社長命令「情報漏洩対策を実施せよ!」と言われたら…?(後編)

情報漏洩対策の任務を社長から直々に任された入社3年目の良仁くんは大学の圭先輩に相談し、「情報そのものを守る」という考え方、それを実現するDRM/IRMソリューションを知ることができました。そして圭先輩の会社で導入しているDataClasysの話を聞き、DataClasysに強い興味を持ちました。

良仁くんは圭先輩にDataClasysについて更に色々と質問します。

良仁くん、DataClasysの導入について知る

良仁くん

圭先輩、DataClasysについてもっと教えてください。
DataClasysの導入は大変でしたか?

圭先輩

いきなりテニスのフラットサーブみたいな質問をする奴だな。
楽して情報漏洩対策をしたいって腹が見え見えだぞ。

良仁くん

(ドキ)いや、そういう訳じゃないですよ!
DataClasysの導入はどんな感じで進むのか、予め把握しておこうかなって思ったんですよ。

圭先輩

そうなのか?ま、それならそれでいいけど。
DataClasysの導入は、基本的に「コンサルテーション」→「導入」→「運用切り替え」の順に進んでいくよ。

DataClasysの導入プロセス
良仁くん

そうなんですね。
「コンサルテーション」ではどんなことを決めるんですか?

圭先輩

最初のコンサルテーションの段階は、システム構成や運用や利用イメージを固めるんだけど、重要なポイントは機密情報の分類や権限設定を定義する「カテゴリ」設計かな。

良仁くん

なんかとても難しそうですね。

圭先輩

そんなことは無いよ。でもDataClasysの導入を考えるのなら、
今の内から「『どんな情報』を『どんな脅威』から守るのか」考えておいた方が良いね。

良仁くん

つまり個人情報や技術情報など漏洩から守る情報の種類の洗い出しをすることと、
サイバー攻撃やマルウェアなどの外部攻撃や関係者の不正行為などのどんな脅威に対策を取るのか考えておくということですね?

圭先輩

そう、その通り。
個人情報や技術情報といった「情報の種類」といった切り口でもいいし、ファイルサーバや○○サーバ内の全ファイルみたいな「情報の場所」を軸にした切り口でもいいよね。「脅威」については、外部攻撃と内部不正の大きく二つになるかな。
ただ漠然と情報漏洩対策を考えるよりも、少し具体的に考えを進めて、導入に向けて備えた方がスムーズにコンサルテーションが進むと思うよ。

考えるべき項目
どんな情報を守るか「情報の種類」の切り口による洗い出し(個人情報、技術情報、製品情報など)
「情報の場所」の切り口による洗い出し(ファイルサーバ上のファイル、○○サーバ上のファイル)
などなど
どんなセキュリティ脅威から守るか外部からのサイバー攻撃
関係者による不正行為
良仁くん

分かりました。今の内に考えておきます。
コンサルテーションの次は導入ですね。つまりシステム構築を進めていくってことですね?

圭先輩

そうだよ。
ユーザ認証や暗号化鍵の管理をするDataClasysサーバや共有フォルダを暗号化する暗号化監視サーバなどのDataClasys関連のサーバ構築、クライアントPCへのDataClasysユーザクライアントの展開とか、DataClasysの環境構築だね。

良仁くん

サーバの構築が必要なんですね。クラウド環境への構築もできるんですか?

圭先輩

うん、自社で利用しているAWSやMicrosoft AzureにDataClasysサーバを構築することもできるよ。

良仁くん

そうなんですね。
今、社内ではサーバのクラウド移行が進んでいるので、安心しました。
共有フォルダの自動暗号化は、確かWindowsサーバでなくてもできるんですよね。

圭先輩

ちゃんと覚えてるね。
Windowsサーバでなくても、NASやAmazon FSx for Windows File Server、Microsoft Azure Filesとかクラウドストレージでも自動暗号化できるよ。

良仁くん

クライアントPCへはDataClasysユーザクライアントのインストールが必要なんですね。
実は、社内にはMicrosoftのサポートがとっくに切れているWindows 7のクライアントPCで古いアプリケーションを動かしたりするんですが、それはさすがに対応できないですよね。

圭先輩

いや、DataClasysはMicrosoftのサポートが切れているWindows VISTAやWindows 7もサポートしているよ。だから古いWindows PCも問題ないよ。

良仁くん

そうなんですか!他のシステム導入を検討する時、いつもこのWindows 7のPCがいつもネックだったんで、凄く安心しました。
あとは「運用切り替え」ですね。これはどんなことをするんですか?

