情報漏えい事件の原因は、サイバー攻撃だけでなく「人」
株式会社DataClasys取締役 技術本部 本部長
田中 勝氏
従来の多層防御型セキュリティを取り入れたとしても、決して十分な対策にはならない ―― そう話すのは、株式会社DataClasys(データクレシス)取締役 技術本部 本部長の田中 勝氏だ。
「機密情報の漏えい事件を引き起こす原因は、外部からのサイバー攻撃だけではありません。機密情報が保存されている端末の紛失や誤操作といった人為的なミスも原因になります。また、いくらセキュリティを強化しても、内部で不正行為が行われれば、情報漏えいを防ぎきれないのが実情です」 (田中氏)
田中氏は、人為的なミスや内部の不正行為を含めて有効なのが「ゼロトラスト・セキュリティ」だと話す。これは“すべてを信頼しない”という考え方に基づき、ネットワークやデータへのアクセスがあるたびにその都度、正しいユーザーやデバイスなのか検査・認証を行うというセキュリティモデルだ。
「ゼロトラスト・セキュリティという言葉自体は最近登場したものですが、その考え方自体は決して新しいものではありません。ゼロトラストを実現するためのアプローチはいくつかありますが、従来から存在していた『DRM(Digital Rights Management)/IRM(Information Rights Managements)』も有効な手段の一つです」(田中氏)
DRM/IRMとは、機密情報を暗号化して操作制限を行うデータ管理の仕組みのことだ。機密情報を暗号化したファイルを開くには、暗号化を解除する「復号」を実行しなければならないが、復号に必要な“鍵”がなければファイルが第三者に渡ったとしても中身を確認することはできない。さらにDRM/IRMでは暗号化したファイルに対して、閲覧できるかどうかのみならず、編集や印刷、メール添付など漏洩に繋がる操作に対しても権限の有無を設定することができる。まさに、付与する権限は最小限にというゼロトラストの考え方に合致するものなのだ。
「コロナ禍により在宅勤務を実施する企業が増えていますが、テレワーク環境を用意するために社有のクライアントPCを調達・配布したり、VPN(Virtual Private Network)を整備したりするにはコストも時間もかかります。それに対し、ゼロトラスト・セキュリティの考え方を取り入れてDRM/IRMを導入すれば、個人所有のクライアントPCやクラウドストレージなどを利用しても機密情報の漏えいを防ぐことが可能です。また、メールにファイルを添付して送付する際に宛先ミスによる誤送信が起きても、内部の不正行為により情報を窃取しようとしても、外部からのサイバー攻撃でファイルが流出したとしても機密情報を保護できます 」(田中氏)
