情報漏えい被害を最小限に食い止めろ:電子文書の情報漏えい防止 SaaSでできる手軽な本格対策

情報漏えい対策強化の必要性が久しく叫ばれながら、情報漏えい事故はいまだ相次いでいる。NECビッグローブが開始した「BIGLOBEドキュメントコントロールサービス」は、配布した電子文書のコントロールを可能にするSaaS型のサービスだ。


 リスク管理やコンプライアンスの観点から、情報漏えい対策の徹底が企業に強く求められている。多くの企業はそのための仕組みづくりに取り組んでいるものの、企業の情報漏えい事件は依然として止む気配がない。日本ネットワークセキュリティ協会の調査でも、2006年における個人情報の漏えい件数は2005年とほぼ変わらない約1000件、累計2224万人分の漏えいが続いている。

 言うまでもなく、情報漏えい事故を起した企業が被る被害は甚大だ。長年にわたって築き上げた信用が一瞬で失墜し、ブランド価値が喪失する。また、金銭的な補償によって多額のコスト負担を強いられるケースもある。

 こうした事態を回避するため、企業は社員による故意の情報持ち出しやワーム/ウイルスによる外部からの攻撃、メールの送信先を間違えるといった誤操作などに対応できる仕組みを構築すべく、多くの時間とコストを費やしてきた。

情報漏えい後の被害拡大を食い止めるために

福嶋正晃氏 福嶋正晃氏 NECビッグローブビジネス事業部マネジャー

 とはいえ、情報漏えい対策に完璧を期待するのは実のところ難しい。NECビッグローブビジネス事業部でマネジャーを務める福嶋正晃氏は「確かに、社内情報のアクセス制御や監査などの機能を活用すれば、内部からの情報漏えいを防止するための助けにはなる。しかし、電子メールを通じて外部の取引先などと共有される情報についてはコントロールできない。そこから情報が別の人間に漏えいするリスクがついて回る」と、対策を徹底する難しさを指摘する。

 正規のやり取りであっても組織の外に出た情報は二度とコントロールできない。仮にそこから文書が流出したとしても、被害が広がらない対策も必要なのではないか――NECビッグローブはこうした考えに基づき、2007年12月に「BIGLOBEドキュメントコントロールサービス」を開始した。


ファイルは入手できても「閲覧」はできない

 同サービスは、作成された電子文書に「ポリシー」と呼ぶ鍵の一種をかけるサービスといえる。管理者側で文書の開示設定を一元的にコントロールして、電子メールの添付ファイルなどインターネットでやり取りされる電子文書からの情報漏えいを防止しようというものだ。

 アドビ システムズが提供する機密文書管理システム「Adobe LiveCycle Rights Management ES」を、NECビッグローブがSaaS(Software as a Service)型のサービスとして、多くの組織に導入しやすいかたちで提供している。

 では、その仕組みを利用の流れに沿い見ていくことにしよう。

 同サービスの利用ユーザーは、ポリシー管理を行う「管理者」、作成後の文書にポリシーを付与できる「文書発行者」、文書配布先の「閲覧者」の3種に大別される。利用にあたっては、まず管理者が文書の閲覧を許可するユーザーと、操作権限や有効期間などのポリシーをBIGLOBEのサーバにあらかじめ登録しておく。例えば1人のユーザーに対し、「文書の閲覧は許可するが、印刷は認めない」などと設定することも可能だ。これで事前準備は終わりだ。

th_sikumi.jpg コントロールの仕組み

その後の利用ステップは、次のようになる。

1.文書発行者がPDF形式に変換した電子文書をBIGLOBEドキュメントコントロールサービスのサーバにアップロード。事前に管理者が登録しておいたポリシーの中から適用したいものを選択し、PDFに付与する

2.ポリシー付与したPDFを閲覧者にメールで送信する

3.閲覧者がPDFを開こうとすると、「Adobe Reader」が立ち上がり、閲覧者のID・パスワードを要求する。閲覧者はあらかじめ割り振られていたID・パスワードを入力する

