Written by 夏野ゆきか
目 次
USBメモリは、大容量のデータを保存でき、持ち運びがしやすい一方で、さまざまなセキュリティ上の脅威が潜んでいます。
USBメモリに起因するセキュリティ事故の例としては、以下が挙げられます。
- 紛失や盗難による情報漏洩
- 従業員による不正なデータ持ち出し
- USBメモリを介したマルウェア感染
こうしたセキュリティ事故を防ぐためにも、USBメモリの利用に関するルール策定や、従業員へのセキュリティ教育といった対策は必要不可欠です。
本記事では、USBメモリに対するセキュリティ対策の必要性、具体的なセキュリティ事故の事例、企業が講じるべき対策について詳しく解説します。
この記事でわかること
- USBメモリには、「盗難や紛失による情報漏洩」「マルウェア感染」といったリスクが潜んでいるため、セキュリティ対策は必須
- USBメモリに起因するセキュリティ事故の例に、「紛失や盗難による情報漏洩」「従業員による不正なデータ持ち出し」「USBメモリを介したマルウェア感染」などがある
- 過去には、社員が全市民46万人分の個人情報が入ったUSBメモリを紛失したり、元派遣社員がUSBメモリに900万件以上の顧客情報をダウンロードして不正に持ち出したりといった、悪質な事例もある
- 企業が行うべき、USBメモリのセキュリティ対策としては、「データの暗号化」「IT資産管理ツールの導入」「USBメモリの運用ルールの策定」「従業員へのセキュリティ教育の実施」「自動再生機能をオフにする」などが挙げられる
なぜ、USBメモリにセキュリティ対策は必要なのか?
企業や個人のUSBメモリ利用にセキュリティ対策が必要な理由は、以下のリスクが考えられるためです。
- 盗難や紛失による情報漏洩
- マルウェア感染
USBメモリは小型で携帯しやすいため、紛失・盗難のリスクが高い媒体と言えます。USB単体で紛失するケースもあれば、USBメモリの入ったカバンごと盗難にあうケースもあるでしょう。
機密情報を保存したUSBメモリを紛失・盗難されると、重要なデータが第三者に閲覧され、金銭のために悪用されたり不正利用されたりする恐れがあります。
また、従業員がウイルスに感染した私物のUSBメモリを業務用PCに接続した場合、社内ネットワークを通じて、他の端末にマルウェア感染が拡大する危険性も考えられます。
こうしたセキュリティ事故を防ぐためにも、USBメモリの利用に関するルール策定や、従業員へのセキュリティ教育の実施といった対策は必要不可欠です。
USBメモリに起因する、よくあるセキュリティ事故の例
USBメモリに起因するセキュリティ事故に、以下のような例があります。
- 紛失や盗難による情報漏洩
- 従業員による不正なデータ持ち出し
- USBメモリを介したマルウェア感染
1.紛失や盗難による情報漏洩
USBメモリが紛失した・盗難された場合、保存していた機密情報・個人情報が外部に漏洩する危険性があります。
具体例として
- カフェでの作業中、離席したタイミングでUSBメモリを盗まれ、機密情報を閲覧される
- USBメモリを入れたカバンを置き忘れ、第三者にUSBメモリの中を見られてしまう
といったケースがあります。
紛失や盗難のリスクを回避するには、「USBメモリの社外持ち出しを禁止する」「私物USBメモリの業務利用を禁止する」などのルールを設けることが欠かせません。
2.従業員による不正なデータ持ち出し
USBメモリの持ち出しルールが周知徹底されていない場合、現職の従業員や元従業員によってデータを不正に持ち出される危険性もあります。
具体例として
- 従業員がUSBメモリに許可なく顧客情報をダウンロードして持ち出し、金銭のため売却する
- 退職直前に機密情報をUSBメモリに保存して持ち出し、転職先でそのデータを利用する
といったケースがあります。
このような事態を防ぐには、私物のUSBメモリの持ち込みを全面的に禁止する、機密情報にアクセスできる人間を制限するといった対策が必要です。
3.USBメモリを介したマルウェア感染
USBメモリを介して、マルウェアが端末や社内ネットワークに広がるリスクも考えられます。
具体例として
- 落とし物など持ち主不明のUSBメモリを利用したら、マルウェアに感染した
- 私物のUSBメモリが感染していると気づかず、業務用PCに接続して社内にネットワークに感染が広がった
などのケースがあります。
