外部記憶装置とは何か?主な種類や利用時のリスク・危険性と適切な管理方法について

INDEX

    企業や組織における活動において、外部記憶装置を介したデータの受け渡しが必要なケースがあります。
    外部記憶装置を利用する際のセキュリティ対策が不十分だと、重大なセキュリティインシデントを引き起こす要因になるため注意しなくてはなりません。
    今回は外部記憶装置に関する基礎知識、外部記憶装置を利用する際のリスクや危険性、そして外部記憶装置に関するリスクを低減するための適切な管理方法についてお話します。


    外部記憶装置に関する基礎知識

    はじめに外部記憶装置に関する基礎知識について簡単に説明します。

    外部記憶装置とは

    外部記憶装置とはデスクトップパソコンの本体、もしくはノートパソコンの本体にある記憶装置以外に、USBを介して接続することでデータの読み書き・移動・削除が行えるものを指します。
    基本的にはUSBに接続するだけでデバイスが認識され、データ領域やフォルダがパソコン側で表示されるので、簡単かつ便利な仕組みであり、データの持ち運びや受け渡しに役立つものと言えます。
    ただし、扱いやすい反面、情報漏洩の要因となることも多く、悪意のある人間による内部不正以外にも、うっかりミスやヒューマンエラー、ケアレスミスによってセキュリティインシデントとなる可能性がある危険なデバイスでもあります。

    外部記憶装置の主な種類

    ・外付けHDD(ハードディスク)など磁気記憶装置
    ・外付けSSD(Solid State Drive)
    ・DVD/CD/ブルーレイディスクを読み書きする外付け光学ドライブ
    ・USBメモリ/microSDカードなどフラッシュメモリ記憶装置
    ・FD(フロッピーディスク)/MO/ZIP

    上記が外部記憶装置の主な種類であり、基本的にはパソコンに内蔵されているものではなく、USBなどでパソコンに接続して利用するタイプです。昨今ではNAS(Network Attached Storage)を社内や組織内で利用することもあるため、NASの本体についてもセキュリティ性を確保しておくべきと言えます。
    その他にもスマートフォンやカメラと接続して、スマートフォン本体やカメラに接続したSDカードのデータを読み書きについて、物理的に接続することで外部に記憶できることを考えると、外部記憶装置として取扱いを注意する必要があります。

    外部記憶装置の利用を制限することは可能か

    USBに接続するタイプの外部記憶装置はBIOSやツール、ソフトウェアで利用を制限することができます。その他にもデスクトップパソコンであれば、物理的にUSB機器を取り外したり、USB端子の穴を物理的に塞いだりすることで見た目上は外部記憶装置の利用を制限する方法もありますが、マウスやキーボードを利用するパソコンの場合はUSBハブを接続してしまえば、結果的に外部接続装置を接続できるようになってしまうため、なるべくならシステム的にUSBへの接続や外部記憶装置の利用を制限する方が望ましいと言えます。


    外部記憶装置を利用する時のリスクや危険性

    次に外部記憶装置を利用する時のリスクや危険性を解説します。

    外部記憶装置の盗難・紛失・置き忘れによる情報漏洩

    外部記憶装置はサイズも小さく、重量的にも軽いものばかりのため、盗難・紛失・置き忘れによる情報漏洩のリスクがあります。また、業務や作業に用いる場合、法的には企業や組織の「情報資産」であることから、データの重要性に関わらず盗難・紛失・置き忘れはあってはならないことと言えます。しかし、セキュリティ面の不安や心配から、クラウド上にデータを預けることが難しい情報も存在するため、USBメモリなどの外部記憶装置を介してデータの持ち運びをせざるを得ないケースがあるのも現実問題として存在します。

    悪意のある人物の内部不正による情報漏洩・データの改ざんの恐れ

    外付け記憶装置はデータの転送速度も早いこともあり、悪意のある人物の内部不正に利用される可能性があります。データを盗みだされてしまえば情報漏洩につながりますし、データを改ざんして元の位置に戻されてしまえば、やはり何らかの不正によるリスクが起こることもあるでしょう。同様に悪意はなくても結果的に内部不正や情報漏洩に加担してしまう可能性もゼロではないため、外部記憶装置自体の制限の他、データへのアクセス制限や権限の割り振りをしなければ内部不正を防ぐことは難しくなります。

