日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

ビジネスの現場が抱える文書管理の課題 vol.1 「ルール設定」「ツール導入」だけでは不十分!?

ワークスタイルの多様化に対応する文書管理セキュリティ強化の“勘所”

近年、ワークスタイルの多様化に伴って、場所と端末を選ばない業務環境の整備が進むなか、日々やりとりされる大量の情報やビジネス文書をいかにセキュアに管理するかは、企業や組織にとって喫緊の課題となっている。セキュリティリスクの実態を踏まえた望ましい文書管理のあり方とはどのようなものか。情報セキュリティ分野の第一人者であるラックのCTO(最高技術責任者)、西本逸郎氏に話を伺いながら、文書管理を巡るセキュリティの傾向と対策を考察する。

ワークスタイルの多様化に対応する文書管理セキュリティ強化の“勘所

強く問われることになる文書の発行者責任

西本 逸郎 氏
西本 逸郎
株式会社ラック 取締役 専務執行役員CTO

昨今のサイバー攻撃は、ますます悪質化・巧妙化している。なかでも最大の脅威となっているのが、「標的型」と呼ばれる攻撃だ。狙いを定めた組織や人物の関係者になりすましてメールを送る、あるいは日常的に閲覧しているWebサイトを偽装するといった間接的な接触を通じてマルウェアに感染させ、侵入の足掛かりとするのである。

特にそこで受け取ったのが、セミナー案内やプレスリリースなどのよくあるPDF文書であった場合、つい警戒心は薄くなり、簡単にクリックして開いてしまいがちだ。官公庁や企業を主な顧客としてセキュリティソリューションサービスを提供している株式会社ラックの取締役 専務執行役員CTOである西本逸郎氏は、次のように警鐘を鳴らす。

「セミナー案内やプレスリリースのような文書は、全く同じ内容のものを誰でも簡単に作れてしまいます。その文書が正式な組織から正しい手順で発行されたものなのかどうか、開く前にしっかり確認することが、今後ますます大切になります」

さらに、「より強く問われることになる」と西本氏が指摘するのが、文書を発行した側の責任だ。顧客や取引先に送ったメールの添付ファイルが何者かによって改ざんされていた場合、たとえ悪意はなかったとしても、マルウェアや偽情報を拡散する犯罪の片棒を担がされてしまうことになる。

決して人ごとではない。WordやExcelなどの元文書ではなく、「最終版」としてPDFフォーマットに変換された文書であれば、「その後の編集は不可能なので安全だ」といった安直な思い込みが、多くのビジネス現場に油断を招いている。

西本氏は、「電子文書はテキスト本体だけでなく様々なデータやスクリプトの集合体であり、マルウェアを潜ませることが可能なのです、文書の見た目は変わっていなくても、デジタル情報自体は改ざんされている場合があります」と強調する。

機密度に応じた的確なセキュリティレベルを設定せよ

ファイアウォールやアンチウイルスなどによる防御もさることながら、電子ファイルとしてやりとりする情報そのものに対する適切なコンテンツマネジメントを行うことが、セキュリティ対策において非常に重要な要件となっている。西本氏は、「文書ごとにその機密度に応じたセキュリティレベルを設定し、情報発信者側で利用をコントロールしていく必要があります」と指摘する。

例えば、セミナー案内やプレスリリースのような開示された文書の場合、それ自体の機密性は高くないが、先に述べたように改ざんに対するリスクを軽視することはできない。こうした文書については電子署名によって真正性を証明することが有効な手段となる。

さらに、設計ドキュメントや顧客リストなどの重大な機密情報を含んでいる文書については、暗号化やアクセス権限設定(誰がその文書を閲覧できるのか、どの範囲まで変更を許可するのかなど)による改ざん防止/情報漏えい対策が必須となる。

これはリスクを未然に防ぐための施策であると同時に、万が一セキュリティ攻撃を受けた際のリスクヘッジでもあることを忘れてはならない。

「文書への不正アクセスや改ざんを行った犯人を刑事事件として捜査したり、流出した情報を法的に回収したりする上でのよりどころになるのが『不正競争防止法』ですが、この法律の成立要件として、攻撃を受けた文書がもともと機密情報として扱われていたことを立証できなければなりません。機密を機密として守る体制がとられていなければ、適用を受けることができないのです」と西本氏は語る。

ネット社会に対応したリテラシーの育成が急務

クラウドから提供されるモバイルアプリやソーシャルメディアなど、コンシューマー側で発展してきた様々なITサービスが、「社会のIT」としてビジネス領域にも爆発的に浸透しつつあり、企業としてもこの動きに歯止めをかけることはできない。

今後、PCを経由せずいきなりスマートフォンからITに接してきた、いわゆる「デジタルネイティブ世代」が企業内に増加するにつれ、例えばソーシャルメディアを介して顧客と文書をやりとりするといったことも、当たり前のように行われるようになるだろう。

間違ってはならないのは、こうした機能を利用すること自体が“悪”ではないということだ。企業に問われるのは、新しいITの波の中でいかにガバナンスを確立するかである。

「例えば、誰でも閲覧可能なオープンなコミュニティで機密文書を共有してしまった場合どうなるでしょうか。運よく漏えいに至らなかったとしても、ネット社会はきわめてシビアな監視社会であることを認識しておかなければなりません。顧客や取引先も自分たちに関連する情報がネットに拡散していないか常にチェックを行っており、機密文書をアップロードした者のコンプライアンス意識の低さが直ちに露呈することになります。いったん失った信用は、なかなか取り戻すことができません」と西本氏は語る。

