PR

 筆者のもとには毎日,電子メールで数十通のプレスリリースが送られてくる。その中で最近よく目にするのが,「Winnyの起動を禁止するツール」や「USBストレージへのデータの書き込みを制限するツール」のリリースである。こういったツールの登場を見るたびに,筆者は複雑な気持ちになってしまう。

 筆者は,こういったツールが「実際には機能しない」とか「役に立たない」というつもりはない。試してはいないが,これらはきっと確実に動作するだろう。では,なぜ筆者が複雑な気持ちになってしまうのかというと,そもそも「特定のアプリケーションの実行禁止」や「USBストレージへの書き込み禁止」は,Windowsが標準で備えている機能だからである。

 例えば,Windows XP Professionalで特定のアプリケーションの実行を禁止したいのであれば,以下のような手順を実行すればよい。[コントロールパネル]の[管理ツール]を開き,[ローカルセキュリティ設定]を起動する。そして[セキュリティの設定]−[ソフトウエア制限ポリシー]のツリーを展開し,[追加の規制]を右クリックして[新しいハッシュの規制]を選んで,実行を禁止したいアプリケーションを選択する。これだけである。

 USB外付けストレージへの書き込みを禁止する機能は,Windows XP Service Pack 2で追加された。レジストリ・エディタを起動し([スタート]−[ファイル名を指定して実行]でregeditと入力),「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control」サブキーを開く。ここで「StorageDevicePolicies」というサブキーを作成し([Control]を右クリックして[新規]−[キー]を選択して作成),そこに「WriteProtect」という値の名前(DWORD値)を作成する([StorageDevicePolicies]を右クリックして[新規]−[DWORD値]を選択し,名前を「WriteProtect」とする)。作成した[WriteProtect]をダブル・クリックして,値のデータに「1」を入力すると,USB外付けストレージへの書き込みが禁止される(画像入りの記事)

Windows Serverの標準機能でクライアント管理が可能

 これらは,Active Directoryの「グループ・ポリシー」という機能を使えば,Active Directoryドメインに参加する全クライアントに対して,まとめて設定を施すことができる(本文最後の参考資料を参照)。グループ・ポリシーは,Windows Serverをファイル・サーバーやアプリケーション・サーバーとして利用するのに必要な「Windows Server CAL(クライアント・アクセス・ライセンス,クライアント1台当たり3000~5000円ほど)」があれば利用できる。

 それではなぜ,「Winnyの起動禁止ツール」や「USB外付けストレージへの書き込み禁止ツール」のような「Windows XPが標準で備えている機能を改めて実装したアプリケーション」が次々と登場するのだろうか。

 最大の理由は,Active Directoryやグループ・ポリシーでは運用に限界があることだと思う。Active Directoryは導入が面倒だし(技術的にも社内政治的にも),どれだけグループ・ポリシーで様々な制約を施したとしても,エンドユーザーにパソコンの管理者権限(ローカルの管理者権限)を与えていたら,あらゆる設定がエンドユーザーによってキャンセルされてしまう。

 もし,前述のサード・パーティ製ツールが,Active Directoryを導入できないユーザーや,Active Directoryを「ザル状態」でしか運用できないユーザーにとって本当に有用であるならば,これらのツールは「Active Directoryの限界を超えるもの」として全面的に肯定できる。

 しかし,ベンダーがユーザーの無知や怠慢に付け込んで,場当たり的な対策ツールを売り込もうとしているのであれば,「Winny商法」「漏えい防止商法」として批判されてしかるべきだ。この問題に関しては,ITpro Watcherの岡村久道氏の連載「間違いだらけの職場持ち込み私物パソコン対策」「続・間違いだらけの職場持ち込み私物パソコン対策」もご覧頂きたい。

もう一度Active Directoryを見直してみては?

 Active Directoryは,ファイル・サーバーの認証基盤としてだけ考えるなら明らかにオーバー・スペックだ。NTドメインやワークグループ環境からActive Directoryに移行できないユーザーはまだまだ多い。しかし,クライアント管理ツールとして考えると,Windows Server CALだけで利用できるActive Directoryは,非常に安価で強力なツールだ。

 これからも,Winnyウイルスや情報漏えい事件が新聞やニュースで話題になる度に,様々なクライアント管理ツールが登場することだろう。もしあなたがWindows Serverのユーザーであるならば,「それはActive Directoryでもできるのではないか?」と思い直してほしい。ITproでも「Windowsテーマ・サイト」で,Active Directory関連情報を発信しているので,ご覧頂ければ幸いである。

(参考資料)

●マイクロソフトが作成した,USBストレージへの書き込み禁止をグループ・ポリシーで管理するための資料

「情報漏えい対策ガイド(Windows編)」

●Active Directoryやグループ・ポリシーの概要に関する記事

「今から始めるWindows Server 2003(最終回) グループ・ポリシーによる一元管理」
「すぐできるWindowsサーバー強化術(第2回)GPOやコマンドで一括設定する」
「グループ・ポリシーでクライアントを管理する10の方法」
「独自のグループ・ポリシーでアプリケーションの設定を統一する」