USBメモリのセキュリティ対策は不可欠! リスクや管理方法を解説
USBメモリは手軽にデータを持ち運べる便利なツールですが、使用にはセキュリティ上のリスクが伴うことをご存じでしょうか。盗難・紛失、ウイルス感染など、企業の情報資産を脅かす脅威は日常的に存在しています。万が一、USBメモリから情報が漏洩すれば、企業の社会的信用や経済的損失に直結する可能性もあるため、万全な対策を実施しなければなりません。では、USBメモリのセキュリティ対策はどのように行えばいいのでしょうか。
本記事では、USBメモリのセキュリティ対策が必要な理由や、USBメモリ使用時に注意したいセキュリティリスク、管理の方法について解説します。
USBメモリにセキュリティ対策が必要な理由
USBメモリにセキュリティ対策が必要なのは、その特性から情報漏洩などの被害が発生しやすいためです。
USBメモリは小型で持ち運びが簡単なため、様々な企業で業務に活用されています。しかし、データを容易にコピーして持ち運びできる特性は、外部への情報漏洩の起きやすさにも直結します。顧客情報や機密情報のデータにそのような問題が発生すれば、企業の社会的信用が損なわれるだけでなく、損害賠償や業務停止といった深刻な影響を及ぼす可能性もあります。
そのため、USBメモリの使用にあたっては、単に利便性だけに着目するのではなく、セキュリティ対策を徹底しなければなりません。
USBメモリに起因するセキュリティインシデントの事例
USBメモリに起因するセキュリティインシデントには、主に下記の3つのパターンがあります。それぞれのパターンで実際に発生した被害事例も含めて、企業にどのような深刻な被害が発生するかを確認していきましょう。
盗難・紛失による情報漏洩
USBメモリは小型で軽量なため、持ち運びには便利ですが、その反面で盗難や紛失のリスクも高まります。特に、個人情報や機密情報などの重要データを保存していた場合、盗難・紛失からそれらの情報が第三者の手に渡ると、企業の社会的信用の低下や被害者からの損害賠償請求といった重大な損害をもたらしかねません。
例えば、盗難・紛失による情報漏洩が発生した実例としては、地方自治体の受託業者が、住民の個人情報を保存したUSBメモリを飲食店で紛失したケースがありました。最終的にUSBメモリは発見され、データの抜き取りは確認されませんでしたが、管理体制の不備が第三者調査委員会によって指摘され、企業や自治体の信頼性に影響を与えています。
USBメモリの物理的な管理が不十分な場合、このような盗難・紛失から情報漏洩に発展しかねないため、適切な管理と運用ルールの整備が不可欠です。
ウイルス感染
USBメモリは、盗難・紛失につながりやすいという特性があるだけでなく、ウイルス感染を媒介するリスクも抱えています。業務用のUSBメモリを自宅のパソコンに接続した際に、そのパソコンがウイルスに感染しているとUSBメモリにもウイルスが侵入し、USBメモリ経由で企業のパソコンに感染が広がる可能性があります。
ウイルスによって企業のシステムがダウンしたり、攻撃者に情報が盗まれたりするような被害が生じると、企業に重大な損害をもたらすため、万全の注意を払わなければなりません。
実際に、ある大学病院では、事務職員が自宅で使用していたUSBメモリを職場のパソコンに接続した結果、ウイルス感染が広がり、1,000台以上の端末に影響を及ぼす大規模な被害が発生しました。この事例では、情報漏洩などの被害は確認されませんでしたが、一部の業務が遅延し、医療機関としての信頼性にも影響を及ぼしています。
内部不正による情報漏洩
USBメモリによる情報漏洩は、外部要因だけでなく、従業員の意図的な内部不正によっても発生するリスクがあります。特にUSBメモリの使用ルールが曖昧で管理体制が不十分な企業では、金銭目的や転職先への情報提供といった目的で、個人情報、機密情報などが持ち出される恐れがあります。
例えば、通信会社で勤務していた元派遣社員が、コールセンターのシステムに管理者アカウントで不正アクセスし、928万件もの顧客情報をUSBメモリにコピーして持ち出したという事件が発生しました。持ち出した情報を名簿業者に販売し、1,000万円以上の対価を得たとされており、元派遣社員はその後に逮捕されています。
