USBデバイスは小さく持ち運びが簡単なため、ビジネスシーンでは広く利用されています。
しかし、個人情報が含まれたUSBデバイスを紛失する事案など、重大なセキュリティインシデントが複数発生しています。また近年では、USBデバイスを通じて感染するUSB媒介ウイルスも問題です。
この記事では、USBデバイスを管理すべき理由や、具体的なセキュリティ対策を紹介します。
目次
USBデバイス管理とは? USBメモリなどの利用を制限すること
パソコンのUSB端子に接続して利用する機器をUSBデバイスといいます。消しゴム程度のサイズで持ち運びやすく、USB端子に差すだけでデータの読み書きができるため、日々の業務にUSBデバイスを利用するビジネスパーソンも多いでしょう。
しかし、近年ではUSBデバイスの紛失・盗難や、外部への持ち出しなどが原因となる情報漏洩事件が多発しています。そのため、総務省や情報処理推進機構などの公的機関が、USBデバイス管理の重要性について情報発信を行っています。
USBデバイス管理とは、セキュリティ機能が付いたUSBメモリを導入したり、特定のパソコンのみデータの持ち出しを許可したりと、USBデバイスの利用を制限するセキュリティ対策です。USBメモリなどを差し込んだだけで感染するUSB媒介ウイルスを防ぐためにも、情報システム部門によるデバイス管理は欠かせません。
しかし、USBデバイスの使用を完全に禁止すると、業務効率や生産性の低下を招いてしまいます。特にUSB3.0という規格が登場してからは、最大5Gbpsの転送速度でデータを読み書きできるようになり、ビジネスの効率化にUSBデバイスが大きく貢献するようになりました(※)。
そのためUSBデバイスの利便性を生かしつつ、セキュリティの強化も実現できるデバイス管理が求められています。
navigate_next※参考:総務省.「用語集英字」
USBデバイスの管理をおろそかにする3つのリスク
USBデバイスの管理をおろそかにすると、以下のようなセキュリティリスクが生じる可能性があります。
- 内部不正による情報漏洩のリスク
- 不注意による情報漏洩のリスク
- USBデバイスを経由したウイルス感染のリスク
内部不正による情報漏洩のリスク
1つ目は、悪意を持った組織関係者による情報の持ち出しなど、内部不正による情報漏洩のリスクです。
近年では従業員や元従業員などの組織関係者が、金銭の受領や転職先での悪用、所属組織への私怨などを動機として、無断で情報を持ち出す事案が多発しています。持ち出された情報は、第三者へ提供されるだけでなく、不特定多数が閲覧できる場所に公開されるケースもあります。
情報処理推進機構の「情報セキュリティ10大脅威 2024」においても、内部不正による情報漏洩が第3位にランクインしました(※1)。
内部不正による情報の持ち出し手段として、最も広く利用されるのがUSBメモリです。情報処理推進機構の「内部不正による情報セキュリティインシデント実態調査」によると、内部不正の対象となった情報の種類にかかわらず、流出経路・媒体は「USBメモリ」が最多となっています(※2)。
| 内部不正の対象となった情報 | 流出経路・媒体 | ||||||||
| USBメモリ | 紙媒体 | 電子メール | Webアップロード | SNS | スマートフォン | HDD | パソコン | 該当なし | |
| 顧客情報 | 30.4% | 11.5% | 18.2% | 6.1% | 6.1% | 4.1% | 8.8% | 14.2% | 0.7% |
| 技術情報 | 28.7% | 7.0% | 17.4% | 13.0% | 2.6% | 6.1% | 10.4% | 13.9% | 0.9% |
| 営業計画 | 27.9% | 6.3% | 14.4% | 11.7% | 11.7% | 7.2% | 9.9% | 9.9% | 0.9% |
| 製造計画 | 26.1% | 4.3% | 8.7% | 17.4% | 21.7% | 8.7% | 8.7% | - | 4.3% |
