コンビニエンスストアでも買えるUSBメモリは手軽に容量の大きいデータのやりとりを行える。ビジネスシーンでも利用するケースはあるのではないだろうか。ただ、情報漏えいなどセキュリティ上のリスクから使用を原則禁止にする企業もある。5月のはじめにメディア「The Register」がIBMのUSBメモリなどのリムーバブル機器の利用を禁止したと報じているが、企業におけるUSBメモリなどの取り扱いは高い利便性のあるツールとセキュリティの間にある難しい問題を持っている。セキュリティベンダーSophosのオウンドメディアには、企業におけるUSBメモリの使用についてのアドバイスが掲載してある。
IBM bans USB drives ? but will it work?(Sophos naked securityより)
寄稿者のPaul Ducklin氏は、なにをどのUSBメモリにコピーしたのか、どの暗号化技術を使ったのかなどを管理するのは複雑なことだ。IBMのCISO(最高情報セキュリティ責任者)のShamla Naidoo氏は今回、管理を諦め、USBの使用を禁じることにした。「ファイルを動かしたいのなら、ネットワークを使う」と述べこれを勇気あるアプローチだと評価している。
SophosのCISO、Ross McKerchar氏は「確かに取り外し可能なストレージは大きな懸念だ。現時点ではマルウェアの感染経路としては大きなものではないが、最大のリスクはデータの漏洩だ」としている。7年前の話として、同社が落し物として届けられていたUSBメモリ約60個を調べたところ、データが暗号化されていたものは1つもなく、66%がマルウェアを含んでいたことも明かしている。便利であるが頻繁に意図しないデータが入り込み、また情報漏えいのリスクは常に付きまとう。
GDPRの施行に入ったが、ここではデータをきちんと扱わない企業は大きな罰金を支払わなければならないため、IBMのUSB禁止は驚きではないが、Ross McKerchar氏は「便利な技術をいきなり禁止すると、"シャドウIT"問題を招きかねない。人間というのは、なにかをやりたいという気持ちが強いほど想像力を働かせるものだ。その結果、もっと危ないことをやる可能性がある。可能であれば、企業は禁止ではなく、簡単に安全にする方法を選んだ方がセキュリティの効果は得やすいだろう」と述べている。
従業員の規模やセキュアなクラウドなどIT整備の状況にもよるが平均的な規模の企業であれば、従業員が使いやすい方法を維持しつつリスクを減らすいい方法が得策であり、USBメモリ対策を考えている企業へのSophosのアドバイスを紹介している。
・USBメモリの暗号化対策をする。これにより、紛失や盗難など何かあってもファイルは安全だ。
・簡単に使える代案を提案する。USBメモリの使用をやめてほしいのなら、使いたいと思うようなクラウドベースのソリューションを用意すること。
・リスクを知らせる。USBを禁じてもデータの漏洩対策にはならない。クラウドに複製したデータだって「どこかに行ってしまった」が起こる可能性はある。セキュリティが重要であることを知らせよう。
・ログを調べる。USBメモリ、クラウド、あるいは両方を使う場合でも、ログを調べよう。
