あなたの会社は大丈夫? USBメモリの使い方を考える:会社に潜む情報セキュリティの落とし穴(3/3 ページ)
データ漏えいやウイルス感染などUSBメモリにまつわる脅威が増加中だ。安価で便利なUSBメモリを安全に使っていくための方法を考察する。
対策の原則はシンプルイズベスト
それでは、情報のレベルを区分けした結果から「ランクAの情報をUSBメモリへコピーしてはいけない」というルールを策定したと仮定して、実際の運用がどのようになるのかを考察してみましょう。
ルールを策定する以前は、従業員はどんな情報でも構わずにUSBメモリへコピーしていたわけですが、情報の重要性を分別したことで、次に「ランクAの情報の取り扱いはそのままでいいのか」という問題が起きます。その回答は、「そのままではいけない」となるはずです。
例えば、今までは情報の分類を個人別や地域別、製品別、サービス別といった会社に事情に即した基準でしていましたが、その基準に「ランクA」という重要度という指標も加えて情報の分別をしなければなりません。
個人別に管理しているのであれば、まずAさんのフォルダ内にあるランクAの情報だけを共有フォルダのランクAに格納します。共有フォルダのランクAの中には他人の管理する情報が存在していても構いませんが、アクセス制限には注意を払う必要があります。こうしなければ、ランクAの固有の情報を利用者が個別に管理できなくなってしまうからです。共有フォルダに対しては、会社のポリシーに則ってアクセス制御や暗号化、ログ採取などその会社に相応しいコントロール方法を定めます。
残りはランクBとCの情報しかないので、これらの情報はUSBメモリに保存することができます。しかし、これらの情報の利用については定めた情報管理基準に則るという前提条件があるのは言うまでありません。次に考えるのが、ランクBとCの情報をUSBメモリで取り扱う場合にどのように管理するのかという点です。
ここでは、可能であればシステムで強制的に管理していくのが望ましいと思います。リソースが潤沢ではない企業では運用で管理していくことになりますが、できる限り会社の状況をみながらシステムで管理できる仕組みへ移行していくべきだと思います。最後に考慮すべきことは、第三者がUSBメモリを入手した際に会社の情報が悪用されない、もしくは内容を閲覧できない仕組みをどのように提供するかということになります。
ランクBとCの情報はランクAの情報よりも重要度が下がりますが、悪用されないための保険を用意することが必須です。リソースが潤沢でなければなかなか実施することは難しいのですが、やはり暗号化やセキュリティ機能付USBメモリなどを利用していくことが望ましいでしょう。
たとえ暗号化を導入するにしてもその内容はさまざまにあります。導入に際しては、運用や業務フローをどの程度改善できるか、会社としてどこまで保護していくかという基準が会社によって異なるため、投資判断する経営側と運用管理者側が十分に相談しなければ導入を失敗してしまいます。
本来は便利なUSBメモリですが、実際の導入をイメージしてみるとかなり複雑な対応を求められることがあるかもしれません。利便性とリスクを考えた場合、システムや運用での対処が不可欠ですが、やはり一番大事なことは従業員への啓蒙活動になると考えます。わたしは10年以上の企業の現場を観察してきましたが、最終的には従業員の意識をいかにして高く持ち続けさせていくかという点に尽きるのです。仮にシステム的な運用環境が脆弱でも、従業員の情報セキュリティ意識が高い会社では情報漏えいのような事件は発生しません。
情報セキュリティ対策はITに頼ることもできますが、「1度言ってもダメなら10回言う、10回言ってもダメなら100回言う」といったように、最終的には地道な努力が実を結ぶことになるのです。
萩原栄幸
株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
- のぞき見だけで不正アクセス、内部犯罪はローテク見本市
企業内からの情報漏えい事件では社内の人間が関与するケースが少なくない。彼らは周囲の人間が驚くほど簡単な手段で情報の持ち出しを試みている。 - 「社内の人間は安全だ」という神話
セキュリティ対策では、ウイルスや不正アクセスといった外部からの脅威に備える意識が高いが、脅威は社内にも存在する。「関係者なら大丈夫だ」という意識に落とし穴が存在することもある。 - Winny利用の果て――家族崩壊した銀行マンの悲劇
ファイル交換ソフトを使った情報漏えい事件が後を絶たない。公私を問わず不用意に使用することが会社や組織だけでなく、家族や本人の人生にさえも暗い影を落としてしまうことがある。 - 振り込み用紙は“甘い蜜”――コンビニでの個人情報は安心か
日常生活の中ではさまざまなシーンで、個人情報を提供したり、提供を受けたりしている。今回はITから少し離れて、生活に身近な場所での個人情報の取り扱いを考えてみよう。 - USBメモリで広がるウイルスの脅威――感染からPCを守る方法
USBメモリなどを介して感染するウイルスの被害が急増中だ。手軽に持ち運べる利便性から普及したが、それを逆手に取って感染が拡大する。USBメモリウイルスからシステムを守る方法を紹介しよう。 - SSLを過信していませんか――ネットバンキングに潜む誤解とは
24時間いつでも手軽に利用できるオンラインバンキングや決済サービス。金銭をやり取りするこれらのサービスは犯罪者にとって格好の標的なだけに、利用者には正しいセキュリティ対策への理解が欠かせない。 - 詐欺の確信犯とそうではない人――ネットオークション利用を再チェック
インターネットオークションでは、意図的に金銭搾取を狙う詐欺行為に警戒が必要だ。しかし、中には詐欺を間違われる行為もある。購入者と出品者が注意すべき点を再確認してみよう。 - 忘れたデータが山盛り――中古PCからの情報漏えい
PCに保存したデータを「消した」と思っても実際には消えていない。中古で売買されるPCには残されたデータ情報が山盛りだ。ユーザーの認知が広まりつつあるとはいえ、今一度中古PCに潜む危険を再確認してみよう。 - データは消えない――メモリカードやUSBメモリに潜む落とし穴
メモリカードやUSBメモリに記録したデータを「消した」と思っても、完全には消えずに復元できてしまう。第三者に機密情報が知られてしまう恐れがあるのだ。 - オークションとバンキングが標的――統計から見るサイバー犯罪の最新動向
情報セキュリティの専門家・萩原栄幸氏が身近に潜むセキュリティの危険を解説する。第1回目は不正アクセスやネットサービスに絡むサイバー犯罪の最新事情だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.