| 開発物品 | 30.0% | 3.3% | 13.3% | 10.0% | 10.0% | 6.7% | 6.7% | - | 3.3% |
2023年10月には、元派遣社員が顧客情報928万件をUSBメモリにコピーして持ち出し、名簿業者に販売して1,000万円以上の対価を受け取る事案が発生しました(※1)。USBデバイスの利用制限を行っていないと、自社の顧客情報などが外部に持ち出され、重大なセキュリティインシデントにつながる恐れがあります。
navigate_next※1参考:独立行政法人 情報処理推進機構.「情報セキュリティ10大脅威 2024~脅威に呑まれる前に十分なセキュリティ対策を~」p46-47
navigate_next※2参考:独立行政法人 情報処理推進機構.「内部不正による情報セキュリティインシデント実態調査-調査報告書-」
不注意による情報漏洩のリスク
2つ目は、USBデバイスの紛失・盗難など、不注意による情報漏洩のリスクです。
従業員のセキュリティ意識の低さが原因となり、誤って大切な情報を流出させてしまう事案が発生しています。意図的な情報漏洩ではないため、流失経路の特定に時間がかかり、対応が遅れるケースも少なくありません。
情報処理推進機構の「情報セキュリティ10大脅威 2024」では、不注意による情報漏洩が第6位にランクインしました(※1)。
USBデバイスは小さく持ち運びがしやすいため、盗難や紛失に遭うリスクが高いという欠点があります。2022年6月21日には、尼崎市から業務委託を受けた事業者が個人情報の安全管理を怠り、約46万人分の住民データを含むUSBメモリを紛失するというインシデントが発生しました(※2)。
従業員の情報リテラシーやモラルの向上に取り組むとともに、万が一、USBデバイスが紛失・盗難の被害に遭っても、大切なデータを保護できるセキュリティ対策が必要です。
navigate_next※1参考:独立行政法人 情報処理推進機構.「情報セキュリティ10大脅威 2024~脅威に呑まれる前に十分なセキュリティ対策を~」p53
navigate_next※2参考:個人情報保護委員会.「尼崎市USBメモリ紛失事案に対する個人情報の保護に関する法律に基づく行政上の対応について」 p2
USBデバイスを経由したウイルス感染のリスク
3つ目は、USBデバイスを経由したウイルス感染のリスクです。
USB媒介ウイルスは、USBメモリなどの自動実行機能を悪用するため、パソコンに差し込んだだけで感染します。ウイルス感染したパソコンに他のUSBデバイスを差し込むことで、さらに感染が広がっていくのが特徴です。
USBメモリだけでなく、外付けのハードディスクやデジタルオーディオプレーヤーなど、記憶領域を持つUSBデバイスでの感染例が確認されています。
USB媒介ウイルスの代表的な例が、ワームやスパイウェア、アドウェア、キーロガー、トロイの木馬などのマルウェアです。私物(私用)のUSBデバイスの持ち込みや、持ち主不明のUSBデバイスの使用を制限することで、USB媒介ウイルスへの対策が可能です。
USBデバイスのセキュリティ対策はなぜ重要? 3つの理由を解説
USBデバイスの管理を強化すべき理由は3つあります。
- テレワークの普及によりUSBメモリなどの持ち出しが増えているから
- 営業秘密が持ち出されると多大な損失が発生するから
- 個人情報を漏洩させると事業者の責任が問われるから
テレワークの普及によりUSBメモリなどの持ち出しが増えているから
新型コロナウイルスの流行によって、国内ではテレワークやリモートワークが急速に普及しました。自宅で業務を継続するため、USBメモリなどの記録媒体を社外に持ち出す方も多いでしょう。
情報処理推進機構の調査によると、「書類・USBメモリ等の電子記録媒体による機密情報の社外持ち出し」を特例的に認める委託元企業(ユーザー企業)の割合は、2022年1月末の時点で29.0%です(※)。
テレワークを実施する場合、USBメモリの紛失・盗難に遭うリスクが高まるため、これまで以上にデバイス管理を強化する必要があります。
