USBメモリー紛失事故を防止する最低限必要な対策とは

2017年以降、ランサムウェアの脅威や、マルウェアを仕込んだり、フィッシングサイトへ誘導したりするメール攻撃がマスコミを賑わせており、セキュリティベンダーも対策商品の売り込み攻勢をかけていますが、情報セキュリティ対策における重大インシデントは、これらサイバー攻撃だけではなく、むしろ以前から、USBメモリーなど持ち運び可能な電子記録媒体(以下USBメモリー等という)の紛失や盗難による情報漏洩件数が高止まりしたままです。

USBメモリー等の紛失盗難事故の特徴

情報セキュリティインシデント全体におけるUSBメモリー等の紛失盗難による情報漏洩件数は年々減少傾向にありますが、業種別に見ると、医療、教育の分野においては高止まりしたままで、減少の兆しが見えません。

生徒や患者の情報を記録したUSBメモリーを自宅に持ち帰る途中に紛失した、あるいは情報を記録したままで保管していたUSBメモリーが無くなっていた、などとする報道も、ランサムウェアによる被害報道に比べ圧倒的に多いのが現状です。

また、これからの年末年始に向けた期間に、職場から持ち出したUSBメモリー等を所持したまま飲酒をともなう会に出席し、酔いつぶれたあげくにカバンごとUSBメモリー等を紛失、あるいは盗難被害にあう事例が多くなります。

特に医療、教育分野の組織においては、重要な情報を記録したUSBメモリー等を外部に持ち出す際の安全管理措置について、今一度、人的、物的両方の対策を見直す必要があるといえるでしょう。

USBメモリー等の管理ルール

個人が所有する情報をUSBメモリー等に保管して持ち歩くのは自由ですが、所属する組織や会社で扱うあらゆる情報は一個人のものではなく、うっかり紛失したでは済まされません。企業や会社の情報を守るためにはUSBメモリー等の徹底した管理が必要です。

あなたの会社や組織で、USBメモリー等の管理ルールが明文化されていない、あるいは十分でないと思われる場合に参考となるであろうルールを書き出してみました。たとえ1つでも出来る事から始めましょう。

自宅に個人が所有するPCで職場の情報を扱わせない

会社や組織の情報を、自宅の個人所有のパソコンで処理するのは大変危険で、自宅のパソコンがウイルス対策が行われていないために感染したマルウェアにより情報を搾取されたり、非公開だと思い込んでいるwebサーバに自宅からファイルをアップロードして実際は公開されていたため(アクセスすることが出来たため)情報漏洩したりするなど、かなりのリスクを負うことになるので、USBメモリー紛失盗難の温床となる、自宅のパソコンで会社や組織の情報を処理することから禁止する必要があります。

堺市の選挙管理委員会の職員が、選挙人名簿情報68万人分を無許可で自宅に持ち帰り、自身が所有するPCで情報処理を行い、自身がレンタルしていたwebサーバにも同情報をアップロードして誰もが閲覧できる状態にして漏えいさせた、という事件も記憶に新しいです。その後堺市ではUSBメモリーの取扱いルールを厳格化しPCで物理的にUSBメモリーが使えなくする対策も行いました。

個人所有のUSBメモリー等を持ち込ませない

個人が所有するUSBメモリーやSDカード等の持込を許可していると、職場で使っているパソコンから情報を抜き出して持ち出すことに歯止めが利きませんし、個人が所有するUSBメモリー等を紛失しても、紛失したことを隠蔽されると、事件が発生していることを全く把握出来ません。

USBメモリー紛失による個人情報漏えい事件において、紛失してから1か月以上経過して事故が発覚するなどという恥ずかしい状況が生まれるのは、部署で使っているUSBメモリーの所在確認を怠っているか、個人が所有するUSBメモリーを自由に使わせていて、紛失した本人がずっと探していたという言い訳をする隠ぺいをしていたかのいずれかです。

登録管理しているUSBメモリー等しか使わせない

USBメモリー等は職場で購入し、管理番号ラベルを貼ったものしか使わせないようにします。USBメモリー等は鍵のかかる場所や什器に保管し、その鍵は決められた者が管理します。

そして管理番号ごとに台帳をつくり、USBメモリー等を使いたい者は、台帳に持ち出し日、返却予定日、持ち出す場所、書き込む情報の内容を記載して上司に確認を得て、その確認をもって、USBメモリー等を手渡します。

そして用件が済めば、書き込まれた情報が削除されているのを第三者が確認のうえで、再び上司に返却確認を得て、USBメモリー等を返却します。

この確認をちゃんとやることで、USBメモリーが紛失してから1か月以上経過して謝罪するという恥ずかしい事は避けられます。

不要となった情報をUSBメモリー等に記録したままにしない

USBメモリー等を持ち運ぶということは、そこに情報が記録されているということです。データが記録されたままのUSBメモリー等を紛失することと、不要となったデータは消去されているUSBメモリー等を紛失することは、同じ紛失でも大違いです。

