セキュリティUSBメモリと普通のUSBメモリはなにが違う？「3つのリスク」への対策を徹底解説！

こんにちは、PC周辺機器メーカー直販サイト「アイオープラザ」店員、NAS（ナス）の「なっさん」です！

前回はUSBメモリを使う「3つのセキュリティリスク」と「対策の基本的な考え方」についてお話ししました。
今回はそれを踏まえ、

「もっと詳しい、具体的な対策方法は？」
「セキュリティUSBメモリって、普通のUSBメモリとどう違うの？」

といった疑問にお答えします。
今回も“だいたい本音”でお話ししますので、ぜひ最後までご覧ください！

※本コンテンツは主に法人向けの内容です。

セキュリティUSBメモリは、普通のUSBメモリとどう違う？

前回の記事で、USBメモリを取り巻くセキュリティリスクは、

1. 盗難・紛失による情報漏えい
2. ウイルス・マルウェアの感染拡大
3. 管理不行き届きによる信用の失墜

という3つだとお話ししました。

結論から言うと、セキュリティUSBメモリとは

「この3つのリスクに対して、適切な対策を施した商品」

です。
対策についてひとつひとつ見ながら、普通のUSBメモリと比較してみましょう。

1.盗難・紛失による情報漏えい対策

まずは3つの中で”最もポピュラーな脅威”と言っても過言ではない、「盗難・紛失による情報漏えい対策」です。

盗難・紛失のリスクとは？

USBメモリの魅力はなんと言っても「軽くて小さいこと」ですが、だからこそ

• 物理的な存在感に乏しい

というデメリットもあります。
バッグや上着のポケットに入れたまま、

「あれ……どこに置いたっけ？」

となってしまうこともあるでしょう。

また、「持ち運びやすい」ということは「持ち去りやすい」ということでもあります。
USBメモリ単体で盗まれることはもちろん、上着やバッグごと盗まれることも残念ながら珍しくありません。

というより、

「USBメモリを盗もう」

というピンポイントな悪意によって盗まれるケースより、もしかすると置き引きや車上荒らしによって、”結果的に”USBメモリ”も”盗まれるケースのほうが多いかもしれないくらいです。

にもかかわらず、USBメモリには「重要なデータ」が入ります。
個人情報や営業上の機密情報……決して外部に漏れてはならないデータが、手のひらサイズの機器に、しかも大量に記録される。これはいわば「金庫を持ち歩く」ようなものです。

セキュリティUSBメモリというのは、こうした背景を考慮し、金庫に当然求められる機能が備わっています。
つまり「鍵」と「鉄板（頑丈なボディ）」です。

セキュリティUSBメモリの盗難・紛失対策機能

「鍵」と「鉄板」に相当する具体的な機能としては、概ね以下のふたつを挙げられます。

• 鍵：パスワードなどによって認証しないと、データに一切アクセスできない機能
• 鉄板：記録するデータを全て暗号化し、直接解析された場合もデータを読み取れない機能

これらを我々が商品をご紹介するときの言い方で端的に言い直すと、

• 鍵：パスワードロック
• 鉄板：自動暗号化

です。

住宅でたとえると、パスワードロックは「家の正面玄関のドアの鍵」です。
正式な権利を持つひとが使う、通常のやり方と言えるでしょう。

これに対し、自動暗号化はいわば「換気口の鉄格子」です。
“換気口からの侵入対策”……というのが解りづらければ”窓からの侵入対策”でも”床下収納からの侵入対策”でも構いません。

要するに、正式な権利を持たないひとが使う、イレギュラーな侵入経路と言えます。

USBメモリの内部には、”フラッシュメモリ”という記憶媒体が搭載されています。
このフラッシュメモリを基板から剥がし、直接解析することでデータを読み取ろうとする……といった手法が古くから存在するのですが、この際データが暗号化されていないと、すんなり読み取られてしまうリスクがあります。

