MENU
現場に強い、セキュリティとDXの実行支援
  1. TOP
  2. OTセキュリティ
  3. 製造業におけるムーバブルメディア対策~中小製造業におけるUSBメモリ利用のリスク低減~

製造業におけるムーバブルメディア対策~中小製造業におけるUSBメモリ利用のリスク低減~

OTセキュリティ
目次

近年のUSBメモリの扱い

USBメモリは手軽にデータを持ち運べる便利な記録媒体ですが、近年では情報漏洩やマルウェア感染の原因として問題視され、多くの先進企業や自治体では利用を制限または禁止されていることが多いです。

また近年ではランサムウェア被害の増加や「サプライチェーン強化に向けたセキュリティ対策評価制度」等に起因する取引先からのセキュリティ要求の高まりにより、USBメモリを含むムーバブルメディア管理は中小製造業においても重要な対策の一つとなっています。

一方で、製造業では設備へのプログラム転送やCSVファイルの受け渡しなど、USBメモリを完全に無くすことが難しい現場も少なくありません。

USBメモリが抱える主なリスク

一般的なUSBメモリには次のようなリスクがあります。

  • マルウェア感染(ランサムウェア含む)
  • 情報漏えい
  • 紛失・盗難
  • 不正なデータ持ち出し

デジタルソリューション社が実施した「社内不正被害に関する実態調査」(2022年1月~2023年3月)では、USBメモリを利用している企業の約80%が利用制限や管理ルールを設けていないと報告されています。

また、IPA(情報処理推進機構)の調査でも、USBメモリを起因とするマルウェア感染事例が多数報告されています。

USBメモリによる実際のサイバー攻撃

USBメモリを利用した攻撃として最も有名なのが、【中小製造業のOTセキュリティ#2】OTとOTセキュリティのはじまりでも紹介しました2010年に発覚したStuxnetによる事例です。このマルウェアはUSBメモリを介して閉域ネットワーク内へ侵入し、イランのウラン濃縮施設に設置されていた遠心分離機を損傷させたとされています。この事例は「インターネットにつながっていない設備でもUSB経由で攻撃を受ける可能性がある」ことを世界に示しました。
 

BadUSBという新たな脅威

Windows XP時代まではUSBメモリの自動実行機能が悪用されるケースがありましたが、Windows 7以降では自動実行は基本的に無効化されています。しかしながら代わりにBadUSBと呼ばれる攻撃手法が登場しています。

BadUSBはUSBデバイス内部のファームウェアを書き換え、USBメモリでありながらキーボードやマウスとして振る舞わせることで悪意のある動作を自動的に引き起こす攻撃です。BadUSBと化したデバイスをPC等の端末に接続した瞬間に不正なコマンドが自動入力され、

  • マルウェアのダウンロード
  • アカウント情報の窃取
  • セキュリティ設定の無効化

などを行う可能性があります。従って安易に出所不明のUSB機器やUSBポートに端末を接続しないよう気を付ける必要があります。海外では空港やホテルの無料USB充電ポートの接続により携帯端末がマルウェアに感染した事例があります。

製造業ではUSBメモリを完全に排除できない

一方で製造現場では、

  • 工作機械への加工データ投入
  • PLCプログラムの受け渡し
  • 検査装置へのCSV読込
  • 取引先とのファイル授受

などでUSBメモリが利用されているケースが少なくありません。そのため現実的には、「USBメモリを禁止する」ではなく「管理されたUSBメモリのみ使用する」という考え方が重要になります。

リスク低減のための対策

  • 1. セキュリティUSBの導入

以下のような機能を持つUSBメモリがあります。

  • ハードウェア暗号化
  • パスワード認証
  • 指紋認証
  • ウイルスチェック機能
  • 書込み制御

価格帯はおおむね5,000円~50,000円程度です。BUFFALOやI-O DATAなどが関連製品を提供しています。

また、USBメモリ型のセキュリティ機器として、端末のマルウェア検査や診断、駆除を行う「ワクチンUSB」と呼ばれる製品もあります。これらはデータ保存用USBメモリではなく、セキュリティ対策専用機器であるため混同しないよう注意が必要です。

  • 2. 紛失対策

GPS付きUSBメモリといった製品もありますが非常にニッチであり入手も困難であるため、AirTagなどの紛失防止タグを併用する方法が有効です。

  • 3. 検疫

外部から持ち込まれたUSBメモリは、社内ネットワークや設備へ接続する前に検査することが望ましいです。比較的低コストな方法としては、

  • 検疫専用PC
  • マルウェア・ウイルス対策ソフト
  • USB制御ソフト

を組み合わせる方法で、10~30万円程度で構築できるケースもあります。

より高度な対策としては、USBメモリなどのムーバブルメディアを自動検査するキオスク型検疫システムがありますが、導入費用は100万円以上になることが一般的です。

  • 4. シャドーIT対策

技術対策だけでなく運用管理も重要です。

  • 私物USBメモリの持込禁止
  • 貸出管理台帳の整備
  • 利用履歴の記録
  • 定期棚卸し

などを実施することでリスクを大幅に低減できます。

まとめ

USBメモリは便利な反面、マルウェア感染や情報漏えいの入口となる可能性があります。特に製造業では設備とのデータ授受に利用されることが多く、急に利用を全面禁止とすることはあまり現実的ではありません。

重要なのは「禁止」ではなく「管理」です。暗号化USBメモリや検疫環境を活用し、私物USBメモリの持込を防止することで、USBメモリ利用に伴うリスクを大幅に低減することができます。

まずは無料相談から始めませんか?

工場のセキュリティやDXのことでお悩みなら、まずは60分の無料オンライン相談をご活用ください。
現状の整理から、導入の方向性まで丁寧にご案内いたします。

無料相談のお申込みはこちら
OTセキュリティ
OTセキュリティ 中小製造業の悩み DX
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

関連記事

目次