情報漏洩対策に必須なUSBメモリの適切な運用方法とは?
USBメモリの使用が当たり前になってきている中、USBメモリからウイルスに感染してしまうといった問題が後を絶ちません。便利で手軽に使うことができる反面、情報漏洩の危険性とは隣り合わせです。
ご自身の組織ではUSBの管理はできていますか?今回は安心して使う・使えるUSBの基礎についてご紹介します。
こんなUSBメモリの使い方、していませんか?
<USBメモリの情報漏洩リスクチェック項目>
○ 私物のUSBメモリの持ち込みを認めている。
○ USBメモリを使って他病院とファイルのやり取りをしている。
○ 院内で使用するUSBメモリを台帳で管理していない。
○ USBメモリに情報を入れて自宅にもって帰る職員がいる。
○ USBメモリについては特に制限を設けていない。
○ USBメモリを紛失したり、一時的に行方不明になったことがある。
1つでも当てはまる項目があれば、情報漏洩の脅威にさらされている可能性があります!
USBからPCへの感染
(図1)
図1のように複数のパソコンに接続して使われるUSBメモリは、攻撃者が不正プログラムを広める手段として定番化しています。
USBメモリ経由のウイルスに感染すると、どのような被害が予想されるでしょうか。その多くは、インターネット上の不正なサーバからさまざまな不正プログラムをダウンロードし、感染を引き起こします。不正プログラム感染がきっかけでパソコン内の情報を外部に送信される、Windowsのシステムファイルの設定を勝手に変更されるなどの被害に遭うケースが確認されています。
万一、ウイルスに感染すると、事態はより深刻です。みなさんは休日中に仕事を進めようと、自前のUSBメモリに業務データをコピーし自宅に持ち帰ってしまったことはありませんか?
もし、自宅のパソコン経由で不正プログラムに感染したUSBメモリを院内や介護施設に持ち込んで感染が広がれば、ネットワークを通じすべてのパソコンが不正プログラムの脅威にさらされます。さらに、情報漏洩などで患者や利用者に不利益を与えれば、長年にわたって築き上げた信用を失ってしまうかもしれません。USBメモリの扱いには十分な注意が必要なのです。
USBメモリは「継続的な管理」が大切です。
USBメモリによる情報漏洩リスクを減らすためには、組織内でルールを明確にし、厳格かつ継続的に管理をしていく必要があります。以下にUSBメモリの運用ルール作りの基本的な流れをまとめます。
1)利用申請・承認のフローを定める
利用申請と承認の手順を定めて、手続きに従って許可されたUSBメモリ以外は利用を制限するようにします。申請を行うことで「安易に利用してはいけない」という意識付けとなります。
2)利用時に注意を促すメッセージを表示する
PCに接続された場合に「取り扱いに注意してください」といったメッセージを表示することで、都度注意を促すことができます。
3)定期的に棚卸を実施して所在確認する
支給したUSBメモリの管理を利用者に任せている場合、定期的に棚卸を行い、USBメモリの所在を確認することで、知らないうちに紛失していないかを確認します。また、棚卸を実施することで利用者の管理意識を高める効果も期待できます。
4)長期間利用されていないUSBメモリは回収する
利用していたUSBメモリも、業務状況の変化によって使われなくなることもあります。長期間利用されていないUSBメモリがあれば、利用者から返却してもらうことで、本当に必要なUSBメモリだけに絞って管理することができます。
このように流れを作ったとしても、なかなかスタッフ全員が実践できるようになるには時間を要します。そこでまず始めにできる対策として、セキュリティ対策付きのUSBメモリに切り替えることが、取り組みやすくオススメです。
セキュリティ対策付きUSBメモリでできること
■アンチウイルス機能
USBメモリ内に進入したコンピュータウイルスを、自動的に検索・駆除・隔離してくれます。
■パスワードロック機能
メモリ全体にパスワードロックをかけることができます。
次回接続時以降、PCに接続する度にパスワード認証を求められるようになります。パスワードにてロックを解除しない限り、USBメモリの中身を見ることができないので、盗難・紛失時において中身を見られることを防ぐことができます。
■自動暗号化機能
USBメモリ内に暗号化ソフトウェアが入っていて、USBメモリ内でこのソフトウェアを起動し、暗号化したいフォルダ・ファイルをドラッグ・アンド・ドロップしパスワードをかけることで暗号化を行うことができるメモリもあります。
■指紋認証機能
パスワードの代わりに指紋で認証するタイプのUSBメモリもあります。パスワードのように英数字を入力するよりも断然簡単でかつ高セキュリティです。
情報漏洩対策にはまず身近なところから。
厚生労働省から情報システムを導入している医療機関の情報の安全管理の指針として「医療情報システムの安全管理に関するガイドライン」が出されています。
この中には情報システムと、それにかかわる個人情報保護、電子保存、外部保存(USBはこれに当たります)、e文書法対応を統合的にまとめられています。このガイドラインは強制的な執行力はないのですが、遵守しなかった場合は法令違反に問われ、それに見合った罰則が適用される恐れがあります。
情報漏洩は身近な気の緩みからおきることケースが大半です。組織のルールと徹底具合を常に確認し、適切な運用が出来る体制作りを心がけていきましょう!
セキュリティ対策付きUSBにご興味のある方は下記までお問い合わせください。
あなたのニーズにあったUSBの選定のお手伝いをさせていただきます。
Everything said made a lot of sense. But, think
about this, what if you added a little information? I
ain’t saying your content isn’t good., however suppose you added
something to maybe get a person’s attention?
I mean 病院・介護施設の情報漏洩対策!正しいUSBメモリの使用方法・管理方法とは。 | 医療介護経営オンライン
is a little plain. You could look at Yahoo’s home page and see
how they create post headlines to get viewers to click.
You might try adding a video or a related picture or
two to get people interested about everything’ve written. In my opinion, it would
bring your posts a little livelier.
Enjoyed reading through this, very good stuff, thankyou .
This i like. Thanks!
Just wanna input on few general things, The website layout is perfect, the articles is very superb : D.
These two better settle their score now before everything ends up burnt!
This guy has something very important to say!