情報漏えい対策の意識は、企業により違いが大きい。個人情報保護法が施行された2003年前後には高い意識を持つ企業が多かったが、そのときに対策を講じたことで安心している企業もあるようだ。しかし、セキュリティ対策は一度行えばよいというものではない。セキュリティレベルを維持するためにPDCAサイクルを回し、ビジネスやそれを取り巻く環境の変化に対応し続けなければならない。

　セキュリティ対策全般に言えることだが、十分な対策を施し、さらにPDCAサイクルを回し続けたからといっても情報漏えいを完全になくすことは、現実的には不可能だ。限られたコストの中で、効果的なセキュリティ対策を行うコツは守るべき情報の優先順位を明確にして取り組むこと。重要な情報がどこにあり、万が一漏えいしたらどのようなリスクがあるのか、対策を行うべきポイントの重要性を検討することだと言えるのではないだろうか。

　実際に情報漏えいの可能性が最も高いポイントは、なんと言ってもクライアントPCだ。さまざまな情報の出入り口であり、メールやWebブラウザなどネットワーク経由でもアプリケーションが多数利用されており、日々の業務に直結した存在だ。それだけに、ウイルス対策やメール誤送信対策などのセキュリティ製品も数多く提供されている。

　しかし一方で、メールと同程度かそれ以上の頻度で利用されるにも関わらず、対策が遅れているポイントがある。それは、業務アプリケーション利用時の「Webブラウザ」だ。既にERPやCRM、グループウェアなどの業務アプリケーションの多くが「Webブラウザ」からの操作に対応している。そこでは顧客情報をはじめ、社内の機密情報、財務情報などが表示される。「Webブラウザ」に表示されたナレッジベースでは、開発中の製品に関する情報や決算前の経営情報など、社外秘の情報を共有することもあるだろう。これらの情報が、万が一外部に漏えいしてしまったら大変なことになる。

※クリックで拡大 図1 情報漏えい対策のポイント

NECソフト セキュリティシステム事業部 セキュリティパッケージグループ セキュリティセールスマネージャー 鈴木 弘芳氏 NECソフト セキュリティシステム事業部 セキュリティパッケージグループ 天田めぐみ氏

　Webブラウザ経由で、極めて機密性の高い情報を取り扱っているにもかかわらず、これまでに行われてきた対策は、ログイン時の認証とルールによる抑止だけだった。「社外秘」と記された資料はダウンロードしない、「印刷禁止」と書かれたものは画面で見るだけにしてほしい、といった運用ルールを制定し、さらにWebアプリケーションのログ取得という抑止力で運用してきた。しかし、Webブラウザにコピーやダウンロード、印刷機能がついている限り、他の資料と同じように印刷して閲覧したり、持ち歩いたりする従業員は必ず現れる。それは、不正利用するために機密情報を持ち出しているのではなく、外出先などの業務で活用するために持ち出しているケースが多いと、NECソフト セキュリティシステム事業部 セキュリティパッケージグループ セキュリティセールスマネージャー 鈴木 弘芳氏は指摘する。

「情報を持ち出すのはその情報を取り扱う権限を持った方が多く、純粋に業務で使おうと思って持ち出すことがほとんどです。外出先で使おうとグループウェア内の情報をコピーして持ち歩いたり、ナレッジベースにある社外秘文書をダウンロードして自宅で仕事をするために持ち帰ったりするわけです。しかし、一度社外に持ち出したり、紙として印刷したものは、その後どのように扱われたのか把握することが困難です。廃棄方法によっては、意図せず情報を漏えいしているケースもあります」

　こうした権限保持者の危機意識の希薄さが引き起こす情報漏えいは実際に多く、これまで通りのログイン時の認証による権限管理だけでは止めることができないうえに、持ち出された場合の影響は甚大だ。そのため、今後はWebブラウザからの情報流通に関しても、より確実な対策を実施する必要がある。それにはユーザー個々人の危機意識に頼る「抑止」ではなく、システムによる「防止」のしくみが必要になる。事故を防止し企業を守るとともに、業務遂行のためにルールからうっかり逸脱してしまうことがないように、社員を守るシステムづくりが求められる。その一方で、安全なシステムながら利便性もきちんと確保しなければならない。

　Webブラウザを通じた情報提供で、情報へのアクセスコントロールを実現するのが、「WebブラウザプロテクターAE」と「WebコンテンツプロテクターAE」だ。前者はWebアプリケーションやWebブラウザで共有されるコンテンツの流出を防ぐ製品、後者はWebブラウザを利用して共有されるOfficeファイル、PDFファイルを保護する製品で、いずれもNECソフトが自社開発したソフトウェアである。

「両製品はWebブラウザ経由で行われる企業機密情報の閲覧、編集、保存、印刷、キャプチャを制御するソフトウェアです。アクセス権限を持つ内部関係者に対してセキュリティ対策を実施できる数少ない製品で、業務に必要な機能を維持しながら、情報の重要度に応じてユーザー操作を制限できることが特徴です。システム側から強制的に情報利用を制限できるため、企業全体のセキュリティレベルの底上げが可能になります」（NECソフト セキュリティシステム事業部 セキュリティパッケージグループ 天田めぐみ氏）

※クリックで拡大 図2 「WebブラウザプロテクターAE」と「WebコンテンツプロテクターAE」によって、Webブラウザ経由の情報漏えいを防止できる

　WebブラウザプロテクターAEを使うと、Webブラウザの保存、コピー、印刷機能をURL単位で無効にできる。ブラウザのキャッシュもPCに残らないようになっているうえ、画面キャプチャソフトやリモートデスクトップを使った情報コピーに関しても同様に無効にできる。サーバ、ブラウザ間のデータ通信は暗号化できるので、ネットワーク上で傍受され、漏えいする恐れもない。ID管理製品などと連携し、利用者の権限に応じて必要なユーザーにのみコピーや印刷を許可することも可能だ。その際、透かし文字の印刷や日時、端末IPアドレスなどの情報を強制的に印刷できるので、万一の漏えい時にもトラッキングが可能だ。

　一方WebコンテンツプロテクターAEは、グループウェアやナレッジベース上で共有されているファイルに対し、ダウンロード保存・複製、テキストの編集、印刷、キャプチャなどを制御する機能が中心となっている。ダウンロードされたOfficeファイル、PDFファイルは暗号化されるので、他の端末にコピーしても閲覧はできない。ダウンロード後に閲覧可能な回数や期間を設定しておき、それを超えると自動的に削除されるよう設定することもできる。新製品やキャンペーンの情報など、一定期間のみ共有したいコンテンツに利用すれば、閲覧者がダウンロードした後のコンテンツ管理を実現できる。

「両製品とも情報流通を阻害するのではなく、安全性を確保することで情報の積極的な利用を推進する製品です。公開後のコントロールができないために共有できなかったコンテンツも、安全が確保されるので安心して公開、共有できるようになります」（鈴木氏）

　いまや多くの業務アプリケーションがWebブラウザ経由で動作するようになった。Webブラウザ経由での利用は、利便性が高い一方、セキュリティに対する配慮は欠落していることが多い。情報漏えいの恐ろしいところは、漏えいしたかどうかわからないケースが非常に多いということだ。特に業務情報などはライバル企業が利用するだけ、ということになりかねない。両製品は、こうした抜け穴を防ぐ、実効力の高い情報漏えい対策ソリューションとしてこれから注目を集めることになるだろう。