当ブログでは初めましてとなりますが、ネットエージェント株式会社、代表取締役社長の杉浦隆幸です。弊社は、USBメモリの使用履歴を調査するUSB関所守という製品をリリースしているのですが、今回はそのUSBメモリに関連したセキュリティの話について書かせていただこうと思います。
-----
近頃、USBメモリを利用した「故意による」情報漏えい事件が大きな問題となっています。海上保安庁の映像流出事件でも、公用のUSBメモリでデータを移動し、私用のUSBメモリへコピーして持ち出したとされています。確かに、USBメモリはとても使いやすく便利ではありますが、その反面、USBメモリの利便性がそのまま情報漏えい事件に発展することも少なくありません。
よって、それらの事件を受け、昨今では様々な企業や政府機関がUSBメモリによる情報漏えい対策として「USBメモリの全面利用禁止」がルール化されています。
しかしながら、そのような対策をしていたにも関わらず、禁止にしていたはずのUSBメモリを使っての情報漏えい事件が増え続けているのはなぜでしょうか? なぜUSBメモリが使用禁止なのに利用され、会社のものでもない私用のUSBメモリが使われるのでしょうか?
それはUSBメモリの利便性にあります。渡したいデータ、移動したいデータをわずか数センチ程度の大きさの「モノ」に入れて持っていくだけでよく、仮にネットワークに繋がっていなくても、認証がなくても、パソコンを持たずとも、データをその手に握って歩いていくだけでコピーが可能です。
もちろん、代替え手段として、ファイルサーバでの共有やグループウェアでのファイル送信、またはメールへの添付などが考えられますが、しかし、どれもそれなりの制約があります。そう考えると、情報漏えい対策を一切考えなければ、USBメモリほど利便性の高いデバイスは他にないでしょう。
では、例えば仮に、社内(組織内)でUSBメモリを完全に禁止するとどうなるでしょうか? もちろん公に使うことはできなくなりますが、これで使用者は減り、もう安全だ、心配ない、という状況に果たして成り得るでしょうか? 答えはNoです。システムで利用不可にしていない限りは、いつの間にかUSBメモリが浸透していきます。もちろん、システム管理者や管理職の立場にいる人は「禁止しているから使っていないだろう」と思うかもしれません。しかし、実際はそうはいきません。「利便性」や「効率性」といったような理由をつけて、おそらくUSBメモリは使用され続けます。そして、このような背景を伴って情報漏えい事件は起こります。
それらを踏まえると、USBメモリを完全に禁止させるのではなく、使用方法をルール化し、USBメモリを「安全に使う方法」にコストをかけていく方が、結果的にはより高いセキュリティを保てるのではないかと考えました。もちろん、システム的にUSBメモリが完全に使えないようになっていて、かつ、抜け道が完璧になければ、それはそれでよいかもしれませんが、ただ、どうにかして抜け道を探そうとする人もいますし、業務の効率化の面でもマイナスになることの方が多いかもしれません。よって、USBメモリを禁止するのではなく「安全に使っていく方法」を考える方がより生産性、運用面、そしてセキュリティの意味でもプラスに働きます。
例えば、「安全に使っていく方法」として以下のルールを用意します。覚えてもらうルールはできるだけ少なく、かつ、シンプルな方がよいです。
1、会社のUSBメモリのみを使いたい時だけ借りて使う
2、使ったあとは中のファイルを全部消して返す
使う人間が覚えるルールは以上です。ルールは少ないほうが実施しやすく、運用が安定します。そして、システム、運用側では、以下のルールを取り決めます。
1、会社のUSBメモリ以外は使えないようにする(最重要)
2、持ち出し時は上長が確認をする
3、USBメモリは暗号機能のある製品のみを利用する
4、定期的にUSBメモリの数をチェックする
挙げるとしたらこのぐらいでしょうか。
問題が起きたから、その発端となったツールをすべて禁止するという選択を続けていくと、どうしてもルールに縛られ、組織としての動きが鈍くなります。極端な話、インターネットに繋がなければ、パソコンを使わなければ、情報漏えいが起こる可能性は格段に減るでしょう。しかし、それでは仕事になりません。
リスクを最小限に減らしつつ、しかし、効率は最大限に維持し続けたい。セキュリティ技術、セキュリティ製品とは、本来、このような回避できないトレードオフの要望に、技術力、発想力をもってして可能な限り応えるために存在するものです。その要望に応えることにこそ、セキュリティ技術、セキュリティ製品の存在する価値があると思います。
2010/11/12 コース:元祖こってり
「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。