継続可能な情報漏えい対策

セキュリティ

技術解説

連載 :

社外持ち出し前提の情報漏えい対策

2010年12月10日(金)

Kevin Lee

3. DLP製品の選択

トクキンは、DLP製品の選択にあたって、「異なるファイル形式の防御」と「管理負荷」の観点から、下記3種類の製品を選び、初期評価しました。

従来型のDRM（Digital Right Management: 著作権保護）製品
昨今のDLP（Data Losses Prevention: 情報漏えい対策）製品
TotalFileGuard

図4: DLP製品の選択基準（クリックで拡大）

製品検討初期評価

従来型の典型的なDRM製品は、権限管理機能に優れていたものの、トクキンが主に利用している3つのアプリケーションへの対応が不十分でした。利用するためにはアプリケーションごとにカスタマイズが必要であり、導入・運用コストがかなり高くなってしまいます。
著名なDLP製品は、カスタマイズは不要であるものの、データの社外持ち出しや、システム障害回復後のデータ保護などに対応できません。しかも、導入にあたってネットワーク（ゲートウエイ機器）の設定を変更する必要があり、管理負荷が高くなります。
TotalFileGuardは、初期評価をクリアし、試験運用に入りました。

試験導入時の要求

試験運用時の評価ポイントは、「作業フロー（利便性）」を犠牲にすることなく「セキュリティ制限（安全性）」を確保できるかどうか、という点でした。

スクリーン・キャプチャのコントロール
1. 研究開発部
  開発結果をレポートするため、スクリーン・キャプチャ機能は必須
2. 管理部
  設計図が外部に漏れないよう、スクリーン・キャプチャ機能を禁止
→ TotalFileGuardによる解決方法

指定したソフトを用いた場合を除き、すべてのスクリーン・キャプチャ機能を禁止する。また、そのソフトで作成したファイルは、自動的に暗号化する。
PDFファイルの暗号・復号化
1. 研究開発部
  外部パートナから受け取ったPDFファイルが自動的に暗号化されてしまうと、外部パートナとのファイル交換が不便
2. 管理部
  PDFファイルに含まれる情報の機密性は判断し難いので、自動的に暗号化すべき（判断を個人にまかせるのはリスクが大きい）
→ TotalFileGuardによる解決方法

研究開発部で特定したパソコンに限り、暗号化されていないPDFファイル（外部パートナからもらったPDFファイルを含む）を扱える。ただし、新規作成するPDFファイルに関しては、例外なく、すべて自動的に暗号化する。
自ら作成したファイルの暗号・復号化
1. 営業部
  場合によっては、業務に関係ないドキュメントを作成するケースがある。このようなファイルは暗号化したくない
2. 管理部
  自ら作成したファイルに含まれる情報の機密性は判断は難しいため、自動的に暗号化すべき
→ TotalFileGuardによる解決方法

社内で作成したファイルは、会社の知的財産にかかわるため、自動的に暗号化する。ただし、社員が自宅などにパソコンを持ち出した場合は、「ビジネスモード」や「プライベートモード」に切り替える機能を提供する。「プライベートモード」は、ファイル作成時には暗号化されず、暗号化されているファイルを開くことはできない。一方、「ビジネスモード」は、暗号化されたファイルを開くことはできるが、平文（暗号化されていないファイル）は開くことができない。

4. TotalFileGuardの導入効果

トクキンは、TotalFileGuardの導入によって、社員の離職や不注意・ミスによる情報漏えいリスクが減ったほか、誤操作や誤送信で情報が社外に流出した場合でも、ファイル内容は流出しないようになりました。

「転ばぬ先のつえ」ならぬ「転んだ先のプロテクタ」としてTotalFileGuardが役立っています。また、製品を導入しても、暗号化したファイルに対する操作が変わらないため、利便性とセキュリティを両立させることができました。

TotalFileGuardの導入効果

法令や管理ポリシーを順守したデータ・セキュリティの実現
見積書は、作成時に自動暗号化します。外部に送信する際には、上司にファイルの復号許可を申請し、承認を受けてから送付します。上司は、復号許可の際に、見積書の内容を閲覧できます。この手順を無視して外部に送信された場合、受信者はファイルを開くことができません。
強固なデータ・セキュリティ
前述した通り、コア・コンピタンスにかかわる機密ファイルの種類は、3つありました。TotalFileGuardの導入によって、それぞれのデータ・セキュリティが確保できました。詳細は、以下の通りです。
1. ERPデータの保護
  ERPからデータを取り出す際、その全過程で、自動的にデータを暗号化します。また、組織の権限に応じて印刷・コピー／ペースト機能を制御することによって、情報漏えいのリスクを低く抑えることができました。
2. 工作機械設計図とPLCプログラムの保護
  開発エンジニアが、部署内や営業部門との間で機密ファイルを交換する際には、利便性を犠牲にすることなくセキュリティを確保できました。
3. 社外への持ち出し前提のデータ・セキュリティ
  出張先や在宅勤務の際に、社員は、通常通りにデータを利用できます。もちろん、ファイルの全過程はコントロールされています。
意外な効果
予想しなかった、意外な効果もありました。

旧来のDRMでは、社内でのデータ交換が締め付けられていました。これが改められ、自由にデータを交換できることが知れ渡ったため、部門間や外部パートナとの交流が盛んになりました。こうして、より高度な技術の創造に寄与できるようになりました。

顧客との連絡も、以前はファイル送付が禁じられていたため、国際電話を利用していました。これを改め、国際電話の機会が極端に減ったため、通信費を70％削減することができました。

システム管理負荷も、まったくと言っていいほど無くなり、専任の担当者は不要になりました。唯一のサポートは「自宅に送ったメールの添付ファイルが読めない」という相談への対応くらいです。

著者

Kevin Lee

この著者の記事一覧この著者の
記事一覧

米国Secward Technologies, Inc. 共同創設者＆CEO（最高経営責任者）

半導体企業や通信企業、郵便局、通信企業といった多くのSOCデザイン・導入経験から、セキュリティ製品やセキュリティアプリケーション、企業ごとの異なるセキュリティ要件などに関する豊富な知識をもとに、同社を設立。現在は、透過型暗号化製品「TotalFileGuard」を日本をはじめ2バイト言語圏を中心に台湾、中国にて事業を展開。
Secwardジャパン株式会社のURL: http://www.secward.com/Jp/
Secwardジャパン株式会社の問い合わせ先: mailto:sjp_mktg@secward.com