情報漏えい対策

Webアクセスやメールの送受信など日々の業務のあらゆる側面でのセキュリティ対策が求められている今、デジタルアーツは企業にとって心強い味方だ。

従業員の日常業務が抱える様々なセキュリティ上のリスク

デジタルアーツ マーケティング部 プロダクトマネージャー 足立 真彦 氏

デジタルアーツ

マーケティング部
プロダクトマネージャー

足立 真彦

 情報システムに対するビジネスの依存度が高まる中で、標的型のサイバー攻撃、内部不正や不注意等による情報漏えいなど、企業をとりまくセキュリティ上のリスクはますます拡大する傾向にある。これに対し企業では、システムの各レイヤーにおいて、こうした様々なリスクに対応すべく各種の対策を講じている。

 仮にメール受信やWebアクセスの場面を考えれば、アンチウイルスなどの領域でパターンマッチングによるいわゆる「ブラックリスト型」の対策が広く用いられている。「しかしこのアプローチでは、脅威が登場してからセキュリティベンダーの手によりパターンファイルが配信されるまでの間、その脅威に対して無防備とならざるをえないという問題があります」とデジタルアーツの足立氏は指摘する。

 これに対し、特定の宛先からのメールのみを受信したり、信頼できるサイトにだけアクセスを許すという「ホワイトリスト型」の対策もあるが、許可/不許可の判断の基となるホワイトリストの整備に相応の手間を要するなど、利便性や運用面に関する問題もある。

 また、内部漏えい対策についても、送信するメールにファイルを添付する際、パスワードを付与するようルール付けている企業もあるが、ユーザーの不注意によってパスワードを記したメールをファイルとともに誤送信してしまったり、そもそも手間を惜しんでパスワードを設定するというルールそのものが遵守されないケースも考えられる。

 さらに今日では、サプライチェーンを悪用した攻撃といったものも顕在化している。要するにこれは、サプライチェーン内の脆弱な部分、具体的にはセキュリティ対策が行き届いていない中小企業などに攻撃を仕掛け、そこを足がかりに最終ターゲットである大企業のシステムへの侵入や情報持ち出しを図ろうとする手法である。

「これについては、個人情報などを共有する取引業者との間で、NDAなどは結んでいたとしても、データが不正コピーされていないか、あるいは利用後に業者がデータを確実に削除しているかといったところまでをチェックすることはやはり困難でしょう」と足立氏は言う。

Webアクセスの安全性を担保するホワイトリスト型対策を手間いらずで運用

 このように、今日の企業のセキュリティ対策上の課題は、まさに山積しているといっていい状況だ。デジタルアーツでは、日常の業務に不可欠なWebアクセスやメール送信、あるいは取引先との情報共有といった局面での課題に対して効果的なソリューションを提供している。以下、セッションでは、それら同社ソリューションのもたらす効用が、具体的な事例を通して紹介された。

 広島ガスでは、かねてよりゲートウェイからエンドポイントまでの各レイヤーにわたる多層防御による対策を整備する一方、インターネットにアクセスする情報系と基幹系システムとを完全に分けた「ネットーワーク分離」による運用を行うなど、セキュリティ対策面で先進的な取り組みを行ってきた。しかし、そうした環境にあっても、例えば攻撃メールに記載されたURLを従業員がクリックしてしまい、そこからウイルスに感染するといったインシデントが2カ月に1件程度発生していたという。

 そこで同社では、デジタルアーツのWebセキュリティ製品「i-FILTER」を採用。例えば“アダルト”や“ギャンブル”など業務上必要のないカテゴリのWebサイトにアクセスできない仕組みを構築。「仮に攻撃メールに不正なサイトのURLが記されていて、それをクリックしてしまったとしても、i-FILTERのホワイトリスト方式なら、そうした未知のサイトへのアクセスを確実に制御できます」と足立氏は説明する。

 i-FILTER導入の結果、広島ガスではWebサイト経由でのウイルス感染を完全に排除できるようになった。また、ホワイトリストのメンテナンスについても、デジタルアーツが責任を持って行うことから、手間いらずによる運用が実現できているとのことだ。

