメモリへの書き込みを不可能にする
	4．暗号化機能付きのUSBメモリなどを利用する
	5．ファイルの移動などが禁止できるセキュリティ機能付きUSBメモリを利用する

運用

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）