SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2023 春の陣レポート(AD)

「USBメモリ」を起因にしたセキュリティ事故が相次いで発生──どうしたら防げるのか?

600以上の自治体や医療機関などが支持する、“ファイルを無害化する”システム

今こそ見直したいファイル授受方法、USBメモリはリスク大

 基幹系システムを狙う理由がわかったところで、身近な社内外でのファイルの受け渡し方法について考えたい。ファイル授受のパターンとして、USBメモリといった可搬媒体を介した方法がよく使われているだろう。しかし、USBメモリの使用には、攻撃者の侵入経路になり得るリスクがある。

 メールやWebサイトへアクセスするような業務系のネットワークと、基幹ネットワークを分離しているケースは非常に多い。業務系のネットワークはある程度のリスクは許容するものの、基幹ネットワークはリスクを許容しないというリスクレベルの違いがあるためだ。そこでネットワークに接続せずに、USBメモリを使ってファイルを授受する。

 攻撃者が基幹ネットワークのような閉じられたネットワークを攻撃したい場合、USBメモリをはじめとする可搬媒体が狙われることになる。ドイツの政府系のセキュリティ団体が発表した「産業用制御システム(ICS)のセキュリティ -10大脅威と対策 2022-」では、1位が「リムーバブルメディアや外部機器経由のマルウェア感染」となっている。USBメモリなどの可搬媒体が攻撃に使われるのだ。

画像を説明するテキストなくても可

クリックすると拡大します

 それに、USBメモリには紛失のリスクもある。情報漏洩インシデントの発生原因の約3割が紛失・盗難によるもので、その75.6%が人に起因する調査結果[1]もあるという。2022年に絞って調べてみても、USBメモリなどの紛失によって個人情報をなくしてしまったという事件が膨大に見つかる。坂田氏は「個人情報を含まない場合は発表をしていないので、明らかになっているのは氷山の一角にすぎません。実際には膨大なUSBメモリ紛失事件が起こっていると思います」と話す。

画像を説明するテキストなくても可
クリックすると拡大します

 続けて坂田氏は、USBメモリではリスクが「見えない」状態になる点を指摘する。USBメモリを使用すると、誰がどのファイルを使用した/承認したなどの状態が、会社からまったく見えない状態になってしまうのだ。リスクレベルが異なる領域間におけるデータの授受は、ルールを決めてそのとおりに運用、管理されるのが基本だ。そのためには、データの授受を可視化し、制御しなくてはならない。しかし、USBメモリを使用すると、それができなくなってしまうのだ。

 だからといって、いきなり「USBメモリなどの可搬媒体を使わせない」では、現場の対応が難しいだろう。面倒な運用を強制すると、それが形骸化し、実運用では抜け道が利用されることもある。セキュリティ施策は必ず、利便性と安全性のバランスを意識することが重要なのだ。

[1] 出典・引用:「2018年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~(速報版)」(PDF)、NPO日本ネットワークセキュリティ協会

次のページ
ウイルスチェック、ファイルの無害化なども自動対応

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 春の陣レポート連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:株式会社プロット

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17537 2023/04/06 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング