企業がIRMを検討する10のきっかけ
データ漏えいやコンプライアンス強化の重要性が増す今日、IRMへの関心が高まっており、弊社でも問い合わせが増加傾向にあります。企業のセキュリティ担当者の中には、「どのようなセキュリティソリューションを導入すべきかわからない」という悩みを抱えている方も多いのではないでしょうか。本コラムでは、企業がIRM導入を検討するきっかけを10個ご紹介します。類似の課題に直面されている方には、ぜひご参考にしていただければ幸いです。
※IRMとは?
IRMとは、「Information Rights Management(情報権限管理)」の略称であり、データを暗号化し、アクセス権限を設定することで、ファイルを安全に管理するセキュリティシステムです。IRMによって、ファイルの閲覧、編集、印刷といった操作を特定のユーザーに限定できるため、ファイルが持ち出された場合でも、情報が不正に使用されるリスクを軽減できます。
参考:IRMとは?仕組みや防げるセキュリティリスクについて、IPA情報セキュリティ白書2022を基に解説
IRM導入を考える10のきっかけ
1.データ漏えいやサイバー攻撃被害の発生
データ漏えいは、企業の信用や事業存続を脅かす重大なリスクです。最近では、ランサムウェアなどのサイバー攻撃や内部不正が原因で機密データが流出し、大きな損害を被る企業が増えています。顧客情報や技術ノウハウが漏洩すれば、競合企業に利用され、信用を失うことも考えられます。実際に自社で漏えい事故が発生してしまった場合、再発防止策として早急なセキュリティシステムの導入が求められますが、特に内部不正については対応できるソリューションはIRM、DLP、ログ管理など多くないため、自社の業務形態などを考えた結果、IRMを導入される企業が多くあります。
当社には、「内部不正が発覚したため、再発防止策としてIRMを導入しようと考えている」「同業他社でランサムウェア被害が起きたので、自社も対策を強化したい」といったお問い合わせが多く寄せられています。IRMによってデータを暗号化し、権限のないユーザーの閲覧・編集を制限することで、データの流出後でも保護を実現します。IRMはこのように流出後の「最後の砦」として、企業のリスク管理に有効です。
2.ファイル管理状況への不安
実際の漏えい事件が起きていない場合でも、企業内でファイルの所在が把握できておらず、管理体制に不安を抱える経営者も少なくありません。フォルダにアクセス制御を設けていても、従業員がアクセス権を持つ同僚に依頼して、意図的にデータを外部に持ち出すケースが見られることもあります。当社にも、「社内ファイルの所在が把握しきれず、管理が行き届いていないと感じるため、暗号化でファイル単位の管理強化を図りたい」といったお問い合わせを多くいただきます。IRMはファイルを暗号化し、アクセス制限を細かく設定できるため、ファイルの安全な取り扱いが可能となります。IRM導入により、管理が行き届いていない現状に対する対策が可能です。
3.システム更改やクラウド移行のタイミング
基幹システムやファイルサーバの更改時は、既存の情報管理体制を見直す好機です。例えば、オンプレミス環境からクラウド環境への移行では、社外アクセスやデータの安全確保が課題となります。官公庁や自治体の入札案件ではRFPに暗号化要件が含まれることが多く、SIer様からの問い合わせも増加しています。実際に「システム更改を機にクラウドへの移行を検討しているが、移行後もデータのセキュリティを維持したい」「ファイルサーバの更新に合わせてセキュリティを見直したい」といったお声をいただきます。IRMはデータをファイル単位で暗号化し、クラウド環境でも社内外でアクセス権を細かく管理できるため、クラウド移行時のセキュリティ強化に有効です。
4.外部環境や持ち出し先でのデータ保護
テレワークやパートナー企業との連携が進む中、社内外でデータが安全に管理されることが求められています。とくに、委託先やサプライチェーンのパートナーにデータを提供する場合、アクセスや利用制限が難しくなることがあります。当社にも、「海外拠点に設計データを提供したいが、権限のない第三者への漏洩が心配で共有できないため国内設計者の負担が非常に大きくなってしまっている」「業務委託先でのデータ保護のためにIRMを検討している」といったご相談をいただきます。IRMを導入することで、データが外部環境にある場合でも安全に管理することができ、データの保護を強化できます。
5.法令・業界ごとのセキュリティ基準の引き上げ
個人情報保護法、GDPRなどの法規制や、各業界で求められるセキュリティガイドラインの遵守も、IRM導入の大きな理由です。例えば、自動車業界では自工会/部工会・サイバーセキュリティガイドラインが策定され、クレジットカード番号取扱い事業者にはPCI DSSに対応したセキュリティ体制が必須とされており、それぞれの要求基準は年々厳格化しています。IRMは、こうした要件を満たすための有力な手段として導入が進んでいます。
