USBの接続履歴はどう調べる? 確認のメリットと内部不正対策を解説
USBメモリを使って社内の重要なデータを外部に持ち出すことは、情報漏洩の代表的な手口の1つです。もし不審なUSBメモリの使用履歴が残っていれば、内部不正の兆候として見逃せません。では、USBメモリの接続履歴は、どうやって確認できるのでしょうか。
本記事では、USBの接続履歴の保存方法や確認方法、接続履歴をチェックするメリットのほか、データ持ち出しなどの内部不正を未然に防ぐための対策についても解説します。
USBメモリの接続履歴の確認方法
USBメモリの接続履歴は、社内の不正なデータ持ち出しやウイルス感染の原因特定といった場面で重要になる情報です。確認方法は主に3つあり、それぞれ、下記のように特徴が異なります。
パソコンのログから確認する
USBメモリの接続履歴は、パソコン上に残されたログ情報から確認できます。ログとは、システムの動作や操作の記録のことで、USB機器が接続された日時や種類などの情報も含まれています。
Windowsパソコンでは、「イベントビューアー」や「レジストリ」といったシステム管理用のツールを使うことで、USBメモリの接続履歴を調べることが可能です。ただし注意が必要なのは、Windows 11の初期設定では、USB接続の履歴が記録されない点です。事前にログを保存するように設定しておく必要があり、この設定がないと接続履歴は確認できません。また、ログを保存できる容量もデフォルトでは限られています。上限を超えると古いログは削除されていくため、長期間保存したい場合は保存するログの容量を変更する設定が必要です。
このパソコンのログから接続履歴を確認する方法は、無料で実行可能です。ただし、設定や確認には一定程度の知識が求められます。
- 併せて読みたい
専用ツールで確認する
USBメモリの接続履歴を簡単かつ確実に管理したい場合は、専用のログ監視ツールを導入する方法があります。専用ツールであれば、自動的にUSBデバイスの接続履歴を記録・監視し、パソコンの設定画面から行うよりも簡単な操作で接続履歴を確認できます。
専用ツールを使うメリットは、USBメモリの接続履歴だけでなく、パソコンの操作履歴やアクセス状況などもまとめて把握できる点です。また、特定のUSB機器が接続された際にアラート通知を出したり、セキュリティポリシーに反する操作をブロックしたりするような設定も可能です。さらに、使用状況のレポートを出力できるツールであれば、管理者による定期的な監査にも活用できます。
一方で、専用ツールの導入には追加コストが発生し、初期設定の際には専門知識も必要です。設定が不適切なまま運用すると誤検知や不審な操作の見落としにつながる恐れもあるため、信頼できるベンダーの製品を選び、必要に応じて導入支援を受けることが重要です。
専用ツールは、社内全体のUSBメモリの管理体制を強化したい企業や、正確な証跡管理を必要とする企業に適した方法といえるでしょう。
フォレンジック調査の専門業者に依頼する
USBメモリの接続履歴を、法的にも有効な証拠として正確に残したい場合や、すでに情報漏洩などのインシデントが発生している場合には、フォレンジック調査の専門業者へ依頼するのが有効な方法です。
フォレンジック調査とは、パソコンやサーバーなどに残されたログやファイルの痕跡を専門技術で解析し、不正行為の有無や経路、被害の範囲などを明らかにする調査手法です。USBメモリの接続履歴はもちろん、削除・改ざんされたファイルの復元、操作をした者・操作内容などの詳細な記録も調査対象になります。
調査結果は、報告書としてまとめられ、必要に応じて法的手続きの証拠資料としても活用可能です。パソコンの設定画面などから確認できるログ情報は削除したり改ざんしたりすることができるため、正確な証跡にはなりません。そのため、社内での不正アクセスや情報漏洩などが発生して、警察への資料提供や訴訟での証拠提出が必要となるケースでは、信頼性を担保するための専門業者の調査が欠かせません。
また、フォレンジック調査では、不正の証跡を明らかにするだけでなく、ウイルス感染の原因調査や再発防止策の提案にも対応してもらえる場合があります。高度な専門知識と専用ツールによる調査で、社内調査では把握しきれないリスクの洗い出しにも役立ちます。
コストはかかりますが、重大なインシデント発生時などには、企業の信頼を守るための重要な手段といえるでしょう。
USBメモリの接続履歴を確認するメリット
USBメモリの接続履歴を定期的に確認することは、情報セキュリティの観点から有効です。USBメモリの接続履歴を確認することによるメリットとしては、主に下記4点が挙げられます。
内部不正を迅速に発見できる
USBメモリの接続履歴を定期的に確認することで、内部不正の早期発見が可能になる点はメリットといえます。USB機器は機密情報や個人情報を外部に持ち出す手段としてよく使われるため、その接続ログを監視することで不審な行動の兆候を捉えやすくなります。
例えば、深夜や休日など通常業務時間外にUSBメモリが接続されていた場合、その記録が不正行為を疑うきっかけになるケースもあるでしょう。履歴をチェックすることで、不正な操作が行われた可能性を迅速に把握でき、早期対応につなげることが可能です。
また、USBメモリの接続履歴を定期的に確認していることを社内に周知しておけば、抑止効果も期待できます。
