USBメモリーなどの外部記憶媒体の利用を制限した時の記録です。
同じように悩まれている方の参考になればと思います。
経緯
昨今のUSBメモリーなどの使用が制限される中で、社内では特に文書としての規定がなく、個人のUSBメモリーも自由に使用できる状況でした。文書としてはありませんでしたが、新入社員研修時や社内の講話などで個人所有の機器全般の業務利用は不可と伝える程度の運用でした。
ただ、敷地内でUSBメモリーの落とし物があったり、出所不明なUSBメモリーが利用されたりすることがあからさまに増えてきたため、運用ルールを明確にすることにしました。
目的
以下事項を防止するために、運用ルールを明確にしました。
- 外部記憶媒体への書き込みを制限し、紛失や盗難による情報漏洩リスクを未然に回避する
- 情シス部門が許可した外務記憶媒体しか読み書き出来ないようにし、利用されている外部記憶媒体の全体像を把握する
- 定期的に棚卸しを行い、紛失した外部記憶媒体を把握する
- 指定したアップローダーを利用することを推奨し、管理出来ないファイルの受け渡しを減らす
環境
運用ルールを明確にする際、以下の機器などを利用するようにしました。
- 暗号化複合化機能付きのセキュリティーUSBメモリー
- セキュリティー機能を持たない通常のUSBメモリー(例外処置用)
- セキュリティーUSBメモリーの設定ソフト
- 外務記憶媒体の利用を制限したり、ログを取るためのIT資産管理ソフト
暗号化複合化期の付きのセキュリティーUSBメモリー
Buffalo RUF3-HS4G
選定理由としては、自社が推奨するパスワードルールやデータの消去ルールなどのポリシーを設定したかったためです。同社製の設定ソフトを別途購入する必要がありますが、実現可能でしたのでこの機器を選定しました。容量については、大量にファイルを持ち歩いて欲しくないため、容量が少ないものを選定しました。ただし、例外処置として容量が多いものを渡すこともあります。
暗号化複合化機能なしUSBメモリー(例外処置用)
Buffalo RUF3-K16GA-WH/N
選定理由としては、セキュリティーUSBメモリーと視覚的にも区別したかったため、異なる色と形のものを選定しました。用途としては、自社製品のメンテナンス用です。一部の自社製品がOSの都合によりセキュリティーUSBメモリーを読み込むことが出来ないため、用途を限定して利用出来るようにしています。運用ルールだけでは情報漏洩対策の抜け道になるため、後述のIT資産管理ソフトで書き込めるファイルを制限しています。
管理する機器の種類が増えるのも面倒でしたので、はじめはUSBメモリー本体だけで複合化と暗号化が完結できるものも検討していました。
Kingston DataTraveler 2000
USBメモリー本体にパスワードを入力するボタンがあり、複合化と暗号化がUSBメモリー本体だけで完結できるので候補にあがったのですが、実際に使用してみると以下のような問題がありましたので候補から外しました。
- 初期設定する際、パソコンに接続して設定するのではなく、USBメモリー本体のボタン操作で進める必要がある上に、事前に作成したポリシーを反映するような機能もないため、複数の設定を行う場合はなかなの苦行
- マニュアルが英語のテキストだけのため、配布した後のサポートが面倒
- パスワードの入力が他者から丸見えのため、単純なパスワードの場合は盗み見られる場合がある
- パスワードを忘れた際の救済手段がないため、再利用するには初期化が必要
紛失や盗難時のセキュリティーとしては良いと思いますが、社内では却下されました。
これらを気にしないのでしたら、防水・防塵で IP57 に認定されていますので、現場で利用することを想定するのであればいい選択しの1つだと思います。
3年ほど利用していますが、ボタンや内蔵電池に問題が発生することもなく利用できています。
セキュリティーUSBメモリーの設定ソフト
Buffalo SecureLock Manager2 (RUF2-HSC-MGR)
選定理由としては、同社のRUF3-HSに対してオリジナルのポリシーを設定したり、事前に設定したポリシーを容易に反映させることができ、設定作業が格段に楽になるためです。その他、パスワードを忘れた際の救済手段もあります。ただ、ライセンスキーとなるRUF2-HSC-MGRを別途購入する必要があり、ソフトを起動する際にはRUF2-HSC-MGRをパソコンに接続しなければ起動しません。
外務記憶媒体の利用を制限したり、ログを取るためのIT資産管理ソフト
もともと導入していたIT資産管理ソフトを活用