これに対し、データが暗号化されていれば、読み出せるのは「暗号化されたデータ」のみ。万が一解析されても、即情報漏えいにはつながりません。

このように、パスワードロックと自動暗号化によってデータを保護することが、セキュリティUSBメモリの盗難・紛失対策だと言えます。

「ん？　でも普通のUSBメモリにもセキュリティソフト対応を謳っているものがあるよね？」

と思われた方……確かにそのとおりです。
当社の商品にも、「ファイル暗号化ソフトウェア対応」を謳う「普通のUSBメモリ」があります。

では、その違いは一体なんでしょう？

なぜ「ファイル暗号化ソフトウェア」では不十分なのか？

例えば当社の「ファイル暗号化ソフトウェア」は、

• 特定のファイルを指定して暗号化できる
• 暗号化を解除するにはパスワードが必要

という機能で、一見「パスワードロックと自動暗号化によってデータを保護する」という言葉が当てはまらなくもないものです。
暗号化の強度も

• AES256bit

という米国政府標準の暗号方式で、日本の「電子政府推奨暗号リスト」という文書にも掲載されているくらい、信頼性のあるアルゴリズムを採用しています。この点はセキュリティUSBメモリと変わりありません。

では違いはなんなのか？　ひと言で言うと、

• 使う手間

です。
ファイル暗号化ソフトウェアは、以下のような使用手順になっています。

1. PC上でソフトウェアを起動
2. 暗号化したいファイルを指定し、パスワードを設定
3. ファイルを閲覧・編集したい際、PC上でソフトウェアを起動
4. 暗号化を解除したいファイルを指定し、パスワードを入力して複合化
5. 使い終わったら、再度暗号化したいファイルを指定し、パスワードを設定
6. もし暗号化を解除したファイルを出先のPCにコピーして作業をした場合、痕跡を消すため、復元できないように削除

怒られるかもしれませんが、本音で言います。

だいぶめんどくさいです。

これを保護したいファイル全部にいちいち適用しなければならないので、日常的に運用しようとすると、そのうち「面倒だな」と思った使用者が「ちょっとくらいいいか」となり、暗号化と複合化をサボるようになってしまいかねません。

これに対し、セキュリティUSBメモリの場合は以下の手順となります。

1. パスワード認証
2. あとは普通のUSBメモリとして使用可能（ユーザーは暗号化を意識しなくてよい）

「パスワード認証」というひと手間はかかるものの、データを守る安心と引き換えなら、許容できる手間ではないでしょうか？

前回、「セキュリティは基本的に”邪魔”なもの」だとお話ししました。
どんなに強固なセキュリティでも、手間がかかり過ぎたり、過度に時間がかかったりするものは、業務効率を致命的に阻害します。
結果使われなくなったり、ヒューマンエラーを誘発したりするのでは、本末転倒です。

要するに、セキュリティは「強固さ」ばかりがイメージされがちですが、「使い勝手」もセキュリティレベルを決定する大きな要素なのです。
セキュリティUSBメモリと普通のUSBメモリの最大の違いは、その点にあると言っても過言ではないでしょう。

2.ウイルス・マルウェアの感染拡大対策

次は「ウイルス・マルウェアの感染拡大対策」です。

ウイルス・マルウェアの感染拡大リスクとは？

悪意あるソフトウェアの総称である「マルウェア」や、一般的な名称としてよく知られる「ウイルス（コンピューターウイルス）……一般的な感染経路としてイメージされやすいのは、

• Webサイト
• Eメール

等、インターネット経由の媒体ではないでしょうか？
しかしだからこそ、無防備になりがちな

• USBメモリ

を狙うウイルスが存在します。
USBメモリは外出先で、色々なPCに挿す可能性があり……その中には”十分にセキュリティ対策が行われていない、ウイルスに感染したPC”があり得ます。

