記録メディアはなぜ管理が必要なのか?

記録メディアはなぜ管理が必要なのか?
2024.12.9

JIPDECが公表した「企業IT利活用動向調査2024」結果分析(https://www.jipdec.or.jp/library/it-resarch/sqau090000001sm9.html)によると、過去1年に経験したセキュリティインシデントの質問に対する回答で最も多かったのは「従業員によるデータや情報機器(PC、タブレット、スマホ、USBメモリなどの記録媒体)の紛失・盗難」であり、かつ過去2回の調査よりも上昇していたということです。
特にUSBメモリは、データの保存や持ち運びに非常に便利な記録メディアの代表格として、日常生活やビジネスシーンで広く利用されています。小型で軽量なため、簡単にポケットやバッグに入れて持ち運ぶことができ、さまざまなデバイス間でデータを迅速に転送することが可能です。そのため、プレゼンテーション資料やエクセルファイル、写真、音楽ファイルなど、多様なデータの保存に重宝されています。一方で、情報漏洩やウイルス感染といった情報セキュリティインシデントにつながる危険性も潜んでいます。そこで、この記事ではUSBメモリをはじめとする記録メディアの危険性とその管理の重要性について詳しく解説します。この記事を通じて、記録メディアの安全な取り扱い方法を理解し、業務への影響を最小限に抑える対策を身につけましょう。

セキュリティ無料相談

目次

USB記録メディアの管理の必要性

USBメモリは便利な記録メディアですが、同時に多くのリスクを抱えています。まず、小型で持ち運びが容易なため気付かないうちに紛失したり、盗まれたりすることがあります。また、USBメモリに潜むウイルスやマルウェアに感染する可能性もあります。これらのリスクについて、詳しく説明します。

紛失や盗難によるリスク

USBメモリは小型かつ軽量でありデータを持ち運ぶ手段として非常に便利なため、ビジネスの場面や個人利用において多くの人々に利用されています。しかし、そのコンパクトさから気づかないうちにどこかに置き忘れてしまったり、他人に盗まれてしまうリスクがあります。

これらのリスクが現実のものとなった場合、思わぬ形でデータが外部に流出する危険性があります。もし、そのUSBメモリに個人情報が保存されていて個人の権利権益を害する恐れがある場合には、個人情報保護委員会への報告義務が発生します。
なお、以下の4つの事態の場合に「個人の権利利益を害するおそれがあるときに該当する事態」となります。
・要配慮個人情報が含まれる事態
・財産的被害が生じるおそれがある事態
・不正の目的をもって行われた漏えい等が発生した事態
・1,000人を超える漏えい等が発生した事態
もし報告義務が発生すると、個人情報保護委員会に3~5日以内に「速報」を、その後30日以内(不正の目的をもって行われたおそれがある場合は60日以内)に「確報」を提出する必要があります。また、提出しない場合は個人情報保護委員会から勧告・命令が出され、従わない場合は懲役刑や罰金となります。

また、USBメモリにクラウドストレージやサーバへのアクセスに必要なパスワードや認証情報が保存されている場合、その被害は甚大です。悪意のある第三者がこれらの情報を手に入れると、企業にとって特に重要性の高い機密情報が侵害される可能性が高まります。さらに、情報が漏洩することにより企業の信用が失墜することにもつながります。

ウイルス感染の可能性

データの持ち運びやファイルの共有に非常に便利なUSBメモリですが、その利便性の裏にはウイルス感染のリスクが潜んでいます。USBメモリを介してPC間での感染が発生してしまいます。感染は以下の流れで行われます。

・ウイルス感染済みのPCにUSBメモリをさす
・ウイルスに感染済みのPCからUSBメモリにウイルスがコピーされる
・USBメモリに書類等のファイルをコピーするなどの作業を行う
・書類のコピー先となる別のPCにUSBメモリをさす
・自動再生機能を利用してウイルスがPCにコピーされるかウイルスファイルが実行され、感染を広げる

自動再生機能を利用することでUSBメモリを接続した際に自動的にファイルを開くことができるため、USBメモリにウイルスが含まれている場合にはユーザーが気づかないうちにウイルスに感染するファイルが実行されてしまうリスクがあります。なお、自動再生機能はセキュリティ面から事前にOFFにしておくことを推奨します。自動再生機能を無効にする場合、以下の設定を実施してください。

Windows10を使用している場合は、「設定」>「デバイス」から「自動再生」を選び、「すべてのメディアとデバイスで自動再生を使う」をオフにしてください。

Windows11を使用している場合は、「スタートメニュー」>「設定」>「Bluetoothとデバイス」から「自動再生」を選び、「すべてのメディアとデバイスで自動再生を使う」をオフにしてください。

