個人情報保護法後も減らない漏えい問題、「真」の対策とは？（2/2 ページ）

[木村真，ITmedia]

　情報を分けたら、次は「漏えいさせない」対策だ。InfoCageでは、「内部犯対策」「過失での漏えい対策」「外部犯対策」に分けた段階的な対策を提案している。内部犯対策では、重要ファイルの操作を常時監視して持ち出しを追跡する機能や、持ち出し制御機能、ポリシーの設定、Webサーバに対する持ち出し制御などがある。中には、ログイン時にユーザーが「通常モード」か「機密モード」かを選択させる機能もあり、自分が機密情報にアクセスするのだという、ユーザー側の危機意識を高めることに効果がある。

　ほかにも、過失での情報漏えいでは、ファイルの暗号化を忘れても自動暗号化フォルダにファイルをドラッグ＆ドロップで暗号化できる機能や、外部犯対策ではデータを抜き取り禁止にする機能なども搭載されている。「データを持ち出させないという基本に立ち返り、扱いやすく、導入しやすくて、さらにコストも低いといったメリットを考えて開発した」（竹本氏）。

　もちろん、これら対策を一気に実施するのは難しい。USBやノートブックPCなどに対して物理的盗難対策を実施する「ステップ1」、一般文書と重要データを分けて鍵をかけるといった対応をとる「ステップ2」、そして機密データ、重要データ、一般文書とを分類して整理する「ステップ3」と、段階的に対応させていくのがよいと、竹本氏は提案した。

煩雑なID・パスワード管理をなくすのも対策の1つ

　いち企業での情報漏えい対策は、上記を徹底することで十分かもしれない。だが、ビジネスはいち企業のみで成り立っているわけではない。関係企業と連係して1つのプロジェクトに取り組むこともあるだろう。こうした情報共有が必要な場面で、情報の安全性を確保するのが、同社の「WebSAM SECUREMASTER」（SECUREMASTER）だ。

　SECUREMASTERは、「3A（Authentication：認証、Authorization：承認、Administration：管理）」を実現するセキュリティ管理ソフトウェアである。複数のWebサーバにアクセスする場合、通常はそれぞれのIDおよびパスワードを保持しなければならない。これでは管理が煩雑になる上、不用意なパスワード設定などで情報漏えいにつながりかねない。

　そこで、シングルサインオン（SSO）により、認証サーバからユーザーに認証チケット（複数サイトにおける認証情報の統一で標準化を目指すLibarty Allianceの「LibertyID-FF」を採用）を配布し、異なるWebサーバへ共通のIDおよびパスワードでアクセスできるようにするのが、SECUREMASTERだ。NECでは、同ソリューションを社内にてすでに展開しており、センターにある認証サーバでID・パスワードを一元管理し、各ポータルサイトや業務サイトごとにアクセスできるようにシステムを構築していると、同社ミドルウェア事業部、今田秀顕氏は話す。

NECミドルウェア事業部 今田秀顕氏

　現在、生体認証とSECUREMASTERを対応付けた認証なども視野に入れた統合IDソリューションや、ID管理を効率化するプロビジョニングツールとの連係などを進めている。簡単なID・パスワード管理も、情報漏えい対策の1つといえるだろう。