Active Directory の機能で実現する情報漏えい対策

皆さん、こんにちは。

今回は Active Directory の機能、特に情報漏えいの対策として利用できるグループ ポリシーの機能を中心にご紹介させていただこうと思います。
今回は リムーバブル記憶装置の制御について OS のバージョンごとに簡単に整理してご紹介します。

まず、はじめに Windows XP についてです。
「情報漏えい対策ガイド」というホワイトペーパーを御存知でしょうか？
結構前 (2005 年公開) の資料ですが、意外と使える情報が掲載されています。

<情報漏えい対策ガイド>

こちらのホワイトペーパーの主な内容としては以下のような項目があります。

3. リムーバブル記憶装置の使用制限
4. 暗号化ファイルシステム (EFS) による情報漏えい対策
5. Active Directory に格納されている個人情報を隠す

項目中 EFS による暗号化というのは、なかなか導入が難しいところがありますが、それ以外、特にリムーバブル記憶装置の使用制限については、グループ ポリシーのカスタム ADM テンプレートもついており、導入が非常に容易です。
Windows Vista 以降では標準でリムーバブル記憶装置の制御をするためのグループポリシー設定項目が存在しますが、Windows XP の場合には標準の設定項目として存在しません。この情報漏えい対策ガイド付属の ADM を使えばグループポリシーの設定項目として Windows XP の端末についてもリムーバブル記憶装置を制御できるようになります。
以下のスクリーンショットは情報漏えい対策ガイドに付属の ADM を追加することで利用できるグループ ポリシーの設定項目です。

<情報漏えい対策ガイド付属の ADM>

こちらは [コンピューターの構成] としてコンピューター単位で設定可能な内容になりますが、リムーバブル記憶装置の使用禁止、もしくは書き込みのみ禁止など、基本的な制御はできるということがおわかりいただけるかと思います。

次に、Windows Vista /Windows 7 についてです。
Windows Vista 以降では、デバイスのインストールについてより柔軟に管理できます。たとえば、基本的にはデバイスの追加を許可しないように構成した上で、特定メーカーの特定機種についてはインストールを許可するように構成することができます。設定は標準のグループポリシーの設定項目として存在します。以下のスクリーンショットのような設定項目が存在します。

<デバイスのインストール制御>
こちらでは、デバイスドライバーのインストールについて制御が可能です。
こちらのポリシーではデバイスドライバーのインストールが既にされているものについては制御できませんが、デバイスドライバーがインストールされる前であれば、デバイスドライバーのインストールについて制御できます。
また、デバイスの ID による例外の設定も可能で、たとえば特定メーカーの特定の機種についてはインストールを許可するということも可能です。


<リムーバブル記憶域へのアクセス制御 (コンピューターポリシー)>
こちらでは、リムーバブル記憶域へのアクセスについて制御できます。
読み取り、書き込みなどの操作についてデバイスの種類ごとに制御できます。


<リムーバブル記憶域の制御 (ユーザーポリシー)>
こちらもリムーバブル記憶域へのアクセスについての制御ですが、ユーザーごとに設定することができます。


最後に Windows 7 (Enterprise,Ulitimate) のみで利用可能な機能について紹介します。
Windows 7 では、BitLocker To Go というリムーバブル記憶域において、暗号化することが可能な機能がサポートされました。こちらの機能についてもグループポリシーで制御できます。
たとえば、BitLocker To Go で暗号化されていないリムーバブル記憶域にはデータの書き込みは許可しないという設定を強制することができます。

<Windows 7 BitLocker To GO の制御>
Windows 7 の場合には、暗号化されていないリムバーブル記憶域への書き込みなどの制御が可能です。


今回は情報漏えい対策というところで Active Directory を活用したリムーバブル記憶域の制御についてご紹介しました。
特に「情報漏洩対策ガイド」についてはぜひ、内容についてご確認いただければと思います。

マイクロソフト株式会社
須澤 英彰