内部の従業員や元従業員による不正行為には、技術的な対策だけでなく、誰が・いつ・どの端末でUSBメモリを使用したかを記録し、不正の兆候を早期に察知できる体制の構築などが不可欠です。
- 併せて読みたい
企業が実施すべきUSBメモリのセキュリティ対策
USBメモリの使用時には様々なセキュリティリスクが伴うため、対策が不可欠です。USBメモリのセキュリティリスクに対処するための主な技術的な対策や、組織的な取り組みについて解説します。
運用ルールの策定
USBメモリのセキュリティを強化する上で、重要なのが運用ルールの策定です。ルールがなければ、使用方法や使用できる業務の範囲が曖昧になり、結果として情報漏洩や不正使用のリスクを高めてしまいます。
USBメモリの運用ルールを定める場合、基本的には、USBメモリの使用に制限を設ける方向でのルール策定が必要です。業務効率の観点からUSBメモリの全面的な禁止が難しい場合は、特定の場面でのみ使用を許可する対応も選択肢の1つです。導入するルールの主な例としては、下記のようなものが挙げられます。
- USBメモリの使用に関するルールの例
-
- 個人情報や機密情報はUSBメモリに保存しない
- 使用時の事前申請の手続きを設ける
- 持ち出しは原則禁止する
- 使用時は管理台帳への記録を義務付ける
- 特定の業務や担当者に限って使用を許可する
上記のような具体的なルールを定めることで、使用を適切に制限できます。また、貸出期間を設定できるUSBメモリを導入し、期間に制限を設けるのも有効です。策定したルールは形骸化しないよう、定期的に見直し、現場の実態に即して更新していきましょう。
従業員へのセキュリティ教育
USBメモリを安全に使用するためには、従業員一人ひとりに対するセキュリティ教育も欠かせません。どれだけ高度なセキュリティ対策を導入しても、それを運用する従業員の意識が低ければ、不適切な使用によるセキュリティリスクは高まります。
従業員教育では、USBメモリに関する基本的なリスクや、実際に起こりうるインシデントの事例を共有し、なぜ対策が必要なのかを理解してもらうことが重要です。その上で、下記のような観点で、具体的な行動レベルにまで落とし込んだ指導を行うことが効果的です。
- USBメモリについて従業員に理解してもらうべき主な項目
-
- どのような情報を保存してはいけないか
- どのような手順で使用・管理すべきか
- なぜ、自宅や外部のパソコンで業務用のUSBメモリを使用してはいけないのか
さらに、セキュリティ教育は一度限りではなく、定期的に実施して最新の脅威や対策を共有することも必要になります。継続的な教育によって従業員の意識を高め、組織全体でセキュリティを維持する文化を醸成しましょう。
- 併せて読みたい
IT資産管理ツールの活用
USBメモリの使用をより安全に管理するためには、IT資産管理ツールの活用が有効です。運用ルールや従業員教育で指導した行動が守られているかについて、実際の使用状況を確認して制御するためには、ツールによる技術的なサポートが欠かせません。
IT資産管理ツールを導入すれば、自社保有のUSBメモリに関する情報を一元管理できます。自社で許可していないUSBメモリが社内のパソコンに接続された場合には、自動的に使用をブロックすることも可能です。また、操作ログの取得によりUSBメモリの使用履歴を確認できるため、万が一情報漏洩が発生した際にも迅速に原因を特定し、被害の拡大を防ぐことができます。
誰が・いつ・どの端末で使用したかを追跡できることは、内部不正が発生した際の証跡の確保にも有効です。内部不正の証跡が残るという事実は、内部不正の抑止にもつながります。
- 併せて読みたい
データの暗号化
USBメモリの盗難や紛失による情報漏洩リスクを抑えるために有効なのが、データの暗号化です。万が一USBメモリが第三者の手に渡った場合でも、データが暗号化されていれば内容を簡単に閲覧されることはありません。
暗号化の方法としては、パソコン上で暗号化ソフトを使ってデータを保護し、そのデータをUSBメモリに保存する方法があります。また、より手軽な方法として、保存されたデータを自動で暗号化する機能が備わったUSBメモリを活用することもできます。
なお、USBメモリの盗難・紛失対策としては、下記のような方法も有効です。
- USBメモリの盗難・紛失対策の例
-