Windows11の設定

ウイルスに感染すると、様々な悪影響を及ぼすことがあります。例えば、システムが正常に動作しなくなったり、重要なデータが破損したりすることがあります。さらに、個人情報や機密情報が漏洩する危険性も高まります。特に、社員が使用しているPCから社内ネットワークを経由して別の社員のPCや会社全体のシステムを管理しているサーバに感染が広がってしまうと、会社の業務が停止してしまうなど被害は甚大なものになります。これらの問題は、個人ユーザーにとっても企業にとっても大きな損失をもたらす可能性があります。

不要なアプリのインストールによる影響

USBメモリを管理していない場合は個人が持ち込んだUSBにより、個人利用は無料だが商業利用する場合は有料となるソフトなどや個人で購入したソフトを会社のPCにインストールしてしまうリスクがあります。これにより、知らないうちにライセンスのないアプリを使ってしまう可能性があり、損害賠償につながるリスクがあります。また、こうした不要なアプリはPCの動作を遅くし、システムパフォーマンスを低下させることがあります。さらに、これらのアプリにはセキュリティ上の脅威が潜んでいることが多く、特に海賊版アプリには悪意あるソフトウェアが含まれている場合があり、データ漏洩のリスクが高まります。

記録メディア全般におけるリスク

ここまでUSBのリスクについて説明してきましたが、USBメモリ以外の様々な記録メディアでもこうしたリスクがあります。記録メディアは、USBメモリをはじめとして多くの種類が存在します。また、メディアごとに紛失リスクが高いものなど特徴があります。ここまでに説明してきたように、紛失や機密情報の漏洩、外部からウイルスやマルウェアに感染することでデータ漏洩が発生するなど多くのリスクがあるため、記録メディアは適切な管理が必要になります。ツールでの管理や社内ルールの整備をすることで、メディアに付随するリスクを軽減することができます。

種類
サイズ
自動暗号化機能
認証機能
紛失リスク
USBメモリPIN認証
パスワード
ポータブルHDD大~中パスワード
ポータブルSSD中~小指紋認証
パスワード
低~中
SDカード小~極小××
(2024年12月時点で大手メーカーから販売中のものを基準とした)

記録メディアには、代表的なものとしてUSBメモリ・ポータブルHDD・ポータブルSSD・SDカードなどがあります。USBメモリは持ち運びやすくどのPCでも利用可能なため、便利な記録メディアとして広く用いられています。ただし、サイズが小さいため紛失しやすく、重要なデータを運搬する際には注意が必要です。ポータブルハードディスクドライブ(HDD)は大容量データの保存に適し、コストパフォーマンスに優れています。SDカードやマイクロSDカードは、小型かつ軽量でデジタルカメラやスマートフォン、タブレットなどへの挿入が容易です。他にも、スマートフォンも記録メディアとして利用することができます。多くのスマートフォンは大容量の内蔵ストレージを備えているため、スマートフォンをPCに接続することでデータを取得したり、スマートフォンに保存されているデータをコピーすることができます。PCの近くにスマートフォンが置いてあっても注意されづらいことはスマートフォンならではの特徴と言えるでしょう。また、それぞれのメディアの中には自動的にデータを暗号化して保存するものや、指紋認証やパスワードなどのセキュリティを意識した機能がついているものもあります。

記録メディアを通じた情報窃取の手口

記録メディアを使った情報窃取の手法には、社員の不注意を利用した内部犯行や、外部からの悪意あるアクセスなど多岐にわたります。内部犯行では、信頼されている社員が業務上アクセス可能な機密情報をUSBメモリやスマートフォンにコピーし、持ち出すケースが見られます。特に多いタイミングとして、転職や退職の前に顧客情報や製品の情報を持ち出し、転職先や他社に「手土産」として持ち込むことがあるといわれています。外部からのアクセスを狙う手口としては、社内で利用しているUSBメモリに見せかけた不正なUSBメモリをオフィスに送り込み、誰かが誤って接続することでウイルス感染を狙います。送り込む手口には、いくつかの手法があるといわれています。
・USBメモリを社員に手渡し、「会社周辺で拾った」や「エレベーターで拾った」などとうそをついて会社のものと誤認させる手法
・USBメモリをわざと社内や会社近辺に落としておいて、拾った人が社内の人間が落としたものと誤認するように誘導する手法
・懸賞の賞品などとうそをついて郵送で送り付ける手法
・展示会などの会場で景品としてUSBを手渡す手法

