Enterprise Watch
最新ニュース

マイクロソフト古川氏、「情報漏えい対策は、企業に不可欠」

~セキュリティ・ソリューション フォーラム in Security Solution 2003

マイクロソフト株式会社 セキュリティ戦略グループ シニアプロダクトマネージャ 古川勝也氏
 東京ビッグサイトで開催されている「セキュリティ・ソリューション フォーラム in Security Solution 2003」において10月24日、マイクロソフト株式会社 セキュリティ戦略グループ シニアプロダクトマネージャの古川勝也氏が「企業の情報漏えい対策を支援するソリューション Windows Rights Management Services ~Protect Your System~」と題し、講演を行った。

 古川氏によれば、情報漏えい事件は、業界・業態の区別なくすべての分野で起こっているという。そういった情報犯罪が頻繁に起きる背景としては、情報のデータ化、また企業内のネットワーク化、インターネットの普及がある。

 「情報犯罪は分類すると、1)コンピュータウイルスなどによる外部からの攻撃、2)Webの改ざんなど、思想的要素の強い外部、内部からの攻撃、3)顧客データの持ち出し、不用意なメール転送による情報漏えいなど、企業内部の犯行・事故、の3つがあるが、このうち3番目のものが全体の7割とも9割ともいわれ、大部分を占めている」(古川氏)という。


内部からの情報漏えいは、企業にとって致命傷になりうる

 その中には、何気なく持ち出し禁止の資料を外部へ出してしまったり、メールを第三者へ転送してしまったりといった無意識の行動もあるが、やはり会社の名簿や顧客リストを名簿業者に流出させるような、悪意のある行動も少なくはない。

 当然それに対しては法的な取り締まりが必要ではあるのだが、現行法では情報は財物にあたらないとされているため、内部犯行の場合には、CDなどのメディアの窃盗罪や背任程度の罪にしか問えないのが現状。しかし、実際に顧客データの流出などの場合に、企業自体が責任を問われるケースが非常に増えており、「被害者に対する賠償金の支払いや、企業自体の株価、イメージが低下するなど、最悪の場合は企業の存続をも揺るがしかねない事態に発展する恐れがある」(古川氏)。

 こうした、企業に不利な状況が続いている現状では、情報漏えいを防ぐ取り組みが企業にとって必須になりつつあるのだという。現在では、ファイアウォールのような、外部からの侵入を防ぐゲートウェイソリューションはかなり普及しているが、こうした事態を防ぐ役には立たない。古川氏は、「マイクロソフトが提供を行うRights Managementソリューションは、情報漏えい防止に効果を発揮する新しい取り組みだ」を語る。


あらかじめ参照時の権限を設定し、情報漏えいを防止する「Rights Management」

 同ソリューションは、ファイルを受け取った人間が行える作業の権利を規定するもの。中核となる「Windows Rights Management Services」(近日リリース予定)は、Windows Server 2003のアドオンツールであり、Windows 2000 Server以降のアクティブディレクトリ環境と、SQL Server 2000もしくはMSDEのデータベースが必要となる。クライアント側では「Windows Management APIs」などのツールを入手してインストールするほか、Rights Managementに対応したアプリケーションが必要。現在、その第1弾として「Office 2003」がリリースされたばかりだが、マイクロソフトが提供する開発キットによって、対応するアプリケーションの開発も可能となっている。

 では、このシステムを用いると、どういうことができるのだろうか。それは「メールの転送、ドキュメントの印刷、コピーペーストなどの可否、ファイルの有効期限の設定をユーザー、グループごとに設定することが可能。これにより、必要とする人間以外の目に触れる可能性を極力少なくすることができる」(同氏)ということだ。

 実際の動き方としては、まずメールなどを作成した人間が、本人以外の誰にそのファイルの閲覧をさせるのか、印刷を許可するのか、などの許容ルールを設定する。Rights Management対応アプリケーションは、情報が設定された際にファイルをロックし、設定ルールをサーバーへ送信。ファイルを受け取った別のユーザーは、社内ネットワークやインターネット経由でWindows Rights Managementサーバーにアクセスして認証を受け、設定ルールで設定された権限内でファイルを参照する、という手順になる。

 この技術の注目すべき点は、いったんセキュリティが設定されたファイルは、社外へ持ち出された後もそれが持続するということ。「万が一外部へ流出した場合でも、正当な権限を持った人間しか参照することはできない」(古川氏)のである。

 最後に古川氏は、「再三強調するが、情報漏えいの分野は、企業にとって投資を考えなくてはならない状態になってきている。もちろん企業にポリシーがなくては、いくら技術があっても効果はないが、まもなく提供できるRights Managementソリューションは、こうした情報漏えい対策に、技術面から協力できる製品だ」と語り、講演を締めくくった。



URL
  マイクロソフト株式会社
  http://www.microsoft.com/japan/
  Security Solution 2003
  http://expo.nikkeibp.co.jp/secu-ex/


( 石井 一志 )
2003/10/24 18:10

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.