各種ガイドラインで重要視される「暗号化」を再度学ぶ:ファイル暗号化を自動化せよ
各種の情報ガイドラインに従って情報漏えいを防ぎ、そのような体制を維持し続けるには、何らかの「暗号化」を導入することが望ましい。一口に暗号化と言っても、ソリューションごとにさまざまな特徴がある。中でもユーザー組織にとって望ましい特徴は2つあるだろう。一つはユーザーのうっかりミスをカバーできるソリューションであること、もう一つは導入後の運用負荷が低いことだ。
情報漏えい事故がとどまるところを知らない。このような事故では、犯人が高度なハッキング技術を使う、標的型攻撃を仕掛けるという印象があるかもしれない。だが、実際には情報漏えいインシデントの原因のほとんどが誤操作や紛失といった、「うっかりミス」によって発生している。
日本ネットワークセキュリティ協会(JNSA)セキュリティ被害調査ワーキンググループが2018年6月に発表した「2017年情報セキュリティインシデントに関する調査報告書【速報版】」(https://www.jnsa.org/result/incident/)によると、原因別の件数では「誤操作」が25.1%と最も多い。次いで「紛失・置き忘れ」が21.8%であり、これは不正アクセスの17.4%よりも多い。不正アクセス対策はもちろん必要だが、それ以上にヒューマンエラーに起因する情報漏えい対策が重要なのだ。
加えて「データ保護対策」に関する法令の動向を考慮しなければならない。2018年5月に施行されたEU一般データ保護規則(GDPR)はもちろん、2017年5月に施行された改正個人情報保護法があるからだ。どちらも個人データの取り扱いがポイントとなっており、漏えい時の罰則も厳しいものだ。
例えば航空大手のブリティッシュ・エアウェイズの事例だ。英BBCの報道によれば、航空券の予約手続きをした顧客の氏名や電子メールアドレス、クレジットカード情報が漏えいしたことが2018年9月に分かった。GDPR違反となれば、740億円程度の制裁金が課される可能性がある。
個人データの取り扱いについては、国内の主要セキュリティガイドラインに考え方と対応策がまとまっている。
- サイバーセキュリティ経営ガイドライン(経済産業省) サイバーセキュリティを企業価値や競争力を高めるための「投資」と捉え、「経営者が認識すベき3原則」と、経営者が指示すべき「サイバーセキュリティ経営の重要10項目」を掲げている。
- 組織における内部不正防止ガイドライン(IPA) 組織の内部不正防止を主眼とし、さらに不正が発生した際の早期発見や拡大防止を視野に入れている。経営者を最高責任者とした内部不正防止の管理体制や指針を、事例を交えて解説している。重要情報の必要に応じた暗号化や、USBメモリなどの外部記憶媒体の利用制限についても言及している。
- テレワークセキュリティガイドライン(総務省) 脅威にさらされやすいテレワーク環境の特性に合わせ、経営者、管理者、テレワーク勤務者それぞれの対策方針を掲げている。さらに、テレワークに絡むトラブル事例に関連付けた対策やコラムも掲載している。機密データの暗号化について、テレワーク端末への保存時、メール送信時、パブリッククラウドサービスへの移送時など、随所で言及している。
- 教育情報セキュリティポリシーに関するガイドライン(文部科学省) 総務省の「地方自治体におけるセキュリティポリシーに関するガイドライン」を参考に、教育委員会と学校のセキュリティポリシーに関するガイドラインを策定している。「物理的セキュリティ」「技術的セキュリティ」において、ネットワーク分離、機微な個人情報の暗号化、電磁的記憶媒体の利用制限や管理を示している。
これらをまとめると、巧妙化する攻撃をかいくぐりつつ、管理を隅々まで施し、リスクを下げる努力を続けなくてはならないということだ。もはや完璧なシステムを維持することは不可能であり、情報漏えいをなくすのではなく「情報漏えいを前提として、リスクへの多層防御を行うこと」を考えなくてはならない時代なのだ。
漏えい前提の防御――ファイルが漏れたとしても「情報は漏れない」という考え方
毎日のように見つかる脆弱(ぜいじゃく)性をふさぐ努力を続けたとしても、対応するまでの短い時間を狙われる可能性が残る。
ならば、情報を盗まれたとしても、内容が分からなければよい――このように考えると、「暗号化」が対策に上がってくる。情報が暗号化されていれば、ファイルそのものが盗まれたとしても“情報”は盗まれてはいないからだ。暗号化は効果的なソリューションと言えるだろう。
ファイル暗号化ソリューションを既に導入している企業は少なくない。例えば暗号化を必要とする重要書類に対して、パスワードロックをかける運用は珍しくない。しかし、少々古いタイプの暗号化ソリューションを利用している企業だから分かる“課題”も見えている。
例えば「USBメモリ」や「外付けHDD」といった、リムーバブルドライブに対する暗号化ソリューションのみを導入している場合だ。持ち運ぶ媒体から情報が流出するリスクは下がるものの、格納した機密ファイルを取り出すときに問題が起こりうる。誤って無関係のメールアドレスにコピーを送ってしまう「うっかりミス」や、標的型攻撃によるファイル詐取には対応できない。
