USBメモリの利用のすべてがリスクに直結するわけではなく、“管理が行き届かない状態で”安易に利用されることによって情報漏洩リスクが高まることを問題点としてとらえ、自社にあった利用ポリシーを定めて管理するというのが理想的です。
利用ポリシーの策定に当たっては、まず「どこで」「どんな」USBメモリが使われているのかなど、社内のUSBメモリ利用状況を確認します。そのうえで、業務上どうしてもUSBメモリを利用しなければならないのはどんなケースか、ファイルの受け渡し用に専用サーバーを立てるなどの代替手段は考えられないかなどを検討します。併せて、部署や従業員ごとに、業務でどんな情報を取り扱っているのかを考慮し、会社全体のセキュリティポリシーに沿ってUSBメモリの利用を許可するケースを絞り込みます。
例えば、SKYSEA Client View導入企業様でも、店舗の様子や商品の物損状況を報告するための写真データを持ち運ぶ場合に限り、USBメモリの使用を許可するといったように具体的なシーンを決めて運用されている事例や、情報漏洩リスクを最小限に抑えるために、社内で使用していた600本のUSBメモリのうち、長期間使われていないUSBメモリを回収し、総数を3分の1に減らしたという事例があります。
次に、USBメモリの利用を許可する場合の利用ポリシーを定めます。その際は、大きく次のような観点から検討することで、自社にあった運用形態を整理しやすくなります。
ここで挙げた1〜3を一度に運用開始するのではなく、利用できるUSBメモリを限定することなどから段階的に運用開始する方が運用を軌道に乗せやすいと言われます。