第一回 企業内部におけるリスクマネジメント：企業内情報をいかに守るか−−リスク回避のためのソリューションを知る

企業としての活動、そしてそこで取り扱う情報を守るためには、外部からの脅威の侵入を防ぐ、そして内部からの情報漏えいを防ぐという2つの方向からのリスク回避を考えておく必要がある。そのソリューションに必要な要素とは何か。

[猪瀬森主（アルプスシステムインテグレーション），ITmedia]

　企業におけるセキュリティ対策というと、ウイルスなど「意図せずネットワークを介して外部から侵入する危害」への対策をまず思い浮かべることができる。多くの企業ではこのような危害への対策は一般的に行われるようになっており、ウイルス対策ソフトの導入率はすでに90％を超えるとも言われている。

　しかし、「企業内部から故意もしくは意図せず生じる危害」についての対策はどうだろうか？　例えば、企業内に存在するデジタルドキュメントの漏えいや、無法なインターネット使用によるさまざまなリスク。残念ながら、これらの対策を実施している企業は、このご時世でも多くはないのが現状だ。

　最近生じている情報漏えい事件などのセキュリティ事故は、モラル上の問題が含まれることは言うまでもないが、情報のアウトプットの主要な経路や手段となるインターネット、そしてドキュメントの取り扱いのポリシーにこそ問題があると思われる。

　例えばインターネット上で情報を発信するとか、ドキュメントをメディアで持ち出す、印刷するといった行為は日常的な業務の中で行われている。しかし、これらは何らかのルール＝ポリシーがない限り情報漏えいにつながる行為でもある。それゆえに企業にとって、インターネットやドキュメントに関するアクセスマネジメントを確実に行うことができれば、セキュリティ事故のリスクを大幅に減らすことができるはずだ。

無法状態のインターネット利用

　多くの企業では、インターネットの利用に関しては実質的に管理がなされておらず、従業員の自覚に任せているというケースが多い。しかし、これはあまりにも危険である。インターネットアクセスは下記のようなさまざまなリスクを含んでいる。

1. 掲示板やウェブメールによる情報漏えい

　有名な掲示板を見れば分かるとおり、企業内の人間しか知りえない情報が多く書き込まれている。また、誹謗中傷による訴訟問題も起こりうる。一方で、近年利用者が増加しているウェブメールの利用も情報漏えいの手段となりうる。

2. スパイウェアなどの悪質なプログラムのダウンロード

　ユーザーがウェブを閲覧中に、無意識のうちにインストールされているスパイウェア。ブラウザの履歴を取り込み、その傾向に基づいて広告バナーを強制的に表示される程度ならまだしも、キーボードの打鍵履歴を外部に送信してしまうようなものは非常に危険である。

3. 法律に抵触するサイト

　著作権を無視して市販のソフトウェアをダウンロードできるサイトなどは非常に多い。また、ウイルスを作成するツールやハッキングツールなどをダウンロードできるサイトも多くある。従業員がこのようなサイトにアクセスし、公開されているものを使用すれば、企業自身の犯罪とみなされる可能性もある。

4. その他、企業のブランドを脅かすようなサイト

　海外のアダルトサイトの中には、アクセスしたPCのIPアドレスから企業名を割り出し、その企業名を公開しているようなものもよくある。

　従業員が本当にこのようなサイトにアクセスしているかどうかは疑わしい、と思う管理者もいるかもしれない。しかし、実際に従業員のウェブアクセスのログを、アクセスURLのジャンルや転送量ごとに分析してみると、たいていの管理者は青ざめることが多い。また、従業員が意図してなくても詐欺サイトや違法なサイトに誤ってアクセスしてしまうケースもある。

フィルタリングソフトによるウェブアクセスマネジメント

　このような問題を防止するためには、「フィルタリングソフト」と呼ばれるアプリケーションによるウェブアクセスマネジメントが有効だ。従来からフィルタリングソフトといえば「アダルトサイトをブロックするもの」というイメージがあるが、それはあまりに一面的な見方である。今後は、従来から導入の進んできた学校現場だけでなく、企業にも「ウェブアクセスマネジメント」のためのフィルタリングソフト導入は必須であろう。

