「流出」すれども「漏えい」させず――内部情報漏えい対策にファイル暗号化のススメ

　前回、2014年最大の情報セキュリティトピックとして、大手通信教育会社からの大量の顧客情報流出事件にフォーカスを当て、情報流出を防ぐデバイス制御のポイントついてご紹介しました。しかし、デバイス制御さえしておけば、すべて安心というわけにはいきません。とくに、内部関係者による悪意を持った犯行の場合、いかにデバイス制御をしても、抜け道を100％つぶすことは難しいのが現実です。

　社内の情報システム担当者であれば、導入したセキュリティ対策製品の特性や制限事項をある程度理解しており、どこかに抜け道を見つけ出すことができるはずです。大手通信教育会社からの顧客情報流出事件についても、スマートフォンから情報を持ち出したということが大きく取り上げられていましたが、たまたまスマートフォンが媒介となったのであって、いくつかある漏えい経路のうちの一つに過ぎないと考えています。この事件の本当に怖い点は、情報システムに携わる内部関係者が悪意を持って個人情報を流出させたことといえるでしょう。

　また、悪意を持っていなくても、内部関係者のミスから“うっかり情報漏えい”が起こる可能性もあります。情報漏えい事故の多くは人為的なうっかりミスが原因という調査データもあります。つまり、性悪説・性善説を問わず、すべての社内情報は社外に漏えいする危険性があり、デバイス制御のような入口／出口の水際対策だけでは防ぎきれないといわざるをえません。

　そこで、万が一、内部から情報漏えいしても悪用されないよう、水際対策に加えて、暗号化ソフトによるセキュリティ対策も行っておく必要があると強く感じています。データが暗号化されていれば、たとえ故意に外部へ持ち出されても、うっかりミスで流出してしまったとしても、その内容までは見ることができず、情報漏えいを防ぐことができます。

　当社が2014年9月に実施したアンケート調査によると、「暗号化ソフトで行う対策で重視することは？」との問いで、最も回答が多かったのは「ファイル単位の暗号化が出来ること」（49.2％）でした。次いで「ハードディスクの暗号化が出来ること」（44.6％）､「利用者にとって使い勝手が良いこと」（38.2％）､「フォルダ単位の暗号化が出来ること」（26.2％）と続いています。ファイル単位で暗号化をしたいというニーズが最も高い結果となりましたが、その一方で、ファイル単位で暗号化をする場合、やり方によっては非常に面倒で、ユーザーの利便性をさげてしまうというデメリットにもつながります。

暗号化ソフトで重視すること

　すぐにでもファイル単位の暗号化対策を行いたいが、社員/利用者からの反発や導入検討にかかる管理者側の負担から、利用するのにハードルが高くて、導入するのをためらっている、という企業も多いのではないでしょうか。こうした課題を解決するソリューションとして、当社が提案しているのが、ファイル自動暗号化ソフト「InterSafe IRM」です。

　従来の暗号化ソフトでは、ファイル単位の暗号化を行う場合、暗号化したいファイルごとに右クリックをして暗号化設定するなどの作業が必要でした。これに対して「InterSafe IRM」では、ファイルの保存時に自動で暗号化することができます。ファイルを開いて、編集して、保存するという普段と変わらない作業の中で、暗号化が自動的に行われるので、利用者に暗号化を意識させず、かつ利便性を落とすこともありません。

　暗号化されたファイルは、ファイル名や拡張子はそのままで変わらず、ディスプレイ上に表示されるファイルのアイコンにカギのマークがつきます。このカギマークの有無で、暗号化されているファイルかどうか、一目でわかるようになっています。しかし、InterSafe IRMを導入していない環境ではこのマークは表示されませんので、万一データが持ち出されてしまっても、どのような暗号化ソフトウェアが使われているのかはわからず、データを開いても暗号化された状態（直接の見た目としては文字化けしているファイルのよう）にしか見えません。

　また、暗号化したファイルにアクセス権を付与することも可能です。通常、暗号化ファイルは「InterSafe IRM」の環境下であれば、特別な操作をすることなく開くことができますが、アクセス権を設定しておけば、権限を持った人だけに暗号化ファイルの公開を制限することができます。

普段通りの操作でファイルの暗号化が完了

　デバイス制御とファイル暗号化を組み合わせた情報漏えい対策を施すことで、機密データの不当な持ち出しを防止し、さらに万一デ－タが持ち出された場合にもデータの内容そのものが漏えいすることを防ぎます。2014年に発生した大手通信教育会社からの顧客情報流出事件、さらには大手航空会社からの情報流出事件も未然に防げたのではないかと私は考えています。

　第4回では、これらのセキュリティ対策を、すぐに行うためにはどうしたらよいのか、その方法についてご紹介したいと思います。