    マルウェアに感染し、デバイス乗っ取りやログイン情報が奪取されることも

    外部記憶装置を介してマルウェアに感染するケースも存在しています。マルウェアの種類にもよりますが、デバイスの乗っ取り、ログイン情報の奪取の他、ネットワークを介して他のデバイスに感染させたり、権限のあるデバイスを乗っ取ってさらに機密性の高い情報を盗んだりするようなことも現実問題として発生しています。例えば、USBメモリを接続するだけで自動実行するようなプログラムやスクリプトが組み込まれてしまえば、マルウェアに感染したこともわからず、被害を受け続けるような状況に陥ってしまうということです。

    external-hard-drive-6082934_1920.jpg

    外部記憶装置に関するリスクを低減するための適切な管理方法

    次に外部記憶装置に関するリスクを低減するための適切な管理方法をご紹介します。

    外部記憶装置を利用する業務や作業を調査および把握する

    まずは外部記憶装置を利用する業務や作業を調査し、把握することから始めましょう。同様に外部記憶装置を接続して利用できるデバイスをチェックすること、NASなど目の届かない場所にあるデバイスも含めて、物理的な監視や管理を行うことを忘れないようにしましょう。その他、データへのアクセス制限が適切か、権限を越えてデータにアクセスさせているような状況がないかもチェックするべきです。例えば、アルバイトやパートに対して上長の基幹システムへのログイン情報を共有し、業務や作業を行わせているような場合ですと、せっかくアクセス制限をしても権限を越えて機密情報や個人情報が漏洩する可能性が高まってしまいます。

    本当に外部記憶装置でなければならないか検証および精査する

    次の段階としては、本当に外部記憶装置でなければならないか、検証および精査しましょう。基本的にはUSBメモリや外付けHDD/SSDを自由に利用させないことが大切です。どうしても外部記憶装置を用いねばならない場合においても、データの持ち出しの許可や認可だけでなく、持ち出したデータの行き先、用途、外部記憶装置の内部にあるデータの削除など一連の流れについても定めておくべきです。その他、利用する外部記憶装置についても、公私混同させないこと、社内や組織内で管理し、預けたままにしないことも社内規則やルールを定めて、周知徹底しましょう。必要に応じて外部記憶装置を接続しても認識させない、またはデータのコピーや移動ができないようにしておくことも忘れないようにしてください。

    ウィルスチェックや暗号化、自動実行の抑制などのセキュリティ対策

    社内規則やルールの周知徹底や物理的な外部記憶装置の管理の他、ウィルスチェックや暗号化、自動実行の抑制などのセキュリティ対策も行いましょう。特にどうしても外部記憶装置でデータの持ち運びや受け渡しが必要な場合、データを暗号化しておくだけでも盗難・紛失・置き忘れによる情報漏洩の可能性が少なくなります。
    また、場合によっては安全なクラウドサーバーなどを利用して、物理的な外部記憶装置の利用を廃止することも検討しましょう。実データそのものにアクセスしたり、必要な時だけデータの利用や編集をする形にしたりすることで、外部記憶装置に関するリスクが限りなくゼロになるからです。同時にクラウドであればアクセス制限が可能になるだけでなく、誰が、どのデバイスから、何をしたというような情報も蓄積できますし、データの改ざんや削除などの行為があったとしても、バックアップから復元するようなことも可能になります。


    まとめ:情報漏洩が起きないような業務プロセス・作業手順を構築しよう

    今回は外部記憶装置に関する基礎知識、外部記憶装置を利用する時のリスクや危険性、そして外部記憶装置に関するリスクを低減するための適切な管理方法についてお話しました。
    外部記憶装置は利便性が高く、データの転送速度も向上しているため、データ容量が大きい場合に役立ちます。その分、情報漏洩するデータの量も増えてしまうということを忘れず、社内規則やルールを作成し周知徹底するとともに、システム的にも物理的にもセキュリティ対策を怠らないようにすることが大切です。
    当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズであれば、データの暗号化によって、外部記憶装置の盗難・紛失・置き忘れが発生しても、情報漏洩しにくくできます。その他にも物理的な外部記憶装置を介さず、安心・安全にデータを受け渡しをすることも可能ですので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 【改訂】ISMS(ISO27001:2022)対策のポイント5選

      常時開催

      【改訂】ISMS(ISO27001:2022)
      対策のポイント5選

    • IT導入補助金2024の攻略法

      常時開催

      IT導入補助金2024の攻略法

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら