@IT情報マネジメント編集部主催の『ドキュメント流通セミナー〜現場のビジネスを妨げる安易なセキュリティ対策を見直す〜』が1月26日に都内で開催された。
個人情報保護法の施行や、情報漏えい事件などの影響もあり、これまでに多くの企業が情報セキュリティ対策に取り組んできた。しかしビジネスの現場では、セキュリティツールの導入によって業務効率が低下したり、セキュリティに掛かる手間を嫌って現場利用者が適切な手順を踏まずにセキュリティ体制に問題を抱えていたりする例も多い。では、業務効率とセキュリティ対策を両立させるためには、どのような取り組みが有効なのか――情報セキュリティ支援製品の活用方法を通じて、そのポイントを具体的に紹介した。
基調講演では、青山学院大学大学院 会計プロフェッション研究科の八田進二教授が、『内部統制の実態から学ぶ「画一的なセキュリティ対策からの脱却」』について解説した。八田氏は、「内部統制対応とは業務をより円滑かつ有効に運用するためのもの。経営効率の改善を目指して、経営トップが主体的かつ柔軟に取り組むものであり、ただ業務の記録を残せばいいというような、画一的なアプローチで臨むものではない」として、「情報セキュリティ対策にも同様のスタンスで臨むべきだ」と力説した。
 |
|
青山学院大学大学院 会計プロフェッション研究科 教授 八田進二氏 |
特に留意すべきこととして、「ITの有する利便性のみに注目するのではなく、ITによってもたらされるリスクにも着目する」「セキュリティ対策の継続的なモニタリングを行う」「ベンダやコンサルタントなどに任せきりにするのではなく、経営トップが率先して全社的に取り組み、対策への支援も十分に行う」「他社でセキュリティ上の不備が生じた際には、自社にも同様の問題がないか、即座に点検し継続的改善を図る」という4つのポイントを挙げた。
また、IFRSをはじめ、多くの企業でグローバルスタンダードの導入が加速していることを挙げ、国際的なルールに対応するためには、各企業の事情に合わせた詳細な対応マニュアルがあるわけでもない以上、「自社ではどのようにルールの要件を満たすのか、主体的に判断し、その説明責任も負わなければならない。そのためには管理対象に対する専門知識と、高度な倫理観が必須となる」と指摘し、「情報セキュリティ分野にもまったく同じことがいえるのではないか」と締めくくった。
当日は、S&Jコンサルティング 代表取締役 チーフコンサルタントの三輪信雄氏による、『雲の中のセキュリティ』と題したクラウド環境特有のセキュリティ問題についての講演も行われた。以下では、このほかの2つのセッションを紹介しよう。
| イベントレポート インデックス |
 『企業における重要情報活用の現実解〜エンタープライズDRM活用と市場展望』 - インテリジェント ウェイブ |
|
『Adobe PDFで実現する
手軽で高度なドキュメントセキュリティ』 ‐ アドビシステムズ |
 |
インテリジェント ウェイブ
『企業における重要情報活用の現実解〜エンタープライズDRM活用と市場展望』 |
インテリジェントウェイブのセッションでは山形浩一氏が登壇し、『企業における重要情報活用の現実解〜エンタープライズDRM活用と市場展望』と題する講演を行った。
 |
| 株式会社 インテリジェント ウェイブ 事業推進担当部長 山形浩一氏 |
冒頭で山形氏は、個人情報保護法や近年多発した情報漏えい事件を受けて、「多くの企業が『情報セキュリティ』という言葉に過剰反応しているのではないか?」と問題を提起。「情報とは業務を推進し、収益を挙げるために使うもの。ただいたずらに制限を掛けるのではなく、使うことを前提に、リスクを洗い出し、適切に管理していくべきだ」と訴えた。
情報をセキュリティ面で適正に取り扱ううえでは2つのポイントがあるという。1つは「情報の用途を見極めること」。まず自社で扱っている情報のうち、業務に欠かせない情報を明確化する。さらに、個人/部門/全社/企業間といったビジネスシーンそれぞれで、どのような情報を扱い、どのような相手と共有しているのかを把握する。そのうえで、情報が漏れる経路や、漏れた際のリスクを抽出し、業務を遅滞させないセキュリティ対策を考える。
もう1つのポイントは、「社内をはじめ、企業間や社外で情報を利用することにどのようなメリットがあるのかを考えること」。それぞれのビジネスシーンで情報を使うメリットを把握することで、「メリットを阻害しないためには、どのような制限またはセキュリティを掛けるべきか」が明確になるという。
「大切なのは、自社の状況に適合した現実的なセキュリティへの取り組みとその投資対効果。情報は使うものという前提に立ち、使うことのリスクとメリットを精査したうえで、情報を渡す相手に応じた真に必要なセキュリティ対策を施すべき」――山形氏はこのように述べ、同社の情報セキュリティツール「EUCSecure」が、そうした考えを反映した製品であることを解説した。
