USBデバイスは小さく持ち運びが簡単なため、ビジネスシーンでは広く利用されています。
しかし、個人情報が含まれたUSBデバイスを紛失する事案など、重大なセキュリティインシデントが複数発生しています。また近年では、USBデバイスを通じて感染するUSB媒介ウイルスも問題です。
この記事では、USBデバイスを管理すべき理由や、具体的なセキュリティ対策を紹介します。
目次
USBデバイス管理とは? USBメモリなどの利用を制限すること
パソコンのUSB端子に接続して利用する機器をUSBデバイスといいます。消しゴム程度のサイズで持ち運びやすく、USB端子に差すだけでデータの読み書きができるため、日々の業務にUSBデバイスを利用するビジネスパーソンも多いでしょう。
しかし、近年ではUSBデバイスの紛失・盗難や、外部への持ち出しなどが原因となる情報漏洩事件が多発しています。そのため、総務省や情報処理推進機構などの公的機関が、USBデバイス管理の重要性について情報発信を行っています。
USBデバイス管理とは、セキュリティ機能が付いたUSBメモリを導入したり、特定のパソコンのみデータの持ち出しを許可したりと、USBデバイスの利用を制限するセキュリティ対策です。USBメモリなどを差し込んだだけで感染するUSB媒介ウイルスを防ぐためにも、情報システム部門によるデバイス管理は欠かせません。
しかし、USBデバイスの使用を完全に禁止すると、業務効率や生産性の低下を招いてしまいます。特にUSB3.0という規格が登場してからは、最大5Gbpsの転送速度でデータを読み書きできるようになり、ビジネスの効率化にUSBデバイスが大きく貢献するようになりました(※)。
そのためUSBデバイスの利便性を生かしつつ、セキュリティの強化も実現できるデバイス管理が求められています。
navigate_next※参考:総務省.「用語集英字」
深刻な情報漏洩につながる紛失・盗難リスク
USBメモリの最大のリスクは、その小型で携帯しやすい形状に起因する紛失や盗難です。
万が一、顧客情報や機密情報が保存されたUSBメモリを紛失・盗難され、第三者の手に渡ってしまえば、深刻な情報漏洩事故につながります。
情報漏洩が発生すると、被害者への損害賠償や対応コストといった金銭的な損害はもちろんのこと、企業の社会的信用の失墜は避けられません。
一度失った信用を回復するには、長い時間と多大な労力が必要となります。このような事態を避けるためにも、USBメモリの管理は極めて重要です。
USBデバイスの管理をおろそかにする3つのリスク
USBデバイスの管理をおろそかにすると、以下のようなセキュリティリスクが生じる可能性があります。
- 内部不正による情報漏洩のリスク
- 不注意による情報漏洩のリスク
- USBデバイスを経由したウイルス感染のリスク
内部不正による情報漏洩のリスク
1つ目は、悪意を持った組織関係者による情報の持ち出しなど、内部不正による情報漏洩のリスクです。
近年では従業員や元従業員などの組織関係者が、金銭の受領や転職先での悪用、所属組織への私怨などを動機として、無断で情報を持ち出す事案が多発しています。持ち出された情報は、第三者へ提供されるだけでなく、不特定多数が閲覧できる場所に公開されるケースもあります。
情報処理推進機構の「情報セキュリティ10大脅威 2024」においても、内部不正による情報漏洩が第3位にランクインしました(※1)。
内部不正による情報の持ち出し手段として、最も広く利用されるのがUSBメモリです。情報処理推進機構の「内部不正による情報セキュリティインシデント実態調査」によると、内部不正の対象となった情報の種類にかかわらず、流出経路・媒体は「USBメモリ」が最多となっています(※2)。
| 内部不正の対象となった情報 | 流出経路・媒体 | ||||||||
| USBメモリ | 紙媒体 | 電子メール | Webアップロード | SNS | スマートフォン | HDD | パソコン | 該当なし | |
| 顧客情報 | 30.4% | 11.5% | 18.2% | 6.1% | 6.1% | 4.1% | 8.8% | 14.2% | 0.7% |