情報をやりとりする手段の選択、情報の内容や機密度に応じたアクセスコントロール、コンテンツマネジメントを的確に判断して実行していくセンスとリテラシー、そしてリーダーシップを全社的に育成していくことが、多くの企業や組織において急務であることは間違いなさそうだ。

コラム

求められる「ルールづくり」と「リテラシー向上」
利用目的に応じたPDF文書保護を

山本 晶子 氏
山本 晶子
アドビ システムズ 株式会社
ドキュメントソリューション担当
グループプロダクト
マーケティングマネージャー

ワークスタイルの多様化に伴って、今、改めてPDFへの注目が高まっている。PCのみならず、スマートフォンやタブレット、あるいはクラウド環境での利用など、エンドポイントデバイスや運用プラットフォームの違いを問わず、常に同じ体裁を保って文書を活用できるメリットが評価されているのである。

社内の組織からグループ会社、パートナーや取引先、顧客、さらには一般コンシューマーへと、多様な関係者の間でやりとりされるこうした電子文書は、まさにビジネスのナレッジそのものとなっている。そして、このナレッジの再利用を促すことで、新たな価値を相乗的に生み出すことが可能となる。

ただし、闇雲に活用すればよいわけではない。アドビ システムズのドキュメントソリューション担当グループプロダクト マーケティングマネージャー、山本晶子氏は、「電子文書を活用する上では、表裏一体のものとしてセキュリティに対する配慮が欠かせません」と指摘する。

実際、単にPDF化を行っただけでその文書の安全性が担保されるわけではなく、第三者に流出したり、内容が改ざんされたり、マルウェアが仕込まれたりといったセキュリティインシデントが発生している。

PDFは自由に利用できる公開された標準規格であるため、一般的に広く採用されているファイルタイプの1つとなっている。こうして現在、多くのデベロッパーがこの標準規格を使用して独自のPDFツールを開発して提供しているわけだが、結果的にこのことがネット犯罪者に大きなチャンスを与えることになってしまった。

「クラウド、モバイル、ソーシャルメディアなどネットワークが拡大している中で、簡単に流通・共有できてしまうPDF文書が持つ意味そのものが大きく変わってきています。文書の利用目的に応じて、あるいは扱う人に応じて、情報を守っていくための的確なルールづくりが大切であり、組織内のリテラシーを高めていく必要があります」(山本氏)

専門知識は不要。少ない手間で
確実にPDF文書の安全性を高める方法

もっとも、大規模な組織になるほど、そうしたルールを徹底し、リテラシーを高めることは困難になる。派遣社員や契約社員、パートナー企業から出向してきた社員、あるいは業務を委託しているアウトソーサーなど、社内外の人材が混在したチームを編成して電子文書を共有しながら働いているケースも数多い。

「そこで、『いかに少ない手間で、専門知識もいらず、確実に情報を保護できるか』が電子文書のセキュリティにおける重要なポイントになります」(山本氏)

Adobe Acrobat XI Proには、このニーズに応える様々な機能が備わっているのである。

最も基本となるのが、パスワードとアクセス権の適用だ。Acrobat XI Proでは、他人が文書をコピー、編集、印刷できないようにパスワードを設定して保護することができる。また、印刷の可否の設定、ページの挿入や削除、注釈の追加、フォームへの入力許可など、文書へのアクセス権をきめ細かく設定することが可能となっている。

文書内の記載された顧客の名前や住所など、機密情報を残らず消していく作業も非常に手間がかかるものだが、Acrobat XI Proであれば簡単だ。テキストやイラストを選択して「墨消し」を行うことで、その情報を恒久的に削除するほか、メタデータやフォームフィールドなどに含まれる非表示のデータを削除することもできる。

そして特筆すべきが、アクションウィザードと呼ばれる操作だ。上記のような複数の手順からなる使用頻度の高い繰り返し作業をアクションとして定義しておくことで、自動化することができるのである。

「長期アーカイブ用のISO標準PDF/Aの書式設定やセキュリティ保護に準拠したPDFを作製する操作など、標準的なアクションがプリセットされているほか、企業や部署ごとのセキュリティポリシーに合わせてIT部門が一括して独自のアクションを定義することも可能です。いずれにしても、ユーザーはクリック1つでアクションを自動実行することができます。全社的に定められたセキュリティを、誰もが簡単かつ一貫して適用できることが大切なのです」(山本氏)

また、社外から送られてくるPDF文書に対して、マルウェア感染などのリスクを低減する機能としてアプリケーションサンドボックスがある。サンドボックスとは、OSが作成する隔離された環境の中で、権限またはセキュリティ特権を低下させた状態でプログラムを実行する機能であり、PDFツールで実装しているのはAdobe ReaderとAcrobatだけである。これを利用することで、「実行可能コードを含んだ信頼のおけないPDF文書によって、システムが侵害されるのを防ぐことができます」(山本氏)

標的型攻撃に象徴されるように、セキュリティ脅威はますます巧妙化・悪質化していく傾向にあり、それに合わせてPDF文書の保護も強化していかなければならない。逆に言えば、時代に即した適切なソリューションを導入することで、ビジネスナレッジとなったPDF文書の安全な活用を促すことが可能になると言えるだろう。

Adobe Acrobat XI Proの全機能を30日間試せる無償体験版を入手


PDFファイルを保護 | Adobe Acrobatファミリー
アドビ システムズ 株式会社
ページトップへ戻る vol.2 Any Place / Any Deviceのワークスタイル変革を促すPDFの真価