USBメモリを企業が扱う時のリスクと対策について

USBメモリは利便性と携帯性に優れる記憶装置として広く普及しています。このデバイスにファイルをコピーし、共有する手段として使っている人も少なくありません。しかし、その利便性と携帯性の高さゆえに、情報漏えいのインシデントを招く危険性があり、経営基盤への影響を考慮して業務利用を禁止している企業も少なくありません。そこで今回は、USBメモリを取り扱う際のリスクと具体的な対策について解説していきます。

USBメモリの課題とは

情報はヒト・モノ・カネに次ぐ第四の経営資源です。20世紀後半に起きたIT革命によって産業全体の変革が進み、あらゆるビジネスにおいて情報の価値が高まっています。情報管理は企業経営における最も重要な課題のひとつといえるでしょう。USBメモリは安価かつ軽量で、大容量データを保存できる優れた記憶装置です。しかしUSBメモリを利用した業務データのやり取りは、紛失や盗難などさまざまなリスクを隠し持っています。企業がUSBメモリを取り扱う際の課題について、具体的に見ていきましょう。

紛失の危険性がある

USBメモリが支持される理由のひとつが、コンパクトかつ軽量という携帯性の高さです。しかしUSBメモリは携帯性に優れるがゆえに、紛失しやすいデバイスでもあります。もしも紛失したUSBメモリに機密データを保存していた場合、決して漏れてはならない情報の流出につながるでしょう。実際、USBメモリが全てではないとしても、紛失と置き忘れが情報漏えいの原因第一位となっています。

出典：日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書」

https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf

たとえば、2020年5月に大阪府の公立高等学校に所属する教員が、生徒の個人情報を記録したUSBメモリを校外に持ち出し紛失したというケースがあります。新型コロナウイルスの感染拡大や働き方改革の推進も相まって、テレワークを導入する企業が増加しています。自宅やカフェ、コワーキングスペースなどオフィス外で働く際に、社内のファイルサーバーにアクセスできないからといってUSBメモリにコピーして持ち歩くことは危険が伴います。USBメモリの紛失や置き忘れに対する対策が不可欠です。

盗難の危険性がある

企業にとって、情報漏えいインシデントは決して起きてはならない事態です。そのため多くの企業は堅牢なセキュリティシステムを導入し、情報管理を徹底しています。しかし、強固なセキュリティシステムを導入しても、内部の人間による不正を防止するのはなかなか困難です。機密情報が保存されたUSBメモリを、内部の人間が盗み出すという可能性も否定はできません。先述の日本ネットワークセキュリティ協会の調査でも、不正アクセスはインシデントの上位となる原因の1つです。

個人情報の漏えいは刑事上の罰則のみならず、民事上においても法的責任が発生します。情報漏えいインシデントの原因が盗難であったとしても、企業側の管理責任を問われ、加害者になるリスクは極めて高いといえるでしょう。USBメモリが盗難に遭うことで、損害賠償責任や社会的信頼の喪失につながる危険性を孕んでいるのです。

ウイルスに感染する可能性がある

USBメモリは携帯性に優れ使い勝手もよいため、組織内でも情報共有手段として重宝されるデバイスです。しかしUSBメモリを介した情報共有は、ウイルス感染というリスクが潜んでいます。たとえば、マルウェアに感染したPCにUSBメモリを差し込むとウイルスが自動でコピーされます。そのUSBメモリを介して情報共有することで別のPCにマルウェアがコピーされ、やがて社内ネットワーク全域にまで感染拡大する可能性があるのです。実際、忘れ物や落とし物に見せかけたUSBメモリにマルウェアを仕込み、感染させるという手口があるのです。

USBメモリの情報セキュリティリスクは以前から問題視されており、ウイルスの感染経路になるケースが増加した時期がありました。企業経営においてITシステムが必須となった現在、マルウェアや不正アクセスなどの脅威も日々巧妙化しています。万が一、基幹系情報を管理するERPシステムが感染被害に遭えば、企業の存続そのものが危ぶまれるでしょう。

データが消失することもある

USBメモリは書き込み回数とデータの保持期間に限りがあります。設計上、データの保持期間は10年程度とされていますが、保管場所や環境によっては4〜5年程度で消失する事例も少なくありません。また使用頻度に応じて寿命は短くなり、長期間放置したままにしておくとデータが消えてしまうケースもあります。

USBメモリはハードディスクや光ディスクと比較するとデータの欠損率が高く、長期的な保存には不向きなデバイスです。情報は企業にとって重要な経営資産であり、厳格な管理体制が求められます。USBメモリを業務利用する場合は、あくまでも重要度の低いデータの一時的な保管場所としての利用が推奨されます。

