「USBを勝手に挿される…」を防ぎたい学校ICT担当者へ
学校現場では、
- 私物USBメモリの持ち込み
- 不明なUSB機器接続
- データ持ち出し
- ウイルス感染
など、USB関連のトラブルが突然発生します。
特にGIGA環境では、1台感染すると一気に被害が広がることもあります。
この記事では、WindowsのGPO(グループポリシー)を使って、児童生徒にUSBメモリを使わせない設定方法を、学校ICT担当者向けに分かりやすく解説します。
【最速解決】まず最初にやるべきこと
緊急時の応急処置チェックリスト
- GPOで「リムーバブル記憶域アクセス」を禁止する
- USBストレージの「読み取り」「書き込み」を無効化する
- 対象OUを児童生徒端末だけに限定する
- テスト端末1台で動作確認する
- <code>gpupdate /force</code> を実行する
トラブル原因の切り分け(時間短縮の鍵)
USB制限が効かない場合、まずは
- 端末単体問題
- ドメイン全体問題
- GPO競合
を切り分けましょう。
切り分けステップ1:別PCでも同じ現象が起きるか確認
1台だけ効かない場合は、
- OU設定ミス
- ドメイン参加不良
- ポリシー未反映
の可能性があります。
切り分けステップ2:管理者アカウントだけ使えていないか確認
児童生徒アカウントでは禁止されていても、管理者権限では利用可能な場合があります。
確認ポイント
- 生徒アカウント
- 教員アカウント
- ローカル管理者
で挙動が違わないか確認しましょう。
切り分けステップ3:GPOが適用されているか確認
以下を実行します。
<code>gpresult /r</code>
確認ポイント
- 適用済みGPO一覧
- USB制限GPOが表示されるか
- OUが正しいか
ステップバイステップ詳細解決手順
【手順1】簡単な設定変更
GPOでUSBストレージを禁止する方法
手順
- 「グループポリシー管理」を開く
- 対象OUを右クリック
- 「このドメインにGPOを作成してリンク」
- 任意の名前を付ける
- 「編集」を開く
設定場所
コンピューターの構成
↓
ポリシー
↓
管理用テンプレート
↓
システム
↓
リムーバブル記憶域アクセス有効化する項目
基本的におすすめ
- すべてのリムーバブル記憶域クラス:すべてのアクセスを拒否
- リムーバブルディスク:読み取りアクセス拒否
- リムーバブルディスク:書き込みアクセス拒否
まずは「書き込み禁止」から始める学校も多いです。
ポイント
いきなり全面禁止すると、
- 印刷できない
- USBマウス誤検知
- 特別支援機器が使えない
ケースがあります。
最初は限定運用がおすすめです。
【手順2】コマンド操作(管理者向け)
GPO即時反映
以下を実行します。
<code>gpupdate /force</code>
反映を待たずにポリシー更新できます。
適用確認
<code>gpresult /h c:\gporeport.html</code>
HTMLレポートで適用状態を確認できます。
USBデバイス確認
接続履歴確認:
<code>pnputil /enum-devices /connected</code>
学校では、
- 私物USB
- 不明デバイス
- スマホ接続
確認に役立ちます。
【手順3】深い部分の対処
⚠️ 注意:ここからは上級者向けです。事前バックアップを推奨します。
レジストリでUSBストレージ無効化
以下のレジストリを変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR値変更
<code>Start = 4</code>
これでUSBストレージを無効化できます。
注意点
この方法は強力ですが、
- 一部周辺機器誤動作
- USBプリンタ問題
- 復旧作業が面倒
というデメリットがあります。
基本はGPO運用推奨です。
デバイスインストール制限
さらに厳しくする場合:
コンピューターの構成
↓
管理用テンプレート
↓
システム
↓
デバイスのインストールを利用します。
学校現場特有の原因と対策
原因① Chromebook混在環境
学校では、
- Windows
- Chromebook
- iPad
が混在しているケースがあります。
そのため、
「WindowsだけUSB禁止」
では抜け道になる場合があります。
対策
- Google管理コンソール側制限
- iPad MDM制限
- 校内ルール統一
も同時に行いましょう。
原因② 校務系・学習系分離問題
USB制限を厳しくすると、
- 校務USB
- 成績処理USB
- 古い教材
が利用できなくなる場合があります。
対策
- 教員OUだけ例外設定
- 校務端末は別GPO
- 一部端末のみ許可
などの分離運用が重要です。
原因③ 古い周辺機器との相性
学校には古い機器が多く残っています。
例えば、
- USB接続プリンタ
- 電子黒板
- 書画カメラ
- ICカードリーダー
が誤検知されることがあります。
対策
全面禁止前に必ず検証端末で確認しましょう。
解決しなかった場合の「次の手」
以下の場合は、無理に単独対応しない方が安全です。
- ドメイン管理権限がない
- GPO競合が複雑
- 校務システムへ影響
- MDMとの競合
この場合は、
- 保守ベンダー
- 教育委員会
- ネットワーク業者
- 校務システム会社
へ早めに相談しましょう。
特に校務系は、USB制限が予想外の障害につながる場合があります。
再発防止のための運用改善策
① 「USB禁止」をルール化する
設定だけでなく、
- 情報モラル教育
- 教職員周知
- 校内ルール明文化
も重要です。
② 代替手段を用意する
USB禁止だけでは現場が困ります。
おすすめ代替手段
- Google Drive
- OneDrive
- 校内共有フォルダ
- Classroom提出
を整備しましょう。
③ 例外管理を整理する
「誰でも解除可能」状態は危険です。
おすすめ:
- 申請制
- 管理番号付与
- 一時許可
運用にすると安全です。
まとめ
今回のポイントは次の3つです。
- USB制限はGPOで比較的簡単に実現可能
- いきなり全面禁止せず段階導入が重要
- 学校では「例外運用整理」が成功の鍵
現場目線からの励まし
学校ICT担当をしていると、「とりあえずUSBで持ってきました」が本当に多いですよね。
しかも悪気があるわけではなく、
- 「これまで問題なかった」
- 「その方が早い」
- 「ネットが遅いから」
という理由で使われることが多く、対応に悩む場面も多いと思います。
ですが現在の学校現場では、USB経由の情報漏えいやウイルス感染は、以前よりずっとリスクが高くなっています。
特にGIGA端末環境では、1台の感染が学年全体、場合によっては校内全体へ広がる可能性もあります。
だからこそ、ICT担当者が「面倒だから禁止する」のではなく、「学校全体を守るために整備する」という視点がとても重要です。
最初は、
- 「厳しすぎると言われる」
- 「今まで使えていたのにと言われる」
- 「現場から反発される」
こともあるかもしれません。
ですが、きちんと代替手段を用意しながら少しずつ運用を変えていくことで、学校全体のセキュリティ意識は必ず変わっていきます。
そして何より、「問題が起きてから対応する」のではなく、「問題を未然に防ぐ」のがICT担当者の本当に大切な役割です。
同じ現場にいる人間として、毎日の対応、本当にお疲れさまです。
目立たない仕事だからこそ大変ですが、その積み重ねが、学校全体を確実に支えています。
コメント