組織とUSBメモリの付き合い方
皆さんこんにちは、セキュリティコンサルタントの高野です。今回はUSBメモリ利用における組織でのセキュリティ対策について考えていきたいと思います。
たびたびUSBメモリ紛失事故は発生しますが、最近も某高速道路業界の大手企業から、個人情報を含むUSBメモリの紛失事故が発表されていましたね。USBメモリは、“暗号化されておりましたが、パスワードがUSBメモリに貼付しておりました”とのことです。
某自治体でのUSBメモリ紛失事故から約2年たった今でも、不注意によるUSBメモリの紛失事故は発生し続けています。
USBメモリは利用禁止!?
本記事の読者にも、組織でUSBメモリの利用が禁止されているという方がいらっしゃるかもしれません。
そもそも組織がUSBメモリを禁止する理由は何でしょうか。
・社員がデータをUSBメモリ経由で持ちだすリスク
・紛失により情報漏えいが発生するリスク
・USBメモリ経由でウイルスに感染するリスク
上記リスクを受容できない場合は、リスクの回避策としてUSBメモリの利用を禁止することになります。
参考とはなりますが、USBメモリの利用を制限する方法をご紹介します。
・ルールとして制限する
・技術的にUSBメモリ利用制限する
- レジストリの変更による利用制限
- ウイルス対策ソフトによる利用制限
USBメモリ利用におけるセキュリティ対策
とはいえ、USBメモリの利用を全面禁止することが困難なケースも業界によってはあるかと思います。例えば、厚生労働省が公開している、「医療情報システムの安全管理に関するガイドライン第6.0版」でもUSBメモリの利用が全面禁止されているわけではありません。リスク分析の結果、情報の持ち出し可否の切り分けと、持ち出してよい情報資産に対する対策を立てることが留意点として記載されています。
では、USBメモリを安全に利用するための対策を考えていきましょう。
人的対策
USBメモリを正しく使うためのルールを策定します。定めたルールについて、組織内に定着させるために、定期的なセキュリティ教育を実施することも有効です。
■人的対策のイメージ
・USBメモリへ持ち出し不可な情報資産の重要度を定める
例:機密情報(個人情報など)をUSBメモリにコピーすることは禁止とする
・USBメモリの持ち出し可能な範囲を決める
例:社内のみ利用可能、社外へ持ち出す際は承認制とする
・利用可能なUSBメモリの種類を定める
例:会社指定の暗号化機能付きのUSBメモリのみ利用可能とする
・セキュリティ教育を定期的に実施する
・USBメモリの定期的な棚卸を実施する
ここで課題となるのが、暗号鍵(パスワード)の管理です。USBメモリにパスワードを記載したタグをつけるのは、玄関のドアノブに家の鍵をかけておくのと同義です。必ずUSBメモリとは分けてパスワードを管理しましょう。
もし複数人で一つのUSBメモリを利用する場合は、共通のパスワードを用いることとなるため、定期的なパスワードの変更が望ましいです。定期的なタイミングとは、月次の変更や、異動者/退職者が発生したタイミングなどの随時の変更が想定されます。
また、USBメモリは定期的な存在確認(棚卸)を実施しましょう。具体的にはUSBメモリ管理台帳を作成し、所在の確認を行います。USBメモリは小さいことからも紛失時に気が付きにくいといった欠点もあるので、鈴をつけるのもおすすめです。
技術的対策
どんなにルールを定めていても、誤ったUSBメモリ利用の可能性はあるため、技術的な対策を併せて実施することで、より強度なセキュリティ対策とすることが可能です。
■ 技術的対策のイメージ
・情報漏えい防止対策の機能(DLP)を利用する
- 個人情報などがUSBメモリにコピーされた場合に検出し通知することが可能です。
・ウイルス対策ソフトを導入する
- USBメモリを利用するPCには必ずウイルス対策ソフトを導入することで、USBメモリ経由のマルウェア感染を防ぎます。
・USBメモリの利用を制限する
例:組織が指定したUSBメモリのみ利用可能とする、特定のユーザのUSBメモリの利用を制限する、など
さいごに
今回、USBメモリ利用におけるセキュリティ対策について考えてきました。便利なUSBメモリですが、使い方を間違えると重大な情報漏えい事故やマルウェア感染に繋がりかねません。
ここでUSBメモリ利用におけるセキュリティ対策のおさらいです。
・人的対策
- 利用ルールの策定
- セキュリティ教育の実施
- 棚卸の実施
・技術的対策
- 情報漏えい対策機能(DLP)の利用
- ウイルス対策ソフトの導入
- USBメモリの利用制限
便利なUSBメモリと正しく付き合いましょう。
※今回挙げた対策は、一例です。組織ごとUSBメモリ利用状況に応じて最適解は変わります。
執筆者:高野