内部不正の証跡の確保につながることがある
USBメモリの接続履歴を確認すると、内部不正の証跡の確保につながる場合がある点も、接続履歴確認のメリットの1つです。不正なデータ持ち出しや機密情報の漏洩が疑われるケースで、USBメモリの接続履歴を調べることで、内部不正者の特定や持ち出された日時、データの内容といった情報を把握できることもあります。
例えば、社内で使用を許可されていないUSBメモリが特定の端末に接続された履歴が残っていれば、その端末の使用者に焦点を当てて調査を進めることができます。USBメモリの接続履歴をきっかけに、実際のファイル操作ログやメールの送受信記録などを調査すれば、懲戒処分や法的手続きに必要な強力な証跡を確保できる可能性があります。
内部不正の兆候は、一見しただけでは気付きづらいこともあるため、日常的な接続履歴の確認が将来的なトラブル防止につながります。
ウイルス感染の原因を確認できることがある
USBメモリの接続履歴を記録・確認しておくことは、ウイルス感染の原因を特定する上でも役立ちます。
ウイルスの感染経路としては、不審なメールやWebサイトの閲覧に加えて、USBメモリによる持ち込みも少なくありません。例えば、ある端末でウイルス感染が発覚した際に、直前に接続されたUSBメモリの履歴を確認することで、感染源となったデバイスを突き止められる可能性があります。
さらに、そのUSBメモリが他の端末でも使用されていた場合、感染拡大のリスクも明らかになり、迅速に隔離などの初動対応ができるようになります。接続履歴のチェック体制を整えておくことで、ウイルス感染時の被害を最小限に抑える体制の構築にもつながるのです。
感染原因を正確に把握できれば、再発防止のための具体的な対策も打ちやすくなります。接続履歴の管理は、セキュリティ対策の第一歩として欠かせません。
セキュリティ上のルールが守られているかを確認できる
USBメモリの接続履歴を確認することで、社内で定めたセキュリティルールが適切に運用されているかを検証することができる点も、メリットといえます。「社内で許可されたUSBメモリ以外は使用禁止」といったルールがある場合、実際にそのポリシーが守られているかを接続履歴から確認可能です。
これによって、許可されていないUSBメモリが接続されていた履歴が残っていれば、即座にルール違反として対応することができ、再発防止のための指導やシステム面での強化も検討できます。反対に、ルールが守られていることを確認できれば、運用体制がうまく機能している証拠ともなり、社内の信頼性向上にもつながります。
人の目で監視するのが難しい場面でも、システムに記録された履歴を確認することで、客観的な証跡を基にした判断が可能です。
WindowsでUSBメモリの接続履歴を確認する方法
Windowsパソコンでは、イベントビューアーを活用することで、USBメモリの接続履歴を確認することが可能です。イベントビューアーは、Windows OSに標準で搭載されているログ管理ツールで、システムの動作記録を細かくチェックできます。
ただし、基本的に初期設定のままではUSBメモリの接続ログは保存されません。履歴を取得するには、あらかじめログ保存を有効にする設定を行っておく必要があります。この設定を行うことでUSBメモリの接続情報が自動的に記録され、イベントビューアーからいつでも確認できるようになります。
下記で、イベントビューアーを使ってログの保存を有効にする方法と、ログを確認する方法の2つのステップを確認していきましょう。
1.ログの保存を有効にする方法
USBメモリの接続履歴をWindowsで確認するには、最初にイベントビューアーでログの保存を有効化する設定が必要です。以下の手順で設定を行いましょう。
- ログの保存を有効にするための手順
-
- 「Windowsキー+R」で「ファイル名を指定して実行」を開き、「eventvwr」と入力してイベントビューアーを起動
- 左側のメニューで「アプリケーションとサービスログ」「Microsoft」「Windows」「DriverFrameworks-UserMode」「Operational」の順に選択
- 右側の「操作」内の「ログの有効化」をクリック
この操作によって、USBメモリの接続などのイベントが記録されるようになります。なお、この設定は一度有効化すれば継続してログが記録されるようになりますが、パソコンを初期化した場合などには再設定が必要になる場合があります。
2.ログを確認する方法
イベントビューアーでUSBメモリの接続ログの保存を有効にした後は、実際にログを確認して接続履歴を把握することができます。以下の手順で、USBメモリの接続情報をチェックしましょう。
- ログを確認するための手順
-
- 「Windowsキー+R」で「ファイル名を指定して実行」を開き、「eventvwr」と入力してイベントビューアーを起動
- 左側のメニューで「アプリケーションとサービスログ」「Microsoft」「Windows」「DriverFrameworks-UserMode」「Operational」の順に選択
- 中央の上部に表示されているログ一覧から、デバイスの接続を意味する「2003」のイベントIDを探して選択
