ある会員制質問サイトに「USBメモリを利用する事自体が古いのでしょうか?」という質問がありました。一応、回答を付けたのですがベストアンサーを得られなかったので改めてシンプルに管理運用する方法を記しておきたいと思います。ちなみに「古いのか?」への回答は「古くはない」になります。様々な局面で外部メディアを経由したデータの持ち出しは必要になり、その際に運用・管理しやすいのがUSBメモリだからです。
基本的に、会社・団体で情報セキュリティ対策をする際にベースになるのが「情報セキュリティ基本方針」ですし、それに伴う「情報セキュリティ規程」になりますので、そこら辺は整っているものとして以後の解説をします。そこが整っていない場合には、先ずはそこから手を付けましょう。弊社でも策定のお手伝いが可能ですので、右下のチャットからお問い合わせください。フルオンライン対応可能ですので全国対応可能です。
さて、USBメモリを使ったデータの持ち出しに際して注意すべき点は以下の通りになります。
- シリアル番号で管理出来る法人向け媒体を利用し、他は一切認めない
- データの暗号化機能があるものを利用する
- 責任ある立場の人(部署)が管理する
- どのようなデータを記録し持ち出したのか管理する
- 紛失に気付いた際は速やかに管理者に連絡する
ここら辺を適切に運用出来れば紛失事故や不正持ち出しをある程度は管理出来ます。ただ、ここら辺は可能な限りシステム的に管理するのが重要になります。例えば「どのようなデータを記録したのか」を報告で管理するのは情報セキュリティ的な穴が開く可能性(不正な報告等)がありシステム的に管理しないと適切な管理が出来ているとは言えませんし、会社・団体で用意したもの以外のUSBメモリを利用されても判らないという事になります。
なので、基本的には「資産管理ツール」と「法人向けUSBメモリ」の導入は一体で考える必要があります。
資産管理ツールではシリアル番号で接続を許可するUSBメモリを管理出来ますので、何処でも売っているような一般的なUSBメモリ(シリアル番号が取得出来ない)の接続を拒絶する事が出来ます。また、CD-RやDVD-Rのような媒体もドライブの接続を拒絶する事で排除する事が可能になります。この手のメディアはシリアル番号で管理出来ないので指定されたUSBメモリ以外の外部記憶媒体を全て排除するのは重要なポイントになります。
また、資産管理ツールでは操作ログを取得し残す事が可能ですので「何というファイル」をUSBメモリにコピーしたのかを自動的に記録出来ます。ここら辺は不正持ち出しへの抑止効果を期待出来るほか、媒体を紛失したときに「どのようなデータが入っていたのか」を把握する事が出来ますので、事後対応を迅速に行う事が出来ます。例えば、個人情報が入っているデータが含まれていた場合には関連機関への適切な報告や、被害者への連絡も速やかに行う事が可能です。
媒体の管理に関しては各部署の長、又は、情報システム部門が行い、台帳で貸出返却記録を残す事が重要になります。これにより未返却の媒体の把握が容易になり、それに伴い、長期に渡って紛失に気が付かないという事態を防ぐ事が可能になります。時々、個人情報が記載された書類の紛失に気が付いたが、いつ頃紛失したのか、何故紛失したのかが判らないという事故が報道される事があります。USBメモリでこのような事故を防ぐには台帳管理が基本になります。あと、定期的な棚卸(出来れば月一で)も行ってください。台帳に記載の無い貸出で媒体を紛失した事に気が付かないのは管理を行えているとは言えませんし、長期に渡って返却されていない媒体の存在に気付く事が出来ますので。
とにかく「いつ頃に紛失したのか判らない」「紛失してから何ヶ月も経っている」「どのようなデータが入っているのか判らない」「誰が持ち出したのか判らない」は絶対に避けなければなりませんので、可能な限りシステム的な管理を行う事が重要になります。また、台帳管理も適切に行われているのか適宜確認出来るようにしておくのが基本です。それさえ出来ればUSBメモリ利用は決して古い考えではないのです。