- USBメモリに紛失防止タグを取り付ける
- 盗難・紛失時に遠隔操作でデータを削除できる機能のある製品を使用する
暗号化はセキュリティの基本であり、企業規模を問わず導入が推奨される対策といえるでしょう。
- 併せて読みたい
自動再生機能の無効化
USBメモリを介したウイルス感染を防止するためには、自動再生機能を無効にしておくことが重要です。
USBメモリをパソコンに接続した際に自動的にファイルやプログラムが起動する自動再生機能は、便利である一方、ウイルスが潜むデータが自動的に実行されてしまうリスクをはらんでいます。そのため、業務用のパソコンでは、機能を無効化する設定をしておきましょう。
自動再生機能の無効化の設定方法は、WindowsやmacOSなど使用しているOSに応じて手順が異なるため、OSごとの操作方法を確認してください。例えば、Windows 11であれば、以下の手順で無効化が可能です。
- Windows 11で自動再生機能を無効化する設定の手順
-
- 「設定」画面を開く
- 「Bluetoothとデバイス」をクリックして「自動再生」を選択
- 「すべてのメディアとデバイスで自動再生を使う」のチェックを外す
物理的な対策の導入
USBメモリのセキュリティ対策においては、データの管理やソフトウェアによる制御だけでなく、物理的な対策も欠かせません。盗難・紛失のリスクは、実際に持ち運ぶ際のUSBメモリの扱い方に大きく左右されるためです。
考えられる対策の1つは、USBメモリを専用のケースに入れて持ち運ぶことです。小さなUSBメモリは紛失しやすい特性があるものの、大きく目立つケースに入れておけば落としたりした際にも目立つため、紛失リスクを抑えられます。また、使用しないときには鍵付きの引き出しやロッカーに保管することも有効です。
他にも、物理的な対策として、業務用パソコンのUSBポートにロック付きのカバーを取り付けて、管理者以外がポートを使用できないようにしたりする方法もあります。これらの対策には技術的な知識が不要なため、簡単に内部不正などを防げる点で実用的です。
物理的なセキュリティ対策は、他の施策と組み合わせることでより高い効果を発揮します。また、目に見える対策として、従業員の意識向上にもつながります。
ウイルス対策の導入
USBメモリを介したウイルス感染を防ぐ上で、ウイルス対策ソフトの導入は基本的な対策です。USBメモリに保存されたファイルが悪意あるプログラムを含んでいた場合でも、適切な対策ソフトがインストールされていれば、自動的にスキャンされ、感染の拡大を防ぐことが可能です。
業務用のパソコンには、リアルタイムスキャン機能や外部デバイスの検出時に自動で動作する設定が可能なウイルス対策ソフトを導入しましょう。また、USBメモリそのものにウイルス対策機能が搭載されている製品もあります。
USBメモリのセキュリティ対策を徹底しよう
USBメモリは業務効率を高める便利なツールである一方、情報漏洩やウイルス感染など、企業活動に深刻な影響を及ぼすリスクも潜んでいます。まずは、こうしたリスクを正しく理解することが、効果的なセキュリティ対策の第一歩です。
その上で、運用ルールの整備や従業員教育、データの暗号化といった組織的・技術的な対策を講じましょう。また、USBメモリからの情報漏洩を防ぐためには、IT資産管理ツールを導入することも強力な対策となります。
インターコムが提供する「MaLion」シリーズなら、USBメモリを含む外部デバイスの接続制御やログ取得が可能です。企業のセキュリティポリシーに合わせて、読み込みのみを許可したり、すべての操作を制限したりすることができ、柔軟な管理を実現します。また、USBメモリの個体識別ID(デバイス インスタンスID)を基に、企業が用意したUSBメモリのみの使用を許可・制限するような運用や、特定のUSBメモリについて特定のユーザーのみ使用を許可・制限することも可能です。セキュリティポリシーに違反するような不正操作があった場合は警告を表示できるため、従業員のセキュリティ意識向上にも役立つ製品です。
Windows端末であれば、外部デバイスに書き込んだデータのアーカイブログも収集できるため、多彩な機能でUSBメモリのセキュリティリスクを抑制できます。セキュリティ対策を充実させたい場合は、ぜひご検討ください。