| 技術情報 | 28.7% | 7.0% | 17.4% | 13.0% | 2.6% | 6.1% | 10.4% | 13.9% | 0.9% |
| 営業計画 | 27.9% | 6.3% | 14.4% | 11.7% | 11.7% | 7.2% | 9.9% | 9.9% | 0.9% |
| 製造計画 | 26.1% | 4.3% | 8.7% | 17.4% | 21.7% | 8.7% | 8.7% | - | 4.3% |
| 開発物品 | 30.0% | 3.3% | 13.3% | 10.0% | 10.0% | 6.7% | 6.7% | - | 3.3% |
2023年10月には、元派遣社員が顧客情報928万件をUSBメモリにコピーして持ち出し、名簿業者に販売して1,000万円以上の対価を受け取る事案が発生しました(※1)。USBデバイスの利用制限を行っていないと、自社の顧客情報などが外部に持ち出され、重大なセキュリティインシデントにつながる恐れがあります。
navigate_next※1参考:独立行政法人 情報処理推進機構.「情報セキュリティ10大脅威 2024~脅威に呑まれる前に十分なセキュリティ対策を~」p46-47
navigate_next※2参考:独立行政法人 情報処理推進機構.「内部不正による情報セキュリティインシデント実態調査-調査報告書-」
不注意による情報漏洩のリスク
2つ目は、USBデバイスの紛失・盗難など、不注意による情報漏洩のリスクです。
従業員のセキュリティ意識の低さが原因となり、誤って大切な情報を流出させてしまう事案が発生しています。意図的な情報漏洩ではないため、流失経路の特定に時間がかかり、対応が遅れるケースも少なくありません。
情報処理推進機構の「情報セキュリティ10大脅威 2024」では、不注意による情報漏洩が第6位にランクインしました(※1)。
USBデバイスは小さく持ち運びがしやすいため、盗難や紛失に遭うリスクが高いという欠点があります。2022年6月21日には、尼崎市から業務委託を受けた事業者が個人情報の安全管理を怠り、約46万人分の住民データを含むUSBメモリを紛失するというインシデントが発生しました(※2)。
従業員の情報リテラシーやモラルの向上に取り組むとともに、万が一、USBデバイスが紛失・盗難の被害に遭っても、大切なデータを保護できるセキュリティ対策が必要です。
navigate_next※1参考:独立行政法人 情報処理推進機構.「情報セキュリティ10大脅威 2024~脅威に呑まれる前に十分なセキュリティ対策を~」p53
navigate_next※2参考:個人情報保護委員会.「尼崎市USBメモリ紛失事案に対する個人情報の保護に関する法律に基づく行政上の対応について」 p2
USBデバイスを経由したウイルス感染のリスク
3つ目は、USBデバイスを経由したウイルス感染のリスクです。
USB媒介ウイルスは、USBメモリなどの自動実行機能を悪用するため、パソコンに差し込んだだけで感染します。ウイルス感染したパソコンに他のUSBデバイスを差し込むことで、さらに感染が広がっていくのが特徴です。
USBメモリだけでなく、外付けのハードディスクやデジタルオーディオプレーヤーなど、記憶領域を持つUSBデバイスでの感染例が確認されています。
USB媒介ウイルスの代表的な例が、ワームやスパイウェア、アドウェア、キーロガー、トロイの木馬などのマルウェアです。私物(私用)のUSBデバイスの持ち込みや、持ち主不明のUSBデバイスの使用を制限することで、USB媒介ウイルスへの対策が可能です。
USBデバイスのセキュリティ対策はなぜ重要? 3つの理由を解説
USBデバイスの管理を強化すべき理由は3つあります。
- テレワークの普及によりUSBメモリなどの持ち出しが増えているから
- 営業秘密が持ち出されると多大な損失が発生するから
- 個人情報を漏洩させると事業者の責任が問われるから
テレワークの普及によりUSBメモリなどの持ち出しが増えているから
新型コロナウイルスの流行によって、国内ではテレワークやリモートワークが急速に普及しました。自宅で業務を継続するため、USBメモリなどの記録媒体を社外に持ち出す方も多いでしょう。
