実は危険！USBメモリーのリスクとは？対策や代替案は？

パソコンのデータの移動に便利な、USBメモリー。

業務においても、経理の方から営業の方、技術者の方に至るまで、幅広い部署の方が利用する機器ではないでしょうか？

しかし、そのUSBメモリーには様々なリスクがあるのです。

本日は、USBメモリーの危険性についてご紹介いたします。

USBメモリーが危険？その理由とは

パソコンのデータを移動するとき、真っ先に思いつく方法は”USBメモリー”の利用でしょう。

社内のパソコン間の移動は勿論、出先やリモートワークで作ったデータを社内に持ち込んだり、逆に社内で作った資料をお客様のパソコンへ持ち込んだり…

物理的にデータを持ち運びできるUSBメモリーは、業務においてもとても便利ですよね。

しかし、この“物理的にデータを持ち運びできる”という特徴は、弱点にもなってしまうのです。

紛失したUSBメモリーに重要な情報が！情報漏洩事案に発展･･･

USBメモリーに社外秘の情報や、個人情報などが入っていると、紛失した際に情報漏洩に直結してしまうリスクがあります。

USBメモリーの紛失による情報漏洩事案では、今年2022年の6月に発生した尼崎市の事案が記憶に新しいでしょう。

この事案では、データの移管作業を行う社員が、尼崎市の全市民の情報が入ったUSBメモリーを持ち出していました。

しかし、作業を終えて帰宅した所、USBメモリーを入れたカバンを紛失していることが判明。

その後USBメモリーは発見されたものの、尼崎市民46万人に及ぶ大規模な情報漏洩事案として、一大事となってしまいました。

USBメモリーからウィルスが”裏口侵入”！？

近年のサイバー攻撃の増加に伴い、パソコンやネットワークのセキュリティ対策も強まっています。

特に、インターネットと社内のネットワークの出入り口に設置する“UTM”は、企業のセキュリティ対策として広く採用されています。

しかし、“UTM”には落とし穴があります。それは、“インターネットとやり取りするデータしか監視できない”こと。

ウィルスの入ったUSBメモリーをパソコンに接続してしまうと、USBメモリーからパソコンへウィルスが移動してしまいます。

この時、ウィルスの侵入は”ネットを介さない”為、UTMでは防ぐことが出来ないのです。

攻撃用に作られたUSBメモリー！?BadUSBって？

米国連邦捜査局(FBI)は、今年2022年の1月に“BadUSB”攻撃についての警告を発表しました。

“BadUSB”攻撃とは、“予めウィルス¹正確にはマルウェア。悪質な攻撃を行うプログラムのこと。を潜ませたUSB機器による攻撃”のこと。

簡単に言えば、“パソコンに差し込むだけでウィルスに感染するUSBメモリー”のことです。

FBIによると、2021年の8月、および11月にアメリカで確認され、“Amazonになりすまして、悪質なプログラムを含んだUSBメモリーを送りつけていた”とのこと。

現時点では日本でBadUSBを用いた攻撃は確認されていませんが、将来的には日本国内でも発生する可能性も否めません。

例えば、ネット通販から手に入れた機器が”BadUSB”だった、というシナリオです。

近年、ネット通販では製造元が不透明な商品が多く出回っています。海外製の安価な商品や、中には”メーカー正規品に偽装した製品”などもあります。

こうしたネット通販では”足がつきにくい”為、個人情報を盗むための“BadUSB”が出回る可能性も否定出来ないのです。

USBメモリーの代替案は？

ここまで、USBメモリーの危険性について見てきました。

では、これらの危険に対し、どのように対策を行えば良いのでしょうか？

ここでは、大きく2つの対策方法をご紹介いたします。

1.USBメモリーの運用に厳しくルールを設ける

USBメモリーを利用する場合、“紛失による情報漏洩”と、“USBメモリーからのウィルス侵入”を防がなくてはなりません。

そこで、USBメモリーの運用に際し、社内でルールを設け、従業員に徹底させることが一つの対策方法です。

基本的な対策としては、下記の6点が挙げられます。

• USBメモリーの社外への持ち出しを制限
• 情報漏洩に繋がるデータはUSBメモリーに入れない
• USBメモリーの中のデータはパスワードを掛ける
• 予め許可されたパソコン以外には接続しない
• パソコンへ接続する前にウィルスチェックを行う
• USBメモリーを接続するパソコンにはウィルス対策ソフトを入れる