USBメモリのリスクはクラウドストレージで解決できる

USBメモリは大容量データを保存できるだけでなく、コンパクトで持ち運びやすく、利便性と携帯性を兼ね備えた記憶装置です。ところが、大量のデータを簡単に持ち運べるというメリットは、裏を返せば情報漏えいインシデントを招きやすいというデメリットにもつながります。企業にとって非常に重要なことは社会的信用です。情報漏えいインシデントは企業が培ってきた信用の失墜を招くため、絶対に避けるべき事態でしょう。

そこでおすすめしたいのがクラウドストレージの導入です。クラウドストレージとは、オンライン上に構築されたITインフラにファイルを保管・保存・共有するサービスを指します。ファイルサーバーといったオンプレミス環境と異なり、インターネット経由でいつでもどこからでも業務データをセキュアに保存や共有が可能です。ここからはクラウドストレージを導入することで、どのようなメリットを得られるのかについて解説します。

データ共有が簡単

昨今、労働生産性を最大化するためには、組織内の円滑な情報共有が不可欠です。クラウドストレージはクラウドベンダーが提供するオンライン上のITインフラにファイルを保存・共有します。クラウド上でファイルを一元管理するため、複数人が異なる端末で同時に情報を共有することが可能です。

クラウドストレージはファイルを複数のデバイスで同期可能なため、USBメモリのようにデータを持ち運びする必要がありません。インターネット環境さえ整っていれば、オフィス内だけでなく外出先で情報共有もできます。USBメモリのように紛失する危険性もなく、場所もデバイスも問わずファイルを共有できるため、組織内のスムーズな情報共有に寄与します。

セキュリティ対策も安心

組織内での情報共有における懸念事項はセキュリティ管理です。USBメモリも情報共有という観点だけから見れば非常に使いやすいデバイスといえます。しかし紛失や盗難による情報漏えいリスクの高さが大きなデメリットです。企業向けのクラウドストレージはアクセス権限設定やユーザー認証など、セキュリティを強化する機能を標準で備えています。

クラウドストレージはサービス事業者によってセキュリティレベルは異なりますが、多くのサービスがデータや通信を暗号化しています。またログ管理機能によって「いつ」「誰が」「どのファイルを操作したか」といった操作の追跡も可能です。こうしたさまざまなセキュリティやガバナンス機能によって、セキュアな環境での情報共有が実現するでしょう。

ウイルス対策がされている

多くのクラウドストレージは、マルウェアやウイルスに対する機能も備えています。たとえばアップロードされたファイルや保存ファイルに対し、ウイルススキャンを実行します。ウイルスが検出された場合はアラートが表示され、感染したファイルをアップロードしたり保存したりはできません。

とはいえ、ウイルスの感染経路の多くは「感染ファイルを開く」ことです。ウイルス感染を防ぐためには、ユーザー側の対策とベンダー側の対策を分けて考える必要があります。ウイルス対策機能に頼るだけでなく、IDやパスワードを二重認証に設定したり、アクセス権限設定や共有設定を細かく管理したりと、ユーザー側で行える対策の徹底も重要といえるでしょう。

データバックアップ機能がある

情報は企業にとって重要な経営資産であるため、データ消失に対するリスクマネジメントが不可欠です。多くのクラウドストレージは、バージョン管理やバックアップ機能を備えているため、データ消失リスクを最小限に抑えられます。

また、クラウドストレージは地震や火災など、災害によるデータ消失リスクを軽減します。たとえばオンプレミス環境であれば、災害によってオフィスのデータが消失してしまえば、事業継続が困難になるでしょう。しかし、クラウド環境であればベンダーのデータセンターが崩壊しない限り、事業の継続が可能です。ベンダーも災害時に備えてデータセンターを分散させるなど、一企業ではコストがかさみなかなかできないほどのさまざまなディザスタリカバリ対策を行っています。

[SMART_CONTENT]

まとめ

USBメモリは大容量データを保存できると共に、高い利便性と携帯性を誇る優れた記憶装置です。コンパクトで持ち運びやすいため、組織内における情報共有の円滑化に寄与することもあるでしょう。しかしそのメリットは、裏返せば情報漏えいインシデントにつながりやすいというデメリットに転じます。情報管理は企業にとって最も重要な課題のひとつです。情報管理の観点から見ると、USBメモリを使用することは問題が多いと言えます。

クラウドストレージは、新しい時代に即した情報共有を実現してくれます。とくに多くの法人企業が導入しているサービスが「Box」です。Boxは、高いセキュリティ機能を備えており、セキュアな環境で利便性の高い情報共有が可能です。業務効率化と情報管理の両面における業務プロセスの最適化を実現するためにも、導入を検討してみてはいかがでしょうか。