「USBメモリ」を起因にしたセキュリティ事故が相次いで発生──どうしたら防げるのか？

今こそ見直したいファイル授受方法、USBメモリはリスク大

　基幹系システムを狙う理由がわかったところで、身近な社内外でのファイルの受け渡し方法について考えたい。ファイル授受のパターンとして、USBメモリといった可搬媒体を介した方法がよく使われているだろう。しかし、USBメモリの使用には、攻撃者の侵入経路になり得るリスクがある。

　メールやWebサイトへアクセスするような業務系のネットワークと、基幹ネットワークを分離しているケースは非常に多い。業務系のネットワークはある程度のリスクは許容するものの、基幹ネットワークはリスクを許容しないというリスクレベルの違いがあるためだ。そこでネットワークに接続せずに、USBメモリを使ってファイルを授受する。

　攻撃者が基幹ネットワークのような閉じられたネットワークを攻撃したい場合、USBメモリをはじめとする可搬媒体が狙われることになる。ドイツの政府系のセキュリティ団体が発表した「産業用制御システム（ICS）のセキュリティ -10大脅威と対策 2022-」では、1位が「リムーバブルメディアや外部機器経由のマルウェア感染」となっている。USBメモリなどの可搬媒体が攻撃に使われるのだ。

　それに、USBメモリには紛失のリスクもある。情報漏洩インシデントの発生原因の約3割が紛失・盗難によるもので、その75.6%が人に起因する調査結果^[1]もあるという。2022年に絞って調べてみても、USBメモリなどの紛失によって個人情報をなくしてしまったという事件が膨大に見つかる。坂田氏は「個人情報を含まない場合は発表をしていないので、明らかになっているのは氷山の一角にすぎません。実際には膨大なUSBメモリ紛失事件が起こっていると思います」と話す。

　続けて坂田氏は、USBメモリではリスクが「見えない」状態になる点を指摘する。USBメモリを使用すると、誰がどのファイルを使用した／承認したなどの状態が、会社からまったく見えない状態になってしまうのだ。リスクレベルが異なる領域間におけるデータの授受は、ルールを決めてそのとおりに運用、管理されるのが基本だ。そのためには、データの授受を可視化し、制御しなくてはならない。しかし、USBメモリを使用すると、それができなくなってしまうのだ。

　だからといって、いきなり「USBメモリなどの可搬媒体を使わせない」では、現場の対応が難しいだろう。面倒な運用を強制すると、それが形骸化し、実運用では抜け道が利用されることもある。セキュリティ施策は必ず、利便性と安全性のバランスを意識することが重要なのだ。

[1] 出典・引用：「2018年情報セキュリティインシデントに関する調査報告書～個人情報漏えい編～（速報版）」（PDF）、NPO日本ネットワークセキュリティ協会