Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ILMとは何か?

  2015/11/05 06:00

 ILM(Information Lifecycle Management)をご存じでしょうか。ILMとは、電子データそのものに対して、その利用目的、重要度、秘密度などといった属性に応じて管理していく方法です。これまでのセキュリティがデータを共有する「人」の側に重点を置いているのに対し、ILMでは共有される「データ」の側に視点を据えて管理します。本稿では、このILMという仕組みについて実例を交えながら解説していきたいと思います。

「人」視点のセキュリティの限界

 ファイルやフォルダーのアクセス権を例に挙げてみましょう。

 これまでのセキュリティ対策といえば、所有者や所属するグループに対して読み書きと言った権限を設定する手法が中心でした。適切な権限を持ったユーザーだけがファイルサーバの指定の共有フォルダにアクセスできて、そこにあるファイルを読むことができる、というものでした。

 こうした、「人」を中心に据えた仕組みは、その人がこれから行う操作にどういった意味があるか、自分が何をしようとしているかを把握している場合には十分な安全性が得られる対策です。かつてはコンピューターを扱うのは専門の教育を受けた人間だけでしたので、これで充分安全でした。

 しかし、いまや、ごく普通の人、決してコンピューターやネットワークに詳しくない人が大多数です。自分が今クリックしたメールの中のアイコンが実はトロイの木馬で、大事な顧客情報を集出してしまった、といったことも起こりえます。その人の権限を得てしまえば、あとはそのデータをインターネットの向こうに流してしまうのは簡単です。

 また、専門家と言えども安心はできません。Unicodeの制御文字(RLO)を使い、一見無害な拡張子がついたように見せかけたEXEファイルを作るというのが話題になりました。こうした偽装を見抜くのは専門家にも難しい場合があります。

アクセス権の設定、暗号化などで固めても、人が中心である限り、ちょっとしたミスで情報は漏洩してしまう
アクセス権の設定、暗号化などで固めても、人が中心である限り、ちょっとしたミスで情報は漏洩してしまう

 そうした悪意ある攻撃がなくても、たとえば電子データの入ったノートパソコンやスマートフォンなどのデバイス、USBメモリと言った記憶媒体を紛失、拾った人が見てしまうということもあるでしょう。

 「人」を中心に据えた電子データの保護は、その人のミスやちょっとした過失で突破できてしまいます。

 その対策としてより細かくアクセス権を設定、デバイスも認証でがちがちに固めてしまったら……?

 アクセス制限による使いにくさや面倒さで先に利用者が参ってしまい、悪人はもとより、普通の人もそのシステムを回避する、全く安全ではないけど便利な野良システムを使うようになってしまうでしょう。利便性を損ねてセキュリティは成り立ちません。

cap

電子データを守るILMの仕組み

 そこで、注目を浴びているのが、今回説明するILMという仕組みです。

 ILMでは、電子データの側に「誰が」「何をしてもいいか」「いつまで」などといった権限を埋め込んでしまいます。電子データそのものがアクセスされる度に「誰が」アクセスしているのかを確認、それが許された操作であるかを確認してから実際にアクセスを行なわせます。トロイの木馬に侵されてその電子データそのものはインターネットの向こう側に出てしまうかもしれません。しかし、手に入れたとしても、適切な認証を得て「誰が」が確定しない限りはその電子データにアクセスすることができません。

 ILMのかかった電子データならば、野良システムに置かれても、そのデータを開く際に認証がかかり、安全性が保たれます。この認証についても、すでにログオンしている端末やアプリケーションの権限を利用する、シングルサインオンされるようになっており、利用者に手間をかけさせないようになってます。

 また、ILMの実装の多くは、漏洩の事実が発覚した時点で、そのドキュメントに誰もアクセスできないよう権限を書き換えてしまう=「失効」させることができるようになってます。こうして、悪人が苦労して奪ったデータは、正当なシステムに認証されないと読めないですし、漏洩の事実が発覚するや否や失効されてしまう、もはや何の意味も持たないただのバイト列と化すのです。

 これまでのアクセス権の考え方に加えて、こうしたILMによる電子データの保護の仕組みを加えることで、より安全性の高い、情報漏洩に強い情報システムを構築することができるようになります。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 白山 貴之(シロヤマ タカユキ)

    日本マイクロソフト株式会社 クラウドプラットフォーム技術部 テクノロジースペシャリスト vExpert 2010~2015   学生時代に NeXT に堕ちたのが運の尽き、野良プログラマとしてSVR4でスレッドプログラミング...

バックナンバー

連載:ILM―漏洩を起こさないドキュメント保護とその仕組みを探る―
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5