EUCSecureは、Microsoft Excel、Word、Adobe PDFファイルの利用制限と暗号化、ファイル操作履歴の取得を実現する製品だ。業務を行うユーザーに利用負荷を掛けないことを製品の重点ポイントとし、細かな設定作業なしでクライアントをインストールできるほか、ユーザー自身の判断により、クリック操作だけで各ファイルに利用制限と暗号化を掛けられる。
より詳細にファイルの利用を制限したければ、EUCSecureの利用条件設定画面で、ファイルの「参照」「更新」「印刷」のチェックボックスにチェックを入れるだけで指定ファイルにセキュリティポリシーを適用できる。もちろん、メール添付や持ち出しPCによるファイル利用も想定し、コピーファイルの「参照」「更新」「印刷」も制限できる。ファイル利用の有効期限を指定しておき、期限を過ぎると自動的に閲覧不可とすることも可能だ。
「例えば営業スタッフなら見積書を顧客に渡す必要がある。ただ、顧客との関係性によって、ファイルの閲覧はよいが印刷して無関係の第三者に渡されることには問題がある場合、印刷するのは構わないがファイルをコピーして競合他社にデータごと渡されては困る場合など、さまざまなケースが考えられる。その点、本製品ではユーザー自身が業務の遂行とリスクを判断して、渡す相手に応じた最適なセキュリティポリシーをファイルごとに設定できる」 (山形氏)
配布したファイルについては、相手が「参照」「印刷」といった操作を行うと、インターネットまたはイントラネットを介して、専用のサーバ製品「EUCSecureログサーバ」にファイル操作ログがすぐさま蓄積される。ユーザーはEUCSecureログサーバを参照することにより、相手に渡したファイルが適切に使われているか、随時確認することができる。
また、アプリケーションファイルはビジネスの現場で日々作成・活用するものである以上、膨大な数に及ぶ。そのような場合でも、EUCSecureログサーバを利用することによって、EUCSecureの管理下にある全ファイルの「参照」「更新」「印刷」の操作ログを取得、一覧できることはもちろん、ファイルの「削除」履歴もインターネットを介して取得、閲覧できる。この機能により、例えば「協力会社が機密保持契約で取り決めた利用期限・削除期限を過ぎた重要ファイルを、いつまでも保持していないかを確認できる一方、協力会社にとっては確実にファイルを削除したことの証明となり、情報セキュリティと同時にコンプライアンスにも寄与する」(山形氏)という。
なお、「もし、ファイルをネット上で無断配布されても、EUCSecureログサーバでファイルの所在と操作内容をどこまでも追跡可能であるため、意図しない情報流出も即座に把握し、安全性を確保するための措置が取れる」(山形氏)。また、暗号化方式は米国の新暗号規格「Advanced Encryption Standard」方式を採用することにより、「万一の漏えいに対しても優れた安全性を確保している」という。
山形氏は、「セキュリティ対策は業務や収益を圧迫しない範囲で行うことが肝要。その考えを反映して、ログサーバは50ユーザーまで30万円、クライアントは弊社ホームページからダウンロードフリーとした。生産性の向上につなげるためには、どの情報を、どう使い、どう守るべきか――情報セキュリティという言葉をとらえなおし、本製品を“賢く”使ってほしい」と締めくくった。
| さらに詳しい資料を、TechTargetジャパンでご覧いただけます。 簡単&低コスト! 今日からはじめるファイルセキュリティの現実解  |
関連リンク: 株式会社 インテリジェント ウェイブ |
アドビシステムズ 『Adobe PDFで実現する手軽で高度なドキュメントセキュリティ』 |
アドビシステムズのセッションでは、小圷(こあくつ)義之氏が『Adobe PDFで実現する手軽で高度なドキュメントセキュリティ』と題し、Adobe PDFの作成・編集ツール「Adobe Acrobat」と、情報流通を効率化するサーバ製品「Adobe LiveCycle Rights Management ES2」を使った情報セキュリティ対策を紹介した。
まず小圷氏は、「Adobe PDFはファイル自体が、テキストや画像などを記録する情報コンテナ機能とともに、各種セキュリティ機能を併せ持つ、セキュアな情報インフラとなっている」としたうえで、「PDFの暗号化機能には、『閲覧』『コピー』『変更(編集)』『印刷』『(アクセスを許可する)ユーザー』『(閲覧)期限』『(ファイルの)失効』の制御と、『電子透かし付与』という8つのセキュリティ機能がある。これらをパスワード共通鍵暗号方式、デジタルID公開鍵暗号方式、サーバ管理方式という3つの方式で制御する仕組みになっている」と解説した。
