レポート

セキュリティ対策最適化セミナーレポート

この記事を読むのに必要な時間:およそ 8.5 分

セッション2
ISMS(情報セキュリティマネジメントシステム)にみる情報資産マネジメントと,情報漏洩の脅威に対するセキュリティ対策の取り組み

Webやメールによる情報漏えいは,セキュリティ対策において重要なポイントとなりつつあります。4番目のセッションでは「ISMS(情報セキュリティマネジメントシステム)にみる情報資産マネジメントと,情報漏洩の脅威に対するセキュリティ対策の取り組み」と題し,株式会社HDE プロダクト本部 マーケティング部 プロダクトマネージャ 我孫子聡氏より情報資産の管理,そしてWebやメールによる情報漏えい対策のポイントが示されました。

社内の情報資産とその価値を見極めることが先決

株式会社HDE プロダクト本部
マーケティング部 プロダクトマネージャ
安孫子聡氏

多くの企業でセキュリティ対策が進められていますが,果たしてそれらは独りよがりの対策にはなっていないでしょうか。間違いないと思っていたセキュリティ対策が実は効果的なものではなかった,あるいは非効率的だったということは珍しくありません。メールを中心としたセキュリティソリューションを提供しているHDEの我孫子聡氏は,自社でISMSを取得した経緯を踏まえ,セキュリティ対策を考えていく上で重要なポイントを解説します。

「実際にHDEでISMSを取得してみて,重要なポイントだと感じたのは情報資産の棚卸しです。情報資産は顧客情報だけではなく,業務システムや印刷した紙なども含まれます。これらの価値を機密性と完全性,可用性の3つで点数を付けていくわけです。」

たとえば機密性であれば開示できる範囲,完全性なら改ざんや毀損が起こったときにどれだけのダメージが発生するのか,そして可用性なら情報を利用する頻度などといった項目で数値化していくと,それぞれの情報がどういった価値を持っているのかが分かるわけです。

さらに,同様に機密性と完全性,可用性を脅かす脅威やぜい弱性を洗い出せば,必要なセキュリティ対策の方向性が見えてくると言います。

「たとえば情報の価値が高くて脅威があり,なおかつぜい弱性を持っているものであれば,最優先で対策をしなければならない。逆に情報の価値が低く脅威やぜい弱性がなければ,対策の必要性は低くなります。対策ありきではなく,会社の中にどういった情報があり,それの重要度はどの程度なのかを見極めていくことが先決ではないでしょうか」

Webにおける情報漏えい対策はログの取得が肝心

昨今,掲示板やブログへの書き込み,Webメールや出会い系サイトへのアクセス,フィッシングサイトの利用など,Webにまつわるセキュリティリスクは増大しています。匿名掲示板だから誰が書いているのか分からないと考える人は多いが,実際には「まず間違いなく誰が書き込みを行ったのかは分かります」とのこと。

こうしたリスクが増大していることから,注目が集まっているのがWebフィルタリングソリューションです。ただ,現状のブラックリスト型のWebフィルタリングソリューションは,企業の実情に即したものではないと我孫子氏は語ります。

その理由として挙げられたのが,そもそもの目的の違いです。多くのWebフィルタリングソリューションは学校や家庭をターゲットとしており,見せたくないWebサイトへのアクセスを禁止するというものです。また,日々新しいWebサイトが現れるため,膨大なコストを使ってブラックリストを更新しています。そのコストは2年目以降の更新費用としてユーザーが負担することになり,運用コストの増大を招いていると言います。

こうしたソリューションを企業が導入した場合,不必要なWebサイトのアクセスを抑制し,業務効率の低下を防げると考えるかもしれません。しかし我孫子氏によれば「我々がヒアリングしたところ,そもそも私的利用による業務効率の低下より,情報漏えいを防ぐことに期待しているという結果が出ています」とのこと。そこでHDEが提供を開始したのが「HDE Web Cop」というソリューションです。

「Web経由の情報漏えいの防止に特化し,クライアントからのWebサイトへのアクセスをすべてログとして記録するというソリューションです。このログにはWebメールで入力した内容や添付したファイル,掲示板に投稿した内容なども含まれます。このため,何か事故が発生した場合の調査が可能です」

一方,ブラックリスト型のURLフィルタリング機能は搭載せず,機能を絞ることによってコストダウンを図った製品だと紹介されました。

メールでの情報漏えいを防ぐ多様なソリューション

Webサイトへのアクセスと同様,メールの送受信にもさまざまなリスクがあります。特に情報漏えいへの対策としては,Webと同様にすべてログとして記録し,さらに送受信したメールをアーカイブとして保存することが重要です。これを実現するソリューションとしてHDEが提供しているのが「HDE Mail Filter」です。我孫子氏はメールによる情報漏えい対策ソリューションに求められる機能を次のように説明します。

「すべてのメールをログとして記録し,アーカイブとして保存できるだけでなく,問題が発生したときに原因を特定するためにはアーカイブの検索のための機能も必要です。またあらかじめ定めたルールに従ってメールを検査し,ルール違反となったメールは上長が承認しない限り外部に送信しないといったルールを定義できれば,事前に情報漏えいを防ぐことにもつながります。HDE Mail Filterはこれらの機能をすべて備えています」

さらにHDEでは,メールの改ざんやなりすまし,情報漏えいの防止を実現するためのソリューションとして「HDE Secure Mail」シリーズを展開しています。

まず送信者の偽装を防ぐために提供されているのが「HDE Secure Mail for S/MIME」です。これはS/MIMEという仕組みを使ってメールに対して電子署名を行い,送信者の偽装を防ぐためのソリューションです。

「S/MIMEを使って送られたメールでは,たとえばOutlook Expressなら正当な署名付きのメールを受信すると画面上にリボンが現れ,それをクリックすると誰が証明したのかが確認できます。またなりすましなどの不正があった場合には,メールの本文が表示される前に警告画面が表示されるので,不正があったことが分かります」

情報漏えいという観点からメールを考えた場合,宛先を間違えて重要なメールを送信してしまうケースが考えられます。こうしたリスクに対応するソリューションとして提供されているのが「HDE Mail Filter for Online Storage」です。具体的な仕組みについて,我孫子氏は以下のように解説します。

「メールにファイルが添付されていると,それをサーバ上に保存し,実際の宛先には添付ファイルがない状態のメールを送信します。その上で,宛先に間違いはないか,添付したファイルは意図したものかを送信者が確認した上で,サーバからダウンロードするために必要なURLやログインパスワードを送信します。もちろんパスワードを知らない限りファイルをダウンロードすることはできないので,仮に宛先や添付ファイルを間違っていても,確認のタイミングでそれに気付けば受信した相手がファイルを見ることはなく,情報の漏えいを防げるというわけです」

このほかHDEでは,PGPという仕組みでメールを暗号化する「HDE Mail Filter for PGP」⁠さらには添付ファイルをパスワード付きZIPファイルに変換して送信する「HDE Mail Filter for ZIP」といった製品も提供しており,HDEがメールセキュリティを向上させるための多様なソリューションを展開していることを紹介しました。

なお,我孫子氏は同社のソリューションについて「いずれの製品もゲートウェイ上で対策を実施するため,クライアント側での設定や作業は必要ありません。利用者はこれまでどおり普通にメールを送受信することが可能で,なおかつゲートウェイでもれなく一括管理できるソリューションとなっています」と特徴を解説しました。また,こうしたソリューションを利用したログの取得は,不正利用の抑止力につながることが十分考えられます。そうした意味で,これらのソリューションは多くの企業にとって有用な情報漏えい対策になるのではないかと感じました。