情報処理推進機構の調査によると、「書類・USBメモリ等の電子記録媒体による機密情報の社外持ち出し」を特例的に認める委託元企業(ユーザー企業)の割合は、2022年1月末の時点で29.0%です(※)。
テレワークを実施する場合、USBメモリの紛失・盗難に遭うリスクが高まるため、これまで以上にデバイス管理を強化する必要があります。
navigate_next※参考:独立行政法人 情報処理推進機構.「企業・組織におけるテレワークのセキュリティ実態調査」
営業秘密が持ち出されると多大な損失が発生するから
設計図や製法マニュアルなど、営業秘密の漏洩に関する相談は、コロナ禍以降増加傾向にあります。営業秘密侵害罪の相談受理件数は、2020年は37件であるのに対し、2023年では78件です(※)。
営業秘密の流出経路のうち、従業員に関連があるものは8割超にのぼります。その中でも、「現役従業員等の誤操作・誤認等による漏洩」が2番目に多く、全体の21.2%です(※)。
USBデバイスの紛失・盗難などにより、自社の情報資産が外部に持ち出されると、多大な経済的損失につながる恐れがあります。特に営業秘密は、開示・公開されると取り返しが付かないため、USBデバイスのセキュリティ対策を見直しましょう。
navigate_next※参考:経済産業省 知的財産政策室.「秘密情報は大切な財産です~情報・データの秘密管理・利活用と不正競争防止法による営業秘密としての保護について~」p5, p18
個人情報を漏洩させると事業者の責任が問われるから
個人情報保護法では、個人情報を流出させた当事者だけでなく、管理監督に当たる事業者(個人情報取扱事業者)の責任を定めています。
例えば、個人情報をUSBデバイスに保存する場合、施錠できるキャビネットや書庫で管理するなど、紛失・盗難の防止策を講じなければなりません(第23条)。また従業員に個人情報を取り扱わせるに当たって、社内規程に従っているか適宜確認するなど、必要かつ適切な監督を行う義務もあります(第24条)(※)。
USBデバイスの不適切な管理が原因で、個人情報が漏洩した場合、事業者側の責任も問われます。被害の規模によっては、社会的な信頼の喪失につながる恐れもあるため、十分なセキュリティ対策を実施しましょう。
navigate_next※参考:個人情報保護委員会.「USBメモリ紛失事案を受けた個人データの適正な取扱いについて(注意喚起)」
USBデバイスを安全に管理する6つのセキュリティ対策
ここでは、USBデバイスを安全に利用するための管理方法を6つ紹介します。
- 許可したUSBデバイス以外の使用を禁止する
- 特定のパソコンのみ使用可能にする
- USBデバイスの使用可能期間を設定する
- USBデバイスの利用状況を監視する
- セキュリティ機能付きのUSBデバイスを導入する
- 使わなくなったUSBデバイスは物理的に破壊する
許可したUSBデバイス以外の使用を禁止する
1つ目は、許可したUSBデバイス以外の使用を禁止する方法です。
USBデバイスは、シリアルナンバーやベンダーID、プロダクトIDなどを通じて、個々の製品を識別できる仕組みになっています。統合運用管理ツール(統合運用管理システム)や、デバイス制御ソフトなどを用いることで、USBデバイスの登録が可能です。
例えば、登録済みのUSBデバイスのみ使用を許可することで、私物(私用)の持ち込みや、持ち主不明のUSBデバイスによるウイルス感染を予防できます。私物の持ち込みを禁止する場合は、組織が所有するUSBデバイスを利用者に貸し出すのも良いでしょう。
特定のパソコンのみ使用可能にする
2つ目は、特定のパソコンのみUSBデバイスを使用可能にする方法です。例えば、社内のパソコンのみUSBデバイスを使用可能にし、個人が持ち込んだパソコンでは禁止します。
USBデバイスの使用を禁止する方法には、物理的な手段とソフトウェアによる手段の2種類があります。例えば、物理的にUSBデバイスの使用を禁止する場合、パソコンのUSBポートにカバーを掛けたり、専用の鍵(USBロック)を取り付けたりすると良いでしょう。
