リムーバブルメディアのセキュリティ脅威

リムーバブルメディアを使用する際にユーザが行うべきこと

2024年2月21日
著者: Ahona Rudra
翻訳: 逆井 晶子

この記事はPowerDMARCのブログ記事 Removable Media Security Threats の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

リムーバブルメディアはデータ保存の定番となっています。
しかし、これらは100％安全でしょうか？
残念ながら、そうではありません。

マルウェア感染、データセキュリティ、著作権侵害、物理的な損傷など、いくつかのリスクが関連しています。
リムーバブルメディアの脅威は、データの漏洩や喪失を引き起こし、それによって大きな評判や経済的損害をもたらす可能性があります。

リムーバブルメディアとは？

リムーバブルメディアは、システムが稼働している間もコンピュータやラップトップから取り外すことができるストレージデバイスの一種です。
一般的なリムーバブルメディアデバイスとしては、USBメモリースティック、外付けハードドライブ、CD、DVD、SDカードなどがあります。
これらは、機密データや重要なデータを保護するためのバックアップストレージデバイスとして使用されます。
また、デバイスのデフォルトストレージスペースが限られているため、追加のストレージスペースとしても使用されます。

しかし、リムーバブルメディアの脅威とは何でしょうか？
これらのデバイスは一般的に使いやすく便利ですが、いくつかのリスクも伴います。
これには、データセキュリティ、マルウェア、メディアの故障、デバイスの紛失などが含まれます。
このブログの後半では、これらについて詳しく説明します。

政府システムでリムーバブルメディアを使用できるのはいつですか？

政府システムでは、緊急時のみリムーバブルメディアを使用でき、国防省のコンピュータでは許可が与えられます。
これらのコンピュータは、データ交換に必要なハードウェアに準拠している必要があります。

リムーバブルメディアを使用する際にユーザが行うべきことは？

リムーバブルメディアはデータの保存や転送に役立ちますが、いくつかのリスクも伴います。
リムーバブルメディアに関連するリスクを知る前に、使用時に取るべき予防策を見てみましょう。

• すべてのリムーバブルメディアとデバイスは暗号化する必要があります。
  デバイスが紛失またはハッカーによって盗まれた場合、データは彼らにとって無価値になります。
• 信頼できるアンチウイルスおよびアンチマルウェアプログラムをインストールし、感染したリムーバブルメディアについて通知を受けるようにしましょう。
• その種類や由来が不明なメディアやデバイスを自分のノートパソコンに接続しないでください。
  代わりに、不明なストレージデバイスはセキュリティやITチームに渡しましょう。
• 業務で使用するデータが入ったリムーバブルメディアを使用した場合、出張から帰ったらパスワードをリセットしましょう。
• 大文字、小文字、数字、特殊文字を組み合わせた長いパスワードを使用するようにしましょう。
• リムーバブルメディア上のパスワードを他人と共有しないでください。
• オートランとオートプレイの機能を無効にしましょう。
• 個人データと業務データは別のデバイスに保存しましょう。
• PCや携帯電話にデータを転送した後、機密データを削除しましょう。
• 必要に応じて、データを保護するための物理的なセキュリティを実施しましょう。
• 従業員にリムーバブルメディアの脅威について教育しましょう。
• 紛失や盗難に備えて、データのバックアップをしましょう。

リムーバブルメディアに関連するリスクはどれですか？

リムーバブルメディアは効率的で、ストレージの問題を管理するのに役立ちます。
データを簡単に転送できる反面、見過ごされる可能性のあるいくつかの脅威も存在します。
それでは、リムーバブルメディアに関連するリスクを見てみましょう。

データセキュリティ

ハードドライブやペンドライブなどのリムーバブルメディアに機密データをコピーするたびに、そのデータが不正なエンティティによってアクセスおよび傍受されるリスクがあります。
これらは小型で持ち運びが容易なため、紛失や盗難の可能性が高くなります。
暗号化されていても、紛失したデータを復旧することはできません。

マルウェア感染

リムーバブルメディアは、マルウェアが意図せずに広がる原因となることがあります。
特にオートランが有効な場合、これが連鎖的に複数のデバイスに影響を及ぼすことがあります。
そのため、すべてのPCやノートパソコンに信頼できるアンチウイルスソフトウェアをインストールし、定期的に更新することが推奨されます。

これらのマルウェア感染は主にユーザの不注意によるものですが、ハッカーがリムーバブルメディアを悪用してコンピュータに感染させることもあります。
これは「ベイティング」と呼ばれるソーシャルエンジニアリング技術の一種で、マルウェア感染したデバイスを人通りの多い場所に放置するものです。
これは、リモートワーカーが公共の場所で仕事をする際に直面するセキュリティリスクの一つです。

著作権侵害

リムーバブルドライブに保存されたデータは、著作権の対象となることがあります。
所有者の許可なく著作権データを保存している場合、重い罰金が科されることがあります。

メディアの故障

リムーバブルメディアのもう一つの脅威は、他のメディア形式に比べて寿命が短いことです。
これらは破損したり、マルウェアに感染したりする可能性があり、データの喪失につながることがあります。

リムーバブルメディアのセキュリティポリシーを設定する方法

会社のオーナーとして、漏洩や盗難されたデータに対して責任を負い、結果に直面することになります。
そのため、リムーバブルメディアに関するポリシーを設定し、従業員がこれらのデバイスを責任を持って扱うようにする必要があります。
それでは、組織向けのポリシーをどのように作成するかを見てみましょう。

アウトライン

他の会社のポリシーと同様に、これもポリシー文書内で説明するべきパラメータを設定することから始めるべきです。
現在および潜在的な脆弱性を明確に説明するアウトラインを設定し、会社のネットワーク内でリムーバブルメディアを使用する際に考えられる脅威も含めるべきです。

目的

アウトラインを設定した後、新しいポリシーを作成および実施する目的を明示する必要があります。
このセクションでは、従業員がリムーバブルメディアの脅威に関する疑問や懸念についてIT部門に問い合わせるよう奨励する必要があります。

範囲

このセクションでは、ポリシーでカバーされる内容とカバーされない内容を説明します。
すべてのポイントを詳細に説明し、紛争や疑念を最小限に抑えるようにしましょう。

ポリシーの概要

ここでは、実際のポリシーを概説し、次の点を具体的に指定します。

• どの種類のデータが保存できるのか？
• 従業員はいつリムーバブルメディアを使用できるのか？
• 誰がリムーバブルメディアを使用できるのか？
• 情報をどのように暗号化するのか？
• リムーバブルメディアを開く前にどのようにスキャンするのか？
• すべての例外と除外事項。

非遵守

ポリシーに従わない場合に課される結果を明示します。
これには、罰金、解雇、停職、警告などが含まれる可能性があります。

用語集

用語集では、文書全体で使用される用語を説明し、内容を理解しやすく、より透明にします。

考察

ビジネスにとって重要な情報を保存するためにリムーバブルメディアを使用する場合、それらが物理的に保護されており、従業員が注意深く使用する方法を理解していることを確認する必要があります。
ユーザの不注意な行動が、1台のデバイスから別のデバイスへマルウェアを広げ、連鎖的に複数のデバイスを感染させる原因となります。