社内のUSBメモリ利用状況を確認して、本当に必要なのかを見極める
USBメモリの利用のすべてがリスクに直結するわけではなく、“管理が行き届かない状態で”安易に利用されることによって情報漏洩リスクが高まることを問題点としてとらえ、自社にあった利用ポリシーを定めて管理するというのが理想的です。
利用ポリシーの策定に当たっては、まず「どこで」「どんな」USBメモリが使われているのかなど、社内のUSBメモリ利用状況を確認します。そのうえで、業務上どうしてもUSBメモリを利用しなければならないのはどんなケースか、ファイルの受け渡し用に専用サーバーを立てるなどの代替手段は考えられないかなどを検討します。併せて、部署や従業員ごとに、業務でどんな情報を取り扱っているのかを考慮し、会社全体のセキュリティポリシーに沿ってUSBメモリの利用を許可するケースを絞り込みます。
例えば、SKYSEA Client View導入企業様でも、店舗の様子や商品の物損状況を報告するための写真データを持ち運ぶ場合に限り、USBメモリの使用を許可するといったように具体的なシーンを決めて運用されている事例や、情報漏洩リスクを最小限に抑えるために、社内で使用していた600本のUSBメモリのうち、長期間使われていないUSBメモリを回収し、総数を3分の1に減らしたという事例があります。
自社にあったUSBメモリの利用ポリシーを策定する
次に、USBメモリの利用を許可する場合の利用ポリシーを定めます。その際は、大きく次のような観点から検討することで、自社にあった運用形態を整理しやすくなります。
1)利用可能なUSBメモリを限定する
現在社内で使用されているUSBメモリのうち、私物を使用禁止にすることはもちろん、会社支給のものでも、暗号化に対応しセキュリティ対策が施されているUSBメモリに限定するなど、使用可能なUSBメモリを決めます。また、外付けHDDやSSD、SDカード、DVD-RAMなど、そのほかの可搬型記憶媒体についても同様に検討します。
2)利用可能な部署を限定する
使用可能としたUSBメモリであっても、経理情報や個人情報を取り扱う部門では使用できないようにするなど、部署ごとに使用の可否を決めます。また、お取引先などからUSBメモリでデータを受け取る機会がある部署では、未登録のUSBメモリは「読み取り専用」として、書き込み禁止状態でなら使用を許可するなど、実際の業務実態に合わせて運用することも必要です。
3)利用者によって権限を定める
USBメモリの使用を禁止した部署でも、上位役職者や管理責任者であればUSBメモリの利用ができる。逆に、USBメモリの利用が許可されている部署でも、派遣社員の方は利用を制限するといったように、職務権限などによって権限を定めます。
ここで挙げた1〜3を一度に運用開始するのではなく、利用できるUSBメモリを限定することなどから段階的に運用開始する方が運用を軌道に乗せやすいと言われます。
