Blog Image

USBメモリにおける事故の原因と必要とされる対策

Sep 12, 2018
小型で持ち運びやすく、端子に接続するだけでデータのやり取りが出来るUSBメモリは便利で人気ですが、紛失やデータ漏洩事故の原因にもなっています。大量のデータを一度に、簡単に扱えて、気軽に持ち運びできますが、一旦データ紛失や漏洩が起きると被害は大きくなります。データ管理体制や職員の意識の甘さから起こるケースが多い、データ紛失・漏洩事故に必要な対策について詳しく解説いたします。

手の中に収まるほど小型なUSBメモリは、PCなどのUSB端子に接続するだけでデータの持ち運びができて便利です。たくさんのユーザーに利用されていますが、さまざまなデータ紛失・漏洩事故の原因ともなっています。
今回は、USBメモリにおける事故の原因と、有効な対策について詳しく解説いたします。

USBメモリは徹底管理で漏洩事故を防止する

USBメモリは管理を怠ると、紛失やウィルス感染によるデータの漏洩事故のリスクが高くなります。USBメモリに関する事故の原因について、実例を基に解説していきましょう。

Blog Image

「持ち運びが楽」は「紛失しやすい」と同義

USBメモリは小型で持ち運びしやすく利用方法も簡単なのが大きなメリットですが、それは同時に紛失のリスクが高いともいえます。

とある大学病院では、患者の個人情報が保管された可能性のあるUSBメモリを、職員が紛失しました。そのUSBメモリは職員の私物でパスワードが設定されていないものでした。

その大学病院では数ヶ月前に管理体制を見直したばかりで、セキュリティ対策もとられていました。ですが、紛失したデータはそれ以前のものだったことから、体制見直し前のデータ管理も徹底されることになったそうです。

職場のルール遵守が徹底されていないとデータは漏洩する

別の病院では、職員が使用禁止になっているはずの私物USBメモリを紛失し、中に入っていた患者の氏名や連絡先・生年月日・病名・既往歴などのデータが漏洩の危機にさらされるという事故が発生しています。

また、とある中学校では、約200名の生徒の氏名・クラス・成績などが保存されていたUSBメモリを教諭が外へ持ち出した際に紛失していまいました。その学校ではデータの学外持ち出しを禁止していましたが、教諭はそれを破り、USBメモリをバッグに入れ退勤。紛失に気づいたのは、複数の店舗に立ち寄り4時間以上経過した時でした。

職場内でもUSBメモリが紛失することもある

とある小学校では、約300人分の児童の身体測定データが入ったUSBメモリが紛失。このケースでは、教師が職員室内にあるPCに私物のUSBメモリを接続して使用しており、3時間離席していた間に紛失しました。このUSBメモリは暗号化されておらず、情報が漏洩している可能性が多いにあります。

業務手順規程では、USBメモリ内のデータは作業中すぐに消去することになっていました。仮に消去されていない場合でも、データにはパスワードが設定され、ファイルを開くには専用のソフトが必要な状態でした。だからといってデータ漏洩の可能性がないとはいえません。

職場規程やUSBメモリにセキュリティ対策がされていても事故は起こる

ここまでご紹介した事故の原因として考えられるのは、次のとおりです。

  • データ管理が徹底されていなかった
  • 職場規程に違反している私物USB使用・外部持ち出し
  • 職場内だからという油断(データ管理体制や職員の意識が甘い)

いくら職場規程でデータ管理を徹底させようとしても、職員のデータ管理に関する意識が低い場合や、実際の管理体制がゆるければ、このような事故はこれからも多発するでしょう。

就業時間内に業務が終わらず、持ち帰って作業をしてしまいたくなるケースもあるでしょう。しかし、データ紛失・漏洩のリスクを考えると、自宅での作業は避けるべきです。
また、USBメモリにはウィルス感染の媒介となるリスクもあります。

では、こうした事故をなくすためにはどのような対策が必要なのでしょうか?

強固な情報セキュリティや職員の意識向上でデータ漏洩を防ぐ

USBメモリによるデータ紛失・漏洩事故をなくすためには、今まで以上に強固な情報セキュリティと、データ漏洩に関する職員の意識を高めることが必要です。

例えば、

  • ファイルの暗号化
  • 指紋認証・生体認証付き機器を使用
  • USBメモリの自動再生機能を停止
  • 私物・持ち主不明のUSBメモリ使用不可を徹底
  • USBメモリの持ち出しには事前の許可申請が必要
  • メディア使用の制限(BIOS設定でUSB端子を使用不可にするなど)
  • 許可されたデバイス以外でのUSBポート接続を制限

などが、情報セキュリティ強化や職員の意識向上に効果的でしょう。
しかし、こうした対策を行っても事故を完全に防ぐことは難しいでしょう。

USBメモリにかわる情報管理システムの導入が最も有効

長崎県立大学情報システム学部情報セキュリティ学科とNPO日本ネットワークセキュリティ協会発表の「情報セキュリティインシデントに関する調査報告書」(2018年6月13日)によると、データ漏洩媒体としてUSBなどの記憶媒体は全体の10.6%となる41件となっています。

また、過去2年と比べると、事故件数は減少傾向にありますが、こうした事故は後を断ちません。

データ漏洩事故が減少傾向にある主な理由は、USBメモリなどの可搬記憶媒体にかわり、クラウド型やネットワーク分離環境を持つ情報管理システムを導入するケースが増えているからです。

データ漏洩事故を防ぐ情報管理システム
「Crossway/データブリッジ」

USBによる、従来のデータ受け渡しで発生していた漏洩事故は、「Crossway/データブリッジ」で防げます。
「Crossway/データブリッジ」が、USBをはじめとした従来のデータ受け渡し方法と大きく異なる主な点は、次のとおりです。

  • データの自動削除(データ利用終了時・時間設定など)
  • データの受け渡し記録のログを保持(いつ・誰が・どのファイルを渡したか)
  • 利用できるユーザーや端末の設定可能
  • 利用可能時間や曜日を制限
  • 受け渡し可能なファイル種類の制限
  • 外部からのデータは自動でウィルスチェックされる
  • 送信端末から受信端末への流れを制限

受け渡し記憶や操作ログがすぐに確認できれば、不正行為の抑制につながりますし、職員の意識も改善されるでしょう。また、時間や曜日・機器やユーザーごとにファイルの利用制限があることで、不必要なデータの持ち出しを防ぐこともできます。

さらに、自動削除機能が働くことで、データの消し忘れと言った人為的ミスもなくなりますし、外部からのデータは自動的にウィルスチェックされることで、ウィルス感染のリスクも低くなります。

「Crossway/データブリッジ」は、これまで発生しているデータ漏洩・紛失事故の原因への対策がしっかりととられていることから、事故件数の減少にとても有効です。

「Crossway/データブリッジ」を導入することで、データ漏洩事故の本格的な対策がとれるといえます。

お問合せはこちらから