USBメモリ紛失は他人事ではない！
事例から学ぶ、今だからこそ見直したいUSBメモリ管理とその対策！

Written by 安浦岡昌吾

マーケティング本部にて、MOTEXがご提供するプロダクト全般の販促ツール作成、情報発信などを担当。

USBメモリ紛失は他人事ではない！ <br>事例から学ぶ、今だからこそ見直したいUSBメモリ管理とその対策！

USBメモリによる情報漏えい事案の実態
 USB利用を原因とした情報漏洩事件
 事例から考える、今行うべき対策とは？

5分でできる！
情報セキュリティセルフチェック
これだけは押さえておきたい
情報セキュリティ43項目

資料をダウンロードする

情報システム担当者 1,000人に聞いた！
“IT資産管理ツールのクラウド移行”実態調査

8割以上のユーザーが「クラウドIT資産管理ツール」の導入を検討していると回答しています。

資料をダウンロードする

某官公庁による40万人以上もの個人データが保存されたUSBメモリの紛失事件が記憶に新しいですが、2022年6月には某教育機関にて、学生の個人情報が保存されたUSBメモリを紛失するなど、USBメモリに関連した情報漏えい事故は後を絶ちません。
改めて自社のUSBメモリの管理の見直しが求められています。

USBメモリに関する情報漏えい事故の実態

NPO日本ネットワークセキュリティ協会（JNSA）の調査によると、2018年の情報漏えい事案の全体件数443件のうち、媒体・経路別に見た場合、USBメモリ等の記録媒体による情報漏洩12.6%（56件）とされています。また、情報漏洩の原因別で見た場合、原因として最も多かったのは「紛失・置き忘れ」であり116件で全体の26.2％を占めています。

出典：JNSA（日本ネットワークセキュリティ協会）「2018年情報セキュリティインシデントに関する調査結果　～個人情報漏えい編～」より引用

オンラインストレージ等の普及もあいまって「USBメモリはもう使っていない」「USBメモリの利用は認めていないから大丈夫」という企業も多いですが、「差すだけで使える」という利用者のリテラシーに左右されない手軽さから、管理者の知らないところで無断利用されているというケースもあります。
特にテレワーク環境では、デバイスの利用状況が見えないため、自宅で私物のUSBメモリが利用されていたり、場合によっては使用したUSBメモリを紛失していたとしても報告されないなどのケースも考えられます。

USB利用を原因とした情報漏洩事件

官公庁

2022年6?に某官公庁で46万分の住民基本台帳情報などを記録したUSBメモリを紛失するという情報漏洩事件が発生しました。
事の経緯は、住民税非課税世帯等に対する臨時給付金支給事務の受託企業の社員が、46万人分の住民基本台帳の情報を許可なくUSBメモリに保存し持ち出した上で、飲食店で食事後に当該USBメモリを入れたかばんを紛失したとされています。

教育機関

2022年5月に当該機関に所属する教職員が学生89名の個人情報が記録されたUSBメモリを紛失。
USBメモリ内には、当該教員の担当科目を受講している89人分の履修者名簿が保存されており、所属、学年、学修番号、氏名、メールアドレス等の個人情報を含んでいたとされています。

医療機関

2022年5月に当該機関に所属する看護師が、患者1,420名分の診療データの一部を臨床研究のために保存していたUSBメモリを紛失。USBメモリ内には、患者ID、カナ氏名、性別、生年月日、身長、体重、検査結果データなどの多くの個人情報を含んでいたとされています。

このように現在でもUSBメモリの利用を原因とした情報漏えい事故が後を絶たない状況で、その多くが紛失に起因しているということが分ります。

事例から考える、今行うべき対策とは？

まず行うべき対策は、USBメモリをはじめとした外部記録メディアの利用に関する取扱い規定を定めることです。取扱い規定を定めるには、まずUSBメモリだけでなく、スマートフォン等のWPD機器やSDカード、業種によってはカメラなど、業務で利用されている外部記録メディアの利用状況を把握し、棚卸を行うことが重要です。
USBメモリの利用は不可というルールを設定している企業も多いと思いますが、前述の通り、実際には簡単な情報の受け渡し手段として、その手軽さ故に気付かないところで利用されているというケースも少なくはありません。
そのため、現状を把握した上で、業務に即したルールを策定することが重要です。
例えば、記録メディアの利用機会が少なからずあるという場合は、記録メディアを支給した上で、利用時には用途を申請したうえで、利用を許可するなどの運用を検討してみると良いでしょう。
また、記録メディアについては、万が一紛失してしまった時に第三者に読み取られないように、暗号化機能などを有したセキュリティUSBを採用しましょう。

また、IT資産管理ツールを導入し、操作ログ取得や外部記録メディアの制御を行うことで、規定に沿ったUSBメモリの利用を促進することもオススメです。
LANSCOPE クラウド版では、USBメモリなどの記録メディアの利用制御はもちろん、会社支給のUSBメモリのみ許可、指定した期間のみ利用許可など運用に併せた柔軟な制御設定が可能です。

また、「どの部署の」「誰が」「いつ」「何をしたのか」をログとしてリアルタイムに取得することができるので、PCの利用状況を把握できます。危険な操作を行った場合は、ユーザーにポップアップで警告表示を行うことで、セキュリティモラルの向上を促します。操作ログは最大5年間保存することができるので、有事の際も過去に遡って調査をすることも可能です。

USBメモリを起因とした情報漏洩は、すべての企業で起きうる可能性があります。
今回ご紹介した事案を他人事とせず、本当に自社の管理体制が適切かどうかこの機会に見直してみてはいかがでしょうか。

弊社では、20年以上のお客様のエンドポイントセキュリティをご支援してきたノウハウを元に、今回ご紹介したUSBメモリの管理をはじめとした情報セキュリティのこれだけは押さえておきたいポイントを確認いただけるチェックシートをご用意しております。
具体的な対策方法までご紹介しておりますので、自社の課題の洗い出しや対策の検討にご活用ください。