情報を「活」かしながら「守」る：「後出し」でコントロール可能なIRMでECMを補完

事業のグローバル化が進む中、海外の拠点や企業との間で、自社の競争力に直結するような重要なデータをやりとりするシーンが増えている。ECMによって、よりスピーディかつ効率的にデータを共有しながら、保護すべき情報を確実に漏洩から守るためには、どんな仕組みが必要だろうか？その有力な解が「IRM」だ。

» 2014年03月24日 10時00分公開

[PR／＠IT]

高まるECM基盤構築の機運

　「契約書は契約書管理システムで」「設計書は設計書用システムで」「引き継ぎ関連の文書はとりあえずファイルサーバーに置いておく」……と、部署単位、部門単位でばらばらに行われてきた企業内の文書管理。しかし、いざ必要になったときに目当ての文書が見つからず、検索に時間が掛かったり、異なるバージョンが保存されていてどれが最新のデータか分からない、といったさまざまな課題が生じていた。

　そこで、企業全体にまたがってより効果的にデータを共有し、活用するために、個別の仕組みを全社的に統一されたプラットフォーム上に移行しようという動きが広がりつつある。2005年に施行され、それまで紙での保存が義務付けられていた各種ドキュメントについて、電子形式での保存も可とした「e文書法」など、法制度面での整備もそれを後押ししている。

　こうした背景が相まって、単なるファイル共有を超えた、いわゆる「ECM」（Enterprise Content Management）と呼ばれるソリューションが高い注目を集めるようになっている。海外拠点やパートナー企業も含め、業務に関する情報を広く共有し、業務のスピードアップや迅速な意志決定につなげよう、というわけだ。

国内外のパートナーとのデータ共有の裏に潜む「漏洩」という危険

　しかしここで1つ大きな課題が立ちふさがる。セキュリティだ。ECM上に保存される電子化されたデータは、紙の文書に比べるとコピーが非常に容易だ。USBメモリなどに保存してまとめて持ち出すことも可能なため、漏洩したときのインパクトは比べものにならないほど大きくなる可能性がある。また、一般的なECMでは、データが「ECM上にある間」であればユーザーごとにアクセス制限ができるが、いったんローカルにダウンロードしてしまえば、その後はノーガードになってしまう。

　身近なシーンでは、添付ファイル付き電子メールの転送が思い付くだろう。初めは関係者のみに送ったはずの添付ファイルが、「社内での情報共有のため」「参考までに」と転送を繰り返されたり、誤送信された結果、本来ならば渡されるべきではない人の手にまで送られてしまうことは少なくない。

　特に製造業にとって、社外に出ていく情報のコントロールは死活問題だ。

　近年、多くの日本企業が国外に生産拠点を構えるようになった。また、海外企業に部品製造やテストを外注するケースも増えており、どうしても海外の拠点や取引先との間でデータのやりとりをする必要がある。それも、公開されている一般的な情報ではない。関係者以外に見られてはいけない試作品の仕様や設計図面など、自社の競争力に直結し、利益の根源となるデータを共有せざるを得なくなっているが、そこにはどうしても、漏洩の危険がまとわりつく。

　これは決して机上の空論ではない。現に、設計図や技術資料といった国内企業の重要情報が中国の掲示板などに公開されてしまう事件が発生してしまった。また、現地法人の従業員が設計情報などの重要データを持ち出し、そのまま競合企業に転職するケースも報じられている。こうした技術情報の流出が企業に与えるダメージは消して少なくなく、億単位の膨大な額に上ると見積もられている。

「出てしまった情報」「手元を離れた情報」を守る仕組み

　このように、データを電子化してECM上で活用するという取り組みは、情報をスピーディにやりとりする上ではメリットとなるが、情報を守るという意味ではデメリットとなる。

日立ソリューションズシステムプロダクト事業部コンテンツソリューション本部第2部の高橋茜氏

　中でも危ないのは「情報が手元にあるときではなく、手元を離れて見えなくなったときだ。社外にまで文書の統制を効かせることは非常に困難で、後から制御するのは難しい」と、日立ソリューションズシステムプロダクト事業部コンテンツソリューション本部第2部の高橋茜氏は指摘する。

　かといって業務の現実を考えると、今さら「すべての情報を社内に閉じこめて守る」状況に戻ることはできない。このグローバル時代、設計から生産、部品の調達まで全てを自社内でまかなっている企業など存在しないだろう。海外拠点や社外のパートナーと共にビジネスを進める以上、一切情報を渡さない、などというわけにはいかない。

　そこで、データを外部に渡しつつ、渡した後も何とかして野放しにせずコントロールしたい、できればいざというときには消去してしまいたい――この一見矛盾する要求を両立させる技術として注目が集まっているのが、「Information Rights Management（IRM）」だ。一言でいうと、「情報は手の届かない場所で利用される」ことを前提に、アクセスを制御する仕組みである。

「後出しじゃんけんで見せなくする」を可能に

　日立ソリューションズの「活文 NAVIstaff」は、このIRMを実現するシステムだ。アドビシステムズのIRM製品「Adobe LiveCycle Rights Management」をベースにしつつ、使いやすいユーザーインターフェイスや運用の仕組みを組み込み、利用しやすくパッケージ化した製品だ。

