社長命令「情報漏洩対策を実施せよ!」と言われたら…?(前編)

入社3年目の良仁くんは、某企業の情報システム部門に勤務しています。
日々の業務に追われていたある日、良仁くんは会社の社長に「会社の重要ファイルの情報漏洩対策」を命じられました。しかし良仁くんはセキュリティや情報漏洩対策について、何も知らずに困っていました。そこで大学時代にお世話になり、今は大手IT企業に勤めている圭先輩のことを思い出し、圭先輩に助けを求めます。

良仁くんは圭先輩の助けを借りながら、社長が命じた情報漏洩対策を実現することができるのでしょうか。

良仁くん、情報漏洩対策を命じられ、大学の先輩から情報漏洩を学ぶ

良仁くん

社長から情報漏洩対策の任務を任されたんですが、情報漏洩対策って何をすればいいのかが分かりません。
圭先輩、情報漏洩対策って何をすればいいんですか?
頼れる人は、大学の先輩で大手IT企業に勤めている圭先輩しかいないんです。

圭先輩

相変わらず、人懐っこいやつだな。プロジェクトの忙しい時期なんだけど、かわいい後輩からの相談であれば乗ってあげよう。
情報漏洩対策って言っても、そもそも情報漏洩には色々なケースがあるんだけど、具体的にどんなケースを想定しているの?

良仁くん

セキュリティとか情報漏洩とか、難しくてよく分からないです。情報漏洩にはどんなケースがあるんですか?

圭先輩

むむ……そこから説明しないとダメなのか。
情報漏洩には大きく二つに分けられるんだよ。
一つはサイバー攻撃みたいに、外部の攻撃による情報漏洩。もう一つは社員とかの関係者による情報漏洩。

前者は、ランサムウェアやEmotetとかのマルウェアを使って、ハッカーのような外部の人間が情報を盗むケース。
その中でも、ターゲットを絞った「標的型攻撃」とターゲットを絞らずに不特定多数を攻撃する「ばらまき型攻撃」があるんだ。
標的型攻撃は2000年代から騒がれ始めて、未だに多くの企業が攻撃を受けて被害に遭ってるんだ。2015年に年金機構で起きた漏洩事件とかが有名だよね。

良仁くん

「ばらまき型攻撃」っていうのは昔からありますよね。「標的型攻撃」もよくニュースになっているから、聞いたことはありました。

圭先輩

それともう一つの関係者による情報漏洩は、関係者が故意に情報漏洩を犯したり、わざとでなくミスによって情報が漏洩してしまうケース。

特に関係者が故意に情報漏洩を犯す事件は2000年以前から起こっていて、古くは新日鐵住金の鋼板製造技術の漏洩事件があるし、ベネッセの個人情報漏洩事件も印象に強く残ってるね。

良仁くん

ミスによる情報漏洩もよくニュースになりますよね。酔っぱらってUSBメモリやノートPCが入った鞄を失くしたり。

圭先輩

情報漏洩を分類すると、こんな感じ。

情報漏洩事件事故の分類
良仁くん

なるほど、そんなケースに分かれるんですね。
でも社長からはただ「情報漏洩しないように対策をしろ!」とだけしか言われてないんです。この全てに対応するにはどうすればいいんですか?

圭先輩

そうなんだ。入社3年目で大変な任務を任されたね。
情報漏洩のそれぞれのケースは対策方法が全く違うから、直接的に防ごうとすると期間や費用はもの凄くかかるよ。
まとめるとこんな感じ。

サイバー攻撃などの外部による情報漏洩への対策社員などの内部からの情報漏洩への対策
・EDR、IDSなどのセキュリティ対策システムの導入
・CSIRT、SOCなどのセキュリティ対策部門の設立
などなど……
・コンプライアンス、職場環境の整備
・ファイルサーバやシステムへのアクセス権限の設定
・ログ監視、防犯カメラなどによる抑止
・デバイス制御による持ち出し制御
などなど……
それぞれの情報漏洩ケースへの対策方法
良仁くん

うちの会社は、そんなに時間も予算もかけられないです……何かいい対策はないんですか?

「情報そのものを守る」DRM/IRMソリューション DataClasys

圭先輩

それなら「情報そのものを守る」っていうアプローチで、根本から情報漏洩対策をしてはどうかな。

良仁くん

「情報そのものを守る」??どういうことですか???

