テレワーク時の情報漏洩の心配には...「段階的」なUSBメモリ制御が効く!
データをやり取りする手段としてさまざまな場面で用いられる、USBメモリやUSBハードディスクなどの記憶デバイス。新型コロナウイルス感染拡大対策として急速に普及が進むテレワーク(在宅勤務)の実施に伴い、その使用に関するルールの策定や、既存のルールの見直しをされている情報システムご担当者様も多いのではないでしょうか。
今回は、組織内で安全にデバイスを用いるための環境づくりのポイントをご紹介します。
・実施すべきなのは「段階的なデバイスの制御」
1.組織内のデバイス使用状況を把握し、運用ルールの策定
2.まずは注意喚起のみをおこないルールの浸透
3.専用ツールでデバイスの使用を制限
・デバイス制限にオススメのソリューション
記憶デバイスの持ち出しによる情報漏洩事件・事故は絶えない
記憶デバイスは「手軽にデータをコピーして持ち運べる」半面、紛失や無断使用による情報持ち出しのリスクと隣り合わせにあります。特に、感染症対策として急速に普及が進むテレワーク(在宅勤務)の際は、私物のデバイスを使用しやすい状況になり、ウィルス感染やデータの持ち出しによる情報漏洩のリスクは非常に高まっています。
また、個人情報や社外秘の重要な情報をコピーしたUSBメモリをうっかり紛失、といったことは、誰にでも起こりうるリスクです。テレワークが一般化している今、実際にそういったインシデント報告も増えてきています。
そのような危険性があることから、日本ネットワークセキュリティ協会(JNSA)が提供している「緊急事態宣言解除後のセキュリティ・チェックリスト」などでは、記憶デバイスを持ち出す際には、定期的に紛失していないか棚卸し確認することが推奨されています。
実施すべきなのは「段階的なデバイスの制御」
しかし、そういった情報漏洩などのリスクの観点から記憶デバイスを管理したいと考えた場合に、どこまでの対策を取ればよいのか悩まれている方も多いのではないでしょうか。セキュリティを考慮するあまり、とりあえずの対策として「デバイスの使用を全面禁止」にするルールを設けることはおすすめできません。情報の持ち出しを防ぐことはできますが、今まで使用が許可されていた環境から、いきなり禁止としてしまうと、「利便性が損なわれる」「生産性が低下する」といったユーザーからの反発を招く恐れがあります。強固なルールが設けられても、それが守られない状況では意味がありません。
現場に寄り添った対策とするためには、徐々にルールを浸透させ段階的にデバイスの制御をおこなう運用を推奨します。段階的な制御をおこなうためには、次の3つのポイントを押さえましょう。
1.組織内のデバイス使用状況を把握し、運用ルールの策定
デバイス制限を実施するにあたって、最初に重要となるのが組織内でのデバイス使用状況の把握です。使用状況を正確に把握することで、使用実態が明確となり、制限を強化すべきポイント(=情報漏洩などのリスクを抱えるポイント)の洗い出しができます。また、使用したいデバイスがあるかどうか、ユーザーにアンケートなどを用いて調査することも重要です。事前に調査することで、利便性を損なわなず運用できるルールを策定できるだけでなく、組織内の理解も得やすくなります。
2.まずは注意喚起のみをおこないルールの浸透
ルールを策定したら、従業員に通知します。ルール違反に対しては違反者へ警告し、どのようなケースが違反となるのか理解してもらうと同時に、違反行為をおこさないという意識づけの徹底を図ります。ルールが浸透し、組織内の理解が高まってきたらいよいよ使用を禁止するといった流れで、段階的に制限を強めていきましょう。このように、ユーザーの目線を意識することで、スムーズなデバイス制限を実施できます。
ただ、ルールを浸透させている間に、無断で情報を持ち出し、デバイスを紛失するといったインシデントが起こってしまっては元も子もありません。デバイスの使用ログを取得するなど、誰が、どこで、どのようにデバイスを使用しているか、しっかりモニタリングしておくことが重要です。
(画像はIT資産管理ソフト「SS1」のログ管理画面)
3.専用ツールでデバイスの使用を制限
ルールが浸透し、組織内の理解が高まってきたら私物のUSBメモリは使用禁止にするといった流れで、段階的に制限を強めていきましょう。 また、業務都合上、どうしてもUSBメモリの使用が必要となった場合などのために、一時的に使用できる仕組みを整えておけば利便性を損なわずにセキュアな運用が可能です。
デバイス制限にオススメのソリューション
デバイス制限は情報漏洩防止において非常に有効な対策ですが、いざ実施するとなると運用が定着するまでさまざまな困難を伴います。当記事でご紹介したように、まずは無理のないルールを策定し、運用をなじませていくことが重要です。
また、デバイス使用状況の把握や、制限設定、ログの取得は専用ツールの導入なしでは実現できません。デバイス制限ツールは数多くありますが、デバイス種別ごとの制限設定や、ログの取得によるモニタリングができるツールの導入をおすすめします。そうすれば、テレワーク時などの業務状況が見えにくい場合でも、デバイスの使用状況をログで把握し、場合によっては使用を制限することで情報持ち出しの抑止力になります。
●デバイス制限管理の詳細はこちら
当社がご提供しているIT資産管理ソフト「SS1」なら、デバイス種別・ユーザー・部門ごとに「使用禁止」「読取専用」など、柔軟な制限が設定できることに加え、デバイス使用ログの取得も可能です。使用を禁止せずに使用状況をモニタリングする、ルール違反に対して警告メッセージを表示するといった運用もおこなえるため、前述の、段階的でスムーズなデバイス制限を実施できます。
SS1を用いたデバイス制限の運用について、経験豊富なスタッフがお客様の状況にあった解決策をご提案いたします。テレワーク中のデバイス制限についてもっと詳細が知りたい、具体的な運用方法を相談したいなど是非お気軽にお問い合わせください。
●デバイス制限に関するお問い合わせはこちら
SS1LAB編集部
IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!