[運用]
企業におけるUSBメモリ活用ガイドライン

5.ファイルの移動などが禁止できるセキュリティ機能付きUSBメモリを利用する

井上 孝司
2008/09/18

対策4:さらに強力な対策(NonCopy PUPPY)

 実は、前述した「USBメモリを介してコピーされたファイルが流出する」のを防ぐソリューションも存在する。セキュリティ機能付きUSBメモリをさらに強化した、サイエンスパークの「NonCopy PUPPY」だ。

NonCopy PUPPYを採用したソニーの「FIU-800シリーズ」
USBメモリ内に保存したファイルを暗号化するだけでなく、作業中にUSBメモリから外部に情報が漏えいすることも防ぐことが可能である。

 基本的には、パスワードと指紋によって認証する暗号化機能付きUSBメモリだが、PC側にも専用のソフトウェアをセットアップする必要がある点が異なる。これは、NonCopy PUPPYに保存したファイルに対して、以下のような制限を課すことを可能にしているためだ。

  • PCのローカル・ハードディスクに対するコピー/移動を禁止する。つまり、USBメモリからファイルを移動できなくする。

  • NonCopy PUPPYに置かれたファイルにアプリケーションがアクセスしているときに、ネットワークを利用するアプリケーション(電子メールやWebブラウズなど)の動作、CD-RやDVD-R/RWなど書き込み可能な光学ドライブの動作、リムーバブル・メディアへの書き込み動作、あるいはプリンタの利用(印刷)を不可能にする。NonCopy PUPPYを使っている間はローカル・ディスクへの書き込みも行えなくなるため、仮にウイルスなどがファイルにアクセスしても、情報はUSBメモリから外部に移動できない。

  • NonCopy PUPPYに置かれたファイルにアプリケーションがアクセスしているときに、そのアプリケーションからほかのアプリケーションに対するコピー&貼り付けを不可能にする。

 つまり、NonCopy PUPPYに置かれたファイルを編集することはできるが、そこからほかの場所にデータを持ち出すことができないようにできる、ということだ。NonCopy PUPPYは、OSの下位にあるデバイス・ドライバ・レベルで、こうしたファイルの保護機能を実現している。ウイルスなど不正プログラムの多くは、上位のアプリケーション・レベルで動くものなので、万一の場合でも確実な保護ができるというメリットがある。しかしその一方で、利用に際しての制約はやや厳しくなる。利用可能なアプリケーションについても、何でもよいというわけにはいかない(動作検証済みのアプリケーションは、Webサイトで確認できる)。

 最初に製品添付のツールを使って、制限する機能の内容や、制限から除外するプログラム、制限対象となるプログラムが例外としてアクセス可能なフォルダの指定(一時作業ファイルを作成する種類のソフトウェアでは、この設定を行わないと動作不可能になる)、といった設定を行うことで、メーカー標準設定以外での利用も可能だ。また、ネットワーク関連の一部制限解除などを行う場合には、別途、拡張設定ファイルをテキスト・エディタで編集する作業も必要になる。

NonCopy PUPPYの制限対象となる機能指定の画面
同じ設定ツールでは、制限対象になる機能の指定などが行える。チェック・ボックスをオンにした機能が制限の対象になる。[データ貼り付け]とは、アプリケーション同士のコピー&貼り付けを制限する機能のことだ(ただしNonCopy PUPPY内のファイル同士ならばコピー&貼り付けが可能)。そのほか、リムーバブル・メディアへのアクセス、CD-Rや書き込みDVDの利用、ネットワークの利用が制限できる。

 こうして設定ファイルを準備したところでソフトウェアのセットアップを行い、専用のUSBメモリの認証、それと暗号化に使用するパスフレーズの指定を行うことで、暗号化の対象になるドライブが現れて読み書き可能になる仕組みだ。

USBメモリの利用が可能になった状態
E:ドライブにはNonCopy PUPPYのソフトウェアが置いてあり(ライトプロテクトがかかっており、削除などは不可)、これは認証の必要なしにいつでもアクセスできる。所要の設定と認証を行うと利用可能になるのはF:ドライブの方で、こちらに保存するデータが暗号化の対象になる。

 USBメモリを接続している間は、除外プロセス一覧で動作を許可していないソフトウェアについては正常に動作しない場合があるほか、ネットワークへのアクセスを禁止していれば、ファイル・サーバなどとの通信も行えなくなる。ネットワークへのアクセスについては、セットアップを行う前に専用ツールで設定をしておくと、相手のIPアドレスやあて先ポート番号、TCP/UDPの別を指定できる。これにより、特定のホスト、あるいは特定のプロトコルに関する通信だけ許可する、といった使い方も可能になる。

 このように準備作業の面でも手間がかかるが、それだけに極めて高いレベルの情報保全策を実現できる。求められる情報保全のレベルが高く、利便性をある程度は犠牲にしてもよいという用途では、こうした製品の利用を検討する意味が出てくるだろう。

最終的には利用者のセキュリティ意識が重要

 これまで紹介したように、USBメモリの使用を制限したり、セキュリティ機能付きのUSBメモリを利用したりすることで、USBメモリを介した情報漏えいはある程度防ぐことが可能だ。しかし完全に防ぐには、利用者のセキュリティ意識が重要となる。いくらUSBメモリの利用を制限しても、それに代わる手段としてインターネット・ストレージを利用したり、CD-Rを利用したりしてしまえば、やはり情報漏えいの危険性が生じるからだ。

 逆に、今回ご紹介した対策、セキュリティ機能付きのUSBメモリを活用し、利用者がしっかりとセキュリティ意識を持って運用すれば、致命的な事故は防止できるだろう。単に利用制限やデバイスの機能に依存した情報漏えい対策を一方的に行うだけでなく、利用者の意識向上もセットにして、運用環境を整備することが重要である。End of Article

 

 INDEX
  [運用] 企業におけるUSBメモリ活用ガイドライン
    1.増え続けるUSBメモリによる情報漏えいを防ぐには
    2.Windowsの設定でUSBメモリを使用不可能にする
    3.Windowsの設定でUSBメモリへの書き込みを不可能にする
    4.暗号化機能付きのUSBメモリなどを利用する
  5.ファイルの移動などが禁止できるセキュリティ機能付きUSBメモリを利用する

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間