千葉県袖ケ浦市では、5年ぶりの庁内LAN設備更新の際に、情報漏洩対策システムを強化することを決めた。そのシステムの概要と、そこにおけるUSBメモリアクセス制限の位置づけについて、情報推進課 近藤英明氏に詳しく聞いた。

1. 「USBは使ってはいけない」と決まりを作るやり方を却下した理由。
   
   →　そのきまりが本当に守られているかどうか分からない。仮に誰かが故意に（あるいは不注意で）決まりを破り、そのせいで情報漏洩事故が発生したとしたら、その場合「対策をとっていなかったのか」と袖ケ浦市が世の中から指弾されかねない。したがってこの方法は却下。
   
   
2. 「BIOSレベルでのUSB全面禁止」というやり方を却下した理由。
   
   →　1): 現場職員の反発が予測される。2):職員によっては、業務によっては、やむをえずUSBアクセスが必要なこともある、などの事情がある。そもそもパソコンのログイン指紋認証の機器が、パソコンにUSB接続されている。USBポートを閉じるわけにはいかない。この方法も却下。

1. 新たに購入するパソコンにはFDドライブはつけない仕様にする。
   
   
2. USBポートは二つのスロットを用意し、一つは、ログイン指紋認証用の機器をつなぐためのものとし、一つは、USBメモリのためのものとする。
   
   
3. そのスロットでは、市役所が一括購入し、各人に配布する「公式USBメモリ※」だけが使用可能なようにする。外部から持ち込まれたUSB、職員が自宅から持ってきた個人用USBなどは使えないようにする。
   
   
4. なお、FDドライブやMOドライブなど外付けメディアについては、原則として使用禁止（接続しても使えない）。ただし業務上やむをえない場合のみ、情報システム部門に、申請すれば、使用可能とする。
   
   つまり、基本は｢正規USB以外は全面禁止」としてブラックアウトし、｢業務上やむをえない場合のみ、例外的に許可する」というホワイトリストをつけて運用する方式。
   
   
5. ファイルコピーその他の挙動については、ログを取って、有事の際の調査に備える。
   
   
6. ファイルへのアクセス制限については、アクティブディレクトリの仕組みで実現する。

1. （市から支給する）USBメモリ
2. ログ取得ソフトウエア
3. 各PCのUSBスロットへのアクセスを制限、管理するためのソフトウエア

以下の通りです。

1. そのUSBアクセス制限システムは、正規USBメモリと、非正規USBメモリを「個々に見分けられなければ」ならない。
   
   　　→　「USBメモリはすべてOK／禁止」のような大ざっぱな区分けではいけない。
   
   
2. そのUSBアクセス制限システムは、「許可されたUSBスロットで使えるのは、『正規USBメモリ』だけ」という制御ができねばならない。
   
   　　→　「Dドライブや小型ハードディスクなど、USB以外のデバイスが接続できてはならない。
   
   
3. そのUSBアクセス制限システムは、配下のPC数百台を、管理者コンソールから「遠隔・集中管理」できなければならない。
   
   　　　→　出先機関のPCの設定を、わざわざ出かけて行うのは合理的な運用ではない。
   
   
4. そのUSBアクセス制限システムは、「きめ細かな例外処理」も行えなければならない。
   
   　　　→　業務上やむをえない場合のみ、MOドライブやFDドライブのUSB接続を、「例外的に」許可することがある。そのような「例外措置」が行える仕様でなければならない。

ネットワーク管理ソフトを使ってプッシュ・インストールしました。

--　DeviceLockの現在の使用感はいかがですか。

今まで述べた「要件、予定仕様」は、ほぼもれなく実現できています。中央コンソールからの集中管理も問題なく動いています。他のソフトウエアとのぶつかり、不具合なども報告されていません。期待通りの動作です。

--　DeviceLockへの今後の期待をお聞かせください。

DeviceLockには、不断の進化を続けてほしいと思います。 USBメモリは、三年前は普及していませんでしたが、今ではデファクトスタンダードのデバイスです。同様に、これから三年後には、別の新しいデバイスがメジャーになっているかもしれません。そうした流れに、確実にキャッチアップして欲しいと思います。期待しています。