チャブーンです。
この件ですが、質問の真意が正直わからないところがあります。できれば、この質問の背景をお知らせいただけるといいのですが、素で答えるとすれば、したのようなことはいえそうな気がします。
- グループポリシーの設定は「ソフトウェアによる制限」なので、究極的にはウイルス(ソフトウェア)による設定の破壊・すり抜けは起こりえる
- 「USB自体を認識させない」が物理的制限をかけるものであれば、「異なる階層に対する防御」ということで、より高いセキュリティ要件となりそう
- ただし、BIOS等の設定変更で対応、というなら、やっぱり「ソフトウェアによる制限」なので(BIOSはハードウェア組み込みのソフトウェアです)、同じ理由でセキュリティ要件が高くなったとはいえない
実際には、過去のセキュリティインシデントの実績(実体)、攻撃ツールの存在の有無、今後の傾向予測など、プロフェッショナル視点での考慮がいるかと思います。セキュリティには、「守る情報の価値」と「費用対効果」は常に意識する必要がありますので、シロウト考えでの対応は「生兵法はけがの元」といった対応になる危険性がありそうです。
ちなみにこういう場合、普通は「アンチウイルスソフトウェア」をインストールして、「侵入→即検出・削除」という「侵入の制限」とは異なるしくみにより、防御することが簡単なのではないでしょうか。
追記:忘れていましたが、「UEFIセキュリティブート」であれば、BIOSとは異なり、ハードウェアのブート時点でのセキュリティが考慮されているので、セキュリティ的には効果が高くなる、といえそうです。ただし、コンピューターにアクセスするウイルスはUSBメモリーだけから侵入するわけではないので、アンチウイルスソフトウェアは、必須のセキュリティツールといえると思います。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