自身のPCから情報を抜き出し用務先に情報を渡した際に、使ったUSBメモリー等の情報は消去してもらえば、用務先からの帰路は不要となった情報は記録されておらず、紛失盗難にあった場合を想定した適切なリスクコントロールと言えるでしょう。

暗号化出来るUSBメモリー等を使わせる

あらかじめ設定した十分な長さのパスワードを入力しないとデータを書き込むことが出来ず、書き込まれたデータにアクセスするのにも同じくパスワードが要求され、書き込まれたデータは暗号化さえた状態で保存されるセキュアな暗号化USBメモリー等を使わせることで、100%は防ぐことが出来ないUSBメモリー等の紛失盗難に備えることが出来ます。

USBメモリーの紛失盗難をプレス発表したり、記録されていた情報にかかる人に謝罪と説明をしたりする時に「当該USBメモリーは暗号化され、十分な長さのパスワードで保護されているので、記録された情報を見られる恐れは少ない」と言うことが出来れば、日ごろから出来るだけの対策は行ってきたと認められるでしょう。

パソコンからUSBメモリー等に書き込み不可にする

職場にある全てのパソコンからUSBメモリー等に書き込みが出来てしまうと、こっそりと持ち込んだUSBメモリー等を使ってデータを持ち出される恐れがあります。基本的には責任者のパソコンだけがUSBメモリー等に書き込める設定にしておきます。

職場の業務用PCでUSBメモリーを使えなくする方法
PCでUSBメモリーを使えなくする方法はいくつかあります。BIOS設定を変更するだけでもUSBポートを使用不可にすることは出来ますが、そうするとUSBマウスやUSBキーボードも使えなくなるので、USBメモリーを無効化するソフトを使うかレジストリキーの値を変更して、USBメモリーだけを使えなくしましょう。

USBメモリー等を持ち運ぶ際には手放さない

当たり前すぎて何を今さらと思われるかもしれませんが、USBメモリー等の紛失盗難は、カバンに入れて持ち運んでいた最中に、車の中に置いてたカバンごとUSBメモリーを奪われたり、電車等公共交通機関を使って移動中にカバンを置き忘れてUSBメモリーも紛失したりする事例が多く報告されています。このような事例はUSBメモリーの入ったカバンを常に手で持っていれば防げたはずの事例であり、当たり前のことではあるけど、ルール化して繰り返し周知して、各人の意識に刷り込んでいくしかありません。

私の組織でもUSBメモリー等の紛失事案は毎年数件発生します。盗難や置き忘れが原因となることは稀ですが、上着のポケットにしまっていたが、職場に戻るとポケットからなくなっていたという報告を受けることもあります。やむを得ず持ち運びを許可している以上、紛失盗難を100%防ぐことは不可能という前提のもと、不要な情報はすぐに消去しておく、重要な情報を記録する際は暗号化出来るUSBメモリーを利用する、といった複合的対策を取らせています。

情報を守るために絶対に必要な対策です

今までは職場のパソコンからUSBメモリーを使って自由にデータを持ち出せていたのに、規則が増え、これだけの手間が必要になると当然に反発もありますが、自由にさせて誰もチェックしなかったから、今まで多くの紛失盗難事故が起きているのです。特にUSBメモリー等の紛失盗難事故が多い業種では、よほど組織全体のリテラシーが低いのか、どういうわけか未だに何も対策が成されずチェック機構も働いていないはずです。

どんな仕事でも、正直なところ情報セキュリティ対策に手間隙かけていられません。しかし、情報を守ることの重要さに気づき、そこに働く者へのセキュリティ教育と、ヒューマンエラーを引き起こす原因をなくす事に力をいれてきたリテラシーの高い企業や組織では、自分は大丈夫だろうという油断から引き起こされる、USBメモリー等の紛失盗難という残念な人的ミスは明らかに減少しています。

人は自分が正しいと思うことをしていても間違いを犯します。誰だってUSBメモリー等を持ち歩いていれは、いつか必ず紛失盗難に遭遇するのです。どんな大変な仕事をしていても、情報を守る意識をしっかり持たなければ、せっかくの仕事を台無しにしてしまうし、大事な情報だけでなく、自分自身を守ることも出来ないことを働く者は理解し、情報管理部門はヒューマンエラーが引き起こされる原因を究明して、安心して働ける仕組みを作っていくことが求められるのです。

教育、医療分野でUSBメモリー紛失事件が多発するのは、教師が、医師が、ではなく、USBメモリーに個人情報を入れて持ち運ぶことが多いという業務フローが原因であり、これを見直せない業界のあり方が問題の根源であると言えます。
arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
情報セキュリティマネジメント
arisaをフォローする
情報セキュリティ対策の真実

コメント