圭先輩

DataClasysの運用開始の段階だね。
既存のファイルを暗号化して、DataClasysの利用を開始していくんだよ。

良仁くん

新しいシステムの稼働って、利用者からの問い合わせがたくさん来ますよね。

圭先輩

確かにそうだね。
でもDataClasysはファイルを暗号化して稼働を開始したとしても、導入前と使い勝手をほとんど変えずに利用できから、問い合わせもあまり来なかったね。

良仁くん

え?そうなんですか??
業務で利用するファイルを暗号化したり権限制御するのだから、問い合わせがたくさん来そうな気がするんですけど。

圭先輩

実際にファイルを暗号化して権限制御するけど、業務で必要な操作権限は与えていれば、利用者からの問い合わせは来ないよ。
それに暗号化してもファイル名はそのままだし、ファイルアイコンも小さい鍵アイコンが左下に重なる程度だから利用者にも分かりやすいし。

良仁くん

そうか、そうでしたね。その点は利用者にも分かりやすいですね。
でも利用者ごとの権限を割り当てるっていうことは、認証を受けるためにDataClasysへログオンのような操作が必要ですよね。ユーザ名やパスワードが分からないなんて問い合わせとか、来ないですか?

圭先輩

DataClasysユーザクライアントを起動する時にユーザを認証するIDファイルとパスワードが必要なんだ。
でも「自動起動プログラム」オプションを使うと利用者自身のIDファイルを自動取得してパスワードも自動入力して起動するから、利用者はIDファイルやパスワードを意識せずにDataClasysを利用することができるんだよ。

良仁くん

それは良いですね。
利用者はパスワードの種類が増えると混乱して、結局パスワードを使い回したりしますからね。

圭先輩

後は、導入前と同じアプリケーションを使い続けられるのも、利用者に受け入れられやすい理由だと思うよ。同じアプリケーションを使い続けられるなら、生産性へも影響を与えずに情報漏洩対策ができるからね。

良仁くん

「生産性へ影響を与えずに情報漏洩対策ができる」って、凄いですね!これなら社長も納得できると思います!!

人事異動に強いDataClasys

良仁くん

後は、DataClasysの運用面では何かありますか?

圭先輩

DataClasysは人事異動で細かい権限変更は不要なんだ。
だから4月と10月の異動の時期には大きな手間がかからなくてとても楽だね。

良仁くん

それは凄くいいですね。でもなんで細かい権限変更が必要ないんですか?

圭先輩

DataClasysは人に対して権限を割り振る設定ではないんだよ。
グループ(所属)とポスト(職位)の組み合わせに対して権限を割り当てて、人にはグループとポストを割り振るんだ。

良仁くん

例えばどういうことですか?

圭先輩

例えば、今の僕は情報システム部の主任の立場なんだけど、今度の人事異動で設計部に異動になったとする。
その時、DataClasysでは僕の所属を情報システム部から設計部に変更するだけで、暗号化ファイルやカテゴリの権限設定を変更することなしに、全ての暗号化ファイルへの僕の権限が設計部の権限に更新されるんだよ。

良仁くん

それはシンプルで良いですね。アクセス権限の変更を間違えると、機密情報の権限を全然関係ない人に与えてしまったり、セキュリティ事故と隣り合わせだから凄く神経を使うんです。
人のグループとポストを変えるだけで全ての暗号化ファイルの権限が変わるんであれば、今までのように神経を擦り減らすこともなくなりそうですね。