　このようなウェブアクセスマネジメントを実現するための、具体的なポリシーの策定方法については本特集の次回で詳細に述べるが、最適なポリシーというのは企業の業種や業務内容によっても異なる。実際のアクセスログの分析と業種などを考慮して、最適なフィルタリングのポリシーを設定する必要があることを覚えておきたい。

相次ぐ情報漏えい事件と望まれる対策

　このところ新聞やニュースなどで報じられるように、情報漏えい事件は非常に多い。大手企業の社員が顧客情報を持ち出し、外部の暴力団に横流しした事件や、合併した大手証券会社の顧客情報の流出事件などは記憶に新しい。また故意でなくとも、機密情報を記録したメディアを外出先で紛失したなどということもあるだろう。

　このような情報漏えい事件の原因は、モラル意識の欠如はもちろんのこと、デジタルドキュメントの管理がきちんと行われていないことにある。

　もちろん、ドキュメントごとのアクセス権限や暗号化の実行などを明文化したセキュリティポリシーのようなものは存在するかもしれない。しかし、それらのポリシーを具体的に実現するためのシステムを導入していない企業が大半である。

　また、暗号化や個々のドキュメントごとにアクセス権限を設定する製品は存在するものの、それぞれの製品が連携することなく別個に存在している例もあり、運用管理に負荷がかかりすぎて実用的でないといった場合も多いだろう。

　このような問題を解決するには、単一のコンソールから、企業内で存在するあらゆるドキュメントを暗号化し、ユーザ毎に印刷・閲覧などのアクセス権限を設定できる「ドキュメントセキュリティ」ソリューションを導入するのが効果的だ。

　このような「ドキュメントセキュリティ」製品は最近、続々と登場している。ユーザにとっては選択肢が増えており歓迎すべきことだが、ポイントとしては特に以下の機能をひとつの製品で備えた、単一のコンソール製品が望ましい。個々の製品の組み合わせでは運用管理の負荷がかかってしまうからだ。

1. ドキュメントアクセス権限をユーザごとに設定ができる

2. 暗号化ができる

3. ドキュメントへのアクセスログが取得できる

4. ドキュメントの利用有効期限を定めることができる

5. プリントマーキングや印刷者情報の出力ができる

6. コピー＆ペーストやスクリーンショットの制限ができる

　このような機能を一元的に備えている製品であれば、ドキュメントを経由した情報漏えい事件を防ぐことが可能であろう。

　その一方で、細かなポリシーを設定することや運用が難しいという場合もあるだろう。そのような場合は、情報の持ち出し行為を規制する製品が最適だ。リムーバブルメディアをはじめとして、メールへの添付などあらゆる情報経路を遮断できるだけでも、情報漏えい対策として効果的だ。より詳細な説明は次回に行う。

内部のセキュリティを一元的に管理すること

　企業における情報漏えい対策の手段として、ドキュメントとインターネットという主要なふたつの情報経路のアクセスをマネジメントすることが重要だと述べた。現実的には、このようなマネジメントを一元的に実施できる製品を選ぶのが理想であろう。

　次回は、今回の総論に続いてフィルタリングによるインターネットアクセスマネジメントについて、最適なポリシーの構築手段を含めて解説する。そして、三回目ではドキュメントセキュリティソリューションを解説する。

　著者が所属しているアルプスシステムインテグレーションでも「ALSI Internal Security Solutions（アルシーインターナルセキュリティソリューション）というコンセプトのもと、企業内でセキュリティ事故を起こす主要な要因である「インターネット」および「ドキュメント」のアクセスコントロールを実現することで、企業内部のセキュリティを強化する製品を有している。例えば、フィルタリングソフトの「InterSafe」はすでにフィルタリング市場でトップシェア *1 を持っており、ドキュメントによる情報漏えいを防ぐ「DocumentSecurity」や「DocumentSecurity Lite」も急激に実績を伸ばしている。読者の製品選択の参考にしていただければ幸いである。

*1 富士キメラ　「2004ネットワークセキュリティビジネス調査総覧」による