業務で使われるUSBメモリは、紛失や盗難に情報漏洩など、情報セキュリティ上のリスクがあることが知られています。しかし、USBメモリの使用を禁止するだけでは業務がとどこおるため、セキュリティと利便性を両立した管理方法が求められます。
本記事では、情報漏洩事故の事例や、USBメモリの管理手法の選択肢、総合的な対策の必要性などについて解説します。
USBメモリのセキュリティ対策の重要性
USBメモリは便利ですが、情報セキュリティ上の課題も多いことが知られています。小型で持ち運びやすいため紛失や盗難がおきやすく、意図的であれ事故であれ情報漏洩の原因ともなってきました。
これらのリスクに対処するため、多くの企業・団体では使用禁止などの対策を講じていますが、USBメモリの完全な禁止は業務効率を著しく低下させる可能性があります。そのため、セキュリティと利便性のバランスを取った管理方法が求められています。
情報漏洩リスクの実態
近年、USBメモリに起因する情報漏洩事故が後を絶ちません。⽇本情報経済社会推進協会(JIPDEC)の「企業IT利活⽤動向調査2020」によると、過去1年間にUSBメモリ/記録媒体の紛失・盗難にあった企業が17.5%にも達しています。6社に1社と考えれば、十分高い確率ではないでしょうか。
実際、個人情報や機密情報が入っているUSBメモリの紛失・盗難事故が、頻繁に報道されています。全市民の個人情報が含まれていた事例 、学生の成績情報や病院の患者情報が含まれたUSBメモリを紛失したり盗難された事例、ウイルスに感染したUSBメモリで社内ネットワークに侵入された事例などがあります。
USBメモリ管理の必要性
改めて整理すると、USBメモリの管理が必要とされる理由は主に以下の3点です。
- 紛失・盗難のリスク
USBメモリは小型で持ち運びが容易なため、紛失や盗難のリスクが高くなります。重要なデータが保存されている場合、情報漏洩につながる可能性があります。 - ウイルス感染の危険性
USBメモリはさまざまな環境で使用されるため、ウイルスに感染するリスクが高くなります。感染したUSBメモリを社内のPCに接続することで、ネットワーク全体にウイルスが広がる可能性があります。 - 意図的な情報漏洩
悪意のある従業員が、機密情報を持ち出す手段としてUSBメモリを使用する可能性があります。
一方で、多くの企業や組織では業務効率の観点から、USBメモリの使用を完全に禁止することが難しい現状があります。特に、外部とのデータのやり取りが頻繁に行われる部署や、オフラインでの作業が必要な現場では、USBメモリの利用が不可欠な場合があります。
では、情報セキュリティを確保しつつ、業務効率も維持できるUSBメモリの管理はどうするのが適切でしょうか。
USBメモリの基本的なセキュリティ対策方法
USBメモリの情報セキュリティリスクに対処するには、複数のアプローチを組み合わせた総合的な対策が必要です。物理的な制限から技術的な対策、さらには運用面での取り組みなどを組み合わせることで、効果的なセキュリティ体制を構築できます。
ここでは、基本的なセキュリティ対策方法について詳しく見ていきましょう。
USBメモリの使用を禁止する
USBメモリの情報セキュリティリスクをなくすには、使用を完全に禁止する方法があります。これにはUSB物理的な方法とソフトウェアによる方法があります。
- 物理的な使用禁止
・USBポートにカバーを取り付け、物理的に使用できないようにする。
・特殊な形状のロックで、管理者以外がUSBポートにアクセスできないようにする。 - ソフトウェアによる使用禁止
・グループポリシーを使用してUSBポートを無効化する。
・エンドポイント保護ソフトウェアを導入し、USBデバイスの使用を制限する。
エンドポイント保護ソフトウェアとは、PC端末に導入してセキュリティを管理するタイプのソフトウェアのことです。ただし、USBメモリの完全な使用禁止は業務効率を低下させるため、不便になっても情報セキュリティ保護の方が大事という場面での選択肢となります。
USBデバイスの使用を制限する
全面禁止ではなく、許可された特定のUSBメモリのみ使用を許可する方法も有効です。
- デバイス登録制
・許可されたUSBメモリのみを登録し、それ以外のデバイスの使用を制限する。
・シリアルナンバーやハードウェアIDを利用して個別のUSBメモリを識別する。 - アクセス制御
・ユーザーや部門ごとにUSBメモリの使用権限を設定する。
・重要度の高いデータへのアクセスを特定のUSBメモリに限定する。
