Windowsでは、USB接続した外部ストレージとデータ転送するために以下の3通りの方法が用意されており、MSCは、USBメモリやUSBハードディスクなどとのデータ転送に用いられ、PTPやMTPはスマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられています。
- MSC(Mass Storage Class)
- PTP(Picture Transfer Protocol)
- MTP(Media Transfer Protocol)
そのため、WindowsでUSB接続した外部ストレージとのデータ転送を制限したい場合は、上に挙げたそれぞれの方法に応じた対策が必要になります。
そこでここではWindows 10を例に、上に挙げた転送方法をレジストリ設定やグループポリシー設定で制限する方法を紹介します。
また、より厳重な対策方法として、パソコンのUSBポート自体を利用できなくする方法も紹介します。
目次
レジストリ設定で制限する
レジストリ設定でUSB接続した外部ストレージへの読み書きを制限するときは、管理者権限でコマンドプロンプトを起動して、以下に紹介するコマンドを実行します。
MSCモードでの読み書きを禁止
USBメモリやUSBハードディスクなどとのデータ転送に用いられるMSCモードでの読み書きを禁止するときは、以下のコマンドを実行します。
書き込みを禁止
> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" /v Deny_Write /t REG_DWORD /d 1 /f読み取りを禁止
> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" /v Deny_Read /t REG_DWORD /d 1 /fコマンドを実行後「この操作を正しく終了しました。」と表示されていることを確認して、マシンを再起動したら、設定完了です。
なお、設定を解除したいときは、コマンドの「/d 1」の部分を「/d 0」として実行します。
PTP/MTPモードでの読み書きを禁止
スマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられるPTPやMTPモードでの読み書きを禁止するときは、管理者権限でコマンドプロンプトを起動して、以下のコマンドを実行します。
書き込み禁止
> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{6AC27878-A6FA-4155-BA85-F98F491D4F33}" /v Deny_Write /t REG_DWORD /d 1 /f> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}" /v Deny_Write /t REG_DWORD /d 1 /f読み取り禁止
> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{6AC27878-A6FA-4155-BA85-F98F491D4F33}" /v Deny_Read /t REG_DWORD /d 1 /f> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}" /v Deny_Read /t REG_DWORD /d 1 /fコマンドを実行後「この操作を正しく終了しました。」と表示されていることを確認して、マシンを再起動したら、設定完了です。
なお、設定を解除したいときは、コマンドの「/d 1」の部分を「/d 0」として実行します。
グループポリシー設定で制限する
グループポリシー設定でUSB接続した外部ストレージへの読み書きを制限するときは「ローカルグルプポリシーエディター」を起動して「コンピューターの構成>管理用テンプレート>システム>リムーバブル記憶域へのアクセス」で、以下に紹介するポリシーを設定します。
MSCモードでの読み書きを禁止
USBメモリやUSBハードディスクなどとのデータ転送に用いられるMSCモードでの読み書きを禁止するときは、以下の2つのポリシーを「有効」に設定します。
- リムーバブル ディスク: 読み取りアクセス権の拒否
- リムーバブル ディスク: 書き込みアクセス権の拒否
ポリシーを有効に設定したら、マシンを再起動することで設定が適用されます。
なお、設定を戻したいときは、ポリシーの設定を「未構成」に設定します。
ここではコンピューターに適用されるポリシーとして設定していますが「ユーザーの構成」から設定することで、ユーザーに適用されるポリシーとして設定することもできます。
PTP/MTPモードでの読み書きを禁止
スマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられるPTPやMTPモードでの読み書きを禁止するときは、以下の2つのポリシーを「有効」に設定します。
- WPD デバイス: 読み取りアクセス権の拒否
- WPD デバイス: 書き込みアクセス権の拒否
ポリシーを有効化したら、マシンを再起動することで設定が適用されます。
なお、設定を戻したいときは、ポリシーの設定を「未構成」に設定します。
ここではコンピューターに適用されるポリシーとして設定していますが「ユーザーの構成」から設定することで、ユーザーに適用されるポリシーとして設定することもできます。
USBポートを物理的に塞ぐ
上に紹介したオペレーティングシステムやデバイス制御ソフトなどによる対策は、最新のデバイスや転送方法には対応できないこともあるので、より確実な対策を考えているなら、USBポートを物理的に利用できないようにする「USBポートガード」を使った方法がおすすめです。
USBポートガード
USBポートガードは、パソコンのUSBポートを物理的にふさいで、USBメモリなどのデバイスを接続できないようするアイテムで、「USセキュリティキャップ」や「USBコネクタ取り付けセキュリティ」などと呼ばれることもあります。
USBポートガードは、一般的には本体と取り付け部品で構成されており、本体にセットした取り付け部品をUSBポートに差し込んでUSBポートをふさぎ、USBポートに取り付けられた部品は、本体がないと取り外すことができない仕組みになっています。
画像の引用元:https://www.elecom.co.jp/products/ESL-USB1.html
おすすめの製品
USBポートガードには、さまざまなメーカーの製品がありますが、取り付けや取り外しが簡単なエレコム製の「USBポートガード(ESL-USB1)」がおすすめです。
なお、USBポートガードを選ぶときは、USBコネクタの種類にも注意しましょう。
PCなどには、一般的にUSBポートとしてTypeAが採用されていますが、最近のPCなどではTypeCのUSBポートを搭載したマシンも出てきているので、PCに搭載されているUSBポートの種類に応じた商品を選びましょう。
あとがき
セキュリティ対策は、利便性とのトレードオフになるので、どのような方法で対策するのがよいかを十分に検討する必要があるでしょう。