情報漏洩対策のススメ

新年明けましておめでとうございます。

新年早々の投稿が「情報漏洩対策」というのもアレですが・・（苦笑）。
２０１７年はマイナンバーが本格運用される初の年でありまして。
我々の様な零細企業にとっても情報漏洩対策に対し本腰を入れないといけない年だったりするわけです。

という事で、新年最初のテーマは「情報漏洩対策」とさせて頂きます。

情報漏洩対策って面倒ですよね

いきなり後ろ向きな発言ですが・・でも、共感頂ける人は多いのではないかと思います。

起きるかどうか分からないものにコストをかけたくないし。
コストをかけても利益につながらない。
万が一情報漏洩が起きたら、損害を被ることになる。

マイナスにはなり得ても、プラスになることは無いのが情報漏洩対策なわけです。
体力のある大企業はいざ知らず、そんな余裕のない零細・中小企業が後ろ向きになるのは当たり前の話なのに、冒頭のマイナンバーで対策をしないといけなくなった。。

否が応でも情報漏洩対策に向き合わないといけなくなったわけです。

そこで、まずは素人目線ながら昨今の情報漏洩対策について理解するところからはじめて。
最終的に弊社が導入する事にした、安くお手軽に出来るソリューションのご案内へと、話を進めていきたいと思います。

情報漏洩対策の種類

まずは情報漏洩の起きるパターンについて整理したいと思います。

外的要因

・ウィルス感染
・不正アクセス
・盗難

内的要因

・誤操作による外部公開（メール、ＳＮＳ等）
・不正な情報持ち出し
・紛失

http://www.trendmicro.co.jp/jp/business/solutions/dlp/
ご存知、トレンドマイクロ社のレポートによりますと、内部からの漏洩というのは実に８０％を占めるそうです。

外部からの対策は、意外と対策が取られております

過去の事件などで皆の意識が高まったためでしょう。
ウィルス対策ソフト屋さんの頑張りもございました。
我々アプリケーションエンジニアの努力もありました。

ウィルス対策ソフトの導入や、ファイアウォールの導入、セキュリティホールをなくす為の対策、など。
皆さん実践されているのではないでしょうか？

今お使いのパソコンに、ウィルス対策ソフトが入っていない、なんて人は今更いないですよね？
ウェブ開発をしている人で、セキュリティホールをなくす対策を知らない、なんて人は今更いないですよね？

という事で、外部対策についてはこの辺で終えておきます。
※もしこれら対策すらされていない方がいるのであれば、急ぎ対策して下さいね。

内部からの対策は？

しかしながら、内部からの情報漏洩については、８０％という数字が物語っている通り、まだまだなのが実情。

そりゃそうです。
情報の持ち出しなどが内部からの漏洩の理由と言われても、情報の持ち出しが出来ないと仕事にならない。
じゃあ、持ち出していけない情報を管理すれば・・って、いったい誰が？
面倒ですよね（苦笑）。

ブロックするというアプローチ

そんな面倒な管理、電子媒体ならシステムの方で何とか出来ないかな？

そんなアプローチで生まれたソリューションは多々ございます。

・メールの中身をチェックするシステムを入れる
・ＵＳＢディスクやネットワーク、プリンターなどの出力デバイスの利用を制限してしまうようにする

これらのアプローチは、そもそも外に出ないようブロックしてしまおう、というものですから考えとしては分かりやすい。
しかしながら、情報の持ち出しが制限されるわけですから、当然使い勝手は悪くなります。
しかも、それなりの設備（ソフトウェア）も入れないといけませんから、体力のない企業にとってはさあ大変。

暗号化というアプローチ

持ち出しを制限するのが大変なら、外部持ち出しする時に鍵をかけちゃえばいいんじゃない？
そういうアプローチで生まれたのが暗号化。

情報をやり取りする時に暗号化してしまえば、間違って第三者の手に渡ったとしても解読できない。
大したシステムも要らないのでは？

パスワード付ZIPをメール添付、よくやりませんか？
暗号化というのはこのことです。

しかしながら、暗号化するのを忘れたら意味がありません。
そもそも、悪意を持った人なら簡単に情報を持ち出せてしまう。

これもダメ。

暗号化したまま使えるようにする

という事で生まれたのがこの方法。

既に暗号化されたファイルを普段と同じ操作で扱えるようになるわけですから便利ですよね。
もちろん暗号を解除できる人が誰か、というのを最初に決めておく必要はありますが、それは大した手間ではありません。

当然ながら、暗号を解除できる人以外はそのファイルは扱えません。

暗号化と使いやすさを両立させた製品「eDocGuard」

ということで、弊社が行きついたソリューションのご紹介です。

弊社とお付き合いのあります、株式会社マインドピース様が提供しております。
「eDocGuard」というサービスがございます。

「暗号化したまま、特定の人たちにだけ使える様にしよう」を実現したものです。

値段もお安く、特別な機器を用意する必要もありません。
しかも万が一の情報漏洩時にも、情報漏洩補償（いわゆる保険です）が付いている充実ぶり。

弊社のような零細企業にとっても大助かりな内容なのです。

そして・・実は今回のこの「eDocGuard」開発に弊社も片足をつっこんでいた、という経緯もあり。
弊社でもぜひ、という事で使わせて頂く事になったわけです。

しかしながら、制限もございます。
何でもかんでも暗号化出来るわけではないのです。

現在暗号化出来るのは PDF のみ（これだけでもかなり助かってはおりますが）。
しかしながら、近日中に Microsoft Office文書も対応されるそうです。
こうなればマイナンバーの一覧なども作れるわけですから、便利になること間違いなしですね。

まとめ

情報漏洩対策として、古今大きく求められているのは「内部からの情報漏洩対策」。
しかしながらその対策は「使い勝手」を犠牲とするもの。

TrendMicro様のような水際での防止、という方法ももちろんございます。
しかしながら、「使い勝手」と「コスト」という点でまだまだ零細企業にとっては高いハードル。

マイナンバー対策を手軽にお安くする。
そんな問題を解決する方法が、最近になり実現出来るようになってきたわけですから、嬉しい限りです。