法令やガイドラインの要件として「暗号化」の項目が含まれることが多く、IRMの導入によって、コンプライアンスとセキュリティ強化が同時に実現されます。特にPCI DSSに関しては、v3.2.1からv4.0へのメジャーバージョンアップでディスク暗号化が要件を満たさなくなったことにより、IRMのファイル暗号化を検討される企業から非常に多くの問い合わせがありました。
参考:「自工会/部工会・サイバーセキュリティガイドライン 2.1版」 自動車産業を取り巻くリスクへの有効な対策とは
参考:PCI DSS v4.0リリース 新要件3.5.1.2でディスク暗号化不可に 対応可能な方法とは
6.内部監査やセキュリティ監査で脆弱性を指摘された
内部監査やサードパーティによるセキュリティ診断で、データ保護の弱点が明らかになることがあります。特に、特定ファイルが許可なくアクセスされるリスクがある場合、管理体制の改善としてIRMのようなアクセス制御技術の導入が求められます。例えば、「インターネット接続系と基幹系にネットワーク分離していたが、インターネット接続系に本来おいてはならない個人情報ファイルが混在していることを監査機関に指摘され、何らかの対応を迫られている」「CSIRTからファイルの管理状況が不明瞭で、手の及ばない場所にファイルが保管されている可能性があると指摘された」といったご相談を受けることがあります。 IRMは、データのアクセス制御と暗号化によって、監査で発見されたリスクに対応するセキュリティ体制の強化が可能です。
7.取締役会や上層部からのセキュリティ強化指示
企業の経営陣が、近年の情報漏えいや不正リスクの拡大を受けて、セキュリティ強化を指示するケースもあります。「取締役会で情報保護の強化が指示され、IRMの導入を検討している」「上層部からセキュリティリスクへの対応強化が求められ、IRMを含めた対策を考えている」といったお声をいただきます。IRMは、経営陣のリスク対応方針を具体的なセキュリティ対策に落とし込むうえで重要な役割を果たします。
8.取引先や親会社からのセキュリティ要件強化の要請
取引先や親会社から、独自のセキュリティ基準に基づいた厳格なデータ保護体制を求められるケースも多くあります。製造業、金融、官公庁、防衛関連などの高いセキュリティが必要な業界では、顧客要件に応じたセキュリティ強化が必須です。こうした背景から、「親会社のセキュリティ基準に対応するためにIRMを導入したい」「取引先からの要請に基づき、データ保護体制を強化したい」といったご相談もいただいております。
さらに、2024年4月には、経済産業省が企業のサイバー攻撃への対応力を5段階に格付けする制度を2025年度にも導入する方針を発表しました。この格付け制度が導入されると、企業のセキュリティ対策の強度が外部から可視化され、委託元企業はセキュリティレベルの高い企業を優先して選定することが可能となります。しかし、その一方で委託先企業にとっては、取引を維持・拡大するためにも自社のセキュリティ対策の見直しが急務となるでしょう。こうした政策背景も受け「取引先からの要請に基づきIRMでのセキュリティ対策強化を検討したい」という企業様からのご相談の増加が予想されます。
参考:サイバー攻撃対応力5段階への格付け制度が2025年度にも
9.業務効率の悪いパスワード設定から脱却
従業員が個人情報や機密データをパスワードで保護するルールがあるものの、実際にパスワードをかけるかどうかが属人的になってしまうことや、管理の手間が増すことは大きな課題です。さらに、設定されたパスワードを個別に管理する負担も現場にとっては煩雑で、忘失や共有によるセキュリティリスクも懸念されます。こうした問題を解決し、データ保護の精度と従業員の負担軽減を図りたいと、IRM導入のご相談をいただくケースも増えています。IRMによるデータ保護は、パスワードに依存せず、細やかなアクセス権限管理によって自動的にセキュリティを確保できるため、効率と安全性の両立が可能です。
10.流出リスクへの諦めと流出前提の対策
どれだけの対策を講じても、データ流出のリスクを完全にゼロにするのは困難です。そのため、企業によっては「流出を前提にした対策」を講じたいと考えることもあります。当社にも、「いくつもの対策を講じても不安が消えないので、最終的に、流出すること前提の対策であるIRMにたどり着いた」といったお問い合わせをいただきます。IRMはデータを暗号化することで、漏えい後でも不正利用や改ざんを抑制するため、「万が一のリスク」を前提とした対策に最適です。
最後に
今回のコラムでは、企業がIRM導入を検討する様々なきっかけを、実際に弊社に寄せられたご相談内容を基にまとめました。もし、類似の課題やリスクが見受けられるようであれば、IRMによるデータ保護の強化をご検討いただけると幸いです。弊社では、IRM「DataClasys」を活用した強固なセキュリティを提供しておりますので、ご興味がありましたらぜひお気軽にお問い合わせください。