インタビュー
2004/03/01 00:00:00 更新


Interview:人間系に頼らず、システムで強制的に防ぐ――内部セキュリティのアークン

大半は内部の人間によって引き起こされる情報漏えい。自社開発の機密情報漏えい対策システムで、早くから内部セキュリティに目を向けてきた情報セキュリティベンダー、アークンの渡部社長に対策の考え方を聞いた。

 情報漏えいは企業にとって大きなリスクをはらんでいるにもかかわらず、この種の事件は減らない。しかもその大半は内部漏えいによるものという。自社開発の機密情報漏えい対策システム「DataClasys」で、早くから内部セキュリティに目を向けてきた情報セキュリティベンダー、アークンの渡部 章社長は、「人間系に頼らず、システムによって強制的にできなくする必要がある」と語る。

渡部 章

情報漏えい事件の8、9割ぐらいが内部漏えいによるものという渡部社長


――情報漏えい事件は後を絶ちませんが、企業はどういう考え方が必要になるのでしょう?

 考え方は人それぞれですが、これだけ事故が増えている現状を考えると、システムで情報漏えいをできなくしていくやり方しかないのではないでしょうか。

 今まで内部漏えいに対するソリューションというのはほとんどありませんでした。それは、社員を信用するという考え方で日本の企業は成り立ってきたからです。社員教育をしてモラルを高めるとか、セキュリティポリシーを作ってそれを守らせるとか、人間系の管理でしかありませんでした。これでは、やりようによってはどこの会社も内部犯罪に脆弱なのです。情報漏えいの65%が内部というデータもありますが、個人的には8、9割ぐらいが内部漏えいだと思います。

 それに加えて人的ミスも多い。例えばWebサーバを立てたとして、本来なら防げていたのに、設定がしっかりできておらず、企業データが丸見えになっていましたということもあります。守るべきものは分かってたのに、人間の引き起こす単純なミスによって第三者に見られ、大きな事件に発展してしまったりします。

 内部漏えいというのは、こういったモラルや人的ミスといった人間に捉われる要素が多いといえます。それならば、システムによって強制的にできないという体制を整えていくことが大切になってきます。厳しく言えば、社員を信用しない「性悪説」で望む、ということです。

 欧米の企業はこのような感性をもっていると思います。社員の中途採用も多いし、首を切られれば荷物を全部廊下に投げ出されます。部屋にも入れないし、アクセス権もすぐに取り上げられる。なのに日本では、辞めたはずの元社員が社内を歩いていて、「やあ、元気? 」とやっていても何も指摘しない文化があります。今までの閉鎖的な文化や環境の中でのビジネスであれば、それでも良かったかもしれません。しかし、グローバルで利用されているインターネットを使う限りは、セキュリティについてもグローバルな考え方をもって望まなければならないないでしょう。内部犯罪のやり方やその価値というものも、インターネットを通じて海外からどんどん入ってきているわけですから。

――情報漏えい事件が増えるなかで、最近は積極的に情報セキュリティポリシーの認証を取得しようと考える企業も増えてきていますが。

 それは各企業にセキュリティの考え方がないので、まずは情報セキュリティというものを理解して、ルール作りや組織作りをしないといけないことに気づきだしたからです。ただ、いつまでたってもそこで滞留していたら人的セキュリティから脱却できません。とはいっても、次の技術的なセキュリティに進むには、そこにどうしても取り組まなければなりません。なぜなら、日本の企業は前例も統計もないから、IT予算の中のいくらをセキュリティに割くべきか分かっていないのです。確かな予算を明らかにするためにも、これは必要な作業にってきます。

 また、情報セキュリティに取り組むことになったとしても、その担当者はコンピュータやネットワークのことを詳しく知らないため、その作業は必ずIT事業部にふりかかってきます。しかし反対に、彼らは会社全体のリスクを知らないので、アンマッチングになります。そのためにも、組織全体や責任者など明確にしたうえで全社的に取り組む必要があるのです。

――アークンのDataclasysは暗号化により漏えいを防ぐ製品ですが、ISMS認証に適したものとなっていますね。どういったツールなのですか?

 こういった日本の文化にいきなり機密区分や暗号化をやれ、といってもなじめません。徐々に普段の生活の中に入っていける製品にしたいと考えたのが、Dataclasysです。Dataclasysは組織内の機密データを暗号化してうえで、機密区分の属性を付けてアクセス権限を管理できる製品といえます。

 社内のサーバやクライアントなど、どこに保存されていたとしても、この機密区分に従ってファイルを開ける人を限定することができます。これはDataclasysネットワークの中だけで機能するので、ファイル単体で持ち出されたとしても、暗号化されたファイルしか流出しません。また、エンドユーザーが簡単に利用できることも重要ですので、パスワードの概念がなく個人認証により利用できます。

 ポリシーの部分については、ウィザード式になっており、質問に答えていけばその企業にあったポリシーが生成されます。全体的なポリシーの作り方などの情報は比較的ありますが、機密区分のポリシーを詳しく説明しているものはないので、それだけでも役に立つ製品だと思います。

関連記事
▼内部情報漏えいを起こさないための基礎
▼アークン、ZoneAlarm Proの販売契約を締結
▼アークン、ポリシーに応じて暗号化を行える「DataClasys Enterprise」を発表
▼独自の鍵管理方式を用いるアークンの「DataClasys」
▼アークン、共有管理の可能なインテリジェント暗号システムを発売
▼アークン、不正なツールを検出・削除する「PestPatrol」の日本語版を発売

関連リンク
▼アークン

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.