会社でのUSBメモリー使用は禁止が基本

2008年3月20日PC・IT

会社でのUSBメモリー使用は禁止が基本,代替手段や利用時の選定/運用条件を明確に(ITpro)

これは私のようにフリーでかつ、開発元でも自宅でも作業するような人間には厳しい記事ですね。

ただ,こうした便利な利用方法は,今の企業の現場には全くそぐいません。USBメモリーは,存在そのものが企業の存続を危うくする"危険な劇物"であるとの認識を持つ必要があります。

全くそぐわないってのは、どうかな。業種や規模によっても変わってくると私は思う。危険なのはUSBメモリーだけじゃない。開発用のPCの中にはライティング可能なDVDドライブが搭載されている場合もあるわけだし、0か1しか無いという表現に戸惑いを感じます。

USBメモリーにかかわる様々なインシデントを見聞きしましたが,一旦紛失事故などが発生した際の対応工数や失う信用,企業の経営基盤への影響といった膨大なマイナスのインパクトを考えれば,使用するメリットを見いだせません。私物のUSBメモリーはもちろんのこと,会社支給のUSBメモリーも含めて即座に一旦使用禁止にすべきだと考えます。

紛失して困るのは何もUSBメモリーだけじゃないと思うのだが。朝晩の通勤電車の中で、ノートPCで作業?している人はよく見る。ポータブルMP3プレーヤーだってUSBで繋げばハードディスクとして認識してしまうわけだし。ここでUSBだけを攻撃するのはどうなんだろうか。

データの保管という観点でのUSBメモリーの使用禁止は,ある程度容易に実現可能です。しかし,データを受け渡しするという観点では,ルールで使用禁止にするだけでは逆に危険です。USBメモリーがここまで簡単な手段として認知されている現状では,"隠れ使用"を促進することになりかねないからです。必ずデータを受け渡しする際に有効な代替手段を提示しなければなりません。

そうルールですよ。それもノートPCやその他も含めた上でのルール。

代替手段の1つめは,「USBデータリンク・ケーブル」の活用です。持ち出しルールに則った安全なパソコンにデータを格納し,ターゲットのマシンとUSBデータリンク・ケーブルで接続することにより,データの受け渡しを簡単に実現するわけです。パソコンの持ち出しルールとしては,BIOSパスワード設定,HDDパスワード設定,HDD全体の暗号化,ログイン・パスワード設定,スクリーン・セーバー・パスワード設定,スタンバイ復帰後のパスワード要求設定(場合によってはスタンバイ禁止)などの義務化,そして前回のコラムで紹介した「コンピュータを守るための四つのステップ」の徹底が挙げられます。実際にこれらをルール化しているケースは少なくないでしょう。

代替手段がUSBデータリンク・ケーブルってのもどうなんだろう。外にデータを持ち出すときはノートPCを持って歩きなさいって事を言いたいのかな、この人は。どう考えてもUSBメモリで内容が暗号化するほうがコストパフォーマンスもいいし、重たいノートPCを持ち運ぶ不便さから開放されると思うんだけど。それにUSB使うくらいならLANで接続してコピーでいいじゃん?

代替手段の2つめは,「データ交換用サーバー」の活用です。会社のルール化を前提として環境を事前に準備し,インターネットに接続されたサーバーに,ID,パスワードで保護された受け渡し相手ごとのスペースを用意して,SSL通信でデータを受け渡します。ログイン認証にICチップを格納したスマートカードを使う,格納されるデータそのものを暗号化するなどの方策と併せることで,セキュリティを高められます。

確かにそういう手段も普通に使いますけど、例えば客先で128Mbps程度で2GByteのファイルをダウンロードするってどうしろって言うんだろう。客先までずーとダウンロード続けた状態で行ったりして、プレゼンを開始しようとしたら、バッテリーが無かったなんて、ありそうで怖い。

ただし無償(一部のメニューは有償)で利用できる一般的なオンライン・ストレージサービスは利用を禁止すべきです。契約の中で,操作履歴の保存,運用状況の監査,必要に応じてログ提示依頼を実現できるサービスでなければセキュアに運用できません。

仕事で使用するのに無償のサービスでどうにかしようってのは、びっくりした。また、そこにセキュアに運用できる事を求める気持ちも私には理解すら出来ない。

すぐにはこうした代替手段を取れず,USBメモリーを継続して使用しなければならないケースも一部には残るでしょう。こうしたケースでも,最低限の製品選定条件や,運用条件は明確にすべきです。筆者は以下の4点が選定の為の最低条件だと思います。

  • その1 無条件(事前セットアップなし)に,USBメモリー全体が暗号化されている(ハードウエア的にフラッシュ・メモリーに暗号化して書き込まれる)こと
  • その2 認証に8文字以上のパスワードを設定でき,パスワードを一定回数(5回程度)間違えるとロックされること。ロックの解消は,システム管理者しかできないこと
  • その3 データ復元ソフトでも復元不可能な方法で,データ・イレース(完全消去)できる機能を有していること
  • その4 USBメモリー本体にストラップ・ホールがあること

こうした機能を実現した製品には,アイ・オー・データ機器製「EasyDisk Secure2」シリーズなどがあります。現在は,指紋認証を採用している製品もありますが,"グミ指"(コピー指紋を配したゼラチン製などの人工指)の存在があるため,筆者個人としては推奨していません。ただ,指紋認証センサーが温度で指紋の文様を読み取る感熱式であれば,基本的に"グミ指"も防御できますし,センサー部に指紋が残らないスイープ型(棒状のセンサーの上で指を滑らせる)指紋認証センサーを採用しているUSBメモリーも存在しますので,それぞれの機能を評価する必要があります。

その4のストラップ・ホールがあることって、どうでもいい気がするんだけど。
それにいろいろな方式の認証を採用しているものを評価していないって所は、冒頭でも言っていたが、触れたくないんだろうね。

さらに,運用方法にもルール化が必要です。筆者が考える運用の最低条件は以下の5点です。

  • その1 可能な限り小容量のタイプを選択すること
  • その2 資産番号を付与した上で,期間限定の貸し出し制にし,使用履歴を追えるように管理すること
  • その3 貸し出し時には,データ復元ソフトでも復元が不可能な方法でUSBメモリー全体をデータ・イレース(完全消去)してから貸し出すこと
  • その4 貸し出し中は,USBメモリー内に存在するデータを継続的に把握すること(持ち出す前にUSBメモリーに存在する全ファイルを社内サーバーにコピーするなど)
  • その5 貸し出し中は,USBメモリー本体のストラップ・ホールに,大型で目立つネック・ストラップを取り外しできない方法で取り付けること

小型のタイプじゃ、使い道が限られるし、小容量と限定する意味がわからない。それ以外はまあ、普通かな。

この後の内容も、USBメモリーがって話が続くだけなので引用は避けるが、挿しただけでウイルスに感染するのは、SDだろうがMMCだろうがCDだろうが同種の危険があるには変わりない。

ここまで普及したUSBメモリーだからこそ、こうすれば安全に利用できるといった記事の内容に向かうべきだと私は思う。

USBメモリーだけをもって危険だから、利用は止めなさいでは、誰も納得しないだろう。

Posted by かふぇおれ