該当のログをダブルクリックすると、USBメモリの接続日時、ユーザー情報などを確認できます。これらの情報を基に、不審なデバイスの接続がないか、ルールに違反した操作がなかったかをチェックできます。
WindowsでUSBメモリの接続ログの保存期間を変更する方法
イベントビューアーでUSBメモリの接続ログを記録する設定を行っていても、ログが保存される期間には限りがあります。ログを保存できる容量には上限が設定されており、それを超えると古いログから順に自動削除されてしまうため、必要な情報が残らない可能性があります。
長期間のログを確実に保持するためには、保存できる最大ログサイズと保存容量が上限に達した際の動作の設定を見直さなければなりません。以下の手順で保存期間の調整を行いましょう。
- ログの保存期間を変更するための手順
-
- 「Windowsキー+R」で「ファイル名を指定して実行」を開き、「eventvwr」と入力してイベントビューアーを起動
- 左側のメニューで「アプリケーションとサービスログ」「Microsoft」「Windows」「DriverFrameworks-UserMode」の順に選択し、「Operational」を右クリックして「プロパティ」を選択
- 「最大ログサイズ」欄で、保存したいログの容量を任意の値に設定
- 「イベントログサイズが最大値に達したとき」内の項目で「イベントを上書きしないでログをアーカイブする」を選択
この設定によって、USBメモリの接続ログを長期間にわたって保存することが可能になります。
WindowsでUSBメモリの接続ログを削除して保存をやめる方法
USBメモリの接続ログを管理している場合、不要になったログの削除や、ログの記録自体を停止したいケースもあるかもしれません。Windowsのイベントビューアーで、接続ログを手動で削除したり、ログ記録を無効にしたりするためには、以下の手順で操作を行ってください。
- ログを削除するための手順
-
- 「Windowsキー+R」で「ファイル名を指定して実行」を開き、「eventvwr」と入力してイベントビューアーを起動
- 左側のメニューで「アプリケーションとサービスログ」「Microsoft」「Windows」「DriverFrameworks-UserMode」「Operational」の順に選択
- 右側の「操作」内の「ログの消去」をクリック
- 確認メッセージが表示されるため、「保存と消去」または「消去」を選択
- ログの保存をやめる(無効化する)ための手順
-
- 「Windowsキー+R」で「ファイル名を指定して実行」を開き、「eventvwr」と入力してイベントビューアーを起動
- 左側のメニューで「アプリケーションとサービスログ」「Microsoft」「Windows」「DriverFrameworks-UserMode」「Operational」の順に選択
- 右側の「操作」内の「ログの無効化」をクリック
ただし、ログを削除した場合は、復元することができません。また、記録を停止すると内部不正があった場合などに調査の選択肢が限られる可能性があるため、やむを得ない場合に限って慎重に実施しましょう。
USBメモリなどによる内部不正を防ぐ対策
USBメモリは便利な一方で、内部不正や情報漏洩の手段として悪用されるリスクがあります。下記では、USBメモリなどを利用した内部不正を防ぐために、企業がとるべき基本的な対策を2つ紹介します。
データへのアクセス権限の管理
内部不正を防ぐには、機密情報へのアクセス権限を厳密に管理することが重要です。従業員ごとに、業務に必要な範囲でのみ情報へのアクセスを許可し、業務に不要な情報の閲覧・操作を制限します。これにより、内部不正を試みる者が重要な情報にアクセスするリスクを軽減できます。
- 併せて読みたい
私用機器やアカウントの使用制限
業務データを取り扱う際は企業が貸与した端末のみを従業員に使用させ、私物のパソコンやUSBメモリの使用を禁止することも、内部不正の防止に有効です。また、メールやチャットツールについても私用アカウントでのやりとりを禁止し、業務用アカウントに限定することで、監査や証跡の把握が容易になります。
USBメモリの接続を適切に管理して、情報漏洩を防ごう
USBメモリは便利な反面、情報漏洩のリスクも高いデバイスです。接続履歴を確認すると、内部不正の早期発見や原因の調査、ルール違反の抑止に役立つため、保存・管理できる体制を整えましょう。
Windowsでも設定次第で履歴の記録と確認は可能ですが、より高いセキュリティを求めるなら、専用ツールの導入がお勧めです。例えば、インターコムの情報漏洩対策ツール「MaLion」シリーズでも、USBメモリの接続の監視や操作の制御が可能です。セキュリティポリシーに沿った読み込みのみを許可したり、すべての操作を制限したりするような制御ができるようになります。
USBメモリの個体識別ID(デバイス インスタンスID)を基に、企業が用意したUSBメモリなど特定のUSBメモリのみ利用を許可・制限することができ、特定のUSBメモリでかつ特定のユーザーのみ利用を許可・制限することも可能です。個体識別IDがない場合でも、USBデバイス台帳上でユニークなIDを発行することで同様に個別USBメモリの利用の制御ができるため、様々な企業のセキュリティ対策に役立ちます。情報漏洩対策をお考えの場合は、ぜひご検討ください。