マルウェアに感染すると、会社のシステムがダウンしたり、攻撃者に情報が窃取されたりといった様々なセキュリティ被害を受ける可能性があります。
USBメモリ経由のマルウェア感染を防ぐためには、持ち主不明のUSBメモリを安易に使用しない、会社が許可したUSBメモリ以外は接続を制限する、などの対策を行うべきでしょう。
USBメモリに起因する、セキュリティ事故の被害事例
ここからは、USBメモリに起因する、セキュリティ事故の被害事例を2つ紹介します。
1. 尼崎市、市民約46万人の個人情報が入ったUSBメモリを紛失
| 企業 | 尼崎市自治体 |
|---|---|
| 被害時期 | 2022年6月 |
| 原因 | 個人情報の入ったUSBメモリの紛失 |
| 被害内容 | 全市民約46万人分の住民基本台帳や住民税、非課税世帯等臨時特別給付金の対象世帯や生活保護受給世帯、児童手当受給世帯などの口座情報が流出の危機にさらされた |
2022年6月、兵庫県尼崎市の自治体にて、全市民46万人分の個人情報が入ったUSBメモリが紛失する事件が発生しました。紛失したのは、自治体から臨時特別給付金事務を受託する企業の、再々委託先の社員です。
社員は市役所内のサーバーから個人データを無断でUSBメモリにコピーして持ち出し、立ち寄った居酒屋にて泥酔、バックアップ用を含めた計2本のUSBメモリを、カバンごと紛失しました。
USBメモリ内には全市民約46万人の住民基本台帳情報をはじめ、住民税、非課税世帯等臨時特別給付金の対象世帯などの口座情報が含まれていました。
自治体は再発防止策として、サーバルーム内の監視カメラの増設や委託業務に係る、ファイル転送サービスの導入などを行っています。
2.大手通信会社、元派遣社員が顧客情報約900万件を不正に持ち出し
| 企業 | 大手情報通信事業者 |
|---|---|
| 被害時期 | 2023年10月 |
| 原因 | 元派遣社員による情報の持ち出し |
| 被害内容 | 900万件以上の個人情報流出 |
2023年10月、大手通信会社にて顧客情報約900万件が流出する事件が発生しました。
流出の原因は、同社がコールセンター用システムの運用保守を依頼する、パートナー企業の元派遣社員による顧客情報の持ち出しです。元派遣社員はシステム管理者のアカウントを悪用し、顧客データを保管するサーバーにアクセスして、USBメモリにダウンロードしていました。
盗んだ顧客情報は東京の名簿業者にメールで送ったとされ、犯人は顧客情報売買により、これまでに2,000万円以上の利益を得ていたと推測されます。
被害を受けた大手通信会社は、アカウントや権限の管理体制の強化をより集中的に行い、データの抽出や持ち出し、クラウドやシステムへのアクセスなどを一括制御可能な環境に統合しました。
こういったUSBメモリを悪用したセキュリティ被害を防ぐためにも、企業は平時から、USBメモリを安全に取り扱うためのルール策定や対策を行なう必要があります。
企業が行うべき、USBメモリのセキュリティ対策
企業が行うべき、USBメモリのセキュリティ対策としては以下が挙げられます。
- 1.データを暗号化する
- 2.自動再生機能を使用しない
- 3.USBメモリの取り扱いにおける運用ルールを策定する
- 4.IT資産管理ツールなどで利用を制限する
- 5.従業員へのセキュリティ教育を実施する
それぞれ順番に見ていきましょう。
1.データを暗号化する
USBメモリに保存されるデータを暗号化しておけば、万が一紛失したり盗難されたりした場合も、情報が漏洩するリスクを低減できます。
暗号化とは、暗号鍵を使用して元データをまったく別のデータに変換し、解読できないようにする仕組みのことです。
▼暗号化の仕組み
出典:総務省|暗号化の仕組み
鍵を活用することで、暗号化したデータを復号(元に戻す)ことが可能となります。
| ソフトウェアによる暗号化 | PC上でパスワードを設定して特定のファイルやフォルダを暗号化 柔軟性が高い反面、PCにソフトをインストールする必要があり、一定の運用負荷が生じる |
|---|---|
| ハードウェアによる暗号化 | USBメモリ自体にセキュリティチップが内蔵されており、USBメモリへの保存時に自動で全データを暗号化 インストール不要で利便性は高いものの、USBメモリ全体が暗号化されるため、機密情報と非機密情報を区別して管理するには適していない |
2.自動再生機能を使用しない
