プロモーション用の暗号化 USB フラッシュドライブを企業組織で使用する場合

企業が機密情報の秘密を保持し、EU の GDPR や ニューヨークの NYDFS などの規制に対応するコツ。

暗号化 USB プランの策定：保護とコンプライアンス

• 暗号化 USB フラッシュの計画を策定する最良の時期は、計画の証明が必要になる前です。暗号化 USB フラッシュドライブとそのポリシーを組織全体のセキュリティ戦略に組み込みましょう。
• 企業の標準ポリシーや規範として、社員証やノートパソコンの会社支給と合わせ、暗号化 USB や外付けドライブのベストプラクティスを制定しましょう。
• ドライブの喪失時に復旧できるよう、不測の事態に対応する計画を施行してください。

暗号化 USB や外付けドライブのプランや、使い方のガイドラインを制定しないと、基準がないために、組織は規制のコンプライアンス違反などの各種リスクにさらされます。データ損失やデータ漏洩で企業が被る被害額は、手口が巧妙化しているため、ますます高まっています。 2021 年のサイバーセキュリティ調査では、 データ漏洩の平均的な被害額が全世界で 424 万ドルに上るという結果になりました。これは 2020 年と比べて 10% 増加しています。承認済みの暗号化 USB または外付けドライブのみを使用して BadUSB 攻撃を防ぐ、実践的なデータセキュリティプランを遵守することで、こうした出費を避けられます。

トレーニングと教育の実施

USB フラッシュおよび外付けドライブのどんな使い方がが許容されるか、および個人デバイスの持ち込み（BYOD）ポリシーについて、従業員を教育するトレーニングプログラムを制定してください。

• 暗号化されていない USB や外付けドライブを使用した場合、どんなセキュリティ侵害やその他の悪影響が実際に起こりうるか、ユーザーに説明してください。
• 人事や経営陣も巻き込んで、データセキュリティ施策への支援を依頼してください。新入社員の入社教育と、全従業員の継続的なトレーニングを標準的に実施する必要があります。
• 下取りの方法を制定してください。従業員の私物の USB や、展示会などで入手して仕事用またはストレージデバイス用に使っている USB などを、会社認定の USB や外付けドライブと交換するように推奨してください。

リスクについてエンドユーザーを教育しないと、完璧なデータ漏洩防止戦略を施行できず、違反が起きがちになります。 Ponemon が実施した USB セキュリティの調査によると、 たとえ会社が「承認済み」 USB を提供していても、従業員の 72% がカンファレンス、展示会、ビジネスミーティングなどで無料配布されたフラッシュドライブを使用しています。

ポリシーの確立と適用

USB フラッシュドライブを含む電子ポータブル・ストレージメディアの適切な使用に関するポリシー（規約）を提起します。以下の手順で行います。

• 暗号化 USB や外付けドライブ上の機密データや秘密データへのアクセスやダウンロードが必要な個人と組織を特定し、アクセス権限のポリシーを定めます。
• IT 部門やエンドユーザー向けにポリシーを文書化します。
• すべての従業員が、利用規定と、ガイドラインに従わない場合の影響について理解するように、研修の受講と、研修後の同意書への書名を義務付けます。

全員が従うべき適切なポリシーを制定しないと、USB および外付けドライブを通じてデータセキュリティ戦略が侵害されるおそれがあります。ポリシーの制定は、まず最初に行うべき非常に重要なステップです。また Ponemon の調査によれば、企業組織の 50% 弱が、過去 24 か月以内に機密情報や重要な情報の入ったデバイスを紛失したことがあると回答しています。