Special
» 2019年11月20日 10時00分 公開

もう暗号化なんてしたくない!:ラベルを使って一石三鳥の情報保護対策のすすめ[前編]

必要とは分かっていても、なかなか実践できていない「情報の分類」。いざ分類に取り組もうとしても、どこから手を付けてよいか分からない、どんな方法があるのか分からない――。そんな悩める企業・組織に、「ラベル」を使った分類をお薦めします。ラベルを上手に活用することで、情報の分類と可視化を実現することが可能になります。

[PR/@IT]
PR

なぜ、「情報の分類」がうまくできないのか?

 みなさん、情報を分類していますか? 必要とは思っている企業の方は多いと思いますが、思うように進んでいないのが現状だと思います。

 ただ、同時に外部からのプレッシャーもあり、今まで取り組んでいなかった企業も(例えば、GDPRや個人情報保護法、各種情報セキュリティガイドラインなど)やらざるを得ない状況になりつつあります。もしくは、以前検討はしたけれども断念してしまった企業も、近い将来、再び取り組まざるを得ない対策の一つになっています。

 しかし、いざ対応を進めようと検討を始めても、どこから取り組めばいいのかはっきりせず、取りあえず社内の情報セキュリティポリシーの見直しなどを行ってみるものの、関係部署との調整や分類項目の決定に時間がかかり、すぐに実行できないケースもあるでしょう。検討に1年以上かけたにもかかわらず、導入を見送るといった企業もあるのが現状です。

 実際、情報セキュリティに関するポリシーの整備は、ある程度の時間がかかることは仕方ありません。ただし、細かい分類にこだわるあまり、いつまでたっても対策が実施できないとなると本末転倒になってしまいます(検討している間は事故への対策ができないからです)。

 では、なぜ情報セキュリティポリシーの整備に時間がかかるのでしょうか?

 それは、自社内にどんな情報がどれくらい存在しているのか、そしてそれは、どこで、誰が作成しているのか把握することが非常に難しいため、どんな分類が必要なのか、どんな対策が必要なのかを決めることができないからです。自社の現状が分からない状態でポリシー作成をしようと考えても、現状に即しているかどうかも不明なため、無駄な作業が発生して時間だけがかかってしまうのです。

 一方で、分類をそもそも実施しない企業もあり、例えば、情報の把握や分類をしないため「取りあえず全部暗号化してしまえ!」といった号令の下、情報を全て暗号化してしまうという対策を実施しているケースもあります。

 例えて言うなら、自分の家に守るべき資産がどこにどれだけあるのか分からないので、全ての情報を箱に入れて鍵を掛けてしまうことに等しいです。あなたの家のあらゆる情報資産(メモ紙、こどもの通知表、テレビの取り扱い説明書、貯金通帳など)を全て別々の箱に入れていたとしたらどうでしょうか? 一応、鍵が掛かっているので鍵を持っていない人は開けることはできませんが、外から中身を確認することもできません。

 情報は本来、共有することが目的なのですが、箱に鍵が掛かった状態では中に何が入っているか分からず、1つ1つ箱を開けて確認する必要があります。これは先ほどの例で言うと、全てのファイルを暗号化してしまった場合と同じ状況で、情報の把握や検索ができなくなるため利便性が著しく低下します。1つのファイルを探すのに何時間もかかってしまうかもしれません。このようなことを個々の社員が行っていたとすると、会社全体では大きな損失になります。

 情報資産を漏れなく把握し、そこに適切な分類項目(機微性)があればこのような管理にはならないからです。

分類項目はどうやって決めればよい?

 では、どのようにして分類項目(機微性)を決めていったらいいのでしょうか?

 分類項目(機微性)に対する情報粒度も細か過ぎると最終的に運用が全く回らなくなるので、“ある程度大まかな分類”で実施するのがコツです。

 分類項目(機微性)では、以下の3種類の「ラベル」を用意して始めるのがお薦めです。

  • 機密(Confidential)
  • 社外秘(Internal Only)
  • 公開(Public)

 企業によってはもう少し項目が必要になることもありますが、多くてもラベルは5種類程度にしてください。理由としては、ラベルの数が増えると判断基準が曖昧になり、管理が煩雑になるからです。

 これらの分類項目をドキュメントに「ラベル」として追加していくことで、情報の分類と可視化を実現することが可能になります。

 さて、ここまでは情報の分類の必要性と分類項目について触れてきましたが、今度はそれをどうやって漏れなく適用するのか、全社員にラベルの適用をどのように徹底させるのかが課題になります。

 企業で日々生成され増え続けるドキュメントに対し漏れなく実施することが必要になりますが、情報セキュリティポリシーを整備し、社内に公開したとしてもそれを使って全社員がポリシーに従ってラベルを添付してくれるとは限りません。

 法務部やリスク管理部、知財部といった情報管理の意識が高い部署や社員であれば意図的にラベル付けを実施してくれる可能性は高いですが、それ以外の部署でラベル付けを徹底することは難しいと思います。

「既定ラベル」と「自動ラベリング」を活用しよう

 では、どうしたら日々作成されるドキュメントに対して漏れなく適切にラベル付けを行うことができるでしょうか? それを実現するための考え方が「既定ラベル」と「自動ラベリング」です。これら2つを利用することで情報を分類し、漏れなくラベル付けを行うことが可能になります。

 「既定ラベル」は、全てのドキュメントに対して既定で付けられるラベルのことです。社員がドキュメントやメールを新規作成した際には、必ずこのラベルが付けられます。これは社員が意識することなく付けられるため、社員への負担は全くありません。そもそも、ラベルが付けられていることに気が付かない社員もいるかもしれません。