ソフトウェアを用いて管理する場合は、以下のような方法があります。
- グループポリシーの設定により、全てのパソコンでUSBデバイスの自動実行や書き込みなどを禁止する(Windowsの場合)
- 統合運用管理ツールやデバイス制御ソフトを導入し、パソコン単位で利用可能なUSBデバイスを登録する
グループポリシーの設定は、初めてデバイス管理を行う方には難しいため、直感的に操作できるデバイス制御ソフトの導入をおすすめします。デバイス制御ソフトなら、パソコン単位だけでなく、特定のWi-Fi接続(社内ネットワークなど)を行っている場合のみUSBデバイスの使用を許可することも可能です。
USBデバイスの使用可能期間を設定する
3つ目は、デバイス制御ソフトなどを用いて、USBデバイスの使用可能期間を設定する方法です。ソフトウェアによっては、使用開始日や使用終了日の設定の他、使用可能な最長日数を設定することもできます。
主にUSBデバイスの紛失・盗難対策として効果的です。万が一、USBデバイスが紛失・盗難に遭っても、期間が過ぎるとデータが使用できなくなるため、個人情報や営業秘密が悪用されるリスクを減らせます。
登録済みのUSBデバイスを利用者に貸し出す場合は、あらかじめ使用可能期間を設定しておくと良いでしょう。
USBデバイスの利用状況を監視する
4つ目は、USBデバイスの利用状況を監視する方法です。デバイス制御ソフトなどを用いて、USBデバイスの操作ログを取得し、不正な操作が行われていないか確認します。
【操作ログの例】
- USBデバイスを操作したユーザー
- USBデバイスを利用したパソコン
- USBデバイスで読み書きを行ったファイル
情報システム部門の担当者が、現場にいなくてもUSBデバイスの利用状況を確認できるため、テレワークやリモートワークを導入している企業におすすめのセキュリティ対策です。
セキュリティ機能付きのUSBデバイスを導入する
5つ目は、セキュリティ機能付きのUSBデバイスを導入する方法です。
USBデバイスの中には、情報漏洩やウイルス感染を防ぐセキュリティ対策が施された製品もあります(以下、一例)。
- パスワードの設定
- データの保護・暗号化
- ウイルスチェック
- データのリモート消去
- 紛失防止タグ
- 位置情報による追跡
例えば、ウイルスチェック機能の付いたUSBデバイスなら、USB媒介ウイルスに感染するリスクを軽減できます。ライセンスの延長によって、ウイルスやマルウェアの情報(パターンファイル)を定期的に更新可能な製品もあり、安心してUSBデバイスを使い続けられるでしょう。
また、データのリモート消去が可能なUSBデバイスも、紛失・盗難対策につながります。通常のUSBデバイスと比べてコストはかかるものの、セキュリティ対策を強化することが可能です。
使わなくなったUSBデバイスは物理的に破壊する
6つ目は、使わなくなったUSBデバイスの取り扱いです。
USBデバイスからの情報漏洩は、現職の従業員だけでなく、退職者を通じて起きるケースもあります。退職者が使用していたUSBデバイスは、必ず回収し、必要に応じて物理的に破壊すると良いでしょう。
USBデバイスを廃棄する場合、不燃物として処理することが一般的です。自治体によって分類が異なる可能性があるため、地域の分別ルールを確認してください。
USBデバイスの利用を制限し、重要なデータの持ち出しを防止しよう
ツールやシステムを導入する前に、まずは組織としてのUSBメモリの取り扱いに関する基本ルールを明確に定めることが重要です。
従業員一人ひとりの意識を高め、統制の取れた運用を目指しましょう。
利用目的と利用者を明確にする
最初に、「誰が」「どのような目的で」USBメモリを利用するのかを明確に定義します。原則としてUSBメモリの使用を禁止し、業務上どうしても必要な場合にのみ、申請ベースで許可する運用が望ましいです。
これにより、不要なUSBメモリの利用を抑制し、管理対象を最小限に絞り込むことができます。
貸出と返却の手順を定める
USBメモリを利用する際の貸出・返却フローを具体的に定めます。管理者を決め、利用者は「いつ」「どのUSBメモリを」「何の目的で」利用するのかを申請し、管理者が承認・記録した上で貸し出すというプロセスを徹底します。
