ヒロシカチョー!USBメモリがないっス!会議資料全部入ってて…終わった…
カチョーまぁ落ち着け。まずはみんなで手分けして探そう。
サクラハイこれ。椅子の下にありましたよ~
ヒロシありがとう!なんとかセーフッスね!
カチョーセーフじゃない!今回は見つかってよかったが、次に社外で落としたら大問題だぞ。我が社も対策をちゃんとしないといけないな。
USBメモリは、パソコンに差し込むだけですぐに使え、大容量のデータを手軽に持ち運べる非常に便利なツールです。しかし、その「小さくて便利」という特徴こそが、企業にとって情報漏洩の大きなリスクになっていることをご存知でしょうか。
「ウチのような中小企業の情報なんて誰も狙わないよ」と思っていませんか?実は、USBメモリの紛失や盗難による事故は後を絶たず、その被害は企業の信用を瞬時に失墜させるほど深刻です。今回は、難しいIT用語は抜きにして、中小企業の経営者や担当者が「今日からできる」USBメモリのセキュリティ対策と、安全な管理ルールの作り方について解説します。
なぜ今、USBメモリの対策が必要なのか?潜んでいる3つのリスク
USBメモリがセキュリティ事故の原因になりやすいのには、明確な理由があります。情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威」にも、USBメモリが関わる脅威がランクインしています。主に以下の3つのリスクを理解しておきましょう。
1:紛失・盗難による情報漏洩
USBメモリは小型で軽量なため、ポケットやカバンに入れて簡単に持ち運べますが、その反面、移動中の紛失や置き忘れ、盗難のリスクが非常に高いツールです。カフェでの作業中に離席した隙に盗まれたり、カバンごと置き引きに遭ったりするケースもあります。もし顧客情報や機密情報が入ったUSBメモリを紛失してしまうと、第三者にデータを閲覧され、悪用される恐れがあります。一度流出してしまうと、損害賠償や社会的信用の低下など、経営に大打撃を与えかねません。
2:ウイルス(マルウェア)感染の媒介
USBメモリをパソコンに挿しただけで感染する「USB感染型マルウェア(USB媒介ウイルス)」という脅威が増大しています。例えば、ウイルスに感染していることに気づかず「私物のUSBメモリ」を会社のパソコンに接続した結果、社内のネットワーク全体にウイルスが広まってしまうケースがあります。 過去には、ある大学病院で職員が自宅で使用していたUSBメモリを職場のパソコンに接続した結果、1,000台以上の端末に影響が及んだ事例もあります。
3:内部不正による持ち出し
残念なことですが、従業員や退職者が悪意を持って顧客リストなどを持ち出す「内部不正」にも、USBメモリは使われやすい傾向があります。手軽に大量のデータをコピーできるため、転職先での利用や、名簿業者への売却を目的に持ち出されるリスクがあります。これは外部からの攻撃とは異なり、身内による犯行であるため、発見が遅れることも少なくありません。
知らないと怖い!実際に起きた「USBメモリ」の事故
「まさかウチでは起きないだろう」という油断は禁物です。ここでは、実際に起きた大規模な事故の実例を紹介します。
事例1:自治体の全市民データ紛失
2022年、ある自治体の委託先社員が、全市民約40万人以上の個人情報が入ったUSBメモリを無断で持ち出し、居酒屋でカバンごと紛失するという事件が発生しました。 原因は、無断での持ち出しや、パスワードなどのセキュリティ対策不足、そして「酔っ払って紛失する」という人的なミスが重なったことでした。最終的にUSBメモリは発見されましたが、管理体制の甘さが厳しく指摘されました。
事例2:コールセンターでの顧客情報持ち出し
ある大手通信会社のコールセンター業務を行っていた元派遣社員が、約900万件もの顧客情報をUSBメモリにコピーして不正に持ち出し、名簿業者に販売していた事件もありました。 犯人は顧客情報の売買で1,000万円以上の利益を得ていたと推測されています。これは、誰でもUSBメモリを使える環境だったことや、アクセス権限の管理が甘かったことが背景にあります。
ヒロシUSBメモリ一本で数百万人分のデータが盗まれちゃうなんて、怖すぎるっスね…
カチョーそうだ。しかも、売却目的などの「悪意」がある場合、ただの不注意よりも防ぐのが難しいんだ。
サクラだからこそ、「誰もが自由に使える状態」にしておくのが一番危険なんですね。
カチョー一緒にがんばっている仲間を疑うなんて事はしたくないからな。我が社もできるところから対策をしていこう!