上記のように、USBメモリをシリアル管理して私物や無許可のUSBメモリが入りこまないようにする方法と、部署やデータ領域単位で限定的にアクセス許可を与える方法があります。
紛失・盗難対策の強化
USBメモリの使用を許可する場合、紛失や盗難のリスクに備える必要があります。
- データの暗号化
・ハードウェア暗号化機能付きのUSBメモリを使用する。
・ソフトウェアによる暗号化を実施し、データを保護する。
・紛失・盗難にあっても、パスワードがなければ中身は見られない。 - リモート消去機能
・紛失時にデータを遠隔で消去できる機能を持つUSBメモリを採用する。 - 紛失防止タグの使用
・Bluetoothや無線を利用した紛失防止タグをUSBメモリに取り付ける。
・スマートフォンアプリと連携し、USBメモリの位置を追跡できるようにする。
USBメモリの紛失・盗難にいち早く気付いたり、流出時のダメージを低減する手法です。
USBメモリ管理手法の比較
USBメモリの管理手法は大きく「運用ルールの整備」「ソフトウェア管理」「物理的対策」に大別されますが、それぞれを特徴や利便性、コストと効果のバランスの観点から比較してみましょう。
なお、一般的には、セキュリティを強化すれば利便性が落ち、利便性を優先すればセキュリティが甘くなる関係にあります。さらには、コストと効果のバランスも考慮して、USBメモリの管理手法を決める必要があります。
管理手法 | 特徴 | 利便性 | コストと効果のバランス |
運用ルールの整備 | – 社内規則やポリシーの策定 – 定期的な社員教育 | – 簡単に導入可能 – 柔軟な対応が可能 | – 低コストだが遵守率に依存 – 強制力は低い |
ソフトウェア管理 | – USBポート制御ソフト – デバイス利用ログ管理 | – インストールと設定が必要 – 運用管理が重要 | – 中程度のコス – 一定の強制力を持つ |
物理的対策 | – USBポートの物理的ロック – 専用ハードウェアの導入 | – 導入後の操作が容易 – 高い強制力を発揮 | – 高コスト – 強制力はもっとも強い |
運用ルールの整備
運用ルールの整備では、社内規則やポリシーを策定し、定期的な社員教育を通じてUSBメモリの適切な使用を促します。もっとも低コストで導入でき、状況に応じて柔軟に対応できる利点があります。
しかし、効果は従業員の遵守意識に大きく依存し、強制力が弱いのが欠点です。情報セキュリティ意識の高い組織や、厳格な管理が不要な環境に適しています。
ソフトウェア管理
ソフト的に権限やデバイスを制限したり、暗号化デバイスでパスワードがないと開けないようにする、ログを取得するなどの方法です。初期設定や運用管理に一定の手間がかかりますが、柔軟な制御が可能で、ログによる監視も容易です。
中程度のコストで導入でき、ある程度の強制力を持つため、多くの組織に適しています。ただし、従業員の理解と協力が必要で、過度な制限は業務効率を低下させる可能性があります。
物理的対策
USBポートを物理的にロックしたり、専用のハードウェアを導入したりする方法です。導入後の日常的な操作は簡単で、もっとも強力な強制力を持ちます。
しかし、初期コストがかかり、業務の柔軟性を著しく損なう可能性があります。極めて高度なセキュリティが要求される環境や、特定の端末のみを厳重に管理する必要がある場合に適しています。
「安全」と「便利」を両立させるジレンマ
USBメモリの物理的な使用禁止は確かに効果的なセキュリティ対策ですが、多くの企業では業務の利便性を考慮し、USBメモリの使用を完全に禁止することが難しい状況にあります。そのため、USBメモリを使用しつつ、情報セキュリティリスクを低減する方法が求められています。
さらに、情報セキュリティを総合的に考えた場合、USBメモリ以外にも様々な情報漏洩ルートが存在することにも、注意が必要です。
例えば、メール添付、クラウドストレージへのアップロード、印刷、画面キャプチャーなど、それぞれに対策が必要です。これらの脅威に個別に対応するツールも存在しますが、複数のツールを導入すると管理コストが増大し、ライセンス管理も煩雑になる問題があります。
さらに、中途半端に禁止すると、私物USBが持ち込まれたり、許可していないツールを使うなどの「シャドーIT(Shadow IT)」が発生しがちという問題もあります。
これが、「安全」と「便利」を両立させるジレンマです。
※関連リンク:社員がデータを持ち出す5大経路と実効性ある禁止方法 | 情報漏洩対策ソフトのティエスエスリンク
情報漏洩対策に貢献する総合的な対策ソフト「コプリガード」
