2019年6月18日付けの記事で、企業にとって喫緊の課題である情報漏洩防止策の一つとして、USBメモリーの適切な取り扱いについて詳しく解説されています。USBメモリーは、大容量のデータを手軽に保存したり、受け渡ししたりするのに大変便利な記録媒体ですが、その携帯性の良さゆえに、情報漏洩のリスクを常に内包していると言えるでしょう。
私見を述べさせていただきますと、現代のビジネス環境において、データの持ち運びのニーズは高く、USBメモリーの利用を完全に禁止するのは現実的ではありません。だからこそ、その利便性と表裏一体である「紛失リスク」を徹底的に管理することが、企業の情報セキュリティ体制の要になると考えます。
USBメモリーの紛失事例は後を絶ちません。電車内の網棚や座席、あるいは路上、公園、飲食店といった社外での置き忘れが多発しているのです。手荷物が多いときや、疲労が蓄積しているとき、あるいは飲酒後や急いでいるときなど、人の注意力が散漫になりやすい状況で特に発生しやすい傾向にあることが分かっています。さらに、社内であっても、デスクの上に放置されたり、会議中に席を外した際に所在が不明になったりするケースも見受けられます。
このような紛失は、「なぜこの情報を持っていたのか」「なぜ社外に持ち出したのか」と、後になって悔やまれるような状況で起きがちです。私たちがまず見直すべきは、「運用ルール」です。業務上、どのような情報をUSBメモリーで持ち出す必要があるのか、その必要性を厳しく吟味し、ルールを再構築する必要があるでしょう。
情報漏洩を防ぐ具体的な「運用管理」と「技術的対策」
企業がUSBメモリーの利用を許可する場合、情報漏洩を防ぐための具体的な対策を講じることが必須となります。まず、物理的な対策として、社外に持ち出す製品に目立つ**「タグ」や「ストラップ」を装着することが有効です。これにより、置き忘れを防ぐ視覚的なリマインダーとなります。
また、技術的な対策としては、「セキュリティ機能付きの製品」を採用することが極めて重要です。このセキュリティ機能とは、多くの場合、パスワード認証や生体認証などを経なければデータにアクセスできないようにする暗号化機能やロック機能のことを指します。仮に紛失してしまったとしても、第三者が容易に内部のデータにアクセスできないようにする、最後の砦となる対策だと言えるでしょう。
さらに、「利用申請と承認の手続き」を厳格に定めることも大切です。誰が、いつ、どのような目的で、どのような情報を持ち出すのかを明確にし、記録に残すことで、利用者の責任感が高まります。利用後には、「初期化」を徹底するとともに、定期的な「棚卸し」を実施し、すべてのUSBメモリーの所在を確認することが求められます。長期間利用されていない製品については回収し、情報セキュリティ意識を継続的に高いレベルで維持していく努力が欠かせません。
USBメモリー経由の「ウイルス感染」というもう一つの脅威
情報漏洩の脅威は、紛失だけではありません。USBメモリーを介した「ウイルス感染」のリスクも非常に高いと言えます。例えば、社外のパソコンに接続したり、社外から預かったUSBメモリーをそのまま社内環境に接続したりすると、そのメモリーに潜んでいたマルウェア(悪意のあるソフトウェア)が社内ネットワーク全体に拡散してしまう恐れがあるのです。
これを防ぐためには、まずパソコンの「自動再生機能」を停止させることが重要です。この機能は、USBメモリーを挿入した際に、記録されているプログラムやファイルが自動的に実行されてしまう機能のことで、これを止めることでウイルスの無許可での実行を防ぐ効果があります。また、USBメモリー内のファイルを開く前には、必ず「ウイルスチェック」を実施し、安全性を確認してから作業を行うというルールを徹底すべきです。これにより、社内システムの安全性を強固に保つことができるでしょう。
インターネット上での反響を見ても、「うっかり紛失は誰にでも起こりうることなので、会社側でセキュリティ機能付きのUSBメモリーを支給してほしい」「紛失した際の報告ルールを明確にして、速やかに対応できる体制が重要だ」といった意見が多数見受けられます。こうした利用者の声からも、組織的なルール作りと、セキュリティ機能の導入が強く求められていることが分かります。企業は、利用者の利便性を確保しつつも、情報資産を守るという社会的責任**を果たすべく、本記事で挙げられた対策を速やかに実行に移すべきでしょう。
コメント