USBメモリを使う3つのセキュリティリスクとは？　対策の基本的な考え方も解説！

こんにちは、PC周辺機器メーカー直販サイト「アイオープラザ」店員、NAS（ナス）の「なっさん」です！

20年以上前から広く普及しているUSBメモリ。
データの受け渡し・共有に便利な機器ですが、その反面……盗難・紛失による情報漏えいも常に危険視されてきました。

セキュリティリスクを抑止しながら利便性を損なわない。
その選択肢として支持され続けてきたのが”セキュリティUSBメモリ”です。

そんなセキュリティUSBメモリにまつわるお話を、3回に分けてしたいと思います。
まず今回は、

「セキュリティUSBメモリって、なんのためにあるの？」
「法人でUSBメモリを使うリスクって、どういうリスク？」
「USBメモリのリスク対策の考え方を知りたい」

といった疑問やご要望にお答えします。
今回も“だいたい本音”でお話ししますので、ぜひ最後までご覧ください！

※本コンテンツは主に法人向けの内容です。

USBメモリを使う3つのセキュリティリスクとは？

「USBメモリを使うセキュリティリスク」と言うと、

「今さら説明してくれなくても解るよ。情報漏えいでしょ？」

と思われるかもしれません。
正直「そのとおり」なんですが、実はそれを含めて”3つ”あります。

1. 盗難・紛失による情報漏えい
2. ウイルス・マルウェアの感染拡大
3. 管理不行き届きによる信用の失墜

改めて簡単に整理させてください。

1.盗難・紛失による情報漏えい

だいたいどのPCにも付いているUSBポート……そこへ”挿すだけ”でデータを読み書きできるUSBメモリは、2000年代前半の登場直後から爆発的に普及しました。
この「抜き挿しすれば使える」という解りやすさは今なお健在で、まだまだ多くのユーザーに支持されています。

しかし便利であるがゆえに、

「バッグに入れておいたら、バッグごと盗難に遭った！」
「小さいから、いつの間にかなくしちゃうんだよね……」

といった「盗難・紛失」に遭いやすく……2000年代半ばには既に「USBメモリは危険だ」と言われていました。
USBメモリを使う上で、最初に捉えるべきリスクは、この

• 盗難・紛失による情報漏えいリスク

だと言えるでしょう。
ただ……USBメモリのリスクはそれだけではありません。

2.ウイルス・マルウェアの感染拡大

ふたつ目のリスクは、

• ウイルス・マルウェアの感染拡大リスク

です。

古くは「コンピューターウイルス」と呼ばれたりもしましたが、今では”悪意のあるソフトウェアの総称”として、「マルウェア」という言葉が一般的に使われます（ウイルスはその一種です）。

マルウェアを流布するのはアンダーグラウンドの犯罪者たちですが、その目的は主に「金銭」です。

• ”偽のメッセージ”を表示することでクレジットカード情報を入力させようとする
• 感染したPCのデータを”人質”にして金銭を要求する

等、その手口は多種多様……中には、

• 他のマルウェアを大量にダウンロードする

といった動きをするマルウェアもあります。

そしてそれらは、

• Email
• Webサイト

など、様々な経路で感染を拡大しようとします。
その”狙われやすい”感染経路のひとつが、

• USBメモリ

というわけです。

2010年前後、「オートラン」「Autorun」等と呼ばれたウイルスが、爆発的に広まりました。
もし仕事に使うUSBメモリが感染してしまうと、自社のPCや取引先のPCなど、USBメモリを挿したPCが次々に感染してしまうというマルウェアです。

近年では大きな話題になることはありませんが、それはある程度対策方法が確立し、普及したからだと思われます。
マルウェアの流布自体が根絶されたわけではない、ということは留意すべきでしょう。

3.管理不行き届きによる信用の失墜

USBメモリを使う直接的なリスクは、上に挙げた

• 盗難・紛失による情報漏えいリスク
• ウイルス・マルウェアの感染拡大リスク

の2つと言えますが、3つ目として「見落としがちなリスク」を敢えて挙げたいと思います。それは、

• 管理不行き届きによる信用の失墜リスク

です。

「どういうこと？」

その疑問にお答えする上で、先のふたつ……「情報漏えい」や「ウイルス・マルウェア感染」が実際に発生し、発覚してしまった場合”どうなるか”を想像してください。
ざっと考えるだけでも、

