電子化した情報に適用したセキュリティ対策が実際に機能するのは、ファイルが利用される段階での場合が多い。だが、セキュリティ対策は情報をファイル(形)にする段階から適用していくべきであり、個人がファイルを作成する時点でセキュリティ対策を実践できるようにすべきだろう。
作成するファイルには、先に挙げたような誰もが容易に理解できる表現のセキュリティレベルを用いて、なるべく簡単な方法で反映できるようにする。例えば文書ファイルでは、冒頭の1行目に「機密文書」「部内公開限定」というような文字列を必ず記入し、赤色の太字で表示するといった方法を部内のルールとして決め、習慣付けておく。
また文書作成ソフトやファイル管理ツールの中には、セキュリティレベルを簡単に設定できるようテンプレートを用意しているものも多い。ユーザーはファイルを作成したり、最初に保存したりする段階で、セキュリティレベルに基づいたテンプレートを選択する。どのようなセキュリティレベルを設定したかが視覚的にも分かりやすいよう、スタンプのようなデザインの画像をファイルに張り付けられる機能もある。ファイルを作成した段階でこうした機能を使えば、セキュリティレベルを把握しやすくなり、その後の利用形態でも適切なセキュリティ対策を講じやすくなるだろう。
なお、作成したファイルは、その後の使われ方でセキュリティレベルを変更したい場合もあるが、ファイル作成時点からなるべく一貫性を持ったものにすべきだろう。使い勝手を優先してセキュリティレベルを変更してしまえば、セキュリティのための基準や方法が形骸化し、対策の意義が失われてしまう。例外を作らないようにすることは情報セキュリティ対策の大原則だ。
ファイル作成時にセキュリティレベルで分類しておくことは、特に情報漏えい事故を防ぐさまざまな対策技術やソリューションの導入効果を高めるポイントにもなる。
近年は、「DLP(Data Loss Prevention)」と呼ばれる情報漏えい対策手段をセキュリティ企業が提供するようになった。暗号化やアクセス制御などを組み合わせる従来の情報漏えい対策は、万が一情報が漏えいしても第三者に悪用されないようにするというものだが、DLPは「情報が漏えいする」という事態そのものを防ぐことを目的にしている。
DLPでは、基本的にあらかじめ企業として情報をどのように保護していくかというルールやポリシーを決め、DLPのシステムがルールに合致するファイルを企業内のコンピュータから探し出す。システムが見つけたファイルには、暗号化やコピーの禁止、アクセス制限といったポリシーを適用してシステムの管理下に置き、外部へ漏えいするのを未然に防ぐという仕組みだ。
情報漏えいそのものを防ぐことができれば、セキュリティリスクが大いに軽減すると期待される。だが、DLPの効果を得るためには、ルールやポリシーをシステム側で理解できるものにし、重要情報を持つファイルを漏れなく検出できるようにしておく必要がある。
情報漏えいを防ぐ技術が今後も出現するとみられるが、こうした技術や方法を活用できるかは、やはり個人や組織がセキュリティを考慮した情報の扱い方を実践できるかに関わってくるだろう。セキュリティを考慮したデジタル情報整理術を実践することは、システムや技術だけに依存しないセキュリティ対策を実現していく第一歩になるはずだ。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.