Windowsへのスマートフォンの接続を禁止する

記事としては少し遅くなってしまい、似た記事がすでに存在しますが、ベネッセコーポレーションによる個人情報漏洩事件について少し書きます。
この事件の容疑者は大量のデータを貸与PCから私物のスマートフォンにコピーし、持ち出していたとされております。

そもそもベネッセの様な大手であり、個人情報を大量に取り扱っている会社でUSBの利用制限がされてなかったか疑問になりますが、複数のセキュリティ技術者は『USBマスストレージの使用は制限できていたが、デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式「MTP(Media Transfer Protocol)」の使用を制限できていなかった可能性である』と指摘しております。

スマートフォンは デジタルカメラ(Picture Transfer Protocol)やオーディオプレーヤー(Media Transfer Protocol)として認識される場合があります。
これらのデバイスはWindows上では一括して「WPD(Windows Portable Devices)」として扱われます。
スマートフォンをWindowsに接続するのを禁止するには、このWPDの利用を禁止する必要があります。今回のベネッセの事件では、これが行われていなかったという可能性があります。

一般的なUSBメモリーは、「USBマスストレージ」として認識されますが、一方でスマートフォンでは、USBマスストレージのほか、ドライブ名が割り当てられないWPDとして認識されることがあります。
USBマスストレージではPCがファイル制御を担うのに対し、WPDではPTP(Picture Transfer Protocol)やMTP(Media Transfer Protocol)を使い、デバイス側がファイルを制御します。
このMTPの存在は、情報漏洩対策の盲点になり、デバイス制御ソフトやActive Directoryのグループポリシーの設定でUSBマスストレージの使用を制限しても、MTPあるいはWPDデバイスの使用制限を忘れると、スマートフォン経由で簡単にPCからデータを持ち出せてしまうことになります。

では、これらのデバイスをどうやって、制御するかというと、商用のデバイス制御ソフトでは防ぐ事も可能ですが、PTP/MTPなどWPDの使用制限も可能か確認する必要があります。
またWPDの制御を禁止する方法として、TaechNetブログ「Ask CORE」の「グループポリシーを用いたデバイスのアクセス制御について」という記事が紹介されておりますのでご確認ください。