第4回 あらゆる漏えいの脅威から機密情報を守るために必要な対策とは

これまでの連載を通して、外部からの攻撃者によるサイバー攻撃、退職者などの関係者による不正行為や盗難や紛失などの過失による情報漏えいとその対策についてご説明しました。

世の中にはさまざまなセキュリティソリューションが存在しています。製造業の知的財産をあらゆる漏えいの脅威から守るために、それぞれのソリューションがどのような効果を発揮するかご説明します。

ファイアウォールや侵入検知などのネットワーク出入り口対策

ファイアウォールやIDS(侵入検知システム)/IPS(侵入防御システム)などによるセキュリティ対策は企業のネットワークの出入り口を保護するための対策です。特にファイアウォールは多くの企業で導入されており、企業の内と外を区切る境界線を保護するには非常に重要です。
この出入り口対策は外部からのサイバー攻撃を阻止する壁となり、企業内のネットワークを守る基本的な対策になります。

しかし昨今ではサプライチェーンとして関係を持っている企業やオフショアリング先の海外拠点を経由した攻撃やSSLVPN装置の脆弱性を利用した攻撃など、出入り口対策で防ぐことができない事件も多く発生しています。
また社内ネットワークに接続できる社員や関係者による不正行為は、ファイアウォールなどのネットワークセキュリティでは対応することはできません。

企業ネットワークの出入り口対策は基本的なセキュリティ対策の一つですが、それだけで万全というわけではありません。

ウイルススキャンやふるまい検知などのマルウェア対策

PC端末へのマルウェアなどのウイルス対策は、もはや企業だけでなく家庭用PCへも導入が進み、広く普及している最も一般的なセキュリティ対策です。
マルウェアを検知する技術も、古くからあるパターンマッチング方式だけでなくヒューリスティック方式によるふるまい検知が可能となり、未知のウイルスに対してもある程度の検知ができるように進化しています。

しかしこれらのマルウェア対策は全てのウイルスに対応することは難しく、すり抜けて感染を拡大してしまうケースは多く存在します。
マルウェア対策は最も普及した一般的なセキュリティ対策ですが、それだけで全てのマルウェアへの対策とはならないことを念頭に置いて、Windows Updateや利用アプリケーションの脆弱性への対応を欠かさないことが必要です。

ファイルサーバーなどのアクセス権制御による漏えい対策

Windowsなどの主なファイルサーバーは、管理している情報に対してアクセス権を設定することで関係者による不正なアクセスを禁止することができます。このアクセス権設定は基本的にフォルダーに対して行うもので、新規作成やコピーしたファイルは該当フォルダーのアクセス権が適用されます。

そのためファイルをコピーや移動した際のアクセス権限はコピー先のフォルダーのものになります。結果、ファイルサーバー上、機密性の高いファイルが権限者のPC端末を経由して、権限のないユーザーに渡ってしまう場合があります。

ファイルサーバーのアクセス制御はファイルサーバーを運用するうえで基本的な情報漏えい対策ですが、アクセス権で保護していたとしても権限を持たない部外者へ機密情報が渡ってしまうケースがあることを認識する必要があります。

ハードディスクやドライブ単位での暗号化

USBメモリーやハードディスクなどのデバイス全体、ドライブ(Cドライブなど)といった特定の領域に対して暗号化を行う機能やセキュリティ製品があります。
これらの暗号化機能はノートPC本体に標準搭載されている場合もあり、費用をかけずに即時に実施できます。またエンタープライズ用途として広く使われているものとして、Windowsの「BitLocker」などがあります。

ノートPC標準搭載の暗号化機能やBitLockerなど、多くは暗号化されている領域から取り出したファイルの暗号化が解除されてしまいます。そのため、盗難や紛失による情報漏えいに対しては非常に効果的ですが、それ以外の脅威への効果は限定的です。

またファイルサーバーのデータ領域やフォルダーを暗号化し、情報の不正利用や持ち出しを厳密に制御して暗号化状態を維持するセキュリティ製品もあります。それらの製品の運用には、持ち出す際の上長承認などのワークフローなどが必要となるケースがあり、運用の煩雑化の恐れがあります。そのため、例外的な権限の付与などの抜け道を作ることにつながる可能性があります。

DRM / IRMによる漏えい対策

DRM / IRM(Digital / Information Rights Managements)は、ファイル単位で暗号化を行い、利用者の権限に応じて操作制御を行います。

暗号化されたファイルはUSBドライブなどほかの領域に持ち出されても、暗号化された状態は維持されます。盗難や紛失、マルウェアやサイバー攻撃などでファイルが流出したとしても、暗号化を解除するための復号鍵を持たない第三者はファイルを読み取ることができないため、情報が漏えいすることはありません。

また権限に応じた操作制御を行います。情報漏えいにつながる操作を制限するなど、適切に権限設定を行うことで、退職者による機密情報の持ち出しなどの関係者による不正行為への対策となります。

このようにDRM / IRMは暗号化と操作制御によって情報そのものを守るため、あらゆる情報漏えいの脅威へ対策することができます。

次回は、DRM / IRM製品の一つであるDataClasysの特徴をご紹介します。

製造業界の知的財産を守り抜くには(連載)

全ての記事を見る

ファイル暗号化・セキュリティソリューションを開発する株式会社DataClasysでは、コラムを執筆されています。合わせてご覧ください。

コラム | ファイル暗号化DataClasys [データクレシス]