• 個人情報を漏えいさせてしまった個人への賠償
• 顧客との取引停止
• 業界内での信用失墜

などが想定されます。
この中でより深刻なのは、一過性の金銭的負担以上に「信用の失墜」であることは言うまでもありません。

そしてその「信用の失墜」は、「情報漏えい」や「ウイルス・マルウェア感染」の事実以上に、「管理不行き届き」に対して向けられるのではないでしょうか？

「そもそも、なぜこんなずさんな運用をしていたんだ？」
「個人情報を扱うのに、ちゃんと管理していなかったのか」

等、批判の対象は、

• 管理体制

になりやすい。
その意味で、USBメモリを使う「最大のリスク」は

• 管理不行き届きによる信用の失墜リスク

だと言っても過言ではありません。

ちなみに……だからこそ、

• USBメモリの使用を禁止する

というセキュリティポリシーの法人も多いのですが、実はそれだけだと根本的な解決にならない可能性があります。
なぜでしょう？

USBメモリのリスク対策……基本的な考え方とは？

ここまで、「USBメモリを使うリスク」は以下の3つだとご説明しました。

1. 盗難・紛失による情報漏えい
2. ウイルス・マルウェアの感染拡大
3. 管理不行き届きによる信用の失墜

これらのリスクに対し、

「だったら従業員に使わせなければいい」

と考え、

• USBメモリの使用を禁止する

というセキュリティポリシーを適用する法人も少なくありません。
確かにこれ自体、ひとつの角度からは理にかなった考えだと言えるでしょう。

ただし……「業務現場とのギャップが生じさえしなければ」です。

セキュリティは生産性を阻害する

暴論だと言われるかもしれませんが、セキュリティというのは基本的に

• 邪魔

なものです。

家の鍵を想像してみてください。
鍵が付いていないほうが、楽に開けられますよね？

金庫にせよ、車にせよ、インターネットのサービスにせよ、理屈は全て同じです。
セキュリティ機能を付けることで、

「うわ、めっちゃ使いやすくなったなあ！」

となることは、まずありません。
基本的にセキュリティは生産性を阻害するものです。ないほうが、効率的に使うことができます。

にもかかわらず、なぜセキュリティ機能が存在するのでしょう？
それはここまで見てきたとおり、

• リスクを回避するため

です。

セキュリティ対策を考える、正しい手順

なにが言いたいかというと、セキュリティ対策”から”仕事のあり方を考えるのは、本末転倒だということです。
仕事のあり方が先にあって、そこから「いかに生産性を阻害せず、安全性を高めるか？」という考え方をするのが正しい手順だと、私たちは思います。

もう少し平たい言い方をすれば、「USBメモリを使わないと業務が成立しない」という仕事の現実がある環境で、杓子定規に「禁止だ！」というセキュリティポリシーを設けてしまうということは、

• セキュリティ対策⇒仕事

という手順で考えてしまっているということになります。

そういう組織では、管理する側と現場の意見が対立し続け、結局「こっそり使い続ける」ひとが後を絶たない状態が続きます。
結果、

• 盗難・紛失事故が起きてから、従業員のセキュリティポリシー違反が発覚する
• 組織内で従業員個人を責めたところで、被害を受けた顧客等から見れば「管理不行き届き」

という事態に陥ってしまうのです。

「じゃあ、どうすればいいの？」

その答えは、

• 危険だから禁止する

ではなく、

• 安全なものを許可する

ということになります。

では「安全なもの」とはなにか……それは次回、お話しいたします。

まとめ

というわけで今回は、法人において「USBメモリを使うリスク」と「リスク対策の基本的な考え方」についてお話ししました。

まずUSBメモリを使うリスクについては、

1. 盗難・紛失による情報漏えい
2. ウイルス・マルウェアの感染拡大
3. 管理不行き届きによる信用の失墜

という3つが挙げられますが、これらのリスクに対して単に

「USBメモリは使用禁止だ！」

と決めてしまうと、業務現場とのギャップが生じ、結果として「こっそり使い続ける」といった新たなリスクを誘発してしまいかねません。

セキュリティは原則”生産性を阻害するもの”だという事実を踏まえ、

• セキュリティ対策⇒仕事

ではなく、

• 仕事⇒セキュリティ対策

という手順で考えることが重要です。
そうなると、

• 危険だから禁止する

ではなく、

• 安全なものを許可する

というのが妥当な考えだと言えますが……この「安全なもの」の具体的な話を、次回させていただきたいと思います。

その他、「USBメモリのセキュリティに関する全般的なご相談」も広く受け付けております。
ここまで触れてきた内容の他、なにか導入の壁となるご懸念がございましたら、ぜひお気軽にお問合せください！