テックノート

テックノート>情報漏洩対策に必要な7つの楯 Vol.2

  • セキュリティ/仮想化
2015.04.10

情報漏洩対策に必要な7つの楯 Vol.2

情報漏洩対策に必要な7つの楯 Vol.2

企業としてさらに強固なセキュリティ対策を施すきっかけとなるような情報漏洩対策のポイントや考え方をご紹介する本連載、第2の楯は「データ暗号化」です。(全7回連載)


Vol.2 データ暗号化のポイント


重要なデータが社内外に漏洩する原因は、統計的に「管理ミス」、「誤操作」、「紛失/置き忘れ」、「盗難」が大部分を占めています。つまり、事故は不注意から発生するケースがほとんどであると考えられるため、システム上のルール設定や管理体制の強化だけでは対策が不十分です。

第1回の「メール誤送信対策」のところでも解説しましたが、データ自体を暗号化しておけば、万が一社外に持ち出されたとしても、復号化キーを持たない第三者はデータの中身を参照できません。つまり暗号化がリスク排除の最終的な防御手段となります。

データは企業内の様々なところに散在しているため、「暗号化」対策はデータの所在により以下の4つに分けて検討すると良いでしょう。本稿では暗号化自体の技術的なテクニックというよりも、データの設置場所と漏洩の可能性のある経路に分けてデータ暗号化のポイントを簡単に解説します。

1. クライアントPC+外部媒体での対策


クライアントPCは商談やデモなど業務上の理由からも社外に持ち出される可能性が非常に高いため、PC本体やドライブ自体のデータを保護したり、CD/DVD等のメディアやUSB接続によってメモリやスマート・デバイスに書き出される可能性を考慮した対策が必要です。

【対策のポイント】PC本体と外部媒体書き出しの際に暗号化

ディスク全体または任意のフォルダを暗号化
クライアントPCのディスク全体を、または任意のフォルダのデータを暗号化し、本体が社外に不正に持ち出されても、復号化の認証またはキーがなければデータを参照できないようにする。

外部記憶デバイス書き出しの際に暗号化
クライアントPCから外部記録デバイス(USBメモリ、メディア等)にデータを書き出す際に暗号化し、復号化の認証またはキーがなければ第三者がデバイス内のデータを参照できないようにする。クライアントPCからの書き出し先となるデバイスをUSBだけに制限したり、持ち出す場合には暗号化を義務化する等、持ち出し制御と併せた対策も有効。

また、内部の人間による漏洩を意識して、特定の部署や役職者のみが復号化できるように、復号化キーの運用を検討することも重要。

図1:クライアントPC/外部媒体対策 ~状況に応じた暗号化~

図1:クライアントPC/外部媒体対策 ~状況に応じた暗号化~

2. クラウド・ストレージでの対策


オフィスと自宅、PCとスマート・デバイス、または社内外の特定のグループ間等でデータを共有する場合に、業務上の利便性や必要性からクラウド上にある共有ストレージ(クラウド・ストレージ)を利用するケースが増えてきています。自分のPCと同様の操作感でデータを扱えるという大きなメリットがある反面、社外にデータを置く事で漏洩リスクも高まります。したがって、一定期間データを置く場合には暗号化対策が有効です。

【対策のポイント】暗号化を義務化

共有ストレージにデータを設置する際には暗号化を義務化し、最低限の関係者で復号化キーを共有することで、第三者から参照できないようにし、漏洩リスクを低減します。

図2:クラウド・ストレージ ~暗号化の義務化~

図2:クラウド・ストレージ ~暗号化の義務化~

3. ファイル・サーバでの対策


一般的なデータ共有の仕組みとして、どの企業においてもファイル・サーバが利用されています。ファイル・サーバには機密性の高いデータから社内的に公共性の高いデータまで様々なデータが置かれており、重要なデータが漏洩してしまった場合には、企業に大きな影響を及ぼします。そのためファイル・サーバのリスク対策の重要度は非常に高いものとなります。また社内での利便性も考慮しなければならないことから、データ暗号化も含めて以下のような複合的な対策が考えられます。

【対策のポイント】重要度に応じた暗号化を実施

データの重要度を設定
ファイル名やファイルの種類等により、ファイル・サーバ内のファイルを重要度別に分類し各フォルダに配置する。

重要度に応じた暗号化/上長承認により制御
データへのアクセスや持ち出しは、重要度に応じて検討する。重要なデータについては、暗号化を義務化し、クライアントPC同様に復号化を認められていない部署の社員や社外の第三者が参照できないように保護する。社外に持ち出す必要のあるデータは、上長の承認により可能にする。

図3:ファイル・サーバ ~重要度に応じたデータ保護~

図3:ファイル・サーバ ~重要度に応じたデータ保護~

4. メールの添付ファイル対策


前回の「メール誤送信対策」の「対策2:添付ファイルの暗号化」で述べたとおりですが、メール送信時の添付ファイルについても、宛先の誤送信や受信側での不適切な処理により、漏洩する要因となります。万が一に備え、添付ファイルの暗号化が最も有効です。

今回は、データ暗号化について解説しました。
次回は、MDM対策について解説します。


連載記事

情報漏洩対策に必要な7つの楯 Vol.1
情報漏洩対策に必要な7つの楯 Vol.3
情報漏洩対策に必要な7つの楯 Vol.4
情報漏洩対策に必要な7つの楯 Vol.5
情報漏洩対策に必要な7つの楯 Vol.6
情報漏洩対策に必要な7つの楯 Vol.7


執筆者のご紹介

アシスト伊藤 雄介

伊藤 雄介
ビジネスインフラ技術本部

1992年入社。メインフレーム時代から28年間、企業の基幹となるシステム運用管理を中心としたパッケージ・ソフトウェア導入業務に携わる。直近の15年間ではセキュリティ分野に特化したソリューション開発やセミナー講師を務める。顧客の業務要件を広くヒアリングしてきた経験から、ソフトウェアの機能中心ではなく、顧客のスコープを明確化した上での最適な提案を得意とする。

本記事をご覧いただいている方へのご案内

最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。


関連している記事

  • セキュリティ/仮想化
2019.02.01

脅威の分離、サイバー攻撃対策の現実解

「脅威分離型」アプローチに焦点をあてサイバー攻撃対策の現実解をご紹介します。

  • セキュリティ/仮想化
2018.10.01

その特権ID管理は本当にセキュアと言えるか
~特権ID管理から特権アクセス管理へのシフトチェンジ~

「特権ID管理」の重要性と簡単に管理できる製品をご紹介。さらに海外では既に主流となっている「特権アクセス管理」という概念とそれを実現する製品もご紹介します。

  • セキュリティ/仮想化
2016.09.09

クライアント環境における見落としがちな情報漏洩の新たな抜け道とは

政府が無線LANの整備を促進しています。街中でのアクセスポイントが増強され利便性が向上する一方で、企業にとっては新たな危険も潜んでいます。本稿では、そのように変化する環境の中で、企業のクライアント環境における情報漏洩対策で見落としがちなポイントについてご紹介します。

ページの先頭へ戻る