そうしたPCから、感染したデータをUSBメモリに保存してしまうと、「ウイルスをオフィスに持ち帰る」という事態に陥りかねません。

そうならないようにするのが、セキュリティUSBメモリの「ウイルス・マルウェア対策機能」です。

セキュリティUSBメモリのウイルス・マルウェア対策機能

どういう機能かを端的に言うと、

• USBメモリに書き込まれたデータを、その都度スキャンする

というものです。
PCにインストールする「ウイルス対策ソフトウェア」が、セキュリティUSBメモリに搭載されていると考えてください。

そして万が一ウイルスを検知すると、自動でデータを削除します。

「でも、ウイルスって日々新しいものが生み出されるんじゃないの？」

と思った方、そのとおりです。
だからそれらに対処するため、ウイルスパターンファイルも自動更新し、セキュリティUSBメモリに保存します。

この機能はセキュリティUSBメモリにしかないもので、普通のUSBメモリはいわば「ウイルス・マルウェアに対しては無防備」と言えるでしょう。

もちろんオフィスのPCにウイルス対策ソフトウェアがインストールされていれば、

• USBメモリを挿してスキャンした時点
• USBメモリからPCに感染ファイルをコピーした時点

等で感染が発覚するので、USBメモリに対策機能がなくとも、事なきを得るケースはあると思います。

ただ、水際で発覚するということは「危機一髪」ということです。
持ち帰る前に発覚し、対処できるほうが安心なのは確実でしょう。

3.管理不行き届きによる信用の失墜対策

最後は「管理不行き届きによる信用の失墜対策」です。

管理不行き届きによる、信用の失墜リスクとは？

USBメモリが原因でセキュリティ事故が起きてしまったとき、問われるのは

• 組織の管理責任

です。
例えば、

• 社員Aが個人情報を記録したUSBメモリを上着のポケットに入れたまま、居酒屋で泥酔。
• 気付いたら家のベッドで寝ていた。
• しかし、上着のポケットからUSBメモリがなくなっていた。

というケースの場合、Aさんの行動はセキュリティ意識が低いと言わざるを得ないでしょう。
しかし、いくら問題を発生させてしまった現場担当者が不注意だったとしても、組織が個人に責任を押し付けることを、社会は許しません。

かと言って、

「USBメモリの使用は禁止だ！」

と杓子定規にルールで線を引いたところで、業務の現状を無視すれば、ギャップが生じてしまいます。
「こっそり使う」などの事態を引き起こし、事故が起これば結局「管理不行き届き」です。

どれほど立派なルールを作っても、セキュリティ教育を施しても、ヒューマンエラーをゼロにすることはできない……そういう出発点から考えるべきだというのが私たちの考えです。

これは「現場の担当者たちに甘くしましょう」という意味ではありません。
「現実を見て、対策を考えましょう」という意味です。

では、その対策とはなにか？

USBメモリの管理不行き届きによる、信用の失墜対策機能

万が一のセキュリティ事故発生時、

「管理不行き届きだ！」

と言われないための対策方針は、

• 「個々人の意識」ではなく「仕組み」で解決する

です。言い換えると、

• 従業員が意識しなくとも、一定のセキュリティレベルが担保されるようにする

ということになります。
具体的な方法のひとつは、ここまでお話しした内容に紐づくものです。

• 従業員が意識しなくとも機能が有効な、セキュリティUSBメモリの使用を許可する

あるいは「USBメモリに代わって、安全が担保される手段を提供する」でも良いでしょう。

また、セキュリティUSBメモリを活用する際には、組織のセキュリティポリシーに沿った設定を行うことも有効です。
例えば、以下のような項目があります。

• パスワードに設定できる最低文字数を指定する
• パスワードに必ず使用すべき文字種（大文字、小文字、記号、数字）を指定する
• パスワードの有効期限を指定する
• パスワードを指定回数誤った際、USBメモリを使用不可とする
• USBメモリを使用可能な期間を指定する
• USBメモリを使用可能なPCを指定する
• 使用可能な容量のサイズを指定する

もちろん普通のUSBメモリでは、このような設定はできません（そもそも上でお話ししたとおり、十分なセキュリティ機能がありません）。

「USBメモリは危険だから使わせない」

という考えで事故を起こしてしまうより、

「安全なUSBメモリなら使ってもよい」

という考えで仕組み化するほうが、結果として問題が起きにくいのではないでしょうか？

まとめ

というわけで今回は、

1. 盗難・紛失による情報漏えい
2. ウイルス・マルウェアの感染拡大
3. 管理不行き届きによる信用の失墜

という「3つのセキュリティリスク」に対し、セキュリティUSBメモリがどのような対策機能を搭載しているのかを具体的にお話ししました。

普通のUSBメモリとどのくらい違うものかが、大まかにでもご理解いただけたのではないでしょうか？

ただ……実は今回お話しした機能が、全てのセキュリティUSBメモリに搭載されているわけではありません。
そこは「どこまでしっかり対策するか？」というポリシーに応じ、適切なモデルがあるという考えです。

そこで次回は、

「結構種類があるけど、どう選べばいいの？」

という疑問にお答えし、ラインアップの選び方をお話しします。
ぜひ引き続きご覧ください！

その他、「セキュリティUSBメモリについての全般的なご相談」も広く受け付けております。
ここまで触れてきた内容の他、なにか導入の壁となるご懸念がございましたら、ぜひお気軽にお問合せください！