【Windows】USB記憶装置の「実行権限」のみを剥奪してウイルスの起動を防ぐ手順

USB記憶装置はデータの持ち運びに便利ですが、ウイルス感染のリスクも伴います。誤って不正なプログラムを実行してしまうと、システム全体に影響が及ぶ可能性があります。

この記事では、USB記憶装置からのプログラム実行を禁止しつつ、データの読み書きは可能にする設定方法を解説します。

これにより、セキュリティを強化し、業務中のPCをウイルスから保護する具体的な手順がわかります。

USB記憶装置の実行制御の概要と重要性

USB記憶装置は、手軽にデータを移動できる便利なツールです。しかし、この利便性は同時に、外部からのウイルスやマルウェアがシステムに侵入する主要な経路となる危険性も持ち合わせています。

特に、業務用のPCではセキュリティ対策が不可欠です。実行権限のみを剥奪する設定は、USB記憶装置に保存されたデータへのアクセスは許可しつつ、意図しないプログラムの起動や自動実行を防ぎます。

この対策により、従業員が誤って感染したUSB記憶装置を接続した場合でも、不正なプログラムが自動的に実行されることを阻止し、システムの安全性を高めることができます。

この設定は、Windows Pro以上のエディションで利用できるグループポリシーエディターまたは、レジストリを直接編集することで適用できます。

なぜUSBからの実行を禁止するのか

USB記憶装置からのプログラム実行を禁止する主な理由は、未知の脅威からの保護です。例えば、社外から持ち込まれたUSB記憶装置に、意図せずウイルスが潜んでいる場合があります。

実行権限を制限することで、そうしたウイルスがPCに接続された際に、自動的に実行されることを防ぎます。これにより、情報漏えいやシステム破壊といった重大なトラブルを未然に防ぐ重要なセキュリティ対策となります。

グループポリシーエディターで実行権限を剥奪する手順

Windows 11またはWindows 10のPro、Enterprise、Educationエディションでは、グループポリシーエディターを使ってUSB記憶装置の実行権限を簡単に制御できます。この方法は、組織内で複数のPCに一貫したセキュリティポリシーを適用する場合に特に有効です。

1. グループポリシーエディターを開く
   Windowsの検索ボックスに「gpedit.msc」と入力し、検索結果に表示される「グループポリシーの編集」をクリックしてグループポリシーエディターを起動します。
2. 設定項目へ移動する
   左側のナビゲーションペインで、以下のパスをたどります。
   「コンピューターの構成」 → 「管理用テンプレート」 → 「システム」 → 「リムーバブル記憶域へのアクセス」
3. 実行アクセス拒否の設定を開く
   右側のポリシーリストから「リムーバブル記憶域: 実行アクセスをすべて拒否」をダブルクリックします。
4. ポリシーを有効にする
   表示された設定ウィンドウで、「有効」オプションを選択します。これにより、すべてのリムーバブル記憶装置からのプログラム実行が禁止されます。
5. 設定を適用して閉じる
   「適用」ボタンをクリックし、続けて「OK」ボタンをクリックして設定を保存しウィンドウを閉じます。
6. 設定を反映させる
   変更をすぐにシステムに反映させるため、PCを再起動するか、管理者としてコマンドプロンプトを開き「gpupdate /force」と入力してEnterキーを押します。

設定時の注意点とよくある誤操作

USB記憶装置の実行権限を制御する際には、いくつかの注意点とよくある誤操作があります。これらのポイントを理解することで、意図しない問題を防ぎ、適切なセキュリティ対策を講じることができます。

Windows Homeエディションでの制限

Windows 11 HomeやWindows 10 Homeエディションには、グループポリシーエディターが標準で搭載されていません。そのため、前述のグループポリシーを使用した手順は適用できません。

Homeエディションで同様の実行禁止設定を行うには、レジストリを直接編集する必要があります。レジストリ編集はシステムに大きな影響を与える可能性があるため、慎重な操作が求められます。

