USBメモリの安全利用 - USB メモリの安全な利用
USB メモリはマルウェア感染・データ持ち出し・紛失による情報漏洩の三重リスクを持つ。原則利用禁止とし、例外は暗号化+承認制で管理する。
概念図
実例
BadUSB 攻撃の例
bash
拾った USB メモリを PC に挿入
→ BadUSB がキー入力をエミュレート
→ マルウェアが自動インストールデータ持ち出しによる内部不正の例
bash
退職予定の社員が USB メモリに顧客 DB をコピー
→ 転職先に持ち込み → 不正競争防止法違反USB メモリの 3 大リスク
USB メモリは便利な反面、セキュリティ上の重大なリスクを抱えています。
| リスク | 内容 | 被害例 |
|---|---|---|
| マルウェア感染 | 拾った USB や配布された USB を PC に挿すだけでマルウェアに感染する。BadUSB はキーボードとして認識され、ウイルス対策ソフトでは検知できない | イランの核施設を狙った Stuxnet(2010年)は USB 経由で拡散 |
| データ持ち出し | 社員が機密データを USB にコピーして社外に持ち出す内部不正。DLP が未導入の環境では検知が困難 | 退職者による顧客データ・営業秘密の持ち出し事件は毎年多数報告 |
| 紛失・盗難 | 小型で紛失しやすく、暗号化されていなければ拾った人が全データにアクセスできる | 自治体職員が全市民の個人情報入り USB を飲食店で紛失(2022年、尼崎市) |
これらのリスクは USB メモリ固有の問題であり、クラウドストレージなどの代替手段では大幅に軽減できます。
USB 利用ポリシーの策定
USB メモリの安全な運用には、明確なポリシーの策定と技術的な制御の両方が必要です。
| レベル | ポリシー | 対象 |
|---|---|---|
| 原則禁止 | 業務での USB メモリ利用を全面禁止する | 全社員 |
| 例外申請制 | 業務上やむを得ない場合のみ、上長承認のもとで利用を許可する | 特定業務(工場ライン、オフライン環境等) |
| 承認デバイス限定 | 会社が支給した暗号化対応 USB のみ使用を許可し、私物 USB は一切禁止する | 例外利用者 |
| ログ記録 | USB の接続・ファイルコピーを DLP やエンドポイント管理で記録する | 全端末 |
多くの企業では「原則禁止 + 例外申請制」を採用しています。
例外を認める場合でも、暗号化対応デバイスに限定し、利用ログを記録することが重要です。
クラウドストレージへの移行
USB メモリの利用を減らす最善策は、クラウドストレージへの移行です。
| USB メモリ | クラウドストレージ |
|---|---|
| 紛失すると全データ流出 | 端末を紛失してもデータはクラウド上 |
| 暗号化は自分で設定が必要 | サーバー側で自動暗号化 |
| 誰がコピーしたか不明 | アクセスログが自動記録 |
| 共有時に物理的な受け渡しが必要 | リンク共有で即座にアクセス権を制御可能 |
| マルウェア感染のリスク | アップロード時にマルウェアスキャン |
オフライン環境や工場ラインなど、クラウドが使えない場面では暗号化 USB を例外的に使用しますが、それ以外は原則クラウドストレージに移行することが推奨されます。