![ファイル暗号化DataClasys [データクレシス]](/wp-content/uploads/DataClasys_logo.png){kind=logo}
ファイル暗号化ツールの選定を失敗しないために知っておくべきポイント
対話型動画でわかる!ファイル暗号化・DRM/IRMソリューション「DataClasys(データクレシス)」
※1 動画を再生すると音声が流れます。
※2 音声を再生できない環境でも、画面下の字幕で内容をご確認いただけます。
はじめに
ファイル暗号化ツールの導入を検討している企業の多くは、既に何らかのセキュリティ対策を導入しています。
- 共有フォルダのアクセス制御
- クラウドストレージの暗号化
- HDD暗号化(BitLocakerなど)
- EDR/XDRなどの検知・防御を目的としたセキュリティ対策
しかし、それでもファイルの持ち出しや情報漏洩の被害を受ける企業の数は増え続けているのが現状です。問題は「セキュリティ対策をしているか」「暗号化しているか」だけではなく、「想定するリスクは何か」「守りたいファイルを適切に保護できているか」にあります。
本コラムでは、企業がファイル暗号化を検討する際に見落とされがちなポイントと、ファイル暗号化の方法を選択する際に注意すべき点を整理します。
なお、ファイル暗号化の基本については、こちらのコラムをご参照ください。
ファイル暗号化が注目されている理由
近年、企業の業務環境は大きく変化しています。
- クラウドストレージやメールによるファイル共有の増加
- テレワークや外部委託の拡大
- 取引先や海外拠点などサプライチェーン全体でのデータ連携
その結果、ファイルが社内外を頻繁に移動する状態が当たり前になりました。しかし一方で、多くのセキュリティ対策は「社内にある間」「保存されている間」を前提としています。このギャップが、既存のセキュリティを導入していても情報漏洩が起きる原因になっています。
このように社内外の境界がなくなってきたことから、従来の境界型防御ではなくデータそのものに注目したセキュリティ対策であるファイル暗号化が注目されています。
ファイル暗号化が必要になる企業の共通点
次のような業務特性を持つ企業では、ファイル暗号化の考え方をより深く検討する必要があります。
- 金融業・保険業、製造業、官公庁・自治体、教育機関など、重要データを保有している企業および、これらと取引がある企業
- 委託先や協力会社と重要データ(個人情報や技術情報など)を頻繁に共有している企業
- 退職・異動や頻繁にあり、正規権限者による持ち出しに不安がある企業
- EDR/EPPなどの検知システムをすり抜ける攻撃や、ゼロデイ攻撃などからも漏洩を防ぎたい企業
- ゼロトラスト構成への移行を検討している企業
これらに共通するのは、「企業ネットワークへ侵入された後」「持ち出された後」のリスクです。
共有フォルダ暗号化やHDD暗号化では防げない理由
領域暗号化の限界
共有フォルダ暗号化、クラウドストレージ暗号化、HDD暗号化は、保存されている領域全体を暗号化する方式です。この方式では、
- 正規の権限を持つユーザー
- 正規の操作手順
でファイルが取り出された場合、その後の利用を制御できません。
想定されていないリスク
- 内部関係者による持ち出し
- サイバー攻撃による不正アクセス後の流出
また、HDD暗号化は特に、PCの紛失・盗難対策を主目的としており、サイバー攻撃や内部不正は想定外です。さらに、クラウドストレージもフォルダの公開設定のミスによる情報漏洩が頻繁に発生しています。
よくある誤解:対策しても情報漏洩が起きてしまう理由
ファイル暗号化を検討する企業の多くは、すでに複数のセキュリティ対策を導入していることが多くあります。
- 共有フォルダやクラウドストレージの暗号化・アクセス制御
- 不正アクセスやマルウェアを検知・防御するセキュリティ対策(EDR/EPP等)
これらは、外部からの侵入を防いだり、異常を検知したりするうえで重要な対策です。しかし、すべての攻撃を事前に防げるわけではありません。EDRの検知をすり抜ける攻撃や、未知の脆弱性を突くゼロデイ攻撃によって、正規の手段でファイルが窃取されてしまうケースもあります。
また、外部攻撃に限らず、正規の権限を持つ利用者による持ち出しや公開範囲の誤設定など、「正規にアクセスできてしまう状況」も現実には存在します。こうした場合、アクセス制御や検知・防御を中心とした対策では、持ち出されたファイルがその後どのように利用されるかまでは制御できません。
その結果、対策を講じているにもかかわらず、ファイルの流出や意図しない第三者への拡散による情報漏洩が発生してしまいます。
ファイル暗号化方式の種類と注意点
このように、従来のセキュリティ対策だけでは、情報漏洩被害を完全には防ぐことができません。そのため、ファイル暗号化が重要な対策となります。
