設定ミスによる文書への不正アクセスを未然に防ぐシステム、NECが開発

NECは、サーバ上の文書の内容から機密レベルに応じたセキュリティ設定がなされているかを確認できる「機密文書漏洩検査システム」を開発したと発表した。

[ITmedia]

　NECは3月4日、サーバ上の文書の内容から機密レベルに応じたセキュリティ設定がなされているかを確認できる「機密文書漏洩検査システム」を開発したと発表した。NEC内で実際に利用し導入効果の実証と改良を進め、情報漏えい対策ソリューションなどでの実用化を目指す。

　大量に文書を格納したシステムの設定や、文書管理の不備の見直しを自動化することで情報漏えいを未然に防止するシステム。自然言語解析と文書構造解析に基づいて機密レベルを判定し、文書に対しネットワークのどこから誰がアクセスできるかを経路グラフ化する技術などを組み合わせて、情報漏えいの潜在的な可能性をシステムが発見する。

　例えば、「取扱注意」という言葉が文書にあったり、人名と住所や電話番号の組があるといった特徴を抽出して、機密レベルの分類を判定する。さらにサーバのアクセス権設定やファイアウォールのフィルタリング設定を解析、アクセスの経路グラフを構築。これらを独自の検査アルゴリズムで照合することで、潜在的な情報漏えいを発見する仕組みだという。

　ちなみに、NECがWebサーバを対象に文書の機密レベルを判定した実証実験では、1万5660件のHTML、Word、Excel、PDFファイルなどにおいて、個人情報法を含む文書を96％の精度で分類でき、非公開の業務文書は88％の精度で分類できた。さらに、同社研究所のWebサーバで実証実験したところ、実際に機密と判定された部外秘文書が部外から閲覧できてしまう設定不備を1件発見できたとしている。