サマリ
2026年6月、陸上自衛隊の機密システム端末に中国系マルウェアが混入したUSBメモリが2025年2月に検知されるまで、約1年間接続され続けていたことが、日本経済新聞の調査報道によって明らかになりました。
この事案は、USBストレージ管理の甘さが国家レベルの安全保障にも影響を及ぼしうることを示しています。
本記事では、USBストレージが引き起こすリスクの全体像を整理し、USBストレージの利用制御を実現するための考え方と具体的な導入ステップを解説します。
1. USBストレージ接続制限とは
USBストレージとは、USBで接続できる機器のうち、情報を保存するストレージ機能を有するもののことを指します。USBストレージ接続制限とは、PCにUSBメモリや外付けHDDなどの外部記憶媒体を自由に接続できないよう制御するセキュリティ対策です。従業員へ「使わないでください」と周知するだけでなく、端末側で接続を物理的・ソフトウェア的に制御することで、未許可デバイスの利用を防ぎます。
i ポイント
「ルールで禁止する」と「仕組みで制御する」は根本的に異なります。規則だけでは、知識不足・意図的な持ち出し・うっかりミスを防ぐことはできません。
接続禁止が対象とするデバイス
- USBメモリ・フラッシュドライブ
- 外付けHDD / SSD
- スマートフォン(MTP / PTP接続)
- メモリカードリーダー(SDカードなど)
- BadUSB(HIDデバイスに偽装した攻撃用USBストレージ)
2. なぜUSBストレージの利用制限が重要なのか
クラウドストレージやファイル転送サービスが普及した現在でも、USBストレージは現場作業・設備との接続・取引先とのデータ受け渡しなど、さまざまな場面で使われ続けています。その手軽さと引き換えに、多くのセキュリティリスクを内包しています。
2026年6月:自衛隊での感染事案が示すもの
2026年6月、日本経済新聞の調査報道により、陸上自衛隊の中部方面総監部で2025年2月以降、中国系マルウェアに感染したUSBメモリが機密システム端末で約1年間使用され続けていたことが判明しました。複数のチェック機構が機能せず、感染が長期間見過ごされたこの事案は、官民を問わずUSB管理体制の見直しを迫るものです。
同様の感染USBメモリがネット通販を通じて一般市場に出回っていることも確認されており、企業・自治体・工場・研究機関においても同様のリスクが存在すると指摘されています。
! 注意
感染したUSBメモリはインターネット通販でも流通しており、意図せず購入してしまう可能性があります。「社内購入品だから安全」とは言い切れない現実があります。
3. USBストレージ利用で起こり得る主なリスク
USBストレージに起因するリスクは大きく5つに整理できます。
| リスク種別 | 具体的な内容 |
|---|---|
| マルウェア感染 | 感染USBを接続した瞬間、自動実行機能によりマルウェアが起動。社内ネットワーク全体へ伝播するリスクがある |
| 機密情報の持ち出し | 内部不正・うっかりミスにより、顧客情報・設計図・営業資料がUSBストレージへコピーされ外部に持ち出される |
| USBメモリの紛失・盗難 | 持ち運び中の紛失・置き忘れにより、保存データが第三者に閲覧・悪用されるリスク。尼崎市の個人情報漏えい事案が典型例 |
| 私物USBの接続 | ウイルス感染した私物USBメモリを無意識に業務PCへ接続し、社内感染が拡大するケース |
| BadUSB攻撃 | 外見は通常のUSBメモリに見えるが、内部ではキーボード等として振る舞い、コマンドを自動実行する高度な攻撃デバイス |
4. ウイルススキャンだけでは不十分な理由
「接続前にウイルススキャンを実施している」という組織は少なくありませんが、それだけでは以下の理由から十分なセキュリティとはいえません。
スキャンで検出できないケース
- 接続と同時に自動実行されるマルウェア(スキャン前に感染)
- シグネチャ未登録の未知マルウェア・ゼロデイ攻撃
- BadUSBはファイルではなくデバイス動作として攻撃するためスキャン対象外
- 暗号化された領域に潜むマルウェア(スキャンが妨げられる)
スキャンでは防げない脅威
- 意図的な情報持ち出し(スキャンは感染検出であり、持ち出し検出ではない)
- 紛失・盗難による情報漏えい(スキャン済みでもデータは持ち出し可能)