次に、企業でよく使われるファイル暗号化の方式を比較し、それぞれの特徴と注意点を見ていきましょう。
パスワードによるファイル暗号化
パスワードによるファイル暗号化は専用のツールを必要とせず、低コストで導入できる点が特徴です。社内の重要なファイルにパスワードをかけて保管したり、特にパスワード付きZipファイルは外部送付時における簡易的な保護手段として長い間利用されてきました。
一方で、この方式は次のような制約があります。
- パスワード入力後は平文に戻るため、以後の利用状況を把握できない
- パスワードを知る関係者による持ち出しを防げない
- パスワード共有後は利用制限や失効ができない
また、パスワード設定は個々の判断に委ねられることが多く、使い回しが発生しやすいという課題があります。一方で、厳格に管理しようとすると手間がかかり、運用負荷が高くなります。
Windows OS 標準機能によるファイル暗号化(EFS)
EFS(Encrypting File System)は、Windowsに標準搭載されているファイル暗号化機能で、特別なソフトウェアを導入することなく、ユーザー単位でファイルを暗号化できる点が特徴です。NTFSファイルシステムの機能として提供されており、利用者がOSにログインしている間は、暗号化および復号が透過的に行われます。
一方で、EFSには次のような制約があります。
- 復号に必要な秘密鍵が個人の端末に紐づくため、複数人でのファイル共有に向かない
- 利用者個人の判断で暗号化・復号を行うため、内部不正対策にはならない
- エンドポイントがマルウェアに感染した場合の情報流出には対応できない
そのため、EFSは個人端末内での簡易的な情報保護には有効である一方、組織としての情報管理や内部不正・高度な脅威への対策としては、十分と言えません。
ファイル権限制御型(DRM/IRM)
DRM/IRM(Digital/Information Rights Management)は、ファイルを暗号化したうえで、復号(暗号化の解除)や閲覧、編集、印刷などの操作を権限に応じて制御する技術です。利用者は暗号化や復号を意識することなく、付与された権限の範囲内でファイルを利用できるため、業務上の利便性を大きく損なうことはありません。
DRM/IRMでは、ファイルの利用は常にシステムによって制御されるため、次のような対策が可能になります。
- 復号の権限を付与しなければ、利用者が意図的に暗号化を解除してファイルを持ち出すことを防げる
- 利用者個人の判断ではなく、組織で定めたルールに基づいてファイルへのアクセス権限を設定できる
- 業務上アクセスが不要になった場合、管理者が後から権限を剥奪できる
前章までに提示した「高度なサイバー攻撃による情報窃取」「内部関係者による意図的な持ち出し」「サプライチェーンに共有したデータの二次漏洩」を防ぎ、ゼロトラスト移行を目指すのであれば、DRM/IRMによるファイル暗号化が最適な手段です。
しかし一方で、導入にあたっては、守るべきファイルの棚卸しや権限ルールの設計を事前に行わなければ、十分な効果を発揮できない点には注意が必要です。
DRM/IRMが必要になりやすいケース
DRM/IRMは次のようなケースでは効果を発揮しやすいセキュリティシステムです。
- 金融業・保険業:保有する個人情報の保護、保険代理店への安全な共有
- カード関連事業:クレジットカード情報の安全な管理
- 製造業:設計データや技術資料の持ち出し対策、あるいはサプライチェーンへの安全な共有
- 官公庁・自治体・研究機関:国家の有する先端技術情報など重要データの保護
- 教育機関:生徒に関する機微な情報や成績データの保護
- サプライチェーン関連企業:委託元から預かった重要データの保護(ステークホルダーからの信頼獲得)
DRM/IRMによるファイル暗号化手順
弊社が開発するDRM/IRMシステム「DataClasys(データクレシス)」を例にとり、ファイル暗号化の具体的な手順を見ていきます。
右クリックメニューから個別に暗号化
任意のファイル上で右クリックし、メニューから「DataClasysで暗号化」を選択すると暗号化されます。なお、フォルダの上で同様にすると配下のファイルがすべて暗号化されます。
共有フォルダの自動暗号化
ファイルサーバやNasの任意のフォルダに自動暗号化を設定しておけば、そのフォルダにファイルをドラッグ&ドロップあるいはコピーするだけで暗号化されます。ファイルはフォルダから持ち出されても暗号化されたままです。
ファイル保存時の自動暗号化
共有フォルダ・PC内フォルダを問わず、任意のフォルダ内でファイルの「新規作成」「上書き保存」「別名で保存」等をすると自動暗号化されます。
