USBデバイス制御とは何か？実際の事例とともに、そのリスクを解説

2023年5月18日

1. USBデバイス制御とは
2. USBデバイスのセキュリティ上のリスクと実際の事例
- 2.1. 組織内の情報が漏洩するリスク
- 2.2. 外部からのウイルスに感染するリスク
3. USBデバイスを制御する方法
- 3.1. グループポリシーを設定する
- 3.2. デバイス制御ソフトを活用する
4. 参考

USBデバイス制御とは

USBデバイス制御とは、IT管理者が組織内でのUSBデバイス利用を管理・制限することです。
社内ネットワークに接続されているコンピュータをウイルス感染から保護したり、内部情報の漏洩を防止したりすることが目的です。
USBデバイス制御の対象は、USBメモリだけでなくUSBポートに接続されるHDD、CD-R/DVD-R、スマートフォン等も含みます。

USBデバイスのセキュリティ上のリスクと実際の事例

コンピュータに簡単に接続して大量のデータのやり取りができるUSBデバイスは便利ですが、業務で使用する際にはリスクが伴います。
USBデバイスを業務用コンピュータに接続することのリスクには次のようなものがあります。

組織内の情報が漏洩するリスク

USBメモリにデータを保存すると容易に外部に持ち出しできる反面、紛失してしまうと情報漏洩につながります。
USBメモリを鞄に入れて持ち歩き紛失してしまった事例は過去に何度もニュースに取り上げられています。
最近では2022年６月、兵庫県尼崎市で全市民約46万人の個人情報が入ったUSBメモリを業務再々委託先の社員が一時紛失する事件がありました。
USBメモリは見つかったものの、USBメモリを用いたデータ移管を尼崎市が把握しておらず、委託元の管理責任も問題になりました。

外部からのウイルスに感染するリスク

USBメモリがウイルスに感染していることに気が付かず業務用コンピュータで使用してしまうと、社内ネットワークを介してウイルスが拡散してしまいます。
USBメモリが普及し始めた2000年代にはウイルス感染が多く報告されていました。
例えば、2009年の東京大学医学部付属病院にて大規模なシステム障害が発生した事例では、USBメモリによるウイルス感染が原因だったことが判明しています。
同病院ではシステムをフルタイム稼働させており、プログラムの更新作業によるダウンタイムを避けるために更新プログラムの適用を見送っていたのも被害が拡大した一因でした。

USBデバイスを制御する方法

USBデバイスを制御する方法として「グループポリシーの設定」、「USBデバイス制御ソフトの活用」があります。

グループポリシーを設定する

グループポリシーは、ドメインで管理しているユーザーやコンピュータ、アプリケーションの設定を一元的に管理する機能です。
Active Directory環境があればグループポリシーを利用できます。
実際の設定は、グループポリシーの「リムーバブル記憶域へのアクセス」で行います。
この設定を変更することで、組織内の全コンピュータのUSBデバイスの利用制限を一括で設定できます。
USBデバイスを利用制限する場合は次の手順で設定変更します。

グループポリシー管理エディターを起動します
「コンピュータの構成」→「ポリシー」→「管理テンプレート」→「システム」→「リムーバブル記憶域へのアクセス」の順でアクセスします
次のポリシーをすべて有効にします
- リムーバブルディスク：実行アクセス権の拒否
- リムーバブルディスク：読み取りアクセス権の拒否
- リムーバブルディスク：書き込みアクセス権の拒否

デバイス制御ソフトを活用する

リスクを回避するためにはすべてのUSBデバイスの利用を禁止するのが一番ですが、まったく使えないとなると業務に支障が出る可能性もあります。
一部のUSBデバイスは利用を許可したい場合などは、デバイス制御ソフトを活用すれば柔軟な設定が可能です。
各社から販売されているデバイス制御ソフトには次のような機能があります。

デバイス毎の利用禁止設定

デバイスの種類毎に利用禁止を設定します。
利用禁止設定されたデバイスはPCに接続しても認識されなくなるので、情報を書き出すことができなくなります。

ホワイトリストへの登録

デバイスの種類毎に利用禁止設定を行った上で、特定のデバイスのみ利用を許可できます。
許可されたデバイスはホワイトリスト（許可リスト）に登録されます。
例えば、私物のUSBメモリは利用禁止にし、会社支給のUSBメモリは利用を許可するといった設定が可能です。

USBデバイスの監査

USBデバイスの利用を監視し、デバイスの情報や利用時間などをレポートとして出力できます。

参考

https://www.manageengine.jp/products/Endpoint_Central/control-usb-devices.html（2023年５月10日確認）
https://xtech.nikkei.com/atcl/nxt/column/18/01157/080500068/（2023年５月10日確認）
https://www.security-next.com/010046（2023年５月10日確認）
https://ittrip.xyz/soft/windows/gpo-usb（2023年５月10日確認）

技術セキュリティ

Posted by promapedia