USBメモリに関する管理規定と遵守の強制|セキュリティ|ブログ|Computerworld

読者の皆様

お待たせしました。

北海道出張で、道産豚のカツカレーをまたもや大盛りで平らげた蔵本です。

いつも大盛りで頼んでいる私ですが、今回はあまりの量の多さにびっくりしました。まぁそれでも平らげたんですけどねｗ

さてさて、前回までのプログラミング関連の話題からうってかわって、今回はUSBメモリ等のリムーバブルディスクの制御についてお話します。

私の監査経験上、管理規定として下記のような規定を設けている企業が多くあります。

・会社指定のUSBメモリ以外は使用禁止

・USBメモリは使用禁止

しかしながら、監査時にヒアリングを実施すると、9割方「遵守しているかどうかわからない」という答えが返ってきます。

このような規定を設けている企業の多くは、管理規定の策定に留まっています。

つまり簡単に言いますと、「USBメモリを使用してはいけませんよ、守ってね」と口で言っているだけです。

従って、遵守状況のモニタリングを行う方法もないため、上記のような結果となってしまうわけですね。

管理規定には、技術的に対策が可能な項目と技術的に対策が不可能な項目があります。

例えば、「社外で自社に関する話題をしてはいけない」等は、技術的に対策するのは不可能ですね？

しかし、「8桁以上のパスワードを設定すること」等は、技術的に対策することが可能です。

USBメモリの制御に関しても同様に技術的に対策することが可能ですね。

USBメモリ等のリムーバブルディスクに関しては、ほとんどの企業で、禁止なり制限なりの規定が存在しています。

しかしながら、これだけ情報漏えいの要因として認識されているということは、管理規定を破ることで、リスクが顕在化していると言えます。

このような、リスクが顕在化しやすい項目に関しては、管理規定は破られる事を前提に対策を実施し、技術的に管理規定の遵守を強制してやる事が重要です。要は破りたくても破れない状態にする事が重要なのです。

※ちなみに、管理規定で、「USBメモリの使用を禁止してください」と言っている訳ではなく、禁止すると決めたのであれば、しっかりとその管理規定が遵守されるようにするべきという事です。また、USBメモリの使用を許可するのであれば、無論、盗難・紛失対策を十分に実施する必要が出てきます。

Active Directory のグループポリシーを利用する事で、リムーバブルディスクを認識させないようにする事もできますし、特定の型番のUSBメモリだけを認識させ、その他のUSBメモリは認識しないように制限する事もできます。また、同様の機能を持つ製品も存在しますので、このような、製品や技術を利用する事で、管理規定を強制し、情報漏えいリスクを低減していきましょう！

また、監査的な観点から見ると、技術的に禁止を行う事で、遵守状況を把握しやすいという利点もあります。

技術的に制御していない場合は、サンプル法等でヒアリングし、遵守状況を確認することになるケースが多いのですが、技術的に禁止していると、制御するソフトウェアの導入率やグループポリシーでの制御であれば、Active Directory への参加率を持って、監査証跡として利用する事もできます。

覚えておいて頂きたいのは、リスクが顕在化する可能性の高い項目はなるべく技術的に管理規定を強制する事が大事ということです！

それではまた来週お会いしましょう！