利用者が意識しないように設計するのがキモ：特集：セキュアなドキュメント流通を目指して（3）（1/2 ページ）

本特集では、ここまででリスク分析を行い自社の弱点をまず見極め、そのうえで弱点を補うためのポリシー設定を行うべきだと説明してきた。今回からは、各ベンダにポリシー策定を実行に移すためのポイントなどを聞いていく。第1弾はJP1などを提供している日立製作所に話を聞いた。

[大津心，＠IT]

　本特集ではこれまで、まずはリスク分析を行い、セキュリティポリシーを策定することが情報漏えいを防ぎ、かつ現場ビジネスを効率化させるために必要だと説明してきた。

　ここからは、リスク分析やポリシー策定の結果を実行に移すためのポイントとして、実際に個人情報漏えい対策製品を提供しているベンダ各社に「普段、ユーザーにどのようなアドバイスやコンサルティングを行っているのか」などについて聞いていく予定だ。

　第1弾は、システム運用管理システムの観点から、多くの情報漏えい対策ソリューションを提供している日立製作所に話を聞いた。

恐れるあまり、思い付くすべての対策をしようとする企業が多い

　日立製作所（以下、日立）は、統合システム運用管理ソリューション「JP1」、情報漏えい防止ソリューション「秘文」などを組み合わせた情報漏えい対策ソリューションを提供している。多様な製品群を用意しているため、ユーザーのさまざまな要件に応えられるのが強みだという。

　日立製作所 ソフトウェア事業部 システム管理ソフトウェア本部 JP1マーケティング部 主任技師 加藤恵理氏は「個人情報漏えい問題が注目されて数年が経過しており、ほとんどの企業では、すでにセキュリティ対策に関するおおまかなポリシーは策定済みだ。しかし、その後の具体的な対策や運用フェイズでうまくいっていないケースが多い」と現状を分析する。

　このような実際の対策や運用フェイズでうまくいっていない企業の多くは、「そもそもセキュリティ対策に何をやればよいのかまったく分からない」という企業や、情報漏えいの不安から「思い付くすべての対策を実施しがち」な企業が多いという。それでは、対応コストが高くなるうえに、現場負担が大きくなる可能性がある。何より、管理者の運用負荷が膨大になるのは明白だ。

日立製作所 ソフトウェア事業部 システム管理ソフトウェア本部 JP1マーケティング部 主任技師 加藤恵理氏

　そこで同社では、まずきちんとしたリスク分析を推奨している。「まずPCを持ち歩くのか、持ち歩かないのか」「社内に個人のPCを持ち込んでいる」「業務に関係ないソフトウェアがPCにインストールされている」「大切な情報に誰でもアクセスできる」「万が一、情報漏えいが発生しても原因追究手段がない」といった設問項目を用意し、チェック項目が多い部分を“セキュリティ対策が弱い部分”とし、そこから重点的に対策していくことを推奨する。つまり、「分析して、弱点をつぶしていく」という方法だ。

　実際に日立が顧客に対してコンサルティングを行う際には、上記のようなリスク分析を「影響度」と「発生頻度」を軸としたマトリクスを作って実施。マトリクス上で弱点を見付ける手法を用いているという。このようなリスク分析を行ったうえで、セキュリティポリシーの大方針を決定し、さらに具体的な策に落としていく。

秘密情報の値段付けが重要

　ポリシー策定の方針を決める際に、前提条件として重要なのが「性善説、性悪説のどちらを選択するか」だという。「以前は性善説を前提にポリシー策定や各種対策を行う企業が多かったが、現在では性悪説が多くなってきている。社員による情報持ち出し事件が頻発していることも要因の1つだろう。当社も現在では性悪説に基づいたポリシー策定を行っている」（加藤氏）と説明する。

　やはり、性善説を前提にすれば、前回説明した予防的統制を中心とした対策よりも、発見的統制を重視する方針となり、性悪説では逆になる。従って、性善説／性悪説のどちらかを選択することが、予防的統制や発見的統制といったアプローチを大まかに選択することにもつながるのだ。

日立製作所 ソフトウェア事業部 システム管理ソフトウェア本部 第2JP1設計部 主任技師 市川孝子氏

　そして、ポリシー策定を行い、施策に移す段階で最重要となるのが予算額だ。どのような施策を実施するにしても、予算がなければ始まらない。そして、その予算額を決定するうえで重要となるのが、「守るべき秘密情報にいくらの価値があるか？」という点だという。

　例えば、「1億円の価値がある秘密情報に対して、その情報漏えい対策に10億円かける」のでは、まったく意味がないからだ。秘密情報に値付けするのは非常に難しい作業だが、漏えいした際の被害額などから値段を算定し、それに見合ったコストをかけるべきだ。

　次に考えるべきなのは、「そもそも情報をどう扱うか？」だ。これは、社外とコミュニケーションを取らなければならない部署を特定し、「それ以外の者に対しては、持ち出せない権限にする」といった施策が必要だ。外部と電子メールのやり取りをしない部署は少数派だろうが、「PCを持ち出せるのは営業のみ」や「重要情報を扱う経理や法務はシンクライアント化する」といったポリシー設定が考えられる。

　その際に考慮すべきポイントは「権限を決める」「安全な持ち出し方法を検討する」「ログの暗号化」などだという。権限を決めるというのは、持ち出す人を限定しリスクを減らすために必要だ。また、安全な持ち出し方法とは、もし業務的にどうしても持ち出さなければならない場合に「いかに安全に持ち出すか？」を検討するためのもので、暗号化したり、シンクライアント化するなどの方法が考えられる。そして、ログ自体が改ざんされたりしないように、ログを暗号化することも重要だという。