圭先輩

それだけじゃなくて、グループとポストの変更をスケジュールしておくこともできるし、複数のグループとポストを兼任できるようなスケジュールもできるよ。

良仁くん

そうなんですか!
うちの会社は人事異動が毎回かなりの規模で発生するんですけど、いつも短期間の内に対象者全員の情報更新をしていたんですが、DataClasysはそんな必要もないんですね。信じられないくらい嬉しいです。

圭先輩

後はActive Directoryと連携しておけば、DataClasysのユーザ管理は不要にもなるよ。
今はActive Directoryがアカウント情報のマスタになってる会社も多いから、Active Directoryと連携しておけばユーザアカウントの二重管理もなくなるし楽だよね。

良仁くん

DataClasysはユーザ管理が負荷にならないような設計になっているんですね。
ユーザアカウント管理がシンプルだと、運用管理の負担も少なくてすむし、セキュリティ事故のリスクも小さくなるから、とても良いですね。

DataClasysで安心安全に暗号化ファイルを外部に持ち出し

良仁くん

確か、出張や外出時のようなサーバと接続できないオフライン環境でも、暗号化ファイルを利用できるんでしたよね?

圭先輩

うん、DataClasysのオフラインモードを許可すれば、DataClasysサーバと通信できない環境でも暗号化ファイルを利用できるよ。
オフラインモードには有効期間が設定できて、オフラインのままずっと暗号化ファイルが使える訳ではないから、セキュリティ的にも安心できるようになってるんだ。

良仁くん

そうでしたよね。それでオフラインモードを使えば、サーバを構築しにくい海外拠点でも暗号化ファイルを利用できるって話でしたよね。

圭先輩

そうそう。僕の会社の海外拠点でも、オフラインモードの状態で暗号化ファイルを使っているよ。

良仁くん

そうなんですね。でも例え暗号化していたとしても、海外拠点に機密情報を出すのは心配になりませんか?

圭先輩

確かにDataClasysをあまり知らない頃は不安はあったよ。
でもDataClasyはIDファイルを利用できるクライアントPCやWindowsユーザを限定することができるから、暗号化ファイルとIDファイルが一緒に盗難されたとしても、他のクライアントPCや自宅のWindowsユーザでは暗号化ファイルを利用できないようにできるんだ。

良仁くん

それなら、海外へ機密情報を出したとしても安心ですね。

圭先輩

ちなみに英語、韓国語、中国語(簡体字)に対応しているから、大抵の国をカバーできるんじゃないかな。

他システムとの連携にも強いDataClasys

良仁くん

後は、社内で全文検索システムや文書管理システムを使っているんですが、ファイルを暗号化してしまうと使えなくなったりしますよね。

圭先輩

そうだね。基本的にはファイルを暗号化してしまうと、他システムからは読み取ることができなくなってしまうんだけど、
DataClasysは他システムとの連携も柔軟にできるから、相談してみたらどうかな。

良仁くん

分かりました。まずは問い合わせをしてみます。

良仁くんは圭先輩を質問攻めにして、DataClasysの導入プロセス、利用者にとって使い勝手が良い点、人事異動時にも管理の手間がかからない点、セキュリティを維持したまま機密情報の海外利用ができる点など、DataClasysについて色々と知りました。そして、DataClasysであれば社長命令である情報漏洩対策を十分に実現できるのではないかと見通しを立てることができました。

次の日、良仁くんは下の問い合わせボタンをクリックしてデータクレシス社へ問い合わせを行いました。そして後日、担当営業から詳しいデモを見て、担当技術より全文検索システムや文書管理システムとの連携方法とその実現性について説明をもらいました。
今はDataClasysの導入に向けて、圭先輩から言われた 「『どんな情報』を『どんな脅威』から守るのか」 を調べるために色々な部門へ機密情報の洗い出しをしています。

この二人の会話を最後まで読んでいただいた方は、DataClasysに興味を持たれたのではないでしょうか。
もしそうであれば、良仁くんがクリックした下のボタンをクリックしてデータクレシス社に問い合わせをしてみてはどうでしょう?ぜひお気軽にお問い合わせください。