4.入力したID・パスワードが正しければ、サーバが閲覧を許可。閲覧者はPDFを開くことができる

 以上の仕組みにより、たとえPDFが流出した場合でも、IDとパスワードを持たない第三者は認証をクリアできない。つまり第三者には文書を閲覧されずに済むのである。

 もちろん、管理者は閲覧者の持っている電子文書のポリシーをインターネット越しに変更することもできる。

 「業務委託先に一旦資料を提供した場合、取引を終えたからといって資料を返却してもらうことは難しい。そのことが将来、何らかの不都合につながる危険性が残されていた。しかし、同サービスを利用すればそうしたケースにも容易に対応できる」と、福嶋氏は言う。

 例えば「文書の有効期間」に関連した各種ポリシーを使えば、文書の失効日や開封日、共有期間をコントロールでき、取引先への提案書/見積書の提示や、販売店への新製品情報の提供などの用途で、必要な期間内にだけ閲覧を許可するという使い方が可能になる。

 文書へのアクセスログもBIGLOBEの認証サーバ側で管理できるので、利用履歴から不信なアクセスを割り出すこともできる。仮に文書を改版した場合には、そのことを通知する機能も備えているため、設計図など改版管理が必要な文書にも役立てられる。

 もちろん、モバイルPCでの利用も想定したポリシーも用意されており、例えば一度認証をクリアした後は、設定した期日まではオフライン環境でも閲覧できるようにすることなども可能だ。

 福嶋氏は「文書はどの企業にも欠かせない。これらの例以外にも業種業態を問わず幅広い領域で活用できる」と胸を張る。

設定できる代表的なポリシー

ポリシー 説明
文書の有効期間 文書の閲覧できる期間を制限できる
オフラインの利用許可 ポリシー付の文書をサーバ認証せずに開く許可を与えることができる。許可する場合、サーバ認証をしないで閲覧できる日数を設定できる
PDFの暗号化 ポリシー付与と同時に、PDFファイルを暗号化できる
電子透かしの挿入 表示、印刷に際して、閲覧者のユーザーIDや日時などを透かしで表示させる
文書内容のコピーの許可 電子文書内のテキストや画像のコピーによる再利用の許可を設定できる
文書内容の編集の許可 Adobe Acrobatを使用したPDFファイルの編集許可を設定できる
印刷の許可 閲覧できても印刷をさせないなどの設定が可能
印刷解像度の指定 印刷を許可してもOCRなどによる再データ化が不可能な解像度に限定できる

コストと手間を大幅削減し、堅牢さも確保

 電子文書の閲覧・操作権限を制御するこの種のシステムは、市場に数多く登場している。福嶋氏によると、その利用にあたってはクライアントPCに専用エージェントソフトウェアをインストールする必要があるなど、システムを展開するのに手間がかかるものが多いという課題があった。

 「業務の中では、多くの委託先や取引先と密に連携する必要がある。専用のエージェントの導入が必要となると、彼らを巻き込んでの対策は難しい。そこがどうしても情報漏えいの脆弱なポイントとなってしまう」(福嶋氏)

 しかし、BIGLOBEドキュメントコントロールサービスでは、このエージェントの役割をPDF閲覧ソフトのAdobe Readerが担当する。PDFは電子文書形式としては一般的に利用されており、企業の業務PCでもAdobe Readerは非常に幅広く導入されている。あらためてエージェントのインストール作業をお願いする必要はない。

信頼できるプラットフォームで提供するSaaS

小島英揮氏 小島英揮氏 アドビ システムズ エンタープライズ&デベロッパーマーケティング部部長

 また同サービスは、NECビッグローブのデータセンターを活用したSaaS型で提供されるため、利用環境を整備するにあたってのイニシャルコストを抑えながら導入できるのも特徴だ。

