社内では、情報の漏えいリスクを低減させるため、USBメモリーを業務で使用することを禁止にしています。ところが、勝手に使っている社員もいて、先日も注意したところ、「データの持ち運びに便利なので、つい使ってしまう」という答えが返ってきました。全社員に使用禁止を徹底させる方法はないものでしょうか。教えてください。
A
セキュリティポリシーを守れ!というだけでUSBメモリーの使用禁止を徹底させるのは困難。外部メディアの使用を制御する「デバイスコントロール」を導入するなど、技術的な対策を講じる必要があります。
大容量データの保存や持ち運び、受け渡しに便利なUSBメモリーは、しっかり管理をしておかないと、紛失したり盗難にあうリスクがあります。USBメモリーに重要な情報を保存したり、持ち出すことを認めている場合、紛失・盗難によって機密情報が漏えいしてしまうこともありえます。
USBメモリーを使用できなくする制御機能で管理
まずUSBメモリーによる不正な情報の持ち出しを防ぐには、「USBメモリーの使用を禁止する」というポリシーを徹底させ、すべての従業員に遵守させること。しかし、実際には従業員が上司に黙ってこっそりとUSBメモリーを使っていて、紛失や盗難にあい、結果的に業務情報が漏えいしてしまったというような事故があとを絶ちません。
より確実にUSBメモリーの使用を禁止にするには、従業員への教育と同時に、技術的な対策が必要です。たとえば、外部メディアを制御する「デバイスコントロール機能」は、代表的な対策といえるでしょう。
最近は、その機能が標準搭載されているセキュリティ製品もあります。ESET製品もそのひとつで、USBメモリーをパソコンと接続した場合は、「ブロック(認識させない)」「読み込み専用」「読み込み/書き込み」などのルールが設定できます。
またUSBメモリーを一律に制御するだけでなく、ベンダー(製造メーカー)やモデル、シリアル番号を設定することで、「特定のUSBメモリーのみ使用を許可する」といった運用や、「特定のユーザーのみ使用を禁止または許可する」などユーザー単位での制御もできます。
このように「接続してもパソコンが認識しない」ように設定しておけば、USBメモリーに機密データを入れることすらできなくなります。セキュリティポリシーで「USBメモリーの使用を禁止する」と定めると同時に、機密データを扱うパソコンにデバイスコントロール機能を有効にしておくと確実です。