見出し画像
Photo by takako_stories

【情報セキュリティ回#20】まだUSBの貸し借りやってるの?

やす かわはら

スマホが普及し、めっきり使わなくなったものの1つが、USBメモリ。

スマホどうしなら、データのやり取りはLINEでいいし。
Bluetoothとか赤外線使ってのやりとりとか、
今の10代20代は誰も知らないでしょ。
恐らく。

自分のパソコンと自分のスマホの間も、
Google ドライブとか、iCloud 使うと便利。

会社のパソコン間も、ファイルサーバやメール、
チャットツールやクラウドサービスなど

データの受け渡しは多彩すぎるほどに充実。

なのに、なぜUSBの貸し借りがまだ必要なのか。

ここに、個人利用ではわからない、
企業の情報セキュリティの「壁」があります。

個人利用の環境のほうが、すごく便利


はっきり申し上げると、利便性だけなら
個人利用の環境のほうが、すごく便利です。

昔は、高額な投資が必要だったこともあり
企業のほうが便利だった時代もありますが、

インターネットとスマホが時代を変えました。

【例えば その1】

無料で利用できる範囲が、
企業で準備する環境を越えてます。

Google ドライブは、無料でも1人あたり
15GB の容量が使えます。

企業が1人あたり15GBを個別のサーバで確保しようとするなら、
人数によっては億超えの投資が必要になります。

【例えば その2】
いろんな生成AIが登場する中、
生成AIを利用許可してる企業は、
100パーセントではないです。

生成AI、使えてますか?

ChatGPTとかCopilot は使えてても、

Google の gemini とか、
iPhone の Siri とか、
X(旧Twitter)のGrok とか、

業務で使えますか?使えるようになってますか?

100パーセントの企業が
「はい、使えます」な回答ではないです。

なぜ企業では使えないのか?


「情報システム部門の怠慢だ」って
直球ではないですけど、そう解釈せざるを
得ないような言われ方したことあります。

まあ、一理あります。

想定外に使う人がいるから、
物理的に使えなくしてる。な面がある

と、はっきり書いておきます。

銀行や証券会社でさえも、
お客様のお金を横領して逮捕者が出る時代。

自己責任とはいいつつも、
報道のされ方を見る限りだと
やっぱり企業責任を問われますよね。

リスクを日々背負う部署の立場からすると、
そんなことが物理的にできなくしてしまいたい

と考えるのは自然です。

だから、
ルール上禁止にしたり
データにアクセスできなくしたりします。

不正のトライアングル、という考え方があって、
人は、次の3条件全てがそろうと
不正行為に手を染める、と言われています。

1.機会:やれてしまう
2.動機:不正せざるを得ない状況にある
3.正当化:自分は悪くない、な解釈

うち、1.機会 を強制的に取り除くことで、
不正の機会を減少できるんです。

むしろ、2.動機とか3.正当化は
企業ではコントロールできないんですよね。

企業が自発的にできるのが、1.機会 の排除。

だから、禁止にする。
利用できない状態にする。

従業員が不正を起こしてしまい、
人生を棒に振ることを避けたい。

企業の親心、といえば聞こえはいいんですが、
リスクマネジメントの観点では
打てる手を打つ。
ごくごく基本的なことを忠実に行ってるんです。

ただ、情報システムの怠慢論に
「一理ある」と感じる点もあります。

時代と技術は変わってきてるので、
従来とは違うツール導入することで、
不正の機会抑止と利便性向上が両立できる

そんなケースもあるんです。実は。

そんなツールがある、な情報を
知ってるかどうか
そのツールを使う企業メリットとリスクを
比較しているか

これをやらずに
一律禁止  しか選択しないのは、

リスクマネジメントと分けて考えても
ちょっと違うよな。
な思いはあります。

この機会の排除、は、
企業によってはインターネット禁止とか
データ保管できる場所の制限とかです。

つまり、

インターネットは普及してても
インターネット使わせるとリスクあるから
使わせるなんてとんでもない。

な企業や業種があるんです。

2024年に官庁とのデータやりとりが
フロッピーディスクでなくてもよくなります。
そんなニュースが話題になりました。

え、まだフロッピーディスク使ってたの?

と感じる人は多かったはずなんですが、
実際使ってた企業からすると、

フロッピーディスクを業務で使うのは当然。
え?使ってないの?

な感じだったはずです。

それくらい、
企業のIT利用環境は、個人のそれとは
かけ離れてるし、
企業間でも全然違うんです。

それが悪いわけでもなく、
リスクと社会的影響が大きな企業ほど、
不正のトライアングルの 機会 を
強固に制約してる

ただそれだけの差です。

なので、USBメモリは業種によっては
まだまだ現役です。

手渡しで必要なデータを渡し、
特定の端末だけにデータを移すことを
目の前で確認できる。

リスク管理においては、

送付誤り
不特定多数へのデータコピーとその保管

というリスクがあるんですけど、
それを排除できるメリットが
USBメモリにあります。

道具は、場面場面に最適な道具を選ぶ。
古くさいとか、時代遅れとかは関係ないです。

USBメモリ利用の注意点

USBメモリの利用頻度が減ったからこそ、
使い方を知らない人が増えてます。

我が家の子どもたちはおそらく、
公衆電話から電話かけることは
できないでしょう。

テレホンカード渡しても、使えないと思います

それは、使い方を知らないから。
まだ存在してても使い方が分からないと
使えないし、
誤った使い方は逆にリスクです。

改めて、使う時の注意事項を簡単に解説します。

1.小さいと紛失しがち。保管場所は決めとく

特に、スーツのポケットに入れて、
夜の宴席でお酒のんだ結果、
記憶と共にUSBをなくした。

まだそんな記事を令和の時代でも目にします。

USBはなくなります。すぐ落ちます。
宴席に持ちこまないようにするのが最善策です。

2.暗号化パスワードは不特定多数に教えない。桁数もね

USB紛失の記者会見で、USB暗号化を解く
パスワードの桁数を答えていた方がいますが、

その直後から、SNSでパスワードの桁数から
あれじゃないか
これじゃないか
と推測パスワードが溢れました。

当たってるかどうかは分かりませんが、
もし推測できたパスワードが正解だったら、
解読できた可能性があります。

桁数も秘密にしておく必要あります。
3ケタ、とか桁数わかったら、総当たりで
パスワード解読できちゃいます。

3.不審なファイルが含れてないチェックする

どんなに信頼できる人から預かったUSBでも、
使う時にはウィルスチェックをするのが得策です。

その人が意識しないところでウィルスが紛れる
可能性はゼロではないです。

チェックしないで、もしウィルスが蔓延したら
信頼できる人の責任問題になりかねません。

そうならないためにも、
自らの端末が"関所"となり、
万が一のことがあっても喰いとめる

な感覚でUSBの中身のチェックを
してほしいです。

・・・

USBは恐らく、なくなりません。
だからこそ、リスクが潜みます。

自分自身がリスクの当事者にならないよう、
USBをたまに使ってみるのがいいですね。

意外と使い方忘れてますし、
ウィルススキャンをもらしがちです。

昔はできたんだけど。より、
今できることのほうが大事です。