ここまで見てきたように、小型で持ち運びしやすいUSBメモリには紛失・盗難等のリスクがあり、情報漏洩対策等の面から管理が求められています。
一方で、その他の情報漏洩ルートも対策が必要なことや、個別ツールを導入した場合の管理コストを考えると、複数の情報漏洩対策ルートに対応した総合的なセキュリティ対策ソフトの導入が有効です。
弊社TSS LINK(ティエスエスリンク)は、「コプリガード」を筆頭に、機密情報や個人情報の漏洩を未然に防ぐ、情報漏洩対策ソフトを開発・提供。製造業、官公庁、金融サービスなど、幅広い分野に導入実績を持っています。
「コプリガード」は、その名の通り、サーバーで共有しているファイルの持ち出しや印刷など、情報漏洩につながるあらゆる機能、操作を制御します。例えば、ファイルの閲覧だけ許可し、それ以外は、コピー、印刷、メール添付、画面キャプチャーなど、情報流出につながる操作を一切禁止できます。もちろん、USBメモリやスマートフォンなど外部デバイスへのコピーも禁止します。
一方、情報漏洩対策のために機能を制限していくと、日常業務も不便になる点は見落とされがちな選定ポイントです。「コプリガード」では柔軟な権限設定で、部署・役職・PC・アプリ単位で権限を設定可能。一律禁止といった不便さはありません。
まとめると、情報漏洩対策ソフト「コプリガード」は、あらゆる持ち出し手段を禁止するセキュリティ本質を押さえながら、利用者の操作性も考慮された製品です。
「コプリガード」の導入手順
一般に、PC端末等に読み込まれたデータについて、ファイルコピーやスクリーンショット、印刷、USBメモリの使用制限をおこなうのが難しいことは事実です。では、「コプリガード」では、どのようにこうした管理を実現しているのでしょうか。
「コプリガード」では、管理者が保護ポリシーを作成し、利用者のPCに対策ソフトをインストールする仕組みです。一般公開のWebサイトと異なり、業務端末を管理下における組織ならではの対策方法と言えるでしょう。
コプリガードの導入は、以下の手順で進めます。
- 保護ポリシーの策定
企業内でのファイル持ち出し制限方法を決定。保護対象者、データ、アプリケーション、禁止操作を特定。 - ポリシー作成ツールの使用
策定したポリシーに基づき、ツールで設定を行い、保護ポリシーファイルを作成。 - 保護ツールのインストーラー作成
作成した保護ポリシーファイルを基に、インストーラーを生成。 - クライアントPCへの導入
各利用者PCに保護ツールをインストール。Active Directoryでの管理下なら、一斉配布やサイレントインストールも可能。 - 運用開始と監視
設定したポリシーに基づき、クライアントPCが制御される。不正操作の防止や画面キャプチャーの禁止などが実施される。 - 異動時にはポリシーを変更
異動時には新しい組織に合わせた保護ポリシーに変更し、更新インストール。
プログラム保守サービス(有償)では、機能強化/改修したプログラムの最新バージョン提供や、動作トラブルのサポート対応(メールのみ/時間制限あり)が受けられます。
まとめ
USBメモリの管理は、現代の企業・団体にとって重要な情報セキュリティ課題の一つです。紛失、盗難、ウイルス感染などのリスクがある一方で、業務効率の観点から完全に禁止することが難しい現状があります。
効果的なUSBメモリ管理には、運用ルールの整備、ソフトウェア管理、物理的対策など、複数のアプローチを組み合わせることが重要です。しかし、USBメモリだけでなく、メール添付やクラウドストレージなど、他の情報漏洩ルートも考慮する必要があります。
このような背景から、TSS LINKが提供する「コプリガード」のような総合的な情報漏洩対策ソフトの導入が有効です。コプリガードは、USBメモリ管理を含む包括的な情報漏洩対策を提供し、柔軟な権限設定により業務効率も維持できます。
「コプリガード」の導入にあたっては、保護ポリシーの策定から運用開始、異動時も柔軟な対応ができることでスムーズにセキュリティ体制を構築できます。
情報セキュリティと業務効率の両立は簡単ではありませんが、適切なツールと運用方法を選択することで、安全で便利なUSBメモリ管理を実現することが可能です。組織の特性やニーズに合わせて、最適な対策を講じることが重要です。
企業と個人のための「情報漏洩対策ソフト」:基礎から高度な選択まで
「情報漏洩対策ソフト」は、多様なニーズに対応しています。ファイルの持ち出し制限、USB管理、ファイル交換ソフトの制限など、基本的な機能から高度なセキュリティ要件まで、限られた予算内で、最適なソフトの選定方法と、導入の流れをこの記事で解説します。