Windows 10にUSB接続した外部ストレージへの読み書きを制限する方法

Windows 10にUSB接続した外部ストレージへの読み書きを制限する方法

Windows 10では、USB接続した外部ストレージとデータ転送するために以下の3通りの方法が用意されており、MSCは、USBメモリやUSBハードディスクなどとのデータ転送に用いられ、PTPやMTPはスマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられています。

  • MSC(Mass Storage Class)
  • PTP(Picture Transfer Protocol)
  • MTP(Media Transfer Protocol)

そのため、Windows 10でUSB接続した外部ストレージとのデータ転送を制限したい場合は、上に挙げたそれぞれの方法に応じた対策が必要になります。

そこでここでは、Windows 10で上に挙げた転送方法をレジストリ設定やグループポリシー設定で制限する方法を紹介します。

USBメモリからの情報漏えい対策にはUSBポートを物理的にふさぐ方法も効果的
ここでは、情報漏えい対策として、パソコンのUSBポートを物理的に塞いでUSBメモリなどの可搬記憶デバイスを接続できなくする方法を紹介します。

この記事は、以下の環境で実行した結果を基にしています。他のエディションやバージョンでは、動作結果が異なる場合があることをご了承ください。

ソフトウェアバージョン
Windows 10 Pro 64bit20H2

レジストリ設定で制限する

レジストリ設定でUSB接続した外部ストレージへの読み書きを制限するときは、管理者権限でコマンドプロンプトを起動して、以下に紹介するコマンドを実行します。

MSCモードでの読み書きを禁止する

USBメモリやUSBハードディスクなどとのデータ転送に用いられるMSCモードでの読み書きを禁止するときは、以下のコマンドを実行します。

書き込みを禁止

> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" /v Deny_Write /t REG_DWORD /d 1 /f

読み取りを禁止

> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" /v Deny_Read /t REG_DWORD /d 1 /f

コマンドを実行後「この操作を正しく終了しました。」と表示されていることを確認して、マシンを再起動したら、設定完了です。

なお、設定を解除したいときは、コマンドの「/d 1」の部分を「/d 0」として実行します。

PTP/MTPモードでの読み書きを禁止する

スマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられるPTPやMTPモードでの読み書きを禁止するときは、管理者権限でコマンドプロンプトを起動して、以下のコマンドを実行します。

書き込み禁止

> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{6AC27878-A6FA-4155-BA85-F98F491D4F33}" /v Deny_Write /t REG_DWORD /d 1 /f
> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}" /v Deny_Write /t REG_DWORD /d 1 /f

読み取り禁止

> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{6AC27878-A6FA-4155-BA85-F98F491D4F33}" /v Deny_Read /t REG_DWORD /d 1 /f
> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}" /v Deny_Read /t REG_DWORD /d 1 /f

コマンドを実行後「この操作を正しく終了しました。」と表示されていることを確認して、マシンを再起動したら、設定完了です。

なお、設定を解除したいときは、コマンドの「/d 1」の部分を「/d 0」として実行します。

グループポリシー設定で制限する

グループポリシー設定でUSB接続した外部ストレージへの読み書きを制限するときは「ローカルグルプポリシーエディター」を起動して「コンピューターの構成>管理用テンプレート>システム>リムーバブル記憶域へのアクセス」で、以下に紹介するポリシーを設定します。

MSCモードでの読み書きを禁止する

USBメモリやUSBハードディスクなどとのデータ転送に用いられるMSCモードでの読み書きを禁止するときは、以下の2つのポリシーを「有効」に設定します。

  • リムーバブル ディスク: 読み取りアクセス権の拒否
  • リムーバブル ディスク: 書き込みアクセス権の拒否

Windows 10にUSB接続した外部ストレージへの読み書きを制限する方法

ポリシーを有効に設定したら、マシンを再起動することで設定が適用されます。

なお、設定を戻したいときは、ポリシーの設定を「未構成」に設定します。

Memo

ここではコンピューターに適用されるポリシーとして設定していますが「ユーザーの構成」から設定することで、ユーザーに適用されるポリシーとして設定することもできます。

PTP/MTPモードでの読み書きを禁止する

スマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられるPTPやMTPモードでの読み書きを禁止するときは、以下の2つのポリシーを「有効」に設定します。

  • WPD デバイス: 読み取りアクセス権の拒否
  • WPD デバイス: 書き込みアクセス権の拒否

Windows 10にUSB接続した外部ストレージへの読み書きを制限する方法

ポリシーを有効化したら、マシンを再起動することで設定が適用されます。

なお、設定を戻したいときは、ポリシーの設定を「未構成」に設定します。

Memo

ここではコンピューターに適用されるポリシーとして設定していますが「ユーザーの構成」から設定することで、ユーザーに適用されるポリシーとして設定することもできます。

あとがき

上に紹介した設定方法は完璧ではなく、たとえば、スマートフォンとPTPやMTP以外の方法でデータ転送を行うアプリを用いれば、制限を掛けてもデータの読み書きが行える場合があります。

そのような方法も厳密に制限したいときは、PTPやMTP以外の方法でデータ転送を行うアプリのインストールを制限したり、WPDデバイス(Windows Portable Device )のインストールそのものを制限するといった別の対応方法も検討する必要があるでしょう。