レジストリ編集前のバックアップ手順

レジストリを編集する前には、必ずバックアップを取るようにしてください。これにより、誤った変更を加えても元の状態に戻すことができます。

1. レジストリエディターを開く
   Windowsの検索ボックスに「regedit」と入力し、検索結果に表示される「レジストリエディター」をクリックして起動します。
2. レジストリのバックアップを作成する
   レジストリエディターのメニューバーから「ファイル」を選択し、「エクスポート」をクリックします。
3. バックアップファイルを保存する
   「エクスポート範囲」で「すべて」を選択し、任意のファイル名と保存場所を指定して「保存」ボタンをクリックします。

Windows Homeエディションでレジストリを編集する手順

レジストリのバックアップが完了したら、以下の手順で実行権限を剥奪する設定を行います。

1. レジストリエディターを開く
   Windowsの検索ボックスに「regedit」と入力し、レジストリエディターを起動します。
2. 対象のキーへ移動する
   アドレスバーに「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows」と入力し、Enterキーを押します。
3. 新しいキーを作成する
   「Windows」キーを右クリックし、「新規」→「キー」を選択します。新しいキーの名前を「RemovableStorageDevices」と入力します。
4. さらに新しいキーを作成する
   作成した「RemovableStorageDevices」キーを右クリックし、「新規」→「キー」を選択します。新しいキーの名前を「{53f5630d-b6bf-11d0-94f2-00a0c91fc20c}」と入力します。
5. 新しいDWORD値を設定する
   作成した「{53f5630d-b6bf-11d0-94f2-00a0c91fc20c}」キーを選択した状態で、右側のペインの空いている場所を右クリックし、「新規」→「DWORD 32ビット値」を選択します。
6. DWORD値の名前とデータを設定する
   新しいDWORD値の名前を「Deny_Execute」と入力します。その後、「Deny_Execute」をダブルクリックし、「値のデータ」を「1」に設定して「OK」をクリックします。
7. PCを再起動する
   レジストリの変更をシステムに反映させるため、PCを再起動します。

設定が反映されない場合の確認点

グループポリシーやレジストリの設定を変更しても、すぐに反映されない場合があります。以下の点を確認してください。

まず、PCを再起動することで設定が適用されることが多いです。グループポリシーエディターを使用した場合、管理者権限のコマンドプロンプトで「gpupdate /force」コマンドを実行することで、手動でポリシーを更新できます。

また、設定を「有効」にしたことを再度確認してください。誤って「未構成」や「無効」のままになっていないか、設定画面をもう一度開いて確認することが重要です。

誤った権限設定を避ける

この設定の目的は「実行権限のみを剥奪する」ことです。誤って「リムーバブル記憶域: 読み取りアクセスをすべて拒否」や「書き込みアクセスをすべて拒否」を有効にすると、USB記憶装置に保存されたデータが読み込めなくなったり、書き込めなくなったりします。

実行権限のみを制限することで、データの読み書きは通常通り行え、利便性を損なわずにセキュリティを強化できます。設定を行う際は、目的の項目が正しいか慎重に確認してください。

グループポリシーとレジストリ編集の方法比較

項目	グループポリシーエディター	レジストリ編集
対象エディション	Windows Pro, Enterprise, Education	Windows Homeを含むすべて
操作の容易さ	GUIで直感的に設定できる	レジストリ構造を理解する必要がある
安全性	誤操作のリスクが比較的低い	誤った操作はシステムに重大な影響を与える可能性がある
一括管理	Active Directory環境で複数PCに適用が容易	各PCで個別に設定が必要
元に戻す方法	ポリシーを「未構成」または「無効」にする	バックアップから復元、または手動で値を変更・削除する

まとめ

この記事では、USB記憶装置からのウイルス起動を防ぐため、実行権限のみを剥奪する手順を解説しました。

Windows Pro以上のエディションではグループポリシーエディターを、Homeエディションではレジストリ編集を利用して設定できます。

この設定により、USB記憶装置の利便性を維持しつつ、不正なプログラムの実行を効果的に阻止し、PCのセキュリティを大幅に強化できます。

ぜひ、組織のセキュリティポリシーに合わせて、リムーバブル記憶域へのアクセス制御を適用してください。