ALSI (アルシー)

アルシー セキュリティブログ

業務効率を落とすことなく情報漏洩対策を徹底する方法とは

「社内限定の情報」でも持ち出されてしまう矛盾

 大きく報道された日本年金機構での大規模情報漏えい事件(2015 年)以降、情報漏洩対策製品への問い合わせが続いています。お客さまの問い合わせで目立つのは、「情報管理の対策はやっている」が、それでも「情報漏洩を前提とした対策が不十分」という課題です。

 少し前の調査となりますが、2014 年2 月に弊社が実施した「第11 回組織でのインターネット利用実態調査」(有効回答数515 件)の結果とも一致しています。この調査では、製造業、情報サービス業、金融業という一般的な法人以上に厳しい情報管理体制が求められる企業の情報システム担当者を対象にインターネットによるアンケートを実施しました。

 対象者に対して、どのような情報漏洩対策を導入しているかを聞くと、多くの企業で多層的なセキュリティ対策を実施していました。上位から順に、「セキュリティポリシーの策定・運用」(79.0%)、「利用ルールの策定・運用」(75.3%)、「メールフィルタリング製品」(68.7%)、「デバイスの利用制限製品」(67.8%)、「ファイルの暗号化製品」(67.4%)という結果でした。

図1.jpg

 基本ルールの運用はもちろん、システム面での施策を加えて多層的に対策しています。それでいながら「漏洩を前提とした対策が必要」という問い合わせが増えているのですから、年金情報漏洩事件の与えた影響の大きさがうかがえます。

 注目すべきは、いかに堅牢な情報漏洩対策を講じた企業であっても、根本的な考え方は「情報を安全に活用すること」に根差していることです。

 当社の調査でも、6 割以上の企業が社内限定の情報に対して社外持ち出しに関するポリシーやルールを策定しているという結果になりました。やはり、全ての情報が組織外に持ち出されるということを前提とした情報漏洩対策が必要とされています。

ファイルの持ち出し対策は「暗号化」と「パスワード」

 「情報を社外に持ち出すこと」を完全に禁止することは現実的ではありません。当然ながら業務に影響を来すことになるからです。そして、いかに厳重なセキュリティ体制を構築したところで、活用できない情報には何の価値もなくなってしまいます。

 マンションの例で考えてみます。何重ものロックで厳重な防犯対策を行ったとしても、住人が外出するときには必ず玄関のドアを開けなければなりません。同様に社内にある全ての情報は、社外に持ち出される可能性があるということを大前提に情報漏洩対策を行うことが大切です。

 「第11 回 組織でのインターネット利用実態調査」で、具体的にどのような情報漏洩対策を実施しているかを聞きたところ、「持ち出すファイルを暗号化」と「持ち出すファイルにパスワードを設定」が上位に来ました。「情報は一切持ち出し不可」という企業はわずか1 割以下です。

図2.png

 万が一、機密ファイルが盗み出されたり、間違って持ち出したりしてしまっても、パスワード設定や暗号化されていれば、その中身を見られたり、不正に利用されたりすることはありません。しかしファイルの暗号化やパスワード設定は、ユーザーや管理者に大きな業務負荷がかかる点がネックです。

 これは同調査の結果にも顕著に表れました。「社外への情報の受け渡しについて手間のかかる作業や不満を感じる点」を尋ねたところ、「手作業で暗号化する必要がある」(26.4%)、「複数のパスワードを管理しなければならない」(20.6%)、「パスワードが設定されているかどうか見た目で分からない」(17.3%)という回答が寄せられました。

図3.png

 多くの企業や法人で暗号化ソフトの利用やパスワード設定ルールが課せられている中で、現場では実際に機能しない理由としては、このような要因が大きいようです。

人頼みのルール、システムの限界

 報道によると日本年金機構での情報漏洩が大規模になった原因の1 つとして、「パスワードを設定しないファイルがファイルサーバ上に保存され続けていた」ということがあるようです。現場で作業をする職員にとって、作業用ファイルにパスワードを付けていては仕事になりません。実質的にパスワード設定ルールが運用されていなかったようです。人頼みのルール、システムの限界だといえるでしょう。ヒューマンエラーを軽減し、サポートするにはシステム整備が必要です。

 ところが、従来の暗号化ソフトは、ファイルを暗号化するときにユーザー側で特別な操作が求められます。ファイルを右クリックして暗号化したり、専用のアイコンやフォルダにファイルを移動したりする「ひと手間」が必要になるのです。

 ファイルを暗号化するために人の手を介するのですから、ここにまたヒューマンエラーが発生する可能性が出てきます。すなわち「暗号化するのを忘れた」とか、「面倒だから今回だけは......」とか、「何も言われないから暗号化しない」とかいったことで、ファイルが暗号化されないまま、大量にPC 上や共有のファイルサーバに保存されていくということになりかねません。

ファイルの「自動暗号化」で利便性とセキュリティを両立

 情報管理に関するセキュリティ向上のためには、ヒューマンエラーを減らし、かつ万が一のエラー発生時へのシステム的な備えが重要です。しかし、人をサポートするためのシステムで、ヒューマンエラーの原因になるという逆転現象が起きてしまっては元も子もありません。