 アドビ システムズのエンタープライズ&デベロッパーマーケティング部部長を務める小島英揮氏は「LiveCycle Rights Managementに対して関心を寄せる企業は多いものの、いざ導入しようとなると、システムの性格上、全社規模の情報共有インフラとして構築しなくてはならず、コスト面から導入を断念する企業もあった」と打ち明ける。しかも、全社規模のインフラとして用いる以上、システム停止は許されず、運用の負担も発生する。

 BIGLOBEドキュメントコントロールサービスのイニシャルコストは40万円。月額利用料は利用ユーザー数によって異なるが、最も安価な500ID、100ファイルの利用で60万円に抑えられている。この価格帯であれば、大企業の部門レベルや中堅・中小企業でも容易に利用できる。もちろん、システムも運用もNECビッグローブのデータセンターで行われるため、運用の負荷もない。


 星野光一氏 星野光一氏 アドビ システムズ ソリューション・パートナー営業本部ビジネスデベロップメントマネージャー

 NECビッグローブのデータセンターは、アクセス負荷の高い携帯電話や放送局のコンテンツ配信基盤として実績を誇っており、安定性は抜群だ。

 「NECグループとはアライアンスを組み連携して事業を進めてきた。そこでの経験を通じ、NECビッグローブの技術力の高さを確認できたからこそ、今回のサービスが実現した」と話すのは、アドビ システムズ ソリューション・パートナー営業本部ビジネスデベロップメントマネージャー、星野光一氏。

 実のところ、アドビ システムズが他社と連携してSaaS提供するのはこれが初めてという。BIGLOBEのデータセンター基盤がいかに信頼されているかが分かるだろう。


WebAPIの提供も視野に

 NECビッグローブは現在、2008年3月末に向けてWebAPI(Application Program Interface)の開発も進めているところだ。同社では、企業向けサービス拡充の一環としてSaaS事業を戦略的に強化しており、WebAPIを提供することで、他システムとのマッシュアップを可能にし、サービスの使い勝手を高める考えだ。

 すでに情報共有におけるセキュリティの強化や、電子化した紙文書へのアクセス管理強化といった用途での問い合わせが同社に寄せられており、WebAPIが整備されれば、そうしたニーズに柔軟に対応できるようになる。

 今後、企業にとって重要度の高い情報資産の維持管理への関心はますます高まる。BIGLOBEドキュメントコントロールサービスは、情報漏えい対策だけでなく、企業資産の保護という観点からも大いに活用できるものになるはずだ。

ホワイトペーパーダウンロード

“アフター J-SOX ”に効くIT活用術──部門別事例で分かる文書管理対策法

日本版SOX法施行後、情報システム部門担当者がすべきことは何か? 「文書管理」「PDF化」「SaaS」などをキーワードに、部門別の導入事例から具体的な対策と効果を示しながら成功の鍵を探る。

 日本版SOX法施行後は、統制した情報を生かして企業競争力の強化に結び付けられるかどうかが問われる。IT投資を行う際、最も重要な施策として情報システム担当者の6割以上が考えているのが「情報管理/活用」である。中でもその要となるのが「文書」の管理/活用だ。

 解決策の1つとして注目されるのが、PDFの活用に着目した「BIGLOBEドキュメントコントロールサービス」だ。SaaSサービスのため、導入コストを抑えてトライアル的に使用することも可能。文書管理において、今までリスクとして放置されてきた「社外」との文書のやりとりを「統制」と「活用」の両面からコントロールできるようになる。

 本ホワイトペーパーでは、同サービスを導入した事例を部門別に紹介し、どのような問題をどのように解決したのかを分かりやすく具体的に提示。これを読めば“アフターJ-SOX”によく効くIT活用の方法がリアルに見えてくるに違いない。

TechTargetジャパン ホワイトペーパー ダウンロードセンターにて入手できます。




提供:NECビッグローブ株式会社
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2008年3月20日