SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

ILM―漏洩を起こさないドキュメント保護とその仕組みを探る―

ILMとは何か?

 ILM(Information Lifecycle Management)をご存じでしょうか。ILMとは、電子データそのものに対して、その利用目的、重要度、秘密度などといった属性に応じて管理していく方法です。これまでのセキュリティがデータを共有する「人」の側に重点を置いているのに対し、ILMでは共有される「データ」の側に視点を据えて管理します。本稿では、このILMという仕組みについて実例を交えながら解説していきたいと思います。

「人」視点のセキュリティの限界

 ファイルやフォルダーのアクセス権を例に挙げてみましょう。

 これまでのセキュリティ対策といえば、所有者や所属するグループに対して読み書きと言った権限を設定する手法が中心でした。適切な権限を持ったユーザーだけがファイルサーバの指定の共有フォルダにアクセスできて、そこにあるファイルを読むことができる、というものでした。

 こうした、「人」を中心に据えた仕組みは、その人がこれから行う操作にどういった意味があるか、自分が何をしようとしているかを把握している場合には十分な安全性が得られる対策です。かつてはコンピューターを扱うのは専門の教育を受けた人間だけでしたので、これで充分安全でした。

 しかし、いまや、ごく普通の人、決してコンピューターやネットワークに詳しくない人が大多数です。自分が今クリックしたメールの中のアイコンが実はトロイの木馬で、大事な顧客情報を集出してしまった、といったことも起こりえます。その人の権限を得てしまえば、あとはそのデータをインターネットの向こうに流してしまうのは簡単です。

 また、専門家と言えども安心はできません。Unicodeの制御文字(RLO)を使い、一見無害な拡張子がついたように見せかけたEXEファイルを作るというのが話題になりました。こうした偽装を見抜くのは専門家にも難しい場合があります。

アクセス権の設定、暗号化などで固めても、人が中心である限り、ちょっとしたミスで情報は漏洩してしまう
アクセス権の設定、暗号化などで固めても、人が中心である限り、ちょっとしたミスで情報は漏洩してしまう

 そうした悪意ある攻撃がなくても、たとえば電子データの入ったノートパソコンやスマートフォンなどのデバイス、USBメモリと言った記憶媒体を紛失、拾った人が見てしまうということもあるでしょう。

 「人」を中心に据えた電子データの保護は、その人のミスやちょっとした過失で突破できてしまいます。

 その対策としてより細かくアクセス権を設定、デバイスも認証でがちがちに固めてしまったら……?

 アクセス制限による使いにくさや面倒さで先に利用者が参ってしまい、悪人はもとより、普通の人もそのシステムを回避する、全く安全ではないけど便利な野良システムを使うようになってしまうでしょう。利便性を損ねてセキュリティは成り立ちません。

cap

電子データを守るILMの仕組み

 そこで、注目を浴びているのが、今回説明するILMという仕組みです。

 ILMでは、電子データの側に「誰が」「何をしてもいいか」「いつまで」などといった権限を埋め込んでしまいます。電子データそのものがアクセスされる度に「誰が」アクセスしているのかを確認、それが許された操作であるかを確認してから実際にアクセスを行なわせます。トロイの木馬に侵されてその電子データそのものはインターネットの向こう側に出てしまうかもしれません。しかし、手に入れたとしても、適切な認証を得て「誰が」が確定しない限りはその電子データにアクセスすることができません。

 ILMのかかった電子データならば、野良システムに置かれても、そのデータを開く際に認証がかかり、安全性が保たれます。この認証についても、すでにログオンしている端末やアプリケーションの権限を利用する、シングルサインオンされるようになっており、利用者に手間をかけさせないようになってます。

 また、ILMの実装の多くは、漏洩の事実が発覚した時点で、そのドキュメントに誰もアクセスできないよう権限を書き換えてしまう=「失効」させることができるようになってます。こうして、悪人が苦労して奪ったデータは、正当なシステムに認証されないと読めないですし、漏洩の事実が発覚するや否や失効されてしまう、もはや何の意味も持たないただのバイト列と化すのです。

 これまでのアクセス権の考え方に加えて、こうしたILMによる電子データの保護の仕組みを加えることで、より安全性の高い、情報漏洩に強い情報システムを構築することができるようになります。

次のページ
ILMの実際:マイクロソフトAzure Rights Management の場合

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
ILM―漏洩を起こさないドキュメント保護とその仕組みを探る―連載記事一覧
この記事の著者

白山 貴之(シロヤマ タカユキ)

日本マイクロソフト株式会社 クラウドプラットフォーム技術部 テクノロジースペシャリスト vExpert 2010~2015   学生時代に NeXT に堕ちたのが運の尽き、野良プログラマとしてSVR4でスレッドプログラミングやら、SybaseでTDSやら、NTLMv2などの認証周...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7397 2015/11/05 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング