ウイルスやマルウェアが悪意を持ってまたは意図せずに導入される可能性があるため、企業環境でUSBドライブを使用することは常にセキュリティのトピックです。企業環境では、GoogleドライブやOneDriveに似たファイル共有のようなものを実装して適用することを考えていますが、企業環境では社内スタッフのみが使用されます。例えば。 SharePointファイル共有機能を実装すると、企業のセキュリティポリシーでは、企業が発行したラップトップ/デスクトップでUSBドライブを使用することは許可されないと規定されます。同時に、企業が発行したすべてのデバイスのUSBポートをオフにします。これは、USBドライブを介して導入されたウイルス/マルウェアを阻止するための良い方法です。
ただし、私の上級管理職が海外でプレゼンテーションを行っていて、スライドを渡すためにサムドライブが必要な場合、このアイデアは賢明ではないかもしれません。
このような環境はありましたか?コメントをお願いします。
そのシステムにはいくつかの不具合があります。 USBマルウェアを効果的に駆除することはできますが、マシン内のコンポーネントに制限されています。高セキュリティ企業や軍事施設では、USBを使用してCACカードに接続し、マシンの外部で資格情報をロックします。
あなたの会社がセキュリティ上の懸念のすべてに対する解決策を持っていて、ハードウェアベースの認証を使用する意味がない場合でも、問題はありません。
人々が日常業務を行うためにUSBドライブの合法的な使用を必要とする例は無数にあります。セキュリティのためにすべての従業員のサムドライブを禁止するだけで、生産性が失われることは間違いありません。
セキュリティ部門は、多くの場合、費用便益分析を行わずに、このような抜本的な決定を下します。マシンがサムドライブからのマルウェアに感染する頻度はどれくらいですか? USBドライブは確かに感染の媒介物ですが、どれくらいですか?
また、感染のための別のベクターを導入しています。 Googleドライブ、またはOneDrive。これがUSBドライブよりもマルウェアを拡散する傾向が少ないと思う理由は何ですか? USBスティックは、一度に1台のマシンにしか感染できません。共有のGoogleドライブは、アクセス権を持つすべての人に感染する可能性があります。
私の提案は、ドライバーのインストールを管理者にロックするか、デバイスのホワイトリストを強制することです。機密データや機密データを社外に転送するには、認証と暗号化を必要とするサーバーに転送する必要があり、新しいアクセス試行(別のマシン)用に2番目の形式の認証を行う必要があります。これは、スパムフィルターに接続してコンテンツに応じて暗号化を自動的にトリガーできる暗号化された電子メールプロバイダーを使用して実装でき、同じプラットフォームを使用する企業に対して何度も完全に透過的にすることができます。
セキュリティに携わる多くの人々は、企業の「USBブロックポリシー」に誤って到達します。セキュリティとは、リスクを排除しながらビジネスが仕事を行えるようにすることです。セキュリティチームは、自分たちがビジネスのために働いていることに気づかないことがよくあります...それに反対するのではありません。ビジネスが必要なことを達成することを妨げるものは何もありません。したがって、たとえば、USBドライブをブロックします...まあ、ビジネスはデータを移動して、外部の電子メールサービスを介してそれらのファイルを電子メールで送信するか、他の手段を使用する必要があります。ブロックは、これは危険であるという短期的な目標を達成しましたが、より危険な動作に置き換えられました。あなたがこれらのアプローチを取るとき、これは終わりのない戦いです....そしてあなたは勝ちません。そうした場合、おそらく想像もできなかった規模で、会社の純利益に影響を与える可能性があります。
マルウェアはまた、USBに関する心配が最も少なく、USBの損失がより大きなリスクであり、やはりブロッキングは正しいアプローチではありません。透過的な暗号化を使用すると、USBフォブは許可されますが、データは保護されます。この持ち帰りのフォブ以外はマイナーです、人々は電話、カメラ、電子メールデータにアップロードし、ドロップボックスを使用し、印刷します、私は私のPCコピーデータに2番目のSATAドライブを貼り付けてドライブを引っ張ることができますそしてほとんどの企業は警告されません。
リクエストについて考えた場合は、リスクを評価してから、機能を継続させながらリスクに対処する方法を見つけてください。ひざまずく反応はそれを断ち切ることですが、それは90年代のセキュリティの世界です。その精神は2015年にも飛ぶことはありません。