ISO27001対応でUSB利用をチェック
企業概要
建設業 : A株式会社/規模:東証一部上場企業
導入背景 / 課題
ISO27001(情報セキュリティマネジメントシステム)を運用している観点から、セキュリティ強化のためパソコンでは指定されたUSBメモリのみ利用を許可し、無許可のUSBメモリは接続させない仕組みを検討する必要がありました。
解決策
PortSecurityで社内で許可したUSBメモリを登録し、登録以外のUSBメモリが接続された場合にはPCロックといった保護動作設定で利用抑止を行いました。それら基本機能に加え、「会社から貸与された利用許可USBメモリの使用履歴(監査ログ)が一元管理され、資産管理情報として有効に利用可能である」という他の類似製品に無い利点があり採用となりました。以下、具体的な評価項目。
- 不正なUSB機器(USBメモリ・ポータブルHDD)の使用をシャットアウトできる
- 使用を許可するUSB機器の設定が簡易的で柔軟な運用ができる。
- 緊急時の保護動作で利用者への抑止力を高められる。
- 不正使用履歴を記録しサーバPC上で集中管理できる。
- 使用許可済みUSB機器の利用状況をリアルタイムで監視できる。
- 監査ログを利用して、USB機器の資産管理が行える。
- サーバ機器が不要であり、クライアントPCのみで動作する。
- 低コストで導入できる。
制御対象となる部署のPC1500台にPortSecurityを導入し、無許可のUSBメモリは全て利用禁止という制御を行いました。PC1500台へのPortSecurityインストールはmsi形式により遠隔地から設定、利用許可USBリスト(ホワイトリスト)は監査ログよりマスターリストを作成し、配信機能で全PCへ送信することにより、管理者の負荷を軽減しました。さらに使用許可済みUSB機器の利用状況の把握と資産管理も実現しました。
導入の効果
制御対象となる部署のPC1500台のUSBポートのセキュリティ強化を行うことにより、企業の社会的責任やコンプライアンスによる情報セキュリティの強化を実現しました。
