添付ファイルからの漏えいを防ぐ仕組みを提供
ではNRIセキュアテクノロジーズのサービスは、以上の課題にどのように応えているのか。クラウド型メールサービス「クリプト便」は、送受信者の間に入り、親展ボックスを提供するイメージの製品だ。同様のサービスの中で、立ち上がりが最も早く、ユーザーは高いセキュリティが求められる金融、保険業界の企業が4割を占めている。
送信者はWebブラウザでクリプト便にアクセスし、受信者情報を入れ、ファイルをアップロードする。ファイルは暗号化され、クリプト便のサーバで「一時預かり」される。受信者にファイル到着の通知メールが送られ、受信者はメール上のURLと、事前に決められていた暗号コードを入力してダウンロードする。最後に送信者に「受信完了」メールが送付される。
仕組みは単純だが、狩谷氏は「セキュリティ専業企業として、運用ルールの設定・運用から社員教育、データセンターのマネジメントも含め、一本背骨の通ったサービスとして提供している」と語る。具体的にはセキュリティのプロフェッショナルが24時間365日監視しており、通信、ファイルの暗号化も行っている。仮にデータセンター内部からファイルを盗ろうとしても、不可能な仕組みが導入されているという。
セキュリティについては第三者からの評価を受けており、全社(国内)でISMS(情報セキュリティマネジメント)の国際規格であるISO IEC27001を取得。またクリプト便の運用業務に対し、格付け会社のアイ・エス・レーティングにより、最高レベルである「AAA(トリプルA)」の情報セキュリティ格付けを付与されている。
情報漏えい対策において、クリプト便導入のメリットとは何か。まず、メールとファイルが分離されているので、受信者がダウンロードするまでの間は取り消しできる。クリプト便の利用形態は大きく3つあり、それは「特定の固定した相手との重要・機密文書のやりとり」、「任意の相手にファイルをセキュアに送る、全社員のOAツールとして利用」、「APIを利用してシステムからファイルを直接送受信」になる。
代表的なオプション機能としては、「上長の承認を事前に受ける、または送信と同時に確認メールを送信する上長承認機能」、「シングルサインオン対応(認証連携)」、「APIによるシステム連携」がある。また「運用アウトソーシング」、「ログ延長保存・原本延長保存」、「システム連携の開発」などのオプションもユーザーの評価が高い。
情報漏えい対策の王道はミス撲滅と出口対策
一方、既存のメールシステムに大きな手をいれずに情報漏えい対策を行いたい企業に向けては「SecureCube / Mail Adviser」という誤送信対策ソフトを開発し、提供している。製品のポイントは「メールの利便性と効果の高い誤送信実現の両立」だ。実際の誤送信の事例を見てみると、送信者本人が事前確認をきちんとしていれば、防げたものが多い。そこで送信者本人に「いかに簡単にもれなくチェックさせるか」という観点で作られているのがこの製品だ。
「SecureCube / Mail Adviser」をインストールしたPCでメール送信ボタンをクリックすると、ポップアップ画面で送信内容が表示される。送信者は一つずつチェック内容を確認し、それぞれの「!」マークをクリックすると、実際の送信が行われる。
一見、仕組みは単純だが、一呼吸置いて確認するため、宛先や添付ファイルの間違いだけでなく、本文の間違い、内容の再検討を促すなどの効果がある。またクリプト便と連携し、添付ファイルを分離して送る機能の提供も予定されている。
セッションの最後に狩谷氏は「優先度から見たメールセキュリティ対策の王道」を述べた。まず、大きなコストをかけずにミスを減らす対策を打ち、次に「出口対策をきちんとする」。具体的には、「リスクとなるサービスの利用を止め、その代替手段を用意する」ことだと語り、セッションを締めくくった。