あなたの会社は大丈夫? USBメモリの使い方を考える会社に潜む情報セキュリティの落とし穴(1/3 ページ)

データ漏えいやウイルス感染などUSBメモリにまつわる脅威が増加中だ。安価で便利なUSBメモリを安全に使っていくための方法を考察する。

» 2009年02月03日 07時30分 公開
[萩原栄幸,ITmedia]

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。

過去の連載記事はこちらで読めます!


 2008年11月に紹介した「データは消えない――メモリカードやUSBメモリに潜む落とし穴」では、初心者向けの内容としながらも、多数の読者から反響をいただきました。最近ではUSBメモリにかかわる情報漏えいやウイルス感染の脅威が増え、その使い方に注意が必要とされています。今回は、情報をいかにして保護していくのかという観点から、会社などにおけるUSBメモリの安全な利用方法について考察します(編集担当者より:USBメモリ経由で感染するウイルスへの具体的な対策はこちらをご覧ください)。

 USBメモリが原因となった情報漏えいの事件や事故が後を絶ちません。安易な使い方が危険だと多方面で報道されているにもかかわらず、なぜ事件や事故が発生しているのでしょうか。まず、USBメモリが幅広く使われるようになったメリットを挙げてみましょう。

  1. 小型
  2. 軽量
  3. PC環境への依存が少ない
  4. 大容量(64Gバイトの製品もあり)
  5. データの読み書きができる
  6. 安価
  7. PCを含めた接続先のインタフェースが充実

 結果として、USBメモリの普及の速さはほかの記録メディアを凌ぐ勢いとなりましたが、その裏にはどのようなリスクがあるのでしょうか。小型や軽量、大容量で安価といったメリットがそのままリスクになるということでしょうか。それともメディアの中に記録されている情報がリスクになるということでしょうか。

 わたしが思うに、USBメモリを使うことのメリットとリスクを理解して、その判断が頭の中で正しくできる人は情報漏えいを引き起こしてしまうようなことがまずないでしょう。しかし、メリットばかりに目が向いてしまっている人は、その中にある情報の重要性に対する認識が十分ではないようです。そのような一部の人がUSBメモリを安易に使ってしまうことで盗難や紛失などへの警戒意識が薄くなり、万が一の場合に利用者自身が後で大きな後悔をする事態が起きているのではないではないでしょうか。

全面禁止が良いのか?

 情報セキュリティ管理者が会社内でのUSBメモリ利用における管理業務で注意すべき事項や具体的な作業内容についてみていきましょう。

 さまざまなセキュリティツールや認証技術などを活用してUSBメモリ自体を使用禁止にしたり、PCでUSBメモリを認識させないという技術的な仕組みを導入したりする会社が急増しています。業態や業種、個別の環境、システム特性、セキュリティポリシーなどから総括して「一切使用禁止」というルールにしなければならない企業が一部には存在しています。

 しかし、リソースが潤沢でルールを柔軟に運用できる大企業ならいいのですが、中小企業の中でもUSBメモリを全面的に禁止する動きがあり、情報セキュリティの専門家からみると、「そこまで求めるのはいかがだろうか」という疑問を感じるケースが少なくありません。

 USBメモリの利用を完全禁止することで、社内の活力低下や利便性が損なわれ、結果として業務効率の低下を招いてしまう場合があります。わたしたち情報セキュリティ専門家にとって、「禁止すべし」というアドバイスは一番簡単な選択肢です。そうすれば、情報漏えいのリスクを抜本的に回避できますし、アドバイスした企業から「ノー」という返事をもらう心配もないからです。

 むしろ、世間の流れが「USBメモリを禁止する」に向いているにもかかわらず、USBメモリを許容し、利用を推進していくために必要な体制を構築するのは企業にとっても大きな負荷が伴い、リスクの高い作業となることが多いのです。

 USBメモリの利用について、徹底した議論の末に禁止という結論を出した場合ならいいのですが、安易な判断で禁止という方法を選ぶのは好ましくありません。USBメモリを使うことのリスクを正当に評価、分析し、その結果を認めた上で、いかに上手に管理していくべきかという方向で考えてみるべきではないでしょうか。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