navigate_next※参考:独立行政法人 情報処理推進機構.「企業・組織におけるテレワークのセキュリティ実態調査」
営業秘密が持ち出されると多大な損失が発生するから
設計図や製法マニュアルなど、営業秘密の漏洩に関する相談は、コロナ禍以降増加傾向にあります。営業秘密侵害罪の相談受理件数は、2020年は37件であるのに対し、2023年では78件です(※)。
営業秘密の流出経路のうち、従業員に関連があるものは8割超にのぼります。その中でも、「現役従業員等の誤操作・誤認等による漏洩」が2番目に多く、全体の21.2%です(※)。
USBデバイスの紛失・盗難などにより、自社の情報資産が外部に持ち出されると、多大な経済的損失につながる恐れがあります。特に営業秘密は、開示・公開されると取り返しが付かないため、USBデバイスのセキュリティ対策を見直しましょう。
navigate_next※参考:経済産業省 知的財産政策室.「秘密情報は大切な財産です~情報・データの秘密管理・利活用と不正競争防止法による営業秘密としての保護について~」p5, p18
個人情報を漏洩させると事業者の責任が問われるから
個人情報保護法では、個人情報を流出させた当事者だけでなく、管理監督に当たる事業者(個人情報取扱事業者)の責任を定めています。
例えば、個人情報をUSBデバイスに保存する場合、施錠できるキャビネットや書庫で管理するなど、紛失・盗難の防止策を講じなければなりません(第23条)。また従業員に個人情報を取り扱わせるに当たって、社内規程に従っているか適宜確認するなど、必要かつ適切な監督を行う義務もあります(第24条)(※)。
USBデバイスの不適切な管理が原因で、個人情報が漏洩した場合、事業者側の責任も問われます。被害の規模によっては、社会的な信頼の喪失につながる恐れもあるため、十分なセキュリティ対策を実施しましょう。
navigate_next※参考:個人情報保護委員会.「USBメモリ紛失事案を受けた個人データの適正な取扱いについて(注意喚起)」
USBデバイスを安全に管理する6つのセキュリティ対策
ここでは、USBデバイスを安全に利用するための管理方法を6つ紹介します。
- 許可したUSBデバイス以外の使用を禁止する
- 特定のパソコンのみ使用可能にする
- USBデバイスの使用可能期間を設定する
- USBデバイスの利用状況を監視する
- セキュリティ機能付きのUSBデバイスを導入する
- 使わなくなったUSBデバイスは物理的に破壊する
許可したUSBデバイス以外の使用を禁止する
1つ目は、許可したUSBデバイス以外の使用を禁止する方法です。
USBデバイスは、シリアルナンバーやベンダーID、プロダクトIDなどを通じて、個々の製品を識別できる仕組みになっています。統合運用管理ツール(統合運用管理システム)や、デバイス制御ソフトなどを用いることで、USBデバイスの登録が可能です。
例えば、登録済みのUSBデバイスのみ使用を許可することで、私物(私用)の持ち込みや、持ち主不明のUSBデバイスによるウイルス感染を予防できます。私物の持ち込みを禁止する場合は、組織が所有するUSBデバイスを利用者に貸し出すのも良いでしょう。
特定のパソコンのみ使用可能にする
2つ目は、特定のパソコンのみUSBデバイスを使用可能にする方法です。例えば、社内のパソコンのみUSBデバイスを使用可能にし、個人が持ち込んだパソコンでは禁止します。
USBデバイスの使用を禁止する方法には、物理的な手段とソフトウェアによる手段の2種類があります。例えば、物理的にUSBデバイスの使用を禁止する場合、パソコンのUSBポートにカバーを掛けたり、専用の鍵(USBロック)を取り付けたりすると良いでしょう。
ソフトウェアを用いて管理する場合は、以下のような方法があります。
- グループポリシーの設定により、全てのパソコンでUSBデバイスの自動実行や書き込みなどを禁止する(Windowsの場合)
- 統合運用管理ツールやデバイス制御ソフトを導入し、パソコン単位で利用可能なUSBデバイスを登録する