返却時も同様に、管理者が中身のデータを確認し、不要なデータを削除した上で返却処理を行うことが重要です。
持ち出し・持ち込みのルールを徹底する
社外へのUSBメモリの持ち出しや、私物のUSBメモリの持ち込みに関するルールも厳格に定める必要があります。持ち出しは原則禁止とし、やむを得ない場合は上長の承認を必須とします。
私物USBメモリの業務利用は、ウイルス感染のリスクが非常に高いため、全面的に禁止すべきです。これらのルールを就業規則などに明記し、全従業員に周知徹底させることが求められます。
紛失・盗難時の報告フローを決める
どれだけ注意していても、紛失や盗難のリスクをゼロにすることは困難です。そのため、万が一の事態が発生した際に、迅速かつ適切に対応できるような報告フロー(エスカレーションルール)をあらかじめ定めておくことが重要です。発見者が「いつ」「どこで」「誰に」報告すべきかを明確にし、被害を最小限に食い止めるための体制を構築しておきましょう。
アナログ?デジタル?具体的なUSBメモリの管理方法
ルールを定めた上で、それを実効性のあるものにするための具体的な管理方法を導入します。管理方法には、手軽に始められるアナログな手法から、ITツールを活用した高度なものまで様々です。
管理台帳による物理的な管理
最も基本的な管理方法が、Excelやスプレッドシートなどで作成した管理台帳を用いて、物理的に管理する手法です。各USBメモリに管理番号を割り振り、いつ、誰が、どのUSBメモリを利用しているかを記録します。
この方法は特別なコストをかけずにすぐに始められる点がメリットですが、記入漏れや更新忘れといったヒューマンエラーが発生しやすいというデメリットがあります。管理者が手作業で管理するため、USBメモリの数や利用者が増えると、管理が煩雑になりがちです。
| 管理台帳の主な項目 | 記録内容の例 |
|---|---|
| 管理番号 | USB-001, USB-002... |
| 保管場所 | 総務部キャビネットA |
| 利用者 | 営業部 田中太郎 |
| 貸出日 | 2024年5月20日 |
| 返却予定日 | 2024年5月27日 |
| 利用目的 | A社向け提案資料の運搬 |
| 貸出承認者 | 総務部 鈴木一郎 |
| 返却確認日 | 2024年5月27日 |
セキュリティ機能付きUSBメモリの導入
USBメモリ自体にセキュリティ機能が搭載された製品を利用する方法も有効です。代表的な機能には、保存されるデータを自動的に暗号化する「強制暗号化機能」や、正しいパスワードを入力しないと中身を閲覧できない「パスワードロック機能」があります。
これらの機能により、万が一紛失や盗難に遭っても、第三者によるデータの読み取りを防ぐことができます。情報漏洩リスクを大幅に低減できる一方で、通常のUSBメモリに比べて高価であるため、導入コストが課題となる場合があります。
資産管理ツールによる一元管理
IT資産管理ツールやデバイス制御ソフトウェアを導入することで、より高度で効率的な管理が実現できます。これらのツールを用いると、PCに接続されたUSBメモリを自動的に検知し、利用を制御することが可能になります。
例えば、「会社が許可したUSBメモリ以外は使用禁止にする」「USBメモリへのデータ書き込みを禁止し、読み取り専用にする」「誰が、いつ、どのPCで、どのファイルをUSBメモリにコピーしたか」といった操作ログを取得するなど、柔軟かつ厳格なセキュリティポリシーを適用できます。
導入・運用には専門的な知識やコストが必要ですが、管理の自動化とセキュリティ強化を両立できる最も確実な方法と言えるでしょう。
資産管理ツールによる一元管理
IT資産管理ツールやデバイス制御ソフトウェアを導入することで、より高度で効率的な管理が実現できます。これらのツールを用いると、PCに接続されたUSBメモリを自動的に検知し、利用を制御することが可能になります。
例えば、「会社が許可したUSBメモリ以外は使用禁止にする」「USBメモリへのデータ書き込みを禁止し、読み取り専用にする」「誰が、いつ、どのPCで、どのファイルをUSBメモリにコピーしたか」といった操作ログを取得するなど、柔軟かつ厳格なセキュリティポリシーを適用できます。