これを避けるために、個別のファイルごとにユーザーがパスワードを付与し、暗号化する手法がある。だが、この手法でも結局はユーザーがルールを確実に守ることがカギになっており、うっかりミスを防ぐことは難しいだろう。
ファイル暗号化のソリューション導入に対する課題の多くは「運用負荷」だという。ルールを作り、周知、徹底する。従業員に対して「めんどうくさいセキュリティ」を押しつけることになり、負荷というインパクトが無視できない。これでは、望む効果は得られない――これが、これまでの暗号化ソリューションの大きな問題だった。
ならば、ファイル暗号化を“自動化”し、従業員から見て導入前と操作が変わらないよう、透過的に使えるようにすればいい。アルプスシステムインテグレーションの新製品「InterSafe FileProtection」は、そのような設計思想で作られた最新の情報漏えい対策だ。
InterSafe FileProtectionのコンセプトは「自動化」と「進化」
InterSafe FileProtectionの特徴は、ファイル暗号化を可能な限り「自動化」し、デバイスの中だけでなく持ち出した際にも暗号化が解かれず、継続されることだ。
保存と同時にファイルを暗号化し、利用者の操作性は普段と変わらず、特別な操作も不要だ。ファイルのアイコンには小さな錠のマークが付くものの、ダブルクリックでWordやExcelがそのまま起動する。暗号化が自動で進むため、パスワードの付け忘れによる情報漏えいは起こらない。
保護領域から取り出すと暗号化が解除されてしまうディスク暗号化や、フォルダ単位の暗号化とは異なり、InterSafe FileProtectionの手法なら、暗号化されたファイルをPCの外に取り出したとしても、暗号化はそのまま残る。
例えば従業員がオンラインストレージやメール添付、USBメモリなどでファイルを持ち出し、うっかり紛失したり、送信したりしてしまった場合でも、暗号化が継続する。
サイバー攻撃によって社内に侵入された場合でも、対応が容易になる。ファイルが暗号化されているため、内閣府の個人情報保護委員会によれば「高度な暗号化が施されている」と見なされ、「影響を受ける本人への連絡の省略化」「事実関係等の公開の省略化」ができるのだ。これも、ファイル暗号化の注目ポイントの一つだ。
導入の手間もほとんどかからない。1種類のエージェントアプリを社員のPCにインストールするだけでよい。導入後はサーバで一元管理でき、ポリシーの一括適用が可能だ。暗号化ソリューションの中にはポリシー定義や管理負荷が高いものも少なくない。InterSafe FileProtectionでは「一般層」「管理層」などシンプルな定義でも実運用可能だ。
同社は2003年からファイル暗号化ソリューションを提供し続けており、新製品のInterSafe FileProtectionでは多くの利用者の最新ニーズを取り入れた。特に、新設計のエンジンを採用したことで、暗号化処理性能を大幅に向上させた。オフィスに置く一般的な仕様のPCを利用する上では、オーバーヘッドを体感することはないだろう。
利用者から多くの要望があった「NetApp ONTAP」「EMC OneFS」などの大規模ストレージと組み合わせた場合の動作が可能であり、資産管理や総合ログ製品との親和性も高めている。
さらにマルチプラットフォーム対応を見越した設計を採った。今後はAndroidやiOSなどのスマートデバイスや、Linux対応の検討を進めていく。
自治体、学校でも導入多数、日本で選ばれる自動暗号化ソリューション
アルプスシステムインテグレーションの情報漏えい対策ソリューションは、既に多くの日本の企業に導入されている。
最近では、地方自治体や学校、病院などでの導入が進んでいる。個人に関する多くの情報を持ち、漏えいに敏感な分野で同社のソリューションが選ばれている。日本企業が開発しているため、UIはもちろん日本語。サポートが手厚いことも選定される重要なポイントだ。
昨今では、情報漏えい事件に対する反応が厳しく、法令やガイドラインがしばしば更新されるなど、国内動向に合わせた対策が必要となっている。こうした中、日本国内で日本向けのソリューションを打ち出し、きめ細かな対策を享受できる製品が望ましい。InterSafe FileProtectionはこの条件に合致する、日本で選ばれるソリューションなのではないだろうか。
関連ホワイトペーパー
情報漏えいのリスクを大幅に軽減する「ファイル暗号化」製品の選定ポイントは?
高度化・多様化を続けるサイバー攻撃や、個人情報保護のために策定された法令/ガイドラインに対処するためには、強固なセキュリティ体制の構築が不可欠。万が一のファイル盗難時にも情報漏えいを防げる「ファイル暗号化」に注目したい。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:アルプス システム インテグレーション株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年10月24日