あなたの会社は大丈夫？ USBメモリの使い方を考える：会社に潜む情報セキュリティの落とし穴（2/3 ページ）

[萩原栄幸，ITmedia]

情報自体に目を向ける

　USBメモリに潜むリスクでは、USBメモリそのものが危険ということではありません。USBメモリの中に保存されている情報が第三者へ漏れた場合が問題になります。

　USBメモリの利用を警戒する大多数の企業では、機密情報や住所録から、飲み会の案内や会議の議事録、製品ガイドといった無数の情報が混然一体となってしまい、その結果、USBメモリの使用を全面禁止にするという判断をしてしまいがちです。

　まずは現在の情報の仕組みや取り扱われるルートを明確に分析するところから始めるべきでしょう。従業員一人ひとりがどういう情報を保有や共有しているのか、その現状を分別するところから着手します。例えば、以下のように大きく3種類に分類してみるべきです。

• ランクA：流出すると危険な情報（機密情報、特許情報、新製品情報、顧客リストなど）
• ランクC：流出しても影響のない情報（開示している製品情報、パンフレット情報、ゴルフコンペのリストなど）
• ランクB：ランクAとCに当てはまらない情報（厳密には定義できないもの）

　このような形で情報の重要性をまとめます。ただし、なるべく利用者個人の主観が入らないよう、また、仮に入っても大きく左右されないように定義しておくのが望ましいでしょう。

　社内の情報をすべて分類したら、会社に即した利用ルールを策定します。例えば「当社はランクAが重要なので、USBメモリへのコピーを禁止する」「当社ではランクAとBが対象だ」といった具合です。注意すべきことは、なるべく例外を作らないことです。例外がどうしても発生する場合でも明示的にその情報がランクAもしくはランクCに定めるべきです。そうしなければ運用が煩雑になり、時間の経過に従って運用ルールに無数の抜け道が存在するようになってしまいます。

　セキュリティ担当者を何人も抱えられる大企業では、運用ルールに抜け道ができても柔軟に対応できることがありますが、リソースが潤沢ではない企業の場合、運用を適切にしなければ結局は「絵に描いた餅」と化してしまうことが往々にしてあるのです。

　仮にランクAの情報だけを管理対象とした場合、USBメモリにコピーしてはいけない、もしくはコピーする際に必ず指定のソフトウェアを用いて暗号化する、生体認証などのセキュリティ機能付USBメモリを使用するといった条件を定めます。