1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. USBメモリの安全な取扱いについて

USBメモリの安全な取扱いについて

USBメモリをはじめとする外部記憶装置は今や、仕事のツールとして手放せない存在になっている。USBメモリの利点は何といっても低価格化、大容量化による利便性だろう。

一方で、そうした多くの人が手にするUSBメモリを標的にしたセキュリティ上の脅威も数多く見られる。USBウイルスなどのマルウエアの蔓延はその典型的な例だろう。

今回はUSBメモリを安全に利用するために個人、または企業の取りうべき対策について考えたい。


個人の対策について

「USBメモリ」の拡散のメカニズムと個人での対策について、以下の記事が詳しい。

USBメモリを悪者にしないための“プラスアルファ”(@IT)

USBウイルスはWindows OSの「自動再生機能」を使って感染する。これは、USBメモリなどのリムーバブルメディアをPCに接続した際にプログラムを自動実行させるWindowsの機能だ。

(1)ウイルスは、本体と一緒にウイルスを起動するための設定ファイル「Autorun.inf」をUSBメモリ内にコピーする
(2)ウイルスに感染したUSBメモリが別のPCに接続される
(3)この際、「Autorun.inf」が接続先の自動実行機能によって再生される
(4)当該PCにウイルス本体が感染する

という仕組みになっている。

こうしたウイルスの振る舞いへの対策として、記事では2点を挙げている。

(1)リムーバブルメディアからの自動実行を無効にする
PCに外部記憶装置を接続した際の自動実行機能を無効にすることで、USBメモリ内の不正なファイルを呼び出すことを防止する方法だ。

詳しくは、以下のマイクロソフトのサイトを参照されたい。

Windows で "Autorun レジストリ キーの無効化"の強制を修正する方法(マイクロソフト)

<追記>
※以下のJVNのサイトで注意点として記載されているKB950582のパッチについては、2/25付でパッチKB967715として自動更新およびWindows Updateで適用されるように修正されました。そのため、Windows Updateを実施すれば、マイクロソフトの手順の通りで自動実行が無効にできるとご指摘いただきました。

Microsoft Windows 自動実行機能の無効化における注意点(JVN)

(2)リムーバブルメディア内にあらかじめ「Autorun.inf」というフォルダを作っておく

USBメモリの中に、「Autorun.inf」という名前でフォルダを作成しておき、ウイルスによる「Autorun.inf」ファイルの作成を阻止する方法だ。

この方法は、ウイルスの中には「Autorun.inf」と同名のフォルダ、ファイルがあっても通用しないものもあるため、予防策の一つである点、記事では注意を促している。


企業の対策について

企業における対策としては、リムーバブルメディア全般の取扱いについてのセキュリティポリシーの策定、運用ルールの明確化が挙げられる。

さらに、USBメモリの全面禁止ではなく、メモリ内に保存された情報に目を向けるべきという踏み込んだ内容の記事もある。

あなたの会社は大丈夫? USBメモリの使い方を考える (1/3)(ITmedia)

記事によると、従業員一人ひとりがどのような情報を保有、共有しているのか、例えば以下のように分類してみることを提言している。

ランクA:流出すると危険な情報(機密情報、特許情報、新製品情報、顧客リストなど)
ランクC:流出しても影響のない情報(開示している製品情報、パンフレット情報、ゴルフコンペのリストなど)
ランクB:ランクAとCに当てはまらない情報(厳密には定義できないもの)

管理対象となる情報のレベルが明確になったら、USBメモリのコピーを禁止する情報と、コピーが可能な情報については指定の暗号化ソフトを用いてファイルを暗号化する、また、生体認証などのセキュリティ機能のついたUSBメモリにコピーするなどの運用ルールを定め、万が一、メモリを紛失した際に内部の情報を悪用されないようにする対策が必要だと記事では述べている。

そして、最終的には従業員のセキュリティ意識の向上が鍵を握ると結んでいる。

最終的には従業員の意識をいかにして高く持ち続けさせていくかという点に尽きるのです。仮にシステム的な運用環境が脆弱でも、従業員の情報セキュリティ意識が高い会社では情報漏えいのような事件は発生しません。

経営課題として組織的に対策を講じる点と、従業員一丸となって全社的に地道な取り組みを続ける点が、セキュリティ対策には必要ということのようだ。

関連キーワード:

autorun

USBウイルス

USBメモリ

セキュリティポリシー

  • サイドチャネル攻撃とは
  • カテゴリートップへ
  • 【た】誰かいる ふたりをつなぐ 糸の上