2023/2/22
by 鈴木 憲一郎
デジタル時代において、組織や企業の垣根を越えたコラボレーションは不可欠ですが、一方で、企業にとって重要な財産である「データ」の流出を防いだり、サイバー攻撃から保護したりする方法の確立が課題となっています。そこで今回は、仮にデータやファイルが第三者の手に渡っても閲覧すらできないようにする「暗号化」を軸に、どのように機密情報を守っていくべきかを考えてみましょう。
待ったなしのセキュリティ対策は「暗号化」から
今や連日のようにサイバー攻撃に関するニュースが世間を賑わせています。ランサムウェアに感染した企業が機密情報を盗み出され、「これを公開されたくなければ金銭を支払え」と脅されるケースもあれば、ウクライナ侵攻など緊張を高める国際情勢を背景に、おそらく国家を主体としたサイバー攻撃者が政府関連機関や研究機関などをターゲットに高度な攻撃を仕掛け、情報を盗み取ろうとしたケースも報じられています。
こうしたリスクの高まりを踏まえ、企業・組織に求められるセキュリティレベルも、一段と高いものになってきました。
各国政府は「経済安全保障」の一環として、さまざまなサイバー攻撃対策を求めるようになりました。特に日本では、サプライチェーンにおけるセキュリティ対策の必要性が叫ばれています。ビジネスを展開する上でさまざまなパートナー、取引先とのやりとりは不可欠ですが、そのつながりが外部からの侵入を許したり、情報漏洩につながったりするような事態を避けることが求められています。
業界によってはすでに具体的なガイドライン・指針が示されてきました。遠からず、一定水準のセキュリティ対策を満たさない企業には、調達やサプライチェーンへの参加が許されなくなる時代が到来するでしょう。
では、具体的に何から手を付ければいいのでしょうか。一口にセキュリティ対策といっても、ネットワークの入口での防御やPCなどエンドポイントの保護といった技術的な対策、従業員への教育やインシデント対応体制の整備といった人的・組織的な対策まで、実に広範な範囲にわたります。
その中で、機密情報保護に優れた効果が期待できる対策の1つが「暗号化」です。鍵を持った正当なユーザー以外には閲覧、編集を許さないようにすることで、仮に不正アクセスを受けてファイルが外部に持ち出されても、攻撃者にとっては無意味なデータとなるため、それ以上の悪用を防げます。
視野に入れるべき「監視」や「データの検出・分類」
暗号化は外部からのサイバー攻撃だけでなく、内部関係者や取引先のミス・故意の持ち出しにも有効です。
たとえば、「参考までに」と取引先に共有した資料が、知らない間に第三者にも送られていた、といったケースは珍しくありません。不注意やミスに起因する場合もあれば、故意の持ち出し、あるいはマルウェア感染による流出などパターンはさまざまですが、一度データが流出してしまうと取り返しがつきません。
しかも近年ではクラウドサービスの活用が広がっています。社内はもちろん、社外のステークホルダーとクラウド上のファイル共有サービスを介してコラボレーションするのが当たり前となりました。
ただ、手軽で便利なだけに、クラウドでは特に事故が起こりやすいのも事実です。本来は機密扱いにすべきファイルを無関係な第三者も閲覧できる状態にしてしまうのは論外ですが、慌てて作業して必要以上のアクセス権限を与えてしまうようなミスは、人間が作業する以上あり得るもの、と考えるべきでしょう。
そんなときにもやはり、デフォルトで暗号化するような仕組みがあれば安心と言えます。
もう1つ視野に入れておきたいのが、最近の暗号化ソリューションが提供するようになった「監視」の機能です。あるファイルに対し、いつ、誰がアクセスし、どのような作業を行ったのか——そういった情報をクラウド経由で監視し、もしポリシーに反していた場合には、経緯を確認して後からアクセス権を削除する、といったコントロールを効かせることができます。こうした機能はDLP(Data Loss Prevention:データ漏洩防止)ソリューションとしても提供されています。
ただ、データの保護を考える上で重要なのは、大前提となるデータの検出と分類です。
