■データの持出しを制限したい

社員がデータの持出して、情報漏えい事故が起きてしまう可能性はいつもあります。

会社に不満を持っている社員が持ち出さないとは限らない。
円満退職ならまだしも、そうでない場合、退職間際に個人情報や重要情報を持出されるのではないかと心配する管理職の方はけっこういるようです。

そんな中でたまに受ける相談が、「USBメモリを使えないようにできないか？」です。

これはローカルセキュリティポリシーから可能です。（Active Directoryを導入していない場合）

■USBメモリに使用制限をかける

画面左下のスタートボタンをクリックし、プログラムとファイルの検索の欄に「gpedit.msc」と入力しENTERキーを押します。（windows7の場合）

ローカルグループポリシーエディターが出てきますので、コンピュータの構成から　管理用テンプレート／システムを選択します。

「リムーバブル記憶領域へのアクセス」を選択。

目的に沿って、リムーバブル記憶領域への制御のいづれかを有効にします。

今回は特に何もUSBを利用しないPCだったので、「すべてのリムーバブル記憶域クラス：すべてアクセス拒否」をダブルクリックし「有効」にチェックを入れました。
持込みも持出しもさせません。

テストでUSBメモリを挿しこんだところ、USBメモリのアクセスランプは点くのだけれど、パソコン側は一切反応なし。
改めて上記の項目を「無効」に変更したところ、USBメモリが認識されました。

「読み取りアクセス権の拒否」と「書き込みアクセス権の拒否」の組合せでも同様の制御が可能です。

漏えい防止というだけなら「書き出し拒否」を有効にするでもいいと思います。

当然、上記設定の解除方法もあるわけですが、USBが使えないとわかった時点で、

「しっかりと対策を取っているかも」→「操作ログも証拠として記録されているかも」

と、感じて思いとどまってくれれば、抑止力にはなると思います。