 当社が提供する「InterSafe FileProtection」では、ファイルは保存時に自動で暗号化されます。ファイルを開いて、編集して、保存するという普段と変わらない作業の中で、暗号化が自動的に行われるのでユーザーは暗号化を意識せずに済みます。利便性が損なわれることもありません。

 暗号化されたデータのファイル名や拡張子は変わりません。画面上に表示されるファイルのアイコンに付くカギのマークの有無で暗号化されたファイルかどうかが一目で分かります。

図4.jpg

 InterSafe FileProtection を導入していない環境では、このマークは表示されません。例えば、Excelのファイルであれば、通常と変わりないExcel のアイコン同様に表示されます。しかし暗号化された状態ですから、ファイルを開くと文字化けしたデータのようにしか見えません。どの暗号化ソフトを使っているのかも分かりませんから、万一情報が誤って持ち出された場合も安全です。

 正規ユーザーが暗号化ファイルを開くときにも特別な操作は必要ありません。通常通り、クリックすれば閲覧と編集ができます。

 社内とはいえ誰もが開けてしまうのでは、機密レベルによっては管理が不十分です。そのため暗号化ファイルにアクセス権が付与できます。例えば、重要機密情報が含まれるファイルのアクセス権を役員以上に設定しておけば、役員以外はファイル閲覧ができません。また、マイナンバーのような機密情報を扱う部門や担当者のみにアクセス権を設定しておけば、マイナンバーのガイドラインで規定された情報へのアクセス制限も実現できます。

ファイル持ち出しを水際で防ぐ多層対策

 ファイルを自動暗号化しておくことで情報の流出後に備えた対策となります。しかし組織内のファイルを100%暗号化することは不可能です。持ち出される前の水際対策も重要です。これはデータ活用の段階に応じて多層的に行う必要があります。

 第一段階は、データの持ち出し経路を制限し、制御することです。スマートフォンやタブレットなどの外部デバイスの他、ネットワーク、プリンタ、USB メモリなどの外部メディアの利用の制限や制御です。制御対象には、業務内容に応じてWeb カメラやイメージスキャナなども含まれます。これは「データを外に出させないこと」を目的とした対策です。

 第二段階は、データを持ち出す際の履歴管理です。組織活動において一切のデータを持ち出さないということはあり得ません。多くの企業や法人が、データ持ち出しに際してメールや所定の申請書もしくは口頭で上長の承認を得るというルールを運用しているようです。

 第三段階として、承認されたデータの持ち運びにセキュリティ対策をしたデバイスを使用することが推奨されます。企業や法人が管理できるデバイスで、かつデータのコピーや移動が制限でき、その上で操作ログを記録するなどしておけば安全ですね。

 「データを外に出さない」ための対策、「持ち出さざるを得ないデータを管理する」ための対策、そして「安全にデータを持ち運ぶ」ための対策。このように情報の利用段階に合わせた多層的な対策がされているのが理想です。

業務効率を落とすことなく徹底できることが重要

 しかし、これらが簡単に実現できれば誰も苦労をしないわけです。「暗号化よりも持ち出し承認手続きの方が手間だ」という声は、私たちが情報漏洩対策製品を提案する中で、多くの情報システムの担当者からお聞きします。

 データの持ち出し申請管理だけでも、承認者である管理者層の負担が大きくなり過ぎたり、ルールが事実上無効化していたりと現場からの悲鳴が上がっているのが現状です。

 これらの多層対策を一括で実行できるように当社では「InterSafe ILP」という情報漏洩対策ソリューションを提案しています。これはデバイス制御から情報持ち出しの申請と承認のワークフローセキュリティUSB 作成ソフトファイル暗号化ソフトからなる製品群です。

 情報漏洩対策は、データの持ち出し対策と持ち出された後の対策が業務効率を落とすことなく徹底できることが重要です。すなわち「社内ファイルを人的な負荷なく暗号化すること」と「デバイス制御により情報の持ち出しを管理すること」を両立させることで、セキュリティ対策を使わせる(浸透させる)ようにすることが大切です。情報の制御、管理、把握により、安全かつ安心な情報活用環境が構築できます。

 人に依存しないセキュリティの体制づくりとは、人の負担を減らすことでもあります。多層対策を一度に始めることは難しくても組織内での部分的な導入や段階別の導入など、組織の実情にあった対策を検討する、または見直しをするきっかけとしてお役に立てれば幸いです。

最新記事

内部不正対策

セキュリティのカギは「内部」にあり! ~運用目線で考える内部不正対策~

内部不正対策情報漏洩対策暗号化

セキュリティのカギは「内部」にあり! ~運用目線で考える内部不正対策~
市場動向

SSL通信に潜む脅威と対策~"常時SSL化"時代のセキュリティ対策とは?~

SSL通信可視化フィルタリング市場動向製品情報

SSL通信に潜む脅威と対策~"常時SSL化"時代のセキュリティ対策とは?~
公衆無線LAN

今すぐ欲しい、公衆無線LANのセキュリティ対策

公衆無線LAN

今すぐ欲しい、公衆無線LANのセキュリティ対策