USBメモリに機密情報を入れるのは“悪”なのか？ 「使わざるを得ない」企業が採るべきセキュリティ対策：「Security Week 2022 秋」開催レポート（1/2 ページ）

USBメモリ紛失による情報漏えいが相次いで報道され、データ管理の在り方を見直す機運が高まっている。取引先企業の都合などによってUSBメモリを使わざるを得ない企業はどのような対策を採るべきだろうか。

[ITmedia]

講演に登壇した須藤 あどみん氏。情報システムやセキュリティの話題を親しみやすくYouTubeで発信中（出典：須藤氏の講演資料）

　近年、USBメモリ紛失による顧客情報の流出事例が国内で相次いでいる。ニュースやテレビ番組で大きく取り上げられたこともあり、USBメモリに対して「危険」というマイナスなイメージを抱く人は多い。USBメモリの使用自体を禁止する企業も多いが、何らかの事情によって利用を継続する企業も多く存在している。

　ITmedia主催のオンラインイベント「ITmedia Security Week 2022 秋」に、クラウドネイティブ　バーチャル情シス　須藤 あどみん氏が登壇した。同氏は講演でUSBメモリの危険性に対する考え方と、セキュリティと利便性を両立するクラウド活用術について語った。

USBメモリは危険　「それでも使わざるを得ない」企業が採るべき道

　なぜUSBメモリは「危ない」といわれることが多いのか。

　危険な理由の一つとして、須藤氏が挙げるのが管理外の経路が把握できないことだ。USBメモリのような可搬性がある媒体は「データがどのように移動していくか、経路を追うのが難しい」と須藤氏は言う。

　USBメモリにはデータの実態が把握できないという特徴もある。USBメモリに保存されているデータのコピーが本物なのかどうか、本当にそこに保管されているのかどうかを把握するのは困難だ。

　このようにアクセスの統制も難しい。また、セキュリティの3大原則である「機密性、完全性、可用性」も保証されない。「USBメモリにデータを入れた時点で、データは組織の管理外にある状態と同じになる」（須藤氏）

　では、USBメモリを利用しなければデータ管理の問題は解決するのだろうか。須藤氏は「クラウドストレージを使ったところで、データの流通経路や実態を把握できなければUSBメモリに保存するのと同じことになる」と指摘する。データをクラウドからクラウドに、あるいは電子メールやチャットで送れば、USBメモリと同じく管轄外への経路が把握できず、データの実態も把握できない。

　現在でもUSBメモリを使わざるを得ない企業は多い。取引先がUSBメモリしか受け付けなかったり自社にUSBメモリでしかデータのやりとりができない古いシステムや機器が残っていたり――。企業によって事情はさまざまだ。

　こうした事情を抱える企業が危険性を認識した上でUSBメモリを使うためにはどうすればよいのか。

　須藤氏は「まずはデータの流通経路を整理し、煩雑な経路をシンプルにして、データの移動を把握しよう」と呼びかける。

データ経路を把握して制御する方法

　データ流通の中で利用頻度が高いのはPCやスマートフォンだ。データ量が多く流れる場所という意味ではルーターやファイアウォール、スイッチなどオンプレの機器などが挙がるが、人間がデータの編集やコピーをするのはPCやスマートフォンだ。そのため、「PCやスマートフォンなどをコントロールすることが、データをコントロールする第一歩になる」と須藤氏は言う。

　データコントロールの次のステップは、MDM（Mobile Device Management）とEDR（Endpoint Detection and Response）で不要な経路を防ぐことだ。管理外の外部記憶媒体への物理的なアクセスを防ぎつつ、管理下にある外部記憶媒体と、インターネットとデバイス間の通信に経路を絞る。

デバイスとクラウドサービスとの経路（出典：須藤氏の講演資料）

　「MDMやEDRは外部記憶装置への制御に対応するだけでなく、積極的なOSアップデートやソフトウェアアップデート、『振る舞い検知』といわれるアンチウイルスソフトウェアをより賢くする機能なども併せ持つ。セキュリティ全般に対応する『イマドキ』の対策だ」（須藤氏）

　現代はデバイス制御だけを目的としているソフトウェアではなく、「ソフトウェアやOSのアップデート、振る舞い検知などを実施しつつ、外部記憶媒体の制御も行うのが一般的だ」と須藤氏は語る。

　続いて、管理外サービスへのデータの流通経路も防ぐ必要がある。インターネット側へのデータ漏えいやインターネット側に対するデータ統制に関しては、「CASB（Cloud Access Security Broker）やSASE（Secure Access Service Edge）を使うのがベストプラクティスだ」と須藤氏は言う。

　これらを利用することで、機密性の高い情報が管理外のインターネットのサービスに流れたときにブロックしたり、個人の電子メールにアップロードしようとしたときに阻止するためにアラートを出したりすることが可能となる。

　ただし、これらの制御は自社のIDがコントロール下にある状態で、さらにMDMも正しくデバイスにインストールされていなければならない。さらに、機密性が高い情報や機微な情報に関しては会社が認めたデバイスでのアクセスしか認められていない状態が前提となるため、「現実的にはハードルが高い」と須藤氏は指摘する。

デバイスとクラウドサービスとの経路（出典：須藤氏の講演資料）

　そこで、企業向けとして提供されているEMM（Enterprise Mobility Management）のアプリを利用すれば、特定の条件、アカウントでしかログインできないといった強い制限をかけられるようになる。「データのありか自体を一本化する、あるいは単純化することも方法としては“あり”だと思う」