- 私物USBメモリの使用そのもの(スキャンは使用許可とは別問題)
! 注意
ウイルススキャンは「感染確認の手段」に過ぎず、「未許可USBを使わせない仕組み」の代替にはなりません。
5. USBストレージ制限で防げること・防げないこと
USBストレージ接続制限は強力な対策ですが、万能ではありません。防げる範囲と別途対策が必要な範囲を正確に把握することが重要です。
| 項目 | 詳細 |
|---|---|
| ✅ 防げること |
|
| ❌ 別途対策が必要なもの |
|
i ポイント
USBストレージ制限は情報漏えい対策の一部です。メール・Web・印刷など他の経路と合わせた「多層防御」を設計することが重要です。
6. USBストレージ制御の主な方式
USB制御には段階的な方式があります。業務影響を考慮しながら、自組織に適した方式を選択します。
| 制御方式 | 概要・適用場面 |
|---|---|
| 全面禁止 | すべてのUSBデバイスの接続を一律に禁止。セキュリティ優先の環境や、USB不要な管理部門に適する |
| セーフリスト(ホワイトリスト)方式(推奨) | 事前に登録したデバイスのみ接続を許可。業務継続性を保ちながら未許可デバイスをブロックできる。実運用に最も適した方式 |
| USBストレージのみの禁止 | USBメモリ・外付けHDDなどストレージ系デバイスのみ接続を禁止。キーボード・マウスなどHID機器は利用継続できるため、業務影響を抑えながら情報持ち出し経路を遮断できる |
| 読み取り専用モード | USB接続は許可するが書き込みを禁止。情報持ち出しは防げるが、感染USB接続は防げないため限定的な効果 |
| 一時許可・申請制 | 申請・承認プロセスを経て、特定期間・特定デバイスのみ接続を許可。例外運用を制度化できる |
7. USBストレージ制限を導入する前に整理すべきこと
いきなり全面禁止にすると、現場業務が止まるリスクがあります。導入前に以下の項目を整理します。
確認すべき5項目
| 確認項目 | チェックポイント |
|---|---|
| USBメモリ利用業務の洗い出し | どの部門・業務でUSBメモリが使われているか。代替手段への移行可否 |
| 利用者の特定 | USBメモリ利用者は誰か。外部委託・派遣スタッフも含まれるか |
| 対象端末の確認 | 制御対象のPC台数・OS種別。製造設備・医療機器への接続用PCも含むか |
| 代替手段の検討 | クラウドストレージ・ファイル共有サーバー・セキュアな転送サービスへの移行計画 |
| 例外運用の設計 | どのような場合に例外を認めるか。申請・承認フローはどうするか |
USBストレージの利用が残りやすい業務
- 製造現場・工場(設備へのプログラム転送)
- 医療・介護(診断機器・電子カルテとのデータ連携)
- 自治体・官公庁(住民データの受け渡し)
- 取引先との定期的なデータ受け渡し業務
特に大きなサイズのデータファイルの受け渡しがあり、対面でのコミュニケーションが一般的なケースでUSBメモリの利用が残りやすいです。
8. 現場に混乱なく導入するための進め方
USBストレージ制限の導入は、一度に実施するのではなく段階的に進めることが現実的です。以下のステップを参考にしてください。
| ステップ | 実施内容 |
|---|---|
| Step 1: 現状把握(可視化) | USBストレージ利用ログの収集・分析。どの端末で・誰が・何のUSBを使っているかを把握する |
| Step 2: ルール整備 | USBストレージ利用ポリシーの策定。利用申請フロー・例外運用の手順書を作成。従業員への周知・教育 |
| Step 3: 段階的な制御適用 | まず一部部署・端末でパイロット導入。問題がなければ段階的に全社展開 |
| Step 4: 例外申請の仕組み構築 | 業務上どうしても必要な場合の一時許可フロー(申請→承認→期限付き解除)を整備 |
| Step 5: ログ監視・定期監査 | USBストレージ接続ログを継続的に監視。未許可接続の試みをアラートで検知。定期的なポリシー見直し |
i ポイント
「突然禁止」は現場の反発を生み、抜け穴を探す動機になります。「可視化」→「理解」→「制御」の順番が大切です。
9. 端末管理ツールでUSBストレージ制限を実現する方法
USBストレージ制限を「ルール」だけでなく「仕組み」として実現するには、端末管理ツール(MDM・PC管理ツール)の活用が不可欠です。