しかし、こうしたルールの弱点は、“必ずしも厳守される訳ではない”こと。

ルールを実行するのが人間である以上、故意か過失かを問わず、ルールを破ってしまう可能性があります。また、複雑なルールを覚え、ルールに沿った手順を毎回行う事は手間にも繋がります。

2.USBメモリーを使わない

そこで、“そもそもUSBメモリーを使わない”という対策方法をおすすめします。

“クラウド”や“NAS”といったサービスはご存知でしょうか？特に、クラウドは近年よく耳にするようになりましたので、ご存じの方も少なくないでしょう。

“クラウド”や”NAS”は、簡単に行ってしまえば“インターネットからアクセスできる、データ置き場”のこと。

ここに使うデータを保管しておけば、それぞれのパソコンなどの機器からアクセスするだけで、データを移動できるのです。

クラウドやNASはアクセス制限を設定できるため、情報漏洩対策もバッチリ。

また、クラウドやNASは”インターネットからアクセスする”ため、データにウィルスが潜んでいても、UTMなどの機器で検知することが出来る利点もあります。

クラウドやNASを利用することで、USBメモリーの弱点を全てカバーすることができるのです。

クラウドとNAS、業務利用だとどっちが良い？

USBメモリーの代替案として、クラウドとNASの2つをご紹介いたしました。

しかし、業務利用という面ではどちらが良いのでしょうか？

それぞれの方法の特徴について、詳しく見ていきましょう。

クラウドの特徴

クラウドはインターネット上の“データ置き場”²サーバー。にデータを保存します。

ネット上のサービスのため、契約を行えばすぐに利用できるのが大きなメリットです。また、専門的な知識が無くとも導入できることもメリットです。

一方、運用費が高額になりがちなのがデメリットです。

クラウドでは月額料金制、所謂“サブスク”のサービスが多く、保存するデータの量や通信速度、使用する人数によって料金が変わります。

また、データをインターネット上に保管するため、社外秘のデータや個人情報を保管するには漏洩が心配、というセキュリティ的な心配や、ネットが繋がらなくなるとデータが利用できなくなるデメリットもあります。

NASの特徴

NASを簡単に説明すると、“ネットからもアクセスできる、データ保存装置”のことです。

物理的な機器が必要となるため、導入コストはクラウドよりも高くなります。また、導入に際しては専門的な知識が必要になることもデメリットです。

一方で、一度導入してしまえば、電気代や通信費以外にランニングコストは殆ど掛かりません。

また、ネット上にデータを保存するクラウドと異なり、社内の機器へデータを保存するため、セキュリティ面ではNASの方が勝ります。

加えて、インターネット回線が繋がらなくなったとしても、社内の機器からデータにアクセスすることができるのも利点です。

中小企業様や個人事業主様なら、NASがオススメ

業務形態や規模感によって最適なサービスは異なりますが、中小企業様や個人事業主様ならNASの利用をオススメいたします。

クラウドは導入が簡単ではあるものの、月額費用がNASよりも割高になってしまいます。また、ネット回線が繋がっていないとデータにアクセスできないため、業務利用では心配が残ります。

NASは大小様々な機器がありますので、規模に応じた機器を導入することで、費用を抑えられます。NASはランニングコストも低いため、コストという面においてはクラウドよりも優れています。

また、ネット回線が不通でも、社内の機器からデータにアクセスできるため、もしもの時にも安心です。

まとめ

データを運ぶために活躍してきたUSBメモリーですが、今では様々な危険性があるため、業務利用においては推奨されません。

USBメモリーを利用しなくてはならない理由が無ければ、USBメモリーの弱点を克服できるクラウドやNASへの乗り換えをオススメいたします。

“DX化”が叫ばれている今、社内のDX化の第一歩として、USBメモリーの撤廃を考えてみては如何でしょうか？

なお、弊社の総合セキュリティサービス｢アイ・セキュア｣では、USBメモリーのウィルス対策も万全です。

USBメモリーのウィルスチェックや、パソコンへのウィルス対策ソフトの整備といった基本的なところは勿論、NASの構築も承っております。社内外からデータを便利に利用できるNASを構築し、貴社の”脱USBメモリー”、”DX化”をお手伝いいたします。

また、｢アイ・セキュア｣では、茨城県内の中小企業様・個人事業主様であれば、現状調査からプランニングまで無料で承っております。

｢社内のDX化をしたいけど、何から取りかかれば良いか分からない･･･｣｢USBメモリーのセキュリティ対策って、どうすればいいの?｣など、お悩み事がありましたら、お気軽にこちらのフォームよりご相談下さい。