 |
| アドビシステムズ株式会社 マーケティング本部 フィールドマーケティングマネージャー 小圷(こあくつ)義之氏 |
このうち、最もシンプルかつ手軽なのが、Adobe Acrobatによるパスワード共通鍵暗号方式を使った制御だ。利用できる機能は、「閲覧」「コピー」「変更」「印刷」制御となるが、Adobe Acrobatは個人がデスクトップで利用するツールのため、「手軽で簡単に、効果的な対策を始めやすい」(小圷氏)という。
続けて、小圷氏はセキュリティ上の代表的な課題である、情報漏えいやファイル内容の不正改ざんに対処する方法のデモンストレーションを行った。Adobe Acrobatのメニューから[セキュリティポリシーを管理]を選ぶと、ポリシー管理画面が表示される。この画面で「文書すべてを暗号化する」「メタデータを除いて暗号化する」といったチェックボックスにチェックを入れるだけで、暗号化する範囲を選択できる。次に、「ファイルを開くときにパスワードが必要」という項目にチェックを入れれば、ファイルを開くときに正しいパスワードを入力しないと閲覧できないように制御できる。また、「コピー」「変更」「印刷」も「可/不可」の設定が可能だ。
「特徴は、設定した項目をセキュリティポリシーとして保存することで、ポリシーのひな型をあらかじめ複数用意できること。これにより、協力会社などにファイルを渡す際、都度ポリシーを新規に設定することなく、その会社に適したひな型を選択するだけでファイルにポリシーを適用できる。例えば、電気機器メーカーのシャープ株式会社 葛城事業所では、製品設計図を複数の設計委託会社と電子メールでやりとりする際にこれらの制御機能を活用している」(小圷氏)
このほか、Acrobatは、一部のデータをファイルから削除し、画面上では墨で塗りつぶしたように表示する「墨消し機能」や、本人性と非改ざん性の担保に有効な「電子署名機能」など、さまざまなシーンに対応できる機能を装備していると述べた。
一方、サーバ製品である「Adobe LiveCycle Rights Management ES2」は、より高度なセキュリティ対策に向けたセキュリティ製品だ。サーバ管理方式でPDFのセキュリティ機能を制御することで、「暗号化・閲覧・コピー・変更・印刷」の制御に加え、次の4つの機能を実現する。
PDFへのアクセス権限を任意に設定できる「ユーザー」制御、設定した閲覧期限を過ぎると自動的にファイルを閲覧不可とする「期間」制御、ファイル配布後も随時アクセス権を失効させて閲覧不可にできる「失効」制御、そしてファイルを操作した日時によって、文書ファイル上の異なる位置に透かしが入る「動的透かし」付与の4つだ。
「特徴は、セキュリティポリシーが付与されているファイルを開く際、インターネットを通じて本製品にユーザー認証し、ポリシーを確認する仕組み。これにより、期間制御や失効制御など、配布後のファイルもコントロール可能となっている。『オフラインでも閲覧を許可する』に設定しておけば、任意に設定した期限内は閲覧を許可できる。何より、ファイルへのアクセス・操作ログを自動的に収集・蓄積するため、全社のファイルを効率的に一元管理できる点が大きなメリットだ」(小圷氏)
万一、閲覧権限のない人に文書ファイルが渡っても、アクセス制御により、その人はそれを閲覧することはできない。また、「動的透かし」機能により、画面と印刷物に透かしが入るため、印刷した人とファイルを開いた日時を特定でき、責任の所在が明確化する。「この機能は重要文書の回覧などに有効であり、経済産業省でも情報漏えい抑止に高い効果を発揮している」(小圷氏)という。
小圷氏は、「Adobe PDFは共有性と信頼性が支持されて、情報インフラとしてスタンダードの地位を確立している。弊社ではそのセキュリティ機能についても扱いやすさ、信頼性を担保している。手軽に活用できるAdobe Acrobat、より高度な対策が狙えるAdobe LiveCycle Rights Management ES2を、それぞれ自社の状況に合わせてじっくりと導入を検討してほしい」とまとめた。
関連リンク: アドビシステムズ株式会社スポンサーリンク |
|
[ ▲ 記事の最初に戻る ]
提供:株式会社インテリジェント ウェイブ
アドビシステムズ株式会社
企画:アイティメディア 営業企画
制作:@IT情報マネジメント 編集部
掲載内容有効期限:2010年3月21日
| イベントレポート インデックス |
|
『企業における重要情報活用の現実解〜エンタープライズDRM活用と市場展望』 ‐インテリジェント ウェイブ |
|
『Adobe PDFで実現する
手軽で高度なドキュメントセキュリティ』 ‐ アドビシステムズ |
ホワイトペーパー ダウンロード |
|
|
|
ITmediaはアイティメディア株式会社の登録商標です。