ソフト名やサービス名は都合により伏せますが、以下の事項についてこのソフトで運用します。
- 許可する外部記憶媒体の管理
- 書き込み不可とするファイルの管理
- 外部記憶媒体に書き込まれたファイルの管理
許可された外部記憶媒体のみ利用できるようにしたり、特定の外部記憶媒体を禁止したりする運用を行うためには、そういった運用に対応したソフトを利用するのが手っ取り早く管理も容易になるため、既存のIT資産管理ソフトを活用することにしました。
特定の外部記憶媒体を禁止するような運用であれば、グループポリシーでも行えそうです。
運用ルール
外部記憶媒体をPCに接続した際の挙動
情シス部門で許可登録された外部記憶媒体のみ「読み取り/書き込み可」の状態にします。それ以外の許可されていない外部記憶媒体は「読み取り可」の状態にします。ただし、運用開始日から1年以内に使用されたことがある外部記憶媒体については、「読み取り/書き込み可」の状態を維持します。
外部記憶媒体を新たに購入する場合に必要な手順
情シス部門から指定の外部記憶媒体を配布します。所定の申請手順にて、上長の承認を受けた後に情シス部門にご連絡ください。
常備はしていませんので、余裕を持ってご連絡ください。
外部記憶媒体を持ち出す際の注意
原則として、情シス部門が指定したセキュリティーUSBメモリーのみ持ち出しを許可しますが、「セキュリティーUSBメモリーが使用できない自社製品の保守を行う」場合にのみ、情シス部門が指定した通常のUSBメモリーの持ち出しを例外的に許可します。ただし、書き込むのは保守に必要な必要最低限のデータのみを保存するようにし、社外秘や個人情報などのデータは保存しないように厳守してください。
ディスクメディアなど、記憶媒体自体に暗号化ができない場合は、必要に応じてここのファイルを暗号化してください。
外部記憶媒体の棚卸し
未使用期間が30日以上の外部記憶媒体については、紛失・盗難などの確認のため、最後に接続された端末の所有者に確認を行うことがあります。
ディスクメディアなどの記憶媒体については、ここで管理してください。
禁止する行為のまとめ
禁止する行為とその補足については以下を参照してください。
前項の内容と合わせてご確認ください。
会社貸与ではない個人所有の外部記憶媒体
外部記憶媒体全般
以下の行為を禁止する
- 社内への持ち込み
- 会社貸与の機器への接続
- 業務利用
会社貸与の外部記憶媒体
外部記憶媒体全般
以下の行為を禁止する
- 会社貸与ではない個人所有の機器への接続
注意事項など
- 書き込むデータの必要性については十分検討してください
- 必要最低限のデータのみを書き込み、社外秘や個人情報などをの必要のないデータは書き込まないことを厳守してください
外付けHDD、外付けSSD
以下の行為を禁止する
- 社外への持ち出し
情シス部門指定のセキュリティーUSBメモリー
以下の行為を禁止する
- 第三者にパスワードを譲渡する
- パスワードをパソコンに貼り付けるなど、第三者が容易に確認出来る場所に記載する行為
注意事項など
- パスワードの入力時、第三者に見えないようにしてください。
情シス部門指定の通常のUSBメモリー
以下の行為を禁止する
- 自社製品の保守に必要のないファイルの書き込み
注意事項など
- 自社製品の保守を目的とする場合に限り持ち出し可能
メモリーカード(カメラのストレージとしての利用を目的とし、暗号化できない場合)
以下の行為を禁止する
- カメラのストレージとしての目的で利用する
- メモリーカード単体での持ち出し
注意事項など
- カメラのストレージとして利用する場合に限り持ち出し可能
メモリーカード(パソコンのストレージとして利用し、暗号化できる場合)
以下の行為を禁止する
- メモリーカード単体での持ち出し
注意事項など
- Bitrockerでの暗号化を必須とする
メモリーカード(USBメモリと同様の用途として利用する場合)
以下の行為を禁止する
- 自社製品の保守に必要のないファイルの書き込み
注意事項など
- 自社製品の保守を目的とする場合に限り持ち出し可能
ディスクメディア
以下の行為を禁止する
- 社外への持ち出し
注意事項など
- データの提出などに必要な場合に限り持ち出し可能
おわりに
社内でUSBメモリーなどの運用ルールを開始した際の簡易の資料でした。
実際の運用ルールは、もう少し言い回しを厳格なものにしたり、罰則規定やもう少し細かい運用ルールを記載していたりします。一人情シスでは、なかなか1から考えるのは大変ですし、他社がどんなルールで運用しているのか知りたいことが多いので、少しでも参考になれば幸いです。