グループポリシーの設定は、初めてデバイス管理を行う方には難しいため、直感的に操作できるデバイス制御ソフトの導入をおすすめします。デバイス制御ソフトなら、パソコン単位だけでなく、特定のWi-Fi接続(社内ネットワークなど)を行っている場合のみUSBデバイスの使用を許可することも可能です。
USBデバイスの使用可能期間を設定する
3つ目は、デバイス制御ソフトなどを用いて、USBデバイスの使用可能期間を設定する方法です。ソフトウェアによっては、使用開始日や使用終了日の設定の他、使用可能な最長日数を設定することもできます。
主にUSBデバイスの紛失・盗難対策として効果的です。万が一、USBデバイスが紛失・盗難に遭っても、期間が過ぎるとデータが使用できなくなるため、個人情報や営業秘密が悪用されるリスクを減らせます。
登録済みのUSBデバイスを利用者に貸し出す場合は、あらかじめ使用可能期間を設定しておくと良いでしょう。
USBデバイスの利用状況を監視する
4つ目は、USBデバイスの利用状況を監視する方法です。デバイス制御ソフトなどを用いて、USBデバイスの操作ログを取得し、不正な操作が行われていないか確認します。
【操作ログの例】
- USBデバイスを操作したユーザー
- USBデバイスを利用したパソコン
- USBデバイスで読み書きを行ったファイル
情報システム部門の担当者が、現場にいなくてもUSBデバイスの利用状況を確認できるため、テレワークやリモートワークを導入している企業におすすめのセキュリティ対策です。
セキュリティ機能付きのUSBデバイスを導入する
5つ目は、セキュリティ機能付きのUSBデバイスを導入する方法です。
USBデバイスの中には、情報漏洩やウイルス感染を防ぐセキュリティ対策が施された製品もあります(以下、一例)。
- パスワードの設定
- データの保護・暗号化
- ウイルスチェック
- データのリモート消去
- 紛失防止タグ
- 位置情報による追跡
例えば、ウイルスチェック機能の付いたUSBデバイスなら、USB媒介ウイルスに感染するリスクを軽減できます。ライセンスの延長によって、ウイルスやマルウェアの情報(パターンファイル)を定期的に更新可能な製品もあり、安心してUSBデバイスを使い続けられるでしょう。
また、データのリモート消去が可能なUSBデバイスも、紛失・盗難対策につながります。通常のUSBデバイスと比べてコストはかかるものの、セキュリティ対策を強化することが可能です。
使わなくなったUSBデバイスは物理的に破壊する
6つ目は、使わなくなったUSBデバイスの取り扱いです。
USBデバイスからの情報漏洩は、現職の従業員だけでなく、退職者を通じて起きるケースもあります。退職者が使用していたUSBデバイスは、必ず回収し、必要に応じて物理的に破壊すると良いでしょう。
USBデバイスを廃棄する場合、不燃物として処理することが一般的です。自治体によって分類が異なる可能性があるため、地域の分別ルールを確認してください。
USBデバイスの利用を制限し、重要なデータの持ち出しを防止しよう
USBデバイスの管理をおろそかにすると、個人情報の漏洩や営業秘密の流出、USB媒介ウイルスへの感染など、さまざまなセキュリティリスクが生じます。「許可したUSBデバイス以外の使用を禁止する」「USBデバイスの利用状況を監視する」といった方法により、USBデバイスを安全に利用するためのセキュリティ対策を実施しましょう。
USBデバイスの管理なら、RunDX(ランディーエックス)の導入がおすすめです。RunDXでは、USBデバイスのセキュリティポリシーを細かく設定でき、リスクの高いデバイスのみ使用を制限できます。
またUSBホワイトリスト機能の活用により、「情報システム部門が指定したUSBメモリのみ利用可能にする」といった使い方も可能です。
RunDX について詳しくはこちら
RunDX 無料トライアルはこちら
お問い合わせはこちら
目次
株式会社ラネクシー RunDX 担当者
20年近くにわたりデバイス制御と向き合い、活用方法を模索し続けているRunDXの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!
