ここではシステムのセキュリティ対策ではカバーできない、人為的ミスによるUSBメモリ・モバイル機器紛失のリスクについて調査。実際に起きた事例についてもご紹介します。
リモートワークの増加に伴いUSBメモリ紛失による情報漏えいリスクがニュース記事になることが多くなりました。USBメモリは小型で持ち運びやすく接続も簡単なので仕事でよく利用されます。また会社から貸与されたモバイル機器を出先で使用するケースもありますが、これらを紛失すると情報漏洩に直結するリスクがあります。
USBメモリやモバイル機器は携帯性に優れていますが、同時に紛失や盗難に遭いやすいリスクも抱えています。社内で仕事をしているとあまり気にすることがないのですが、業務で使用するファイルやデータの多くは機密情報です。それが紛失や盗難などにより第三者の手に渡れば、悪用され会社・組織に甚大な被害を与える可能性があります。
尼崎市は2022年6月に市民約46万人分の個人情報を含むUSBメモリーを紛失したことを発表しました。23日に紛失したUSBメモリはすぐに発見され、個人情報の漏えいは確認されませんでしたが、尼崎市では7月1日に調査委員会を設置。給付金支給事務の受託会社の社員による紛失事案でしたが、業務委託やデータ管理体制が見直されました。
2022年10月、関西大学高等部で個人情報を記録したUSBメモリの紛失があったことが発表されました。情報は国語教員が担当した名前、成績、教科及び進路指導情報400名分、卒業アルバムデータ、国語試験問題。校内でのUSBメモリの使用は原則禁止としていましたが、私物のUSBメモリに情報を保存して自宅に持ち帰り紛失に気がつきました。
茨城県つくばみらい市は2023年1月25日に市立小絹中の生徒78人分の個人情報が入ったUSBメモリー紛失を発表しました。USB内には氏名や英語テストの点数、英語の評定、担当教員の個人の写真データなどが記録されていました。業務に使っているUSBを教員が無許可で筆箱に入れ自宅に持ち帰り紛失したことによるものでした。
USBメモリなどの紛失による人為的ミスが発生する要因の多くは、会社や組織全体のセキュリティリスクに対する意識の欠如です。管理体制が不十分であることに加え、手軽さ・便利さが後押しし危険性を見えにくくしています。
また尼崎市の事例のように外部に業務を委託している場合、直接の取引先から下請け会社に再委託されるケースもあり取引形態全体の問題も関係しています。会社や組織が業務データ管理にどう向き合うのか真剣に検討することが求められます。
被害の予防として、社員教育で下記を意識させるようにしましょう。
・そもそも重要な情報を外部に持ち出さない。
・持ち出す必要がある場合には、持ち出し記録を残す。
・体調不良や多忙等、情報を取り扱う際に注意力散漫な場合には特に気をつける。
・取り扱う情報の重要性を今一度意識する。
万一に備え、USBメモリの暗号化などの対策をしておきましょう。また、社員側だけでなく、管理側もルールが徹底されているか、こまめにチェックすることが重要です。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
本サイトの監修者であるアルファネットでは今回解説したUSBメモリ・モバイル機器の取扱い上の注意・アドバイスや社員のセキュリティ教育なども行っています。自社のデータ管理体制が不十分と考えている場合は相談することをおすすめします。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス
USBメモリやモバイル機器の紛失は、漏えいした情報が悪用されることで、他の脅威を誘発してしまうおそれがあります。また、セキュリティ意識が低いとして、組織の社会的信用の失墜や、経済的な損失にもつながる可能性があります。