　活文 NAVIstaffでは、文書を開く際にはまずサーバにアクセスしてユーザー認証を行い、アクセス権限を確認する。社内の人間であろうと社外の関係者であろうと、ユーザーはそこで許可された作業――文書の閲覧、編集、コピーや印刷など――しか実行できない仕組みだ。また、たとえ閲覧が許可された文書でも、その有効期限を明確に「○月×日まで」と定めることが可能となっている。

図1　活文 NAVIstaffが実現するドキュメントのセキュリティ統制

　もし情報の不正流出が発生した場合には、サーバ側でドキュメントを「失効」させればよい。すると、たとえ正規のIDとパスワードを持ったユーザーでも、それ以降は文書を閲覧できなくなる。ID情報などとともに情報が流出してしまったような場合でも、最悪の事態を避けることができる。

　こうした一連の仕組みによって、業務上の必要から社外の相手に渡したデータや、退職／異動した社員が閲覧していた情報についても、「後出し」で見せなくしたり、アクセス制限を掛けることが可能だ。「見てもらった後、必要がなくなれば見せなくすることができる」（高橋氏）。

　またサーバ側では、「いつ、誰が、どのIPアドレスからどの文書にアクセスした」といった履歴も収集できる。「こうした情報を収集するだけでも、『管理されている』ということを伝え、漏洩の抑止効果につなげることができる」と高橋氏。電子化されたデータだけでなく、印刷後のプリントアウトには、印刷者の名前や時刻が透かしとして加えられるため、紙文書の形で持ち出す場合にも抑止力を発揮する。

専用ツールのインストールは不要、煩雑さのない導入

　取引先やパートナー企業に渡すデータを何とかコントロールしよう、という試みはこれまでにも存在した。暗号化ソフトウェアがその一例だが、なかなか広く浸透するまでには至らなかった。

　理由はいくつか考えられるだろうが、1つには、自社のみならず相手先にも専用ソフトウェアをインストールしてもらわなくてはならないという煩雑さが挙げられるだろう。自社内の端末ならばソフトウェアのインストールを強制できても、社外のパートナーにまでそれを強いることは困難だ。

　特に、海外企業との間で暗号やIRMで保護されたデータをやりとりしようとすると、そのプログラムの輸出手続きを行う必要がある。相手国によっては非常に煩雑な手続きが必要だったり、最悪の場合、利用許可が得られないケースもあった。

日立ソリューションズコンテンツソリューション本部第2部技師野地義謙氏

　その点、活文 NAVIstaffは、世界中ほぼすべてのPCにインストールされている「Adobe Reader」をそのまま利用でき、別途専用ツールをインストールする必要はない。このため、相手側に負担を掛けることなく文書の保護を実現できる。

　「これまでのIRMでは、文書を閲覧するために専用のソフトウェアが必要だった。しかし活文 NAVIstaffはそれが不要で、現実的に運用できる」（日立ソリューションズコンテンツソリューション本部第2部技師野地義謙氏）。

　さらにECMの取り組みと足並みをそろえ、「Microsoft SharePoint Server」や「Outlook」、あるいは日立製作所の「Groupmax」「ラビニティOne」、設計コラボレーション製品データ管理システムの「PTC Windchill」といったグループウェアや文書管理システムと連携して導入するケースも増えてきた。例えば、ラビニティで特定のフォルダに文書を保存すると、自動的にアクセス権限が付加されるといった具合だ。こうすれば、ミスやうっかりに起因する、意図的ではない情報流出も未然に防ぐことが可能となる。

図2　ラビニティとの連携により、場所や方法を問わずに適切な保護を自動的に適用できる

　「いくらルールを定めても、現実には、人によってセキュリティに対する意識は異なる。文書管理システムと連携して自動的に保護する仕組みを作り込むことにより、手間を掛けることなくシームレスに文書の保護を実現できる」（高橋氏）。

大切な情報を活かしながら守る

　こうした特徴が評価されて、経済産業省やエプソンなど、大手製造業を中心に活文 NAVIstaffの利用が広まっている。

　例えばエプソンでは、新製品に関わる設計情報の機密性を保ちつつ、スピーディに展開するための基盤として活文 NAVIstaffを活用している。また経済産業省では、「経済産業省情報セキュリティ管理規定」などに準拠した形で文書を保護するために採用。機能面はもちろん、ユーザー、管理者どちらにとっても負荷がかからず、誰もが簡単に使える点が評価されているという。

　いずれの事例にも共通するのは、ありとあらゆる情報を一様に守るのではなく、「外に出しても差し支えない情報」と「守るべき情報」とをきちんと仕分けした上で導入していることだ。何を守るべきかを明確にし、守るべきものに対しては活文 NAVIstaffを通じてしかるべき管理体制の下に置いている。

　「IRMはECMを補完するもの。安心して情報を共有し、活用するための基盤となる」（高橋氏）。「活」という文字が示すとおり、情報を「活」用しながら守るための仕組みと言えるだろう。