圭先輩

そもそも最初からサイバー攻撃や関係者の不正行為やミスが起こることを前提として情報漏洩対策を行うことだよ。

良仁くん

??
サイバー攻撃が発生したら情報は漏洩するし、関係者が不正行為をしても情報は漏洩しますよね。
サイバー攻撃や関係者の不正行為を前提とした情報漏洩対策なんて、どうやったらそんなことができるんですか?

圭先輩

DRM/IRMソリューションを導入すれば、「情報そのものを守る」ことができるし、サイバー攻撃や関係者の不正行為が発生したとしても情報漏洩を防ぐことができるよ。

良仁くん

DRM/IRMって何ですか?

圭先輩

“Degital Rights Management / Information Rights Management”の略で、ファイルを暗号化した上で操作権限を制御する、情報漏洩対策のシステムのことだよ。

良仁くん

どうしてそれで情報漏洩の根本対策になるんですか?

圭先輩

まずファイルを暗号化することで、ファイルを利用するには正式な利用者であるという認証が求められてくるんだよ。
つまり暗号化されたファイルが外へ流出して不正に取得したとしても、認証を受けていない人はファイルを利用できずに情報は守られる。
※ ファイルの暗号化 https://www.dataclasys.com/function/file-encryption-function/

良仁くん

ファイルを暗号化しておけば、ファイルが盗まれても大丈夫なんですね。

圭先輩

例えば、USBメモリの中のファイルが暗号化されていれば盗まれても失くして拾われても問題ないし、サイバー攻撃でファイルが流出しとしても暗号化されていれば内容を読み取られることは無いから、ダークウェブに公開されようがないよね。

良仁くん

そうか。ファイルの暗号化は、ファイルの紛失や流出に効果的なんですね。
操作権限の制御はどんな効果があるんですか?

圭先輩

情報漏洩に繋がる操作を禁止して、関係者が情報を外に持ち出せないようにするんだよ。

良仁くん

操作を禁止するんですか。どんな操作を禁止するんですか?

圭先輩

うちの会社で使っているDataClasysでは、印刷やコピーペスト、ファイルの別名保存とか、色んな操作を制御できるよ。
例えば、印刷権限を与えなければ紙に印刷できなくなるから、紙で情報を持ち出すことができなくなる。こんな風に情報漏洩に繋がる操作を権限制御するんだ。

良仁くん

先輩の会社で使っているDataClasysは、細かい操作まで権限で制御ができるんですね。

圭先輩

更に、閲覧、更新、削除も権限制御できるから、情報の改ざん防止もできるんだ。
こういった操作権限を部署や役職で設定していくから、権限も業務で必要なものに限定して、漏洩に繋がるような権限は与えないようにすることで、業務に影響なく情報漏洩対策ができるんだよ。

どんなファイルでも情報漏洩対策ができるDataClasys

良仁くん

業務に影響がないという話ですけど、うちの会社には総務や人事の個人情報を扱う業務や設計データを扱う設計や製造業務とか色々な業務があるんです。
色々な情報と色々な部署の利用者によって権限を切り替える必要が出てきそうなんですが、そんな権限制御もできるんですか?

圭先輩

DataClasysならできるよ。
予め「カテゴリ」というものを設定するんだけど、そのカテゴリの設定で利用者の部署情報と役職情報の組合せに対して権限を決めるんだ。カテゴリは複数登録することができるから、機密情報の種類によって利用者の業務に応じた権限設定ができるよ。

良仁くん

それなら「個人情報カテゴリ」は総務と人事しか利用できない、「設計情報カテゴリ」は設計部門が更新できて営業は見るだけ、「経営情報カテゴリ」は経営層しか読めないようなこともできそうですね。
※ ファイル操作権限の制御 https://www.dataclasys.com/function/operation-right-setting/

圭先輩

もちろんできるよ。
他にはプロジェクトごとにカテゴリを設定すれば、プロジェクト関係者しか利用を限定することもできるし。
色々なことができるよ。

良仁くん

でも個人情報が載っているファイルの形式はエクセルやテキストやアクセスとか色々あるし、特にテキストやCSVファイルは多くのアプリケーションで利用するんですが、DataClasysで色々な形式のファイルを暗号化したり操作制御することはできるんですか?