端末管理ツールで実現できる主な機能
| 機能 | 概要 |
|---|---|
| 未許可デバイスの接続制御 | セーフリスト(ホワイトリスト)に登録されていないUSBデバイスの接続を自動的にブロック |
| 許可デバイスの登録管理 | シリアル番号・デバイスIDを指定して、使用を許可するUSBデバイスを一元管理 |
| 利用ログの取得・監視 | 誰が・いつ・どの端末に・どのデバイスを接続したかを記録。インシデント発生時の調査にも活用可能 |
| 端末ごとのポリシー適用 | 部署・役職・端末グループごとに異なるUSBポリシーを設定。きめ細かな制御が可能 |
| リアルタイムアラート | 未許可デバイスの接続試行を即時検知し、管理者にアラート通知 |
| 一時許可・申請承認フロー | 申請ベースでの一時的なUSBストレージの接続許可を、ツール上で完結させる |
セーフリストにおけるデバイスの指定方法
セーフリスト方式では、「どの単位でデバイスを許可・禁止するか」によって指定するIDの種類が異なります。主に次の2パターンがあります。
| 指定方式 | 概要 |
|---|---|
| VID/PID(ベンダーID・プロダクトID) | USBデバイスのメーカー(ベンダー)と製品種別を識別するIDによる制御。 例:バッファロー製のUSBメモリ全般を許可する、といったメーカー・機種単位の制御に使用する。同じ製品であれば個体を問わず許可・禁止される |
| シリアル番号(個体識別ID) | デバイス1台ごとに割り振られた一意の識別子。例:バッファロー製の同一モデルの中でも、特定の1台だけを許可し、それ以外(同型の私物USBなど)は禁止する、といった個体単位の制御に使用する |
i ポイント
VID/PIDは「メーカー・機種単位」、シリアル番号は「個体単位」の制御です。運用負荷を抑えたい場合はVID/PIDで機種ごと許可し、特に厳格な管理が必要な端末ではシリアル番号で個体まで絞り込むのが実務的な組み合わせです。
OPTiM Biz でのUSB制御
OPTiM Biz は、Windows・macOS端末のUSBデバイス接続を一元管理できるMDM・PC管理ツールです。クラウド型のため、リモートワーク環境下の端末にも一貫したポリシーを適用できます。
- セーフリスト(ホワイトリスト)方式によるUSBストレージ接続制御
- VID/PID・シリアル番号による機種単位/個体単位の許可設定
- 接続ログの自動取得と管理コンソールでの可視化
- 部署・端末グループ単位の柔軟なポリシー設定
- 未許可デバイス検知時のリアルタイムアラート
- 既存Active Directory環境との連携
10. まとめ
本記事で解説した内容を以下に整理します。
| 論点 | 要点 |
|---|---|
| USBリスクの多様性 | マルウェア感染だけでなく、情報持ち出し・紛失・私物デバイス・BadUSB攻撃など多面的なリスクが存在する |
| スキャンの限界 | ウイルススキャンは感染確認手段に過ぎず、未許可接続を防ぐ仕組みの代替にはならない |
| 制御方式の選択 | 全面禁止よりも「セーフリスト(ホワイトリスト)方式+申請制例外」が、業務影響を抑えながら管理できる現実的な選択肢 |
| ID指定の使い分け | VID/PID(機種単位)とシリアル番号(個体単位)を組み合わせることで、運用負荷と管理厳格性のバランスを取れる |
| 導入の進め方 | 可視化→ルール整備→段階的制御→ログ監視の順序で、現場に混乱なく導入する |
| ツールの活用 | 端末管理ツール(MDM)を使うことで、ルール依存ではなく仕組みとしてUSBストレージ制御を実現できる |
次のアクション
- USB利用実態のログ収集・可視化から始めましょう
- OPTiM Bizの無料トライアルで、USB制御の仕組みを体験できます
出典
・「小泉防衛相「改めて調査」 陸自USBウイルス感染巡り」日本経済新聞(2026年6月26日)https://www.nikkei.com/article/DGXZQOUA2630Y0W6A620C2000000/
・「陸自がUSBウイルス感染発表 システムに影響なし、取得経路なお調査」日本経済新聞(2026年6月27日)https://www.nikkei.com/article/DGXZQOUA271940X20C26A6000000/
