ホーム > セキュリティUSBメモリナビ > 第5回
前回(第4回)、USBメモリ紛失・盗難の経験と報告に対する調査結果について取り上げたが、今回はさらにその調査結果を紐解く事で新たなUSBメモリの課題について考えてみたい。
上記データはUSBメモリの紛失・盗難経験のある100人に紛失・盗難を会社に報告したかどうかの調査結果である。
この結果を見ると、100人のうち約34人が紛失・盗難を会社に報告していない。さらに注目すべきは、「自分からは連絡しなかったが、他から会社や取引先に連絡があり紛失・盗難があった」という回答者が9人もいることだ。
ここからは、取引先からの連絡で情報漏えいの事実が発覚するといった最悪の状況が見て取れる。またこれは、会社が情報漏えいのインシデント※を把握していないという実態でもある。
企業においてUSBメモリは消耗品扱いとして管理している企業も多いだろうが、それではインシデントの把握は難しい。
セキュリティUSBメモリを購入して社員に配布するだけでは、インシデント自体は減少するだろうが情報漏えい対策としては不十分なのではないだろうか。USBメモリも配布後の運用管理、具体的には定期的な棚卸しや操作履歴の把握など他のIT資産と同じ様に管理する必要がある。
では、どのようにUSBメモリの運用管理を行えばいいのだろうか?
最近のクライアントPC運用管理ソフトにはSAMと言われるソフトウェア資産管理、クライアントログ管理と同様に、情報漏えい対策機能としてUSBデバイスの管理機能を搭載している物も増えてきている。
そういったソフトウェアで予めUSBメモリを台帳登録し、定期的な棚卸しを行うことで、紛失・盗難による情報漏えいのインシデントを把握するというのもひとつの方法である。
一昨年のUSBメモリ経由でのウイルス感染被害の影響でセキュリティUSBメモリの市場は一気に拡大し、中小企業まで普及が進んだが、USBメモリをインシデントとした情報漏えい事件はまだまだ後を絶たない。
USBメモリを運用ルールで使用禁止にすることで一定の情報漏えい対策を講じたと考えている経営陣がいるとするならば、それは大きなリスクである。禁止=解決と考える事で、情報漏えいインシデントの把握自体ができなくなってしまう。
このリスクを回避するためには建前では無く、実態にあったUSBメモリの情報漏えい対策を再考する必要がある。
※「インシデント」は、重大事故に至る可能性がある事態が発生し、なおかつ実際には事故につながらなかった潜在的事例のことをさす。
- 【第1回】
USBメモリをシステムで禁止しよう - 【第2回】
情報の社外持ち出しについて運用ポリシーを決めよう - 【第3回】
セキュリティUSBメモリとは - 【第4回】
法人専用セキュリティUSBメモリの必要性 - 【第5回】
USBメモリ資産管理の重要性 - 【第6回】
USBメモリのログ取得は必要か?