圭先輩

DataClasysならできるよ。
DataClasysは全てのファイルを暗号化できるし、Windows上で動作するほとんどのアプリケーションに対して権限制御することできるんだ。だからMicrosoft OfficeやAdobe Acrobatだけでなく、製造業界で使われているようなCADアプリケーション、一般的で無いアプリケーション、はたまた自社で開発したアプリケーションでも設定すれば暗号化ファイルを利用して操作制御をすることができるよ。
※ 様々なアプリケーションで利用可能 https://www.dataclasys.com/function/file-encryption-function/#vk-htags-9258dec7-ebff-46ee-b53c-c2fc51c125da

良仁くん

そうなんですね。エクセルやアクセスのマクロも動くんですか?

圭先輩

マクロも動くよ。
更に暗号化してもファイル名は変わらないから、マクロが参照しているファイルを暗号化しても、そのまま利用できるよ。暗号化してもアイコンも鍵マークがつくだけで見た目も変わらないから、違和感なく利用できるし。
※ 変わらないファイル名とアイコン https://www.dataclasys.com/function/unchanged-file-name/

良仁くん

そこまでできるのなら安心して導入できますね。

簡単・便利な自動暗号化でいつの間にかに情報漏洩対策

良仁くん

でもファイルを暗号化ってどうやるんですか?
いちいち「ファイルを暗号化してください」と頼んでも、ほとんどの人がやってくれないと思います。

圭先輩

確かに手間がかかるセキュリティ対策は、やらない人が出てくるね。DataClasysはそんな物ぐさな人でも大丈夫なように、自動暗号化機能があるんだ。ファイルサーバ上に新規作成や更新されたファイルを検知して暗号化することができるから、ファイルサーバ上のファイルは強制的に暗号化されることになるよ。
※ 共有フォルダの自動暗号化 https://www.dataclasys.com/function/automatic-folder-encryption/

良仁くん

Windowsファイルサーバ以外でもできるんですか?

圭先輩

もちろんできるよ。
Windows以外のNAS、Amazon FSx for Windows File Server、Microsoft Azure Filesでも自動暗号化ができるよ。

良仁くん

ファイルサーバの情報漏洩対策はバッチリですね。
デスクトップやドキュメントなどのクライアント内のファイルも自動暗号化はできるんですか?

圭先輩

それもできるよ。
クライアント上で利用したファイルやコピーペーストしたファイルを自動的に暗号化することができるよ。

良仁くん

クライアント上の自動暗号化もできるんですか。
それなら、利用者は意識せずに情報漏洩対策をすることができますね。

どこでも安心安全に機密ファイルを扱う・渡せる

良仁くん

所で、うちの会社は出張とか外出が多いんです。
外出先でプレゼンテーションしたり設計データを委託先企業に説明したり、暗号化ファイルを持ち出して利用する必要が出てきそうなんですが、そんなこともできますか?

圭先輩

本来は暗号化ファイルを利用する時にサーバとの通信が発生するんだけど、オフライン機能を有効にすれば、外出先やネットワーク環境が無い場所に暗号化ファイルを持ち出しても、問題なく暗号化ファイルを利用できるよ。
※ オフライン機能 https://www.dataclasys.com/function/no-network-use/

良仁くん

どうしてそんなことができるんですか?

圭先輩

暗号化ファイルを利用する時はサーバに権限確認をするんだけど、オフライン機能が有効になっていると、設定されたオフライン有効期間内であれば、一時保存された権限情報を使ってサーバと通信せずに暗号化ファイルを利用できるんだよ。

良仁くん

そうなんですね。それならば、もしかしてサーバを導入できない海外拠点でも、DataClasysを利用して情報漏洩対策をすることができたりしますか?

圭先輩

鋭いね。その通りだよ。ネットワーク環境が不安定な海外拠点でも、DataClasysなら安心して導入できるよ。

良仁くんは圭先輩の助けを借りて、情報漏洩のケースについて学び、DRM/IRMを知ることができました。その中でDataClasysが持つあらゆるあらゆるアプリケーションに対して操作制御ができる点、オフライン機能や自動暗号化など、利用者にも意識させずに情報漏洩対策ができる点に興味を持ちました。

良仁くんと圭先輩の会話はこの後も続き、システムの運用や管理についての話に移っていきます。ただでさえ稼働中のシステムの運用や管理に追われる良仁くんは、新しくシステムが稼働して運用負荷が更に加わることに一抹の不安を持ちます。
良仁くんは不安なく社長命令の情報漏洩対策を遂行することはできるのでしょうか。

良仁くんと圭先輩の会話の続きは、以下のリンクからどうぞ!