その他、クラウドへのファイルアップロード・ダウンロードの際の暗号化やPLM/PDM連携など、様々な暗号化方法があります。
ファイル暗号化導入前に整理しておくべきこと
ファイル暗号化を有効に機能させるためには、事前に次の整理が重要です。
守るべき情報の種類と重要度
ファイル暗号化を導入する前に、まずは守るべき情報を明確にし、その重要度を判断する必要があります。情報の種類によって、どのような保護が必要かが異なるためです。
- 個人情報(顧客データ、従業員情報など):法律での保護が必要なため、最優先で保護すべき情報です。これらの情報は暗号化し、厳格な管理が求められます。
- 機密情報(技術情報、図面データ、取引先との契約情報など):事業活動において競争優位を保つために、厳重に保護し、外部流出を防ぐ必要があります。
- 一般情報(日常的に使用する業務データなど):暗号化の必要はあまりない場合もありますが、内容によって暗号化の必要性を検討することが重要です。
情報の重要度を判断する際には、法律や業界毎のセキュリティガイドライン(個人情報保護法、不正競争防止法など)を考慮し、情報漏洩時の影響をしっかり把握することが求められます。
守るべき情報の所在の把握
ファイル暗号化を有効に機能させるためには、企業内でファイルがどこに存在しているかを正確に把握することが重要です。特に、ファイルが複数の場所に存在することによって、暗号化すべき場所や範囲を見誤るリスクがあります
社内のファイルサーバやPC内:多くの企業では、社内のファイルサーバやPC内に重要な情報が保存されています。これらの場所に存在するファイルは、社内のアクセス権限によって管理されていることが多いですが、退職者や異動者による持ち出しリスクや不正アクセスの可能性を考慮する必要があります。
クラウドストレージ:クラウドサービスの普及により、企業のファイルが社外のサーバに保存されるケースが増加しています。特に、OneDrive、SharePoint、Box などを利用している場合、ファイルの共有範囲設定やアクセス権限が不適切だと、誤って外部に流出するリスクがあります。これらのファイルをどこに、誰と共有しているのかを確認し、アクセス制御を強化することが求められます
社外とのファイル共有:企業間でファイルをやり取りする際には、メールやクラウドストレージ、あるいは専用のファイル転送サービスを利用することが一般的です。外部との共有が必要な場合、機密性の高いファイルは暗号化して送信することが基本となります。
想定すべきリスクの明確化
ファイル暗号化を導入する目的は、守りたいリスクを明確にすることです。どのようなリスクが企業にとって最も重要なのかを整理し、それに合わせて暗号化の範囲や方法を決定します。
サイバー攻撃を防ぎたい(外部からの不正アクセス):ランサムウェアなどのサイバー攻撃によりファイルが流出しても、暗号化されていれば漏洩を防ぐことが可能です。この場合、アクセス権の設定よりもファイル自体の暗号化が最も重要です。
内部不正を防ぎたい(内部関係者による持ち出し):内部不正を防ぐためには、単に暗号化するだけでなく、権限分けやアクセス制御が重要になります。機密情報へのアクセス権限を最小限に絞ることで、リスクを軽減できます。
委託先や海外拠点に共有したデータの漏洩を防ぎたい(サプライチェーンリスク):サプライチェーンのパートナーや委託先がファイルを受け渡す場合は、暗号化だけでなく、ファイルに対する操作権限や閲覧期限の設定を行うことで二次漏洩を防ぐことが可能です。
「守るべき情報はなにか」「その情報はどこに存在するのか」「どんなリスクから守る必要があるのか」を明確にすることで、適切な暗号化を行う運用につながります。
まとめ:ファイル暗号化導入までのステップ
ファイル暗号化を検討されている企業は、適切な暗号化の運用に向けたステップとしては以下を検討することをお勧めします。
- 守るべき情報の棚卸しと分類
- ファイルの保管場所の整理とアクセス権限の見直し
- 暗号化方式(DRM/IRM、EFSなど)の選定と運用方法の策定
また、ファイル暗号化の導入が初めての方や、現在運用中の暗号化対策の見直しを検討している場合には、信頼性のあるソリューションを選定することが不可欠です。
弊社はファイル暗号化・DRM/IRMシステム「DataClasys(データクレシス)」の開発・販売を行うソフトウェアメーカーです。「DataClasys(データクレシス)」は、官公庁や自治体をはじめ、製造業、金融業、教育機関など高いセキュリティ基準が求められる幅広い分野で採用されており、1,000社以上の導入実績があります。数多くの知見を基に、導入前のコンサルティングから運用サポートまで手厚くサポートいたします。
製品にご興味がございましたら下記によりお気軽にお問い合わせください。
カタログ・資料ダウンロードはこちら