 2つめは、千葉県庁の事例だ。同県庁ではかねてより、マルウェア対策や標的型攻撃対策など、職員が受信するメールの安全性にかかわる対策に万全を期してきた。しかしその傍ら懸念となっていたのが、庁内から外部に送信されるメールについてのセキュリティだった。「具体的には、複数の宛先に同報する際に“To”にアドレスを不用意に羅列してしまったり、機密情報が記されたメールや添付ファイルが誤送信されてしまうといったことをシステム的に防止できる仕組みが求められていました」と足立氏は語る。

 これに対し同県庁ではデジタルアーツのメールセキュリティ対策製品「m-FILTER」を導入。複数の宛先や外部アドレスにメール送信する際には、強制的に“To”や“CC”の内容を“BCC”に自動変換して送るという運用を実現した。

m-FILTERが提供するメール送信ディレイ機能のイメージ。送信したメールを設定した時間内で保留することができるので、万一の誤送信の際にも、その時間内であれば送信をキャンセルできる

m-FILTERが提供するメール送信ディレイ機能のイメージ。送信したメールを設定した時間内で保留することができるので、万一の誤送信の際にも、その時間内であれば送信をキャンセルできる

画像を拡大する

 あわせて、送信したメールを、設定した時間保留する送信ディレイの機能も活用。庁外に宛てたメールについては15分間保留することとし、万一誤送信が発生しても、その時間内であれば送信をキャンセルできるような仕組みも実現している。これにより年数回発生していた誤送信も皆無となるなど、メール送信にまつわるセキュリティ上の課題をトータルに解消することができた。

サプライチェーン攻撃対策にも有効なソリューションを提供

 そして最後は、カシオ計算機の事例である。同社ではキャンペーンのプレゼント企画などの実施にあたって、抽選や当選者への賞品発送を外部業者に委託しており、これまでは応募者の個人情報が記載されたファイルをCDにコピーしてそれを人手を介して受け渡し、業者の側で必要な作業を行ったのちCDをカシオ計算機に返却、その後廃棄するという方法をとっていた。当然、一連のプロセスには多くの時間と工数を費やさねばならず、またCDの紛失や委託業先での不正なコピーを完全に排除するというコントロールも利かないという問題があった。

 そこで同社ではファイル暗号化・追跡ソリューション「FinalCode」を導入し、応募者情報を暗号化されたかたちでオンラインストレージに格納して、そこで受け渡しが行える仕組みを構築。閲覧・編集権限を業者に対し適切に付与し、データの削除までを完全に制御できる仕組みを整えた。

FinalCodeの管理画面。暗号化されたファイルについて「いつ」「どのファイルに」「誰が」「どこから」「どういう操作」を行ったのかをリモートで監視できる

FinalCodeの管理画面。暗号化されたファイルについて「いつ」「どのファイルに」「誰が」「どこから」「どういう操作」を行ったのかをリモートで監視できる

画像を拡大する

「これにより、カシオ計算機様ではスピーディかつ安全にファイルの授受が行えるようになり、これまで数日を要していたデータの受け渡しなどに要するフローも即日完了できるようになりました。委託先に渡したファイルを管理する、これなどはまさに、サプライチェーン攻撃に向けた対策の好例だといえるでしょう」と足立氏は強調する。

 デジタルアーツでは、Webアクセスやメールの送受信、資料ファイルの作成など日々の業務に欠かせない作業の安全性を担保するためのソリューションを過去25年にわたって提供してきた。国産ソフトウェアベンダーならではのきめ細かなサポートで、今後も企業をセキュリティ対策の側面で強力に支援していくことになる。

情報セキュリティ戦略セミナー
2019 Review

- INDEX -

お問い合わせ先

デジタルアーツ株式会社

お問い合わせURL

URL ● https://www.daj.jp

お問い合わせはこちら

このページのトップに戻る