1. ICTベストパートナーのエフコムHOME
  2. FCOM's Blog
  3. 多発するUSBメモリの紛失事故

FCOM's Blog

2017.04.19

多発するUSBメモリの紛失事故

USBメモリの管理は情報漏えい対策の重要課題

大規模な個人情報漏えい事件やマイナンバー制度の開始、個人情報保護法の改正にともなって、情報漏えい対策への関心がますます高まっています。規模の小さな情報漏えいであっても、社会的信用の低下や高額な賠償金など、その影響やリスクは非常に大きなものになるからです。企業や自治体、教育機関などでは、情報漏えいの対策に大きなコストと労力を払う必要に迫られています。

多発する情報漏えい事件の中でも、本記事では特に「USBメモリ等の可搬記録媒体」を経路とする情報漏えいに着目します。外部からの不正アクセスや、セキュリティホール・ウイルス等が原因の情報漏えいに比べて、可搬記録媒体を経路とする情報漏えいは、組織の管理不行き届きが指摘されやすいためです。

統計情報から読み解く USBメモリの使用リスク

漏えい経路

漏えい経路比率の経年変化(2005~2015年度)

※JNSA 「2015年 情報セキュリティインシデントに関する調査報告書」より

上のグラフは、情報漏えい事故における漏えい経路の推移を表したものです。

赤文字の「USB等可搬記録媒体」が占める割合に注目してください。2012年に全体の25.9%を記録したのを始め、いずれの年度でも10%前後で推移し、「紙媒体」に続いて漏えい経路の上位を占めています。

仮想デスクトップ(VDI)技術が浸透し始めた2009年頃を境に「PC本体」「インターネット」を経路とする漏えい事故が減少傾向になったのと対照的に、「USB等可搬記録媒体」を経路とする漏えい事故の割合にはあまり変化がありません。

漏えい原因

漏えい原因比率(2015年度)

※JNSA 「2015年 情報セキュリティインシデントに関する調査報告書」より

もう1点の統計情報を見てみましょう。上のグラフは、2015年度の情報漏えい事故の原因比率です。

USBメモリを使用する場合に一番大きなリスクになると考えられる「紛失・置き忘れ」が、全体で一番高い30.4%を占めています。同じくUSBメモリを使用する上でのリスクである「盗難」「不正持ち出し」と合わせると、全体の40%を超える割合になります。

紛失・置き忘れは悪意の無いヒューマンエラー(人為的ミス)ですが、悪意が無いからこそ対策が難しいとも言えます。組織や管理者は、この難しい問題をどのように解決すればよいのでしょうか。

USBメモリを安全に使用するために

USBメモリを経路とする情報漏えいを防ぐ一番簡単な方法は、USBメモリそのものを使用しない事でしょう。OSの設定変更によってUSBメモリの読み取り・書き込みを禁止する事は容易で、追加のコストもかかりません。しかし、USBメモリを使用禁止にした結果、業務に支障が出てしまうのでは本末転倒と言えます。

ここからは、USBメモリを安全に使用するための方法について考えていきます。

データの暗号化
暗号化


データの暗号化は、USBメモリを使用するための基本となる情報漏えい対策です。現在は暗号化機能が付属しているUSBメモリ製品も多く販売されていますので、使用された経験のある方も多いのではないでしょうか。データの暗号化によって、紛失・盗難など万が一の事態にあっても重要な情報の流出を防ぎ、被害を最小限にとどめる事ができます。

USBメモリのデータ暗号化には、「ハードウェア方式」と「ソフトウェア方式」の2つの種類があります。

ハードウェア方式

データ書き込み時に自動的に暗号化されるのが特徴です。USBメモリに暗号化コントローラが搭載されているためパソコン自体には処理の負荷がかからず、データの高速な読み書きが可能ですが、通常のUSBメモリに比べて価格が高価になる傾向があります。

ソフトウェア方式

市販されているほとんどのUSBメモリに対応できるのが特徴です。ソフトウェア方式の例として、Windows7以降のOSには「BitLocker to Go」というシンプルな暗号化ソフトウェアが標準搭載されています。

デバイスの制御
デバイス制御

接続すればすぐに使用できる事がUSBメモリの利点ですが、その利便性がリスクにもなります。過去の事例では、社員が私物のUSBメモリを使用していたために紛失が発覚せず、気づいたときには社会的に大きな問題になっていた、というケースもありました。

利便性とセキュリティを両立させるための方法として、会社で認めらたUSBメモリだけを使用可能にする、資産管理・デバイス制御のシステムが挙げられます。代表的なものとしては「Intersafe Device Control(アルプス システム インテグレーション株式会社)」や「SKYSEA Client View(Sky株式会社)」等があります。

ActiveDirectory等のディレクトリサービスと連携する事によって、高度なデバイス管理を提供するシステムもあります。ユーザーやPCごとに異なる管理ポリシーを設定できるのが特徴です。例えば、営業部門のPCでは読み込み・書き込みを許可し、製品開発部門のPCでは読み込み専用(書き込み不可)にする、という具合です。運用は複雑になりますが、より高度な管理を実現します。

使用状況の監視・記録(ログの管理)
ログ管理

長期間にわたって使用されていない、紛失の恐れがあるUSBメモリを把握する。個人情報ファイルをコピーした等の、情報漏えいにつながるデータ書き込みを把握する。そのためには、USBメモリの使用状況を監視・記録する必要があります。

誰が、いつ、どのPCで、どのUSBメモリを使って、何をしたのか。USBメモリの使用状況を監視する事は、情報漏えい事故を防ぐ上で非常に重要です。使用の記録を残す事で、社員のセキュリティ意識が高まるという側面もあります。

Windowsパソコンの場合、各種ログファイルやレジストリ内にUSBデバイスの接続状況が記録されています。しかし、これらの情報はそれぞれのパソコンに分散しているうえ、ログの抽出・分析には専門的な知識と技術が必要です。資産管理システム等の機能を利用し、ログを一括して管理できるような仕組みを導入するのが現実的な方法になるでしょう。

エフコムのUSBメモリ管理ソリューション

エフコムでは、USBメモリのセキュリティ対策に必要な機能をオールインワンで実現するクラウドサービス「セキュアデバイスサービス」を提供しています。クラウドサービスなので、専用サーバーやソフトウェアの購入にかかる初期費用、減価償却を考える必要がありません。サーバーのメンテナンスやアップグレードなど、維持管理にかかる手間とコストも不要になります。

USBメモリの運用見直しをご検討中のお客様、是非一度エフコムまでご相談ください。

  • by 株式会社エフコム
  • 14:25

ブログ内検索

カテゴリーリスト

ページトップへ
PAGE TOP