中小企業が「今日からできる」セキュリティ対策4選
高価なセキュリティシステムをすぐに導入するのは難しいかもしれません。しかし、お金をかけずに「ルール」と「運用」で防げる事故もたくさんあります。まずは以下の4つから始めてみましょう。
対策1:「私物USB」の利用を禁止する(ルールの策定)
最も基本かつ重要な対策は、「ルール作り」です。特に「私物のUSBメモリは業務で使わない・接続しない」というルールを徹底しましょう。 その上で、「会社が支給したUSBメモリ以外は使わせない」「持ち出しは許可制にする」「誰が・いつ持ち出すかを台帳に記録する」といった運用ルールを定め、従業員に周知することが大切です。ルールがなければ、従業員は悪気なく便利な私物USBを使ってしまいます。
対策2:重要なデータには「暗号化」と「パスワード」をかける
万が一、USBメモリを紛失してしまっても、中身を見られないようにすれば情報漏洩の実害は防げます。そのための有効な手段が「暗号化」です。 ファイル自体にパスワードをかける習慣をつけるほか、保存すると自動的にデータを暗号化してくれる「セキュリティ機能付きUSBメモリ(ハードウェア暗号化)」を会社で導入するのもおすすめです。これなら、社員がパスワードをかけ忘れるというミスも防げます。
対策3:自動再生機能を無効にする(ウイルス対策)
Windowsパソコンには、USBメモリを接続すると自動的にファイルを開いたりプログラムを実行したりする機能があります。便利な反面、ウイルスが潜んでいると接続した瞬間に感染してしまいます。 これを防ぐために、OSの設定で「自動再生機能」をオフにしておきましょう。技術的な知識がなくても設定画面から簡単に変更できるため、すぐに実施できる対策です。
対策4:もはやUSBを使わない?「クラウドストレージ」への移行
USBメモリのリスクを根本からなくす方法として、GoogleドライブやOneDriveなどの「クラウドストレージ」の活用があります。 クラウドであれば、物理的な紛失リスクがなく、アクセス権限も管理できます。データの受け渡しのためにUSBメモリを持ち歩く必要がなくなり、安全かつ業務効率も上がります。どうしてもUSBメモリが必要な場合以外は、クラウドでの共有を原則にするのも一つの手です。
【まとめ】便利さとリスクは紙一重。まずは「ルール」で会社を守ろう
USBメモリは、長年にわたり中小企業の業務を支えてくれた非常に便利なツールです。しかし、デジタル化が急速に進んだ現代において、その「手軽さ」は、管理が甘ければ企業の命取りになりかねない「最大のリスク」へと変わってしまいました。
記事の中で紹介した事例のように、たった一つのUSBメモリの紛失が、長年築き上げてきた会社の社会的信用を一瞬で崩壊させ、多額の損害賠償につながる恐れがあります。これは決して「IT担当者任せにする問題」ではなく、経営者がリーダーシップを持って取り組むべき重要な「経営課題」です。
いきなり高価なセキュリティシステムを導入する必要はありません。まずは上でご紹介したような対策から、足元を固めていきましょう。
ヒロシひえ~、僕がやったことって、一歩間違えたら会社に大損害を与えるようなことだったんですね…反省します!
ハカセふぉっふぉっふぉ。良い反省じゃ。人は忘れる、間違える生き物。だから仕組みが必要なんじゃ。
サクラなるほど、仕組みがあれば安心ですね!
ヒロシさっそく、USBメモリに「ヒロシへ:忘れるな」ってマジックで書いておきます!
ハカセそれは仕組みとは言わんのじゃ…