セキュリティの第一歩は「守るべき資産」を特定することです。しかしITシステムが業務を支え、さらにデジタルトランスフォーメーション(DX)が進展する昨今、どこにどんなデータやファイルが格納されているか、把握するだけでも一苦労、という環境が多いのではないでしょうか。棚卸しの作業を避けて通ることはできませんが、手作業でやるとなると膨大な労力が必要になるでしょう。
また、セキュリティ対策ではメリハリも重要です。一口に「ファイル」「情報資産」と言っても、誰でも閲覧できる公開情報、関係者のみの社外秘・部外秘ファイル、個人情報、絶対に漏らしてはいけない極秘データなどさまざまです。棚卸ししたデータを情報の内容に応じて分類し、重要度に分けて暗号化することで、効率的・効果的に対策を進めることができます。
暗号化自体は古くからある技術ですが、近年、こうした検出と分類にまつわる観点を統合した暗号化ソリューションが登場しています。マイクロソフトが提供するクラウドベースの暗号化製品「Microsoft Azure Information Protection(以下、Microsoft AIP)」もその1つで、守るべき資産の検出と機密レベルに基づく分類、そして暗号化と監視といった4つの機能を、1つの製品で統合的に提供することが特徴です。Azure ADと連携し、社内はもちろん社外の関係者についてもサインオンした場合にはアクセス制御を効かせることができます。
一番大事なのは「自社が何を守りたいか」ですが、特にMicrosoft 365などを利用している環境で効率的に暗号化を実現する上で、有力な選択肢と言えるでしょう。
現場の業務とバランスを取りながら推進
DXCはさまざまなセキュリティソリューションの導入をお手伝いしてきました。その経験から言えることですが、機能やポリシーばかりを優先して「このセキュリティ対策を導入し、使ってください」と現場に押しつけるとうまくいきません。業務や利便性とのバランスが重要です。
暗号化ソリューションも例外ではありません。とりわけ暗号化については、「導入するとPCの動作が重くなるのではないか」という懸念が昔から多いと感じます。また、ファイルの拡張子が変わると操作体系が変わってしまうので面倒だ、という不安の声も耳にしてきました。
実際のところ、今ではPCのスペックが向上しており、ファイル暗号化でストレスを感じるほどパフォーマンスが落ちることはめったにありません。それでも現場に対策の必要性を丁寧に説明し、少しずつ段階を踏んで浸透させる工夫が必要だと感じます。性急に導入を進めたせいで現場の反感を買ってしまい、導入したソリューションが使ってもらえない――最悪の場合は、現場が勝手に「裏技」を作り、それが新たなセキュリティリスクにつながる恐れもあります。
一案として、前述のMicrosoft AIPのように、クラウド側で処理を行い、かつファイルの操作方法や拡張子などは変更されることなく透過的に利用できる仕組みを採用するのも有効でしょう。
ただ、いくらソリューションが優れていてもやみくもに導入してはうまくいきません。「守るべき資産」「資産が社内外でどのように使われ、流通しているか」を把握した上で、既存システムへの影響を見ながら適切に設計していくことが重要です。場合によっては、暗号化だけでなくSIEMのような監視の仕組みなど、他のセキュリティソリューションを適材適所で組み合わせたり、社内体制・ルールにも視野を広げたりして、守る方策を検討することになるでしょう。
「何を守るか」を決めるのはお客様自身ですが、それを実現する最適解となると迷われるかもしれません。DXCのセキュリティサービスはこれまでの経験を踏まえ、セキュリティと業務のバランスを保つ方法を提案できます。お悩みの場合はぜひご相談ください。
About the author
鈴木 憲一郎(Kenichiro Suzuki)
DXCテクノロジー・ジャパン セキュリティサービス部 Security Delivery Lead。主に運輸業界のアプリケーション開発に従事した後、セキュリティサービスに転向。 製造業のお客様向けに情報漏洩対策のソリューション導入支援の他、クレジットカード会社など様々な業界のお客様へセキュリティ対策の支援を実施している。