政令市・中核市CIOフォーラム 変わる自治体 突破を拓くテクノロジー

運用ルール不要で職員負担のない情報漏洩対策とは?

総務省から各自治体に実施が促された自治体情報システム強靭化。これにより庁内ネットワークは確かに強化されたが、一方で利便性の低下という課題が横たわる。特に内外でのファイルの受け渡しは暗号化など慎重な取り扱いが求められるが、煩雑なルールは例外を生みやすい。そこで、セキュリティソフト専業のハミングヘッズが提供するのが、“ルール不要で職員負担のない”セキュリティ対策だ。

情報漏洩の8割は「うっかりミス」

300

ハミングヘッズ株式会社
顧問
石津 広也氏

日本年金機構の情報漏洩事故を受けて、総務省は各自治体に対して2017年7月までに「自治体情報システム強靭性向上モデル」に基づく庁内ネットワークの3分割(LGWAN、インターネット、住基ネットのそれぞれに接続したネットワークの分割)と適切な強靭化の実施を求めた。大半の自治体がネットワークを強化したものの、利便性の低下に頭を悩ませている。とりわけ、住民サービスの主役である市区町村では、守るべき個人情報が多いことに加えて、対外的な情報のやり取りを頻繁に実施しなければならないために、生産性が大きく低下しているのが現実だ。
 創業から約20年間、セキュリティソフト専業で開発・販売やコンサルティングなどのビジネスを展開しているハミングヘッズの石津広也氏は次のように分析する。 「入口対策が実施されネットワークも分割されたことでセキュリティは強化されましたが、庁外とのやり取りのみならず、庁内でファイルを受け渡す際ですら手間のかかる運用ルールが必要となり、これが利便性の低下につながっています。それにもかかわらず肝心の職員によるファイルの持出対策は多くがUSB制御とログ取得にとどまり、今後出口対策強化が必要と感じている自治体担当者は多いのです。故意にルールを破る職員は少ないかもしれませんが、持ち出せるがためにうっかりとルールを破ってしまうケースは少なくありません」
 現在、サイバー攻撃の脅威が喧伝されているが、JNSAの調査ではここ10年以上の傾向として情報漏洩のインシデント件数のうち、攻撃者によるものは約2割にとどまるという。残りの約8割が、個人情報を保存したノートPCやUSBメモリーの紛失など、組織内の人材の過失による情報漏洩である。
 運用ルールだけでは情報漏洩を防げない、それならばルールを不要とするようなセキュリティ対策を講じればよい――。このような発想で開発されたのが、ハミングヘッズが提供する「セキュリティプラットフォーム(SeP)」である。これまでに電力などの社会インフラ企業を中心に900社超、クライアント台数に換算すると90万台超の導入実績を誇る情報漏洩対策ツールだ。

庁外へ持ち出すファイルを自動的に暗号化

SePの大きな特徴は、非信頼領域(庁外)へファイルを持ち出す際に自動的に暗号化することだ。暗号化されたファイルが信頼領域(庁内)に戻された場合には自動的に復号する。クライアントPCにインストールされたエージェントソフトがWindowsのAPI(アプリケーション・プログラミング・インターフェース)を監視分析してユーザーの振る舞いを検知し、暗号化と復号を自動的に処理する仕組みだ。このため、ユーザーがうっかりとメールにファイルを添付した場合でも自動的に暗号化され、誤送信したとしても外部では解読する方法がないため情報が漏洩する恐れはない。メールへの添付以外にも、ウェブサイトへのアップロードや、CDやUSBメモリーなどの外部媒体へのコピーの際にもファイルを暗号化する。こうした自動暗号化処理によって、故意による持ち出しや操作ミスによる情報漏洩を網羅的に防ぐことが可能だ。庁内では平文、庁外向けには暗号化という処理を職員が意識する必要はないので、新たに運用の負荷が加わることはない。
 管理者がどのようなデバイスを信頼領域に含めるかを柔軟に設定する機能を備えるので、例えば業務で使うNASやグループウェアのURLも設定で庁内として平文でファイルを扱うことができる。ネットワークに常時接続している必要もないため持出用のモバイルデバイスでも自動暗号化は利用可能で、どこでも庁内と同じように仕事ができる環境が構築しやすく、働き方改革にも寄与できる。
 もちろん、庁外と情報をやり取りするために、ファイルを社外に持ち出すための機能も備えている。これを実現するのが、持ち出し専用の「リリースフォルダ」である。ファイルを事前にリリースフォルダにコピーした上で、このフォルダからメールへの添付やUSBメモリーへのコピーを行えば、自動で設定ダイアログが開きパスワード付きzipもしくは平文でファイルを持ち出せるようになる。職員がわざわざ自分でソフトを立ち上げて何かしなければいけないという手間はない。
 マイクロソフトのディレクトリーサービスである「Active Directory(AD)」と連携させることによって、ファイル持ち出しの権限を制御することも可能だ。例えば、課長以上はリリースフォルダを活用した持ち出しを許可し、それより下の役職者には一切の持ち出しを禁止する(持ち出しの際には暗号化する)といった環境を設定できる。さらに、ADを連携させた承認管理も実現できる。例えば、課長より下の役職者がファイルを持ち出す際には、課長の承認を受けるといった機能である。承認の進捗を一覧するような機能も備えている。

evolution/SV機能
[図版のクリックで拡大表示]

「セキュリティプラットフォーム(SeP)」のevolution/SV機能。自動暗号化により、故意の持ち出し、操作ミスによる情報漏洩を網羅的に防止する。

わずか1カ月でシステムを構築した自治体も

このほか、全てのPCにおける全操作とプログラムの動きを記録する履歴管理機能も備えている。ハミングヘッズの独自技術によって端末上で行われたすべての操作を「誰が」「どこから」「何を」「いつ」「どこへ」「どうした」といった5W1Hを1操作1行で網羅的にサーバー上に集約する仕組みだ。日本語表記でわかりやすく、複数の機器のログを統合しなくても、ユーザーの振る舞いが把握できるので、インシデント発生時の追跡調査や業務の可視化が容易に実現できると自治体の評価も高いようだ。
 オプションで、同社が提供するサイバー攻撃対策ツール「ディフェンスプラットフォーム(DeP)」の機能を統合できる。DePは、ホワイトリスト方式でプログラムの挙動を制御するツール。あらかじめ許可したプログラム以外は、ネット通信やPC上で不正なファイル改変ができなくなるので未知のマルウエアやサイバー攻撃を防御することも可能だ。
 SePには、運用の負荷を軽減するだけでなく、システム導入・構築の負荷を軽減するという特徴もある。庁内ではファイルを平文として扱うため、既存のシステムに修正を加える必要がないからだ。実際、2016年にSePを導入した市原市(千葉県)ではクライアント台数が約2000台という規模にもかかわらず、わずか1カ月という短期間でシステム構築を完了している。同市の総務部情報管理課情報化推進係で主任を務める安藤善文氏は、SePを導入した理由を「ファイル数で1000万以上ある多様な市のデータを、SharePointや文書管理システム、基幹システムなどの既存システムに影響を与えることなく、保護できる点が大きな理由です」と語っている。

【お問い合わせ】
ハミングヘッズ株式会社
https://www.hummingheads.co.jp/
TEL:03-6808-1300

▲ページの先頭へ