 例えば、「既定ラベル」を「社外秘」とすれば、新規に作成されるファイルは全て「社外秘」という機微性に分類されることになります。

 「既定ラベル」を使用することで、全てのドキュメントに対して漏れなくラベルを適用することができましたが、このままでは分類項目が「社外秘」の1種類だけの状態となります。ここで必要になるのが「自動ラベリング」です。

 「自動ラベリング」は、ドキュメントに含まれるキーワードやその出現回数を検知し、ラベルを適切なものに付け替えることを実施します。代表的なものでは、「クレジットカード番号」が含まれていればラベルを「社外秘」から「機密」に変更する、住所が1つのファイルに25個以上記載されている場合にはラベルを「機密」に変更するなど、特に取り扱いに注意が必要なものについては、保護レベルを上位のものに変更する必要があるので、あらかじめ決められたポリシーに従ってラベルの機微性を自動的に変更する必要があります。

 ここまで実施していけば、新規に作成されるドキュメントに対しては社員の負荷をほとんどなくしつつ、漏れなくラベルを適用することができます。

 一方で、既存のドキュメントに対して、はどのようにラベル付けを行えばいいのでしょうか?

 既存のドキュメントの置き場といえばファイルサーバですが、最近ではクラウドストレージを利用している企業も多いのではないでしょうか?

 既存のドキュメントに対しては、1つ1つファイルを開いてラベル付けを行うことも可能ですが、とても現実的ではありません。このような場合にはスキャナーのような機能を使い「既定のラベル」と「自動ラベリング」を実施します。

 ファイルサーバやクラウドストレージをスキャンした後、ラベルが適用されていないファイルに対しては「既定のラベル」を適用し、さらに、あらかじめ設定したポリシーに合致するドキュメントが検出されれば、より機微性の高いラベルに変更(自動ラベリング)します。

 ここまで実施することで、PCやファイルサーバ、クラウドストレージの中にあるドキュメントにラベルを適用することができます。そしてラベルが適用された結果、さらにメリットが発生します。それが「情報の統合監視」です。ラベルが付けられたドキュメントの情報を包括的に監視・監査できるようになります。

Azure Information Protectionで「ラベル」を管理してみよう

 ここからは実際の画面を使い、今までお話してきたことがどう実現できるのか、「Microsoft Azure Information Protection」(以下、AIP)という製品を利用して説明していきます。

 まずはラベルの簡単な説明ですが、AIPの管理コンソールからラベルを定義していきます。

ALT 作成したラベルの一覧《クリックで拡大します》

 次に、特定のキーワードやその出現回数を元に、動的にラベルを変更するためのポリシーを設定します。

 こちらの例では、個人情報として同一ファイル内に住所が25個以上存在していた場合に、ラベルを「機密」に変更するように社員に促すよう設定をしています。次の図が実際に住所が25個を超えた時点でラベルを変更するように表示されているところです。

ALT ラベルに対して透かしやラベル適用の条件などを設定《クリックで拡大します》

 下記の図は、Excelファイルを新規作成した際の画面ですが、ファイルを新規作成した時点で既にラベルが適用されているのが確認できます。

ALT 新規作成時に既に「規定のラベル」である「社外秘」が適用されている《クリックで拡大します》

 実際に住所が25個以上1つのファイルに内に検出されたため、ラベルを「機密」に変更するように促されているのが確認できます。特にセミナーの参加者リストなど、個人情報が多く含まれるファイルなどに対しては取り扱いのレベルが上がりますが、その判断を社員個人に任せるだけでなく、推奨値として提示することで正確に分類することができるようになります。

 今回の例では推奨として表示していますが、これを強制させてしまうこともできます。ただし、あくまでもデーターオーナーは作者なので、最初は推奨値として表示することをお勧めします。

ALT あらかじめ設定したレコード数を超えたため、推奨されるラベル(この場合は「機密」)を提示《クリックで拡大します》

 ここで社員が「今すぐ変更する」をクリックすると、ドキュメントが「機密」に分類されます。さらに、ラベルごとにアクセス権の設定や暗号化、透かしの設定などを追加することで、視覚的にも変更されたことが分かります。

ALT 「機密」ラベルが適用されたため、あらかじめ設定されていた透かしが追加された《クリックで拡大します》

 そして、このようにラベルがドキュメントに漏れなく適用されることにより、管理者側からはどのようなドキュメントがどこにどれくらいあるのか把握することができるようになります。それが「中央レポート」という機能になります。

ALT 管理コンソールから適用されたラベルをもとにドキュメントの数や場所などを確認することが可能《クリックで拡大します》

 中央レポートからは以下の情報が閲覧可能です。

  • 適用されているラベル
  • ラベル付けされているドキュメントと電子メールの数
  • 保護されているドキュメントと電子メールの数
  • ドキュメントや電子メールにラベル付けしているユーザーの数とデバイスの数
  • ラベル付けに使用されているアプリケーション

 その他、ラベルを変更した際のアクティビティーやファイルのパス、実行されたデバイスなども確認できるため、社内にファイルが点在している状況でも、どのような機微性のファイルがどれくらい、どの場所に保存されているのかすぐに把握することができます。このような情報を基に、いままで実行困難だった情報セキュリティポリシーの策定や見直しなどが実施しやすくなります。

 また、今回は情報の把握と管理を漏れなく実施することを目的としましたが、次回はこのラベルを使ってどのように情報の保護を行い、情報漏えいにつながるような行為を防ぐことができるのかをご説明していきたいと思います。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年12月4日

関連記事

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。