USBでコピーデータを家に持ち帰らせたくない 〜USBストレージ使用制限〜：ツールを使ってネットワーク管理（12）（4/5 ページ）

[山本洋介，＠IT]

スクリプトで一挙に社員のUSBストレージの読み書きを禁止する

　これを使うと、会社のデータを持ち出して、情報を流出させるふらちな野郎はいなくなるに違いない、そう思った律子さんは博君のマシンにUSB Toolsを勝手にインストールしておくことにします。

博君　「律子さん、僕のマシンでUSBメモリが使えなくなったんすけど……」

律子　「ああ、社内のデータ持ち出しちゃいけないってことになったから」

博君　「えーっ」

律子　「ほかの人のところにも同じように設定することにしたから、お願いね」

　ということで、ほかの社員の嫌がる顔を尻目に、すべてのユーザーのマシンからUSBストレージの読み書きを禁止するようにします。

　そして、新しいマシンが会社に来たときには、まずUSBストレージのドライバをインストールできないように設定することにしました。

　さすがに面倒なのでスクリプトを書いて実行させますが、アクセス権の設定だけは各マシンによって違うので手動で対応しなければいけないのがつらいところです。

リスト1　マシンからUSBストレージの読み書きを禁止するスクリプト

usbobj = new ActiveXObject("WScript.Shell"); var reg="HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\ \UsbStor\\Start";（注→この行は本来1行です） try{   usbVal=usbobj.RegRead(reg);   if(usbVal==4){     WScript.Echo("すでにUSBストレージの実行は不可能です");   }else{     usbobj.RegWrite(reg, "4","REG_DWORD");     WScript.Echo ("レジストリを書き換えました");   } }catch(e){   WScript.Echo ("レジストリキーはありません");   usbobj.Run("%SystemRoot%\\Inf\\"); }

　これで気軽にデータを持ち運びできなくなり、いろいろ不便な点が出てきましたが、自分の会社から情報漏えいさせないためには仕方ないことなのです。

　そういい聞かせながら律子さんも、いつもなら持ち帰っていたはずの仕事を会社でやっています。

　ほかにも会社に夜間居残る人が増えて残業仲間が増えたのでうれしいような気もしますが、本当は仕事を家でしなきゃならないほど仕事があるのが問題なんだけどなあと思う律子さんでした。

＜ちょっと解説＞　USBストレージ使用制限

　USBストレージによるデータの持ち出しについては、持ち出したデータの紛失や、外部で使用されたときの情報流出などの危険性があります。USBストレージ自体に暗号化機能が付いていたりもしますが、持ち出されたデータはどこかにコピーされて使われることも多く、PtoPアプリケーションによる情報流出についてはそれほどの効果は認められません。

　そこで、会社のマシンにはUSBストレージの接続自体を禁止してしまおうというのが今回の試みです。

　ここで紹介した以外にもUSBストレージを規制するツールについては、有料・無料問わずさまざまなツールが発表されています。基本的な機能はどれも変わらないのですが、有料のものは、ほかのセキュリティソフトと連携できたり、エージェントからネットワークマシンを一括で管理できたりなどの機能が付いていることもありますので、自分の管理するネットワークと掛けられる時間のことを考えて、選べばいいでしょう。

セキュアUSBストレージ
http://www.vector.co.jp/soft/winnt/util/se358556.html

　Windows標準のドライバを使用する「USB大容量記憶装置」デバイスの動作を制限することができます（Windows標準のドライバを使用せずに、個々のUSB機器特有のUSBドライバを使用する場合は本ソフトでの動作制限できません）。

　下記のような動作制限ができます。

• Windows 2000/XP/Server 2003における「USB大容量記憶装置」デバイスの使用不可
• WindowsXPでSP2以降ではデータの持ち出し（書き込み）のみを禁止することもできます。