USBメモリの不正使用防止──ソフトウェア制限ポリシーとアプリ編：真打ち登場

USBメモリがもたらすセキュリティの懸念に対処するための方法として、Windowsの「ソフトウェア制限ポリシー」と、サードパーティー製のアプリケーションを紹介する。

[Brien M. Posey，TechTarget]

　USBメモリの不正使用防止に関し、接着剤などを利用するテクニックや、BIOS設定とグループポリシーによる方法について説明してきた。本稿では、利用が許可されていないUSBメモリが社内ネットワーク上で問題となるのを防ぐためのテクニックをさらに2つ紹介したい。

ソフトウェア制限ポリシーを作る

　Windows XPおよびWindows Server 2003の「ソフトウェア制限ポリシー」は本来、USBメモリの使用を禁止するためのものではないが、この目的の1つに役立てることは可能だ。ソフトウェア制限ポリシーは、ユーザーが未許可のソフトウェアを自分のPCにインストールするのを防止するためのグループポリシー設定だ。つまり、ソフトウェア制限ポリシーは、USBメモリの使用を防止するものでもなければ、データをこれらのデバイスにコピーするのを防止するものでもない。しかし、ユーザーがUSBメモリを使って未許可のソフトウェアを社内に持ち込むのを防ぐために利用することはできる。

　ソフトウェア制限ポリシーを作成するには、グループポリシーオブジェクトエディタを開き、コンソールツリーで「Windowsの設定」→「セキュリティの設定」→「ソフトウェア制限のポリシー」に移動する。次に、「ソフトウェア制限のポリシー」コンテナを右クリックし、ショートカットメニューから［新しいポリシー］コマンドを選択する。これにより、「セキュリティレベル」および「追加の規則」という2つのサブコンテナが作成される。

　ソフトウェア制限ポリシーを作成すると、セキュリティレベルがセキュリティ規則に適用される。セキュリティレベルはデフォルトで作成されるようになっており、「制限しない」と「許可しない」という設定がある。すなわち、ポリシー規則を作成した上で、これらの規則の基準に合致したアプリケーションのインストールを許可するかしないかを指定するだけでいいのだ。

規則の作成

　規則を作成するには、「追加の規則」コンテナを右クリックし、作成したい規則のタイプを指定する。規則のタイプは4つある。証明書の規則、ハッシュの規則、インターネットゾーンの規則、パスの規則だ。これら4つの規則について詳しく説明すると1冊の本になってしまいそうだ。本稿では説明を簡略化し、各タイプの規則の長所と短所を示すだけにとどめる。

証明書の規則

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}