導入・運用には専門的な知識やコストが必要ですが、管理の自動化とセキュリティ強化を両立できる最も確実な方法と言えるでしょう。
各管理方法のメリット・デメリットを比較
ここまで紹介した3つの管理方法には、それぞれメリットとデメリットが存在します。自社の状況に合わせて最適な方法を選択するために、それぞれの特徴を比較してみましょう。
管理台帳
メリットは、何よりもコストをかけずにすぐに始められる手軽さです。特別なツールは不要で、Excelが使える担当者がいれば運用を開始できます。
一方、デメリットは、管理が属人化しやすく、ヒューマンエラーが発生しやすい点です。利用者が増えるほど管理者の負担が増大し、記録の抜け漏れや更新忘れが起こるリスクが高まります。また、USBメモリの利用そのものを制限する機能はないため、ルール違反の抑止力としては弱いと言えます。
セキュリティ機能付きUSBメモリ
メリットは、紛失・盗難時の情報漏洩リスクを根本的に低減できる高い安全性です。暗号化やパスワードロックにより、USBメモリ自体が強力なセキュリティを持ちます。
デメリットとしては、導入コストの高さが挙げられます。全従業員に配布するとなると、相応の費用がかかります。また、パスワードを忘れてしまうと誰もデータにアクセスできなくなるリスクや、製品によってはPCとの相性問題が発生する可能性もあります。
管理ツール
メリットは、利用制御からログ監視まで、網羅的かつ自動化された管理を実現できる点です。ポリシーに基づいた厳格な制御が可能で、ヒューマンエラーを排除し、管理者の負担を大幅に軽減します。セキュリティインシデント発生時の原因追跡も容易になります。
デメリットは、ツールの導入費用や月額利用料といったコストがかかることです。また、自社のセキュリティポリシーに合わせて設定を行う必要があり、ある程度のIT知識が求められる場合があります。
| 管理方法 | メリット | デメリット |
|---|---|---|
| 管理台帳 | ・低コストですぐに始められる ・特別な知識が不要 |
・ヒューマンエラーが発生しやすい ・管理が煩雑になりがち ・利用制御はできない |
| セキュリティUSB | ・紛失、盗難時の情報漏洩リスクを大幅に低減 ・USBメモリ自体が安全 |
・導入コストが高い ・パスワード忘れのリスクがある |
| IT資産管理ツール | ・利用制御やログ取得など網羅的な管理が可能 ・管理を自動化し、負担を軽減できる |
・導入、運用コストがかかる ・設定に専門知識が必要な場合がある |
| 貸出日 | 2024年5月20日 | |
| 返却予定日 | 2024年5月27日 | |
| 利用目的 | A社向け提案資料の運搬 | |
| 貸出承認者 | 総務部 鈴木一郎 | |
| 返却確認日 | 2024年5月27日 |
USBデバイスの利用を制限し、重要なデータの持ち出しを防止しよう
USBデバイスの管理をおろそかにすると、個人情報の漏洩や営業秘密の流出、USB媒介ウイルスへの感染など、さまざまなセキュリティリスクが生じます。「許可したUSBデバイス以外の使用を禁止する」「USBデバイスの利用状況を監視する」といった方法により、USBデバイスを安全に利用するためのセキュリティ対策を実施しましょう。
USBデバイスの管理なら、RunDX(ランディーエックス)の導入がおすすめです。RunDXでは、USBデバイスのセキュリティポリシーを細かく設定でき、リスクの高いデバイスのみ使用を制限できます。
またUSBホワイトリスト機能の活用により、「情報システム部門が指定したUSBメモリのみ利用可能にする」といった使い方も可能です。
RunDX について詳しくはこちら
RunDX 無料トライアルはこちら
お問い合わせはこちら
目次
株式会社ラネクシー RunDX 担当者
20年近くにわたりデバイス制御と向き合い、活用方法を模索し続けているRunDXの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!