WindowsPCには、USBメモリを接続するとファイルが自動的に実行される機能が搭載されています。この自動再生機能をオンにしていると、マルウェアに感染したUSBメモリを接続した瞬間、マルウェアが実行され、感染してしまいます。
こうした事態を防ぐためにも、自動再生機能はあらかじめオフにしておきましょう。
自動再生機能をオフにすれば、仮に実行可能ファイルがUSBメモリに含まれていても、ユーザーが明示的にそのファイルを実行しない限り、マルウェアが動作することはありません。
3.IT資産管理ツールなどで利用を制限する
USBメモリへのアクセスを適切に制御・監視するには、IT資産管理ツールの導入が有効です。
IT資産管理ツールで業務PC管理をおこなうことにより
- 企業許可したUSBメモリ以外の利用を禁止
- USBメモリの利用状況を操作ログとして取得
といった機能を活用できるため、USBメモリへの機密データのコピーや、私物のUSBメモリの使用などを防止できます。
4.USBメモリの取り扱いにおける運用ルールを策定する
USBメモリを安全に利用するためには、取り扱いルールを明確化し、全従業員へ周知することが不可欠です。
▼具体的なルールの例
- USBメモリへの機密情報・個人情報の保存を禁止する
- 企業が許可したUSBメモリ以外の接続を禁止する
- USBメモリの社外持ち出しに際しては、必ず申請手続きを経る
このようにUSBメモリの持ち込みや持ち出し、保存内容等についてあらかじめルールを決めておくことで、セキュリティ事故の防止につながります。
5.従業員へのセキュリティ教育を実施する
USBメモリの適切な利用を実現するには、技術的な制御やルールの策定だけでなく、従業員一人ひとりのセキュリティ意識を高める必要があります。
企業は定期的に従業員向けのセキュリティ教育を実施し、USBメモリの危険性と対策の重要性について指導しましょう。
USBメモリのセキュリティ対策なら「LANSCOPEエンドポイントマネージャー クラウド版」にお任せ
USBメモリのセキュリティ対策なら、IT資産管理・MDMツールの「LANSCOPEエンドポイントマネージャー クラウド版」にお任せください。
LANSCOPE エンドポイントマネージャー クラウド版の「記録メディア制御機能」を利用することで、
- グループ単位で USB メモリの利用を制御(許可/読取専用/禁止)する
- 禁止設定を行った上で、会社支給の USBメモリ のみ許可するなどの設定を追加する
- 利用状況に応じて、指定した期間のみUSBメモリの利用を許可する
といった、柔軟な設定が可能です。
仮に従業員が禁止されたUSBメモリを業務で利用した場合、PCにリアルタイムでポップアップの警告を表示できるため、従業員への注意喚起を行うことも可能です。
また、LANSCOPE エンドポイントマネージャー クラウド版 は、PCの操作ログを自動で取得します。USBメモリに関する操作はもちろん、アプリ利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続など、「どのPCで」「誰が」「いつ」「どんな操作をしたか」社員の PC 利用状況を、一目で把握できます。
LANSCOPE エンドポイントマネージャー クラウド版の詳細は、以下のページよりご覧ください。
まとめ
本記事では、USBメモリに対するセキュリティ対策の必要性、具体的なセキュリティ事故の事例、企業が講じるべき対策について解説しました。
本記事のまとめ
- USBメモリには、「盗難や紛失による情報漏洩」「マルウェア感染」といったリスクが潜んでいるため、セキュリティ対策は必須
- USBメモリに起因するセキュリティ事故の例に、「紛失や盗難による情報漏洩」「従業員による不正なデータ持ち出し」「USBメモリを介したマルウェア感染」などがある
- 過去には、社員が全市民46万人分の個人情報が入ったUSBメモリを紛失したり、元派遣社員がUSBメモリに900万件以上の顧客情報をダウンロードして不正に持ち出したりといった、悪質な事例もある
- 企業が行うべき、USBメモリのセキュリティ対策としては、「データの暗号化」「IT資産管理ツールの導入」「USBメモリの運用ルールの策定」「従業員へのセキュリティ教育の実施」「自動再生機能をオフにする」などが挙げられる
本記事で解説した内容を参考に、USBメモリの適切な管理とセキュリティ対策を徹底し、安心して利用できる環境を整えましょう。
おすすめ記事