記録メディアの管理と安全な利用方法

USBメモリなどの記録メディアを利用することが業務上避けられない場合、細心の注意をもって管理を行うべきです。まず、安全な保管場所を確保し、記録メディアの紛失を防ぐことが基本です。物理的対策だけでなく、データの暗号化や不要データの削除もセキュリティを強化する手段となります。また、IT資産管理ソフトを活用することでより安全に記録メディアを利用できます。対策を実施することで、記録メディアの管理がより効果的となり、情報漏洩のリスクを大幅に低減できます。

企業における使用禁止の是非

企業のセキュリティポリシーでUSBメモリのような記録メディアを使用禁止とすることは、情報漏洩防止の観点からは非常に効果的です。しかしながら、使用禁止が業務効率に与える影響も無視できません。例えば、外出先でのデータ共有やプレゼンテーションなどの場面ではUSBメモリやポータブルHDDは依然として便利なツールです。したがって、企業のセキュリティポリシーにおける記録メディアの位置づけは、情報セキュリティと業務効率のバランスを見極めつつ必要に応じた代替手段の検討が求められます。

効果的な記録メディアの管理方法

記録メディアを持ち運ぶ際には蓋やチャックのあるカバンに入れたり、ストラップを付けて紛失に注意します。特に重要なデータを扱う場合は、鍵だけでなくGPSのついた頑丈なケースを使って運搬するとよいでしょう。また、置き忘れ防止装置を導入することも有効です。置き忘れ防止装置とは、装置を取り付けた荷物と対になるスマホなどの装置が一定距離離れたときにそれを通知する装置のことです。 記録メディアの管理方法として挙げられるものの一つにUSBポートを物理的にロックして使用を制限する方法がありますが、この手法にはいくつかの問題があります。まず、必要になった時に毎回解除する必要があります。あまりに頻度が高いと鍵の管理があいまいになってしまうこともあります。また、USBポートを物理ロックしたとしても、他のメディアを読み込むCD・DVDドライブやSDカードリーダーも別に管理する必要があります。これらを一括で管理したい場合、物理的にポートをロックするよりもIT資産管理用のソフトウェアでまとめて管理する方が便利かつセキュリティを維持しやすいでしょう。 IT資産管理ソフトを使うことで、アクセス制御と利用ログの記録ができるようになります。アクセス制御により特定のUSBメモリ以外は記録メディアの利用を制限したり、特定のPCでしか記録メディアを利用できないように制御することで認識していないメディアによるデータの持ち出しを防ぐことができます。また、使用履歴の取得と監視も有効です。ログを保持することで不正使用の早期発見につながりますし、ログを保存していることを公開することで情報持ち出しに対する抑止効果も期待できます。また、いざというときには、いつ、どのデータが持ち出されたのかを確認できるので、その後の対応判断に役立ちます。このように管理を徹底することで、記録メディアの安全性を高め、リスクを最小限に抑えることが可能です。

関連商品

1台あたり1,067円で利用可能
24時間いつでも電話問い合わせができるクラウドIT資産管理サービス
ALSOK IT資産管理(ISM Cloudone)

安全な利用方法とセキュリティ対策

記録メディアを安全に利用するためには、データのパスワード保護と暗号化が重要です。紛失時にデータを第三者に悪用されないために、暗号化ソフトウェアを用いてデータを保護するとともにパスワードは推測されにくいものを設定しましょう。さらに、使用時にはウイルススキャンを行うことも欠かせません。自動再生の可能なUSBメモリはリスクが高いので、パソコンに接続した際は必ずウイルススキャンを実施し、ウイルスに感染していないか確認する手順を習慣としましょう。また、利用を終えた際にはしっかりとデータを消去することで、記録メディアを紛失した時にもあわてる必要がなくなります。データ消去については、ファイルを単に削除するだけでなく、専用のソフトウェアで完全に消去することが推奨されます。これにより、もしメディアを第三者に拾われても復元されるリスクを最小限に抑えることができます。

まとめ

記録メディアの管理は、情報漏洩やデータ破損を防ぐために重要です。特にUSBメモリは、その利便性と持ち運びやすさから、知らないうちに情報が不正に持ち出される危険性があります。また、記録メディアを通じてデータが盗まれるだけでなく、マルウェアの感染により企業のシステム全体が影響を受けるリスクもあります。そのため、企業では記録メディアの利用を慎重に検討し、必要に応じて適切な管理方法を導入することが求められています。利用ルールの制定や記録メディアの管理ツールを導入などの適切なセキュリティ対策を施すことが、記録メディアの安全な利用には不可欠です。

セキュリティ無料相談