第8回 内部情報漏えい対策の常識：知ってるつもり？「セキュリティの常識」を再確認（3/3 ページ）

[中原修（三井物産セキュアディレクション），ITmedia]

　分散管理型の内部情報漏えい対策製品に求められる機能は、多岐にわたる。自社のポリシーにあう製品を選択するために、少なくとも以下に挙げる機能の有無は確認しておくべきだろう。

・ファイル操作制御

　電子データ（ファイル）のコピーやリネームの制限は、このタイプの製品のほとんどが持つ機能である。「比較的安全な記憶領域（サーバ上のディスク領域や、自動的に暗号化されるフォルダなど）にはコピーできるが、それ以外の領域へのコピーは禁止する」といったより詳細な制限の設定が必要な場合には、そうした機能を有しているかどうか確認しておきたい。

・デバイス利用制御

　外部記憶媒体などのデバイス利用制限も、ほとんどの製品が持ち合わせている。単純な利用禁止に加えて、ファイルを暗号化した場合にのみ外部記憶媒体を利用可能としたり、特別に許可された外部記憶媒体のみ利用可能としたりすることができる製品もあるので、自社のポリシーに照らして検討していただきたい。

・アプリケーション操作制御

　ＷordやExcelを始めとしたアプリケーションソフトでファイルを編集する際などに、どのような制御が可能か確認しておきたい。特に以下のようなケースについては制御の可否を事前に確認すべきだろう。

• 複数のアプリケーション間でのコピー（電子データの部分コピー）
• 電子データの別名での保存
• 電子データの印刷
• 電子データのメール添付
• HTTPやFTPによる社外サイトへの電子データのアップロード

・暗号化機能

　クライアントPCが盗難された場合を想定して、PC内のファイルは可能な限り暗号化しておくことが望ましい。PC利用時の認証やファイルの利用制御が十分強固なものであったとしても、HDDをほかのPCの外部記憶装置として接続すればそれらの機能を無効にできるからだ。

　暗号化の機能は複雑で処理負荷が高いことから、その機能を持ち合わせていない内部情報漏えい対策製品も多い。その場合には暗号化のみ行うソフトウェアを別途選定し、組み合わせて導入する方法を検討するべきだろう。

　暗号化機能については、以下の要素を確認しておきたい。

• 暗号化の対象はファイル（フォルダ）単体のみか、ディスク全体か
• ファイル利用開始時および利用終了時に自動的に複合化および暗号化する機能があるか
• サポートしている暗号化方式は何か

・モバイル利用時の操作制御

　このタイプの製品では、クライアントPCにインストールした内部情報漏えい対策ソフトが、ポリシーサーバやログサーバと連携して動作する。モバイル端末を社外で利用する際の挙動について、社内環境での利用時と同様の制御が行われるのか、ログは採取されるのか、といった点については必ず確認しておきたい。

・ログの採取、統計機能

　多くの製品で、ファイル操作制御のログは記録できる。それ以外の機能についてどのようなログ取得が可能か、また、記録したログに対してどのような操作（抽出や統計）が行えるのか確認しておくべきだろう。

---

　今回は、クライアント環境において内部情報漏えい対策を行う際に求められる機能について解説した。次回は、この内容をふまえて実際の製品をいくつか取り上げ、その特徴を紹介したい。