重要なデータが社内外に漏洩する原因は、統計的に「管理ミス」、「誤操作」、「紛失/置き忘れ」、「盗難」が大部分を占めています。つまり、事故は不注意から発生するケースがほとんどであると考えられるため、システム上のルール設定や管理体制の強化だけでは対策が不十分です。
第1回の「メール誤送信対策」のところでも解説しましたが、データ自体を暗号化しておけば、万が一社外に持ち出されたとしても、復号化キーを持たない第三者はデータの中身を参照できません。つまり暗号化がリスク排除の最終的な防御手段となります。
データは企業内の様々なところに散在しているため、「暗号化」対策はデータの所在により以下の4つに分けて検討すると良いでしょう。本稿では暗号化自体の技術的なテクニックというよりも、データの設置場所と漏洩の可能性のある経路に分けてデータ暗号化のポイントを簡単に解説します。
1.クライアントPC+外部媒体での対策
クライアントPCは商談やデモなど業務上の理由からも社外に持ち出される可能性が非常に高いため、PC本体やドライブ自体のデータを保護したり、CD/DVD等のメディアやUSB接続によってメモリやスマート・デバイスに書き出される可能性を考慮した対策が必要です。
【対策のポイント】PC本体と外部媒体書き出しの際に暗号化
ディスク全体または任意のフォルダを暗号化
クライアントPCのディスク全体を、または任意のフォルダのデータを暗号化し、本体が社外に不正に持ち出されても、復号化の認証またはキーがなければデータを参照できないようにする。
外部記憶デバイス書き出しの際に暗号化
クライアントPCから外部記録デバイス(USBメモリ、メディア等)にデータを書き出す際に暗号化し、復号化の認証またはキーがなければ第三者がデバイス内のデータを参照できないようにする。クライアントPCからの書き出し先となるデバイスをUSBだけに制限したり、持ち出す場合には暗号化を義務化する等、持ち出し制御と併せた対策も有効。
また、内部の人間による漏洩を意識して、特定の部署や役職者のみが復号化できるように、復号化キーの運用を検討することも重要。
2.クラウド・ストレージでの対策
オフィスと自宅、PCとスマート・デバイス、または社内外の特定のグループ間等でデータを共有する場合に、業務上の利便性や必要性からクラウド上にある共有ストレージ(クラウド・ストレージ)を利用するケースが増えてきています。自分のPCと同様の操作感でデータを扱えるという大きなメリットがある反面、社外にデータを置く事で漏洩リスクも高まります。したがって、一定期間データを置く場合には暗号化対策が有効です。
【対策のポイント】暗号化を義務化
共有ストレージにデータを設置する際には暗号化を義務化し、最低限の関係者で復号化キーを共有することで、第三者から参照できないようにし、漏洩リスクを低減します。
3.ファイル・サーバでの対策
一般的なデータ共有の仕組みとして、どの企業においてもファイル・サーバが利用されています。ファイル・サーバには機密性の高いデータから社内的に公共性の高いデータまで様々なデータが置かれており、重要なデータが漏洩してしまった場合には、企業に大きな影響を及ぼします。そのためファイル・サーバのリスク対策の重要度は非常に高いものとなります。また社内での利便性も考慮しなければならないことから、データ暗号化も含めて以下のような複合的な対策が考えられます。
【対策のポイント】重要度に応じた暗号化を実施
データの重要度を設定
ファイル名やファイルの種類等により、ファイル・サーバ内のファイルを重要度別に分類し各フォルダに配置する。
重要度に応じた暗号化/上長承認により制御
データへのアクセスや持ち出しは、重要度に応じて検討する。重要なデータについては、暗号化を義務化し、クライアントPC同様に復号化を認められていない部署の社員や社外の第三者が参照できないように保護する。社外に持ち出す必要のあるデータは、上長の承認により可能にする。
図3:ファイル・サーバ ~重要度に応じたデータ保護~
4.メールの添付ファイル対策
前回の「メール誤送信対策」の「対策②:添付ファイルの暗号化」で述べたとおりですが、メール送信時の添付ファイルについても、宛先の誤送信や受信側での不適切な処理により、漏洩する要因となります。万が一に備え、添付ファイルの暗号化が最も有効です。
今回は、データ暗号化について解説しました。
次回は、MDM対策について解説します。
