2014 年 8 月 20 日 ( 水 )Sier 必! BCN ソフトバンクコマース & サービス共催セミナー Microsoft Cloud&Solutions 2014 クラウドファースト モバイルファースト時代に掴む商機 Office365 安全性強化 [S-4] クラウド時代に必要な 渡した後でも あとから消せる 究極のファイルセキュリティ FinalCodeのご紹介 デジタルアーツ株式会社エンタープライズ マーケティング部プロダクト マーケティング2 課萩原剛志
0. デジタルアーツのご紹介 1. Office365 による利便性の向上とリスク 2. 情報漏洩対策の IRM ソリューション (Information Rights Management) 3. IRM を補完する FinalCode 4. まとめ 2
0. デジタルアーツのご紹介 デジタルアーツは安全なインターネット社会の実現を目指し インターネットアクセスに伴う危険を未然に防止する Web やメール関連の情報セキュリティソリューションを提供 さらに 経路を問わず情報漏洩の原因になりうる ファイルそのもの へのセキュリティとして FinalCode を提供している インターネット メールサーバー ファイル Web サーバー, プロキシ スマートデバイス, PC, ゲーム機, テレビ, etc. スマートデバイス, PC 3
1-1. Office365 の利便性 Office365 は社内にサーバー等のリソースを持たずに メールやスケジュール オンライン会議 ナレッジ共有等を実現するクラウドサービス システムの構築 維持費 が不要になり スマートデバイスを いることで社外からのアクセスも容易にできる SharePoint Online ファイル Office 365 ProPlus インターネット Office365 Exchange Online Lync Online ファイルサーバー メールサーバー Web サーバー, プロキシ スマートデバイス, PC 4
1-2. 利便性の向上に潜むリスク 従来は社内でしかアクセスできなかった情報に社外からもアクセスできるようになるため 情報漏洩のリスクも高まる それは クラウドだから危ない という印象や 技術的なセキュリティレベルが低いからではない SharePoint Online ファイル Office 365 ProPlus インターネット Office365 Exchange Online Lync Online ファイルサーバー メールサーバー Web サーバー, プロキシ スマートデバイス, PC 5
1-3. 情報漏洩のリスク分析 情報漏洩の要因を 4 つに分類 クラウド化やスマートデバイスの普及によってリスクが まるのは 正規のアクセス権限をもつ社員が不正に情報を流出させる 3 内部の悪意 および社外との情報共有が便利になることで その社外から漏洩する 4 間接情報漏洩 の機会が増えることによる 1 外部からの悪意 ( ウィルス 標的型攻撃 etc) 重要 自社内 社外 ( 海外拠点 協 会社 など ) 重要 2 人為的ミス ( 誤送信 管理ミス etc) 4 間接情報漏洩 重要 3 内部の悪意 ( 不正持出し etc) 重要 重要 6
1-4. 近年の重 な情報漏洩事件 今年 3 には 元技術者が研究データを競合企業に流出させるという事件が発覚 また 今年 7 月には史上最 級の個 情報漏洩事件があった 両者の共通点は いずれも正規ルートで重要な情報にアクセスできる が悪意をもって情報を持ち出したことにある 対策の 1 つは 情報そのもの を守ることにある 2014 年 3 月 A 社の最新の半導体研究データが韓国競合企業 X 社に流出 A 社在籍中にサーバーにアクセス権のあった元技術者が USB メモリーにコピーして持ち出した疑い 2014 年 7 月 B 社の 2,260 万件にもおよぶ個人情報が流出し複数の名簿業者に拡散 流出元はデータベース運用委託先のシステムエンジニアで データベースから情報をダウンロードし スマートフォンにコピーして 不正に持ち出した後 名簿業者に売却した模様 2 つに共通する本質的なイシュー : 内部の悪意 が通常業務を装って正規アクセスルートを活 して機密情報を不正持出しするのを防ぐにはどうしたらいいか? 情報は必ず ファイル の状態で動く 情報漏洩対策の肝はファイルにあり 7
2-1. IRM による情報漏洩対策 情報そのもの を守る考え方に IRM (Information Rights Management) がある これには 閲覧できる人を限定し 未知の第三者には閲覧されないようにすることや ファイルの印刷や改変を防ぎ また閲覧可能な期間や回数を設定したりすることが含まれる パスワードも不要 閲覧未知の第三者 従来 作成者 受信者 印刷 文書が流出 パスワードロックをしても 解除した後は同じ 改変 公開 再利用 I R M 作成者 ファイルに対する権限を自由に設定 パスワードなしで暗号化 受信者 閲覧未知の第三者印刷文書が流出改変公開 再利用 8
2-2. Office365 の Rights Management Microsoft は Office2003 で IRM 機能を実装 Office365 では Rights Management サービスが提供され 従来の Windows Server 構築や Rights Management Services(RMS) との統合は不要 (RMS はクラウド側で統合されている ) Microsoft Azure Rights Management IRM( ファイル ) Office365 Message Encryption( メール ) Officeのファイルとメールの暗号化 / 権限制限が可能 Exchange Onlineや SharePoint Onlineと連携させて利 することができる Office 2013 で Information Rights Management を計画する より抜粋 http://technet.microsoft.com/ja-jp/library/cc179103(v=office.15).aspx 9
2-3. IRM による情報漏洩対策 Azure では Active Directory Rights Management(ADRM) が提供されており AD の範囲で IRM を適用することが可能 内部の悪意 に対する IRM ソリューションは 社員の情報セキュリティに対する意識向上にもつながる 情報システム担当者が 動で制限をかけるポリシー運 も不可 Windows Azure Active Directory Rights Management ファイル インターネット Office365 IRM Exchange Online Office365 Message Encryption Active Directory Web サーバー, プロキシ スマートデバイス, PC 10
3-1. IRM を補完する FinalCode ここまで 3 内部の悪意 への対策として Microsoft の IRM について解説した ここから異なる 俵で情報漏洩対策にフォーカスする FinalCode について紹介する FinalCode のメインテーマは 社外 に出さざるを得ない重要なファイルをいかに守るか で 特に 4 間接情報漏洩 に焦点を当てる 1 外部からの悪意 ( ウィルス 標的型攻撃 etc) 重要 自社内 社外 ( 海外拠点 協 会社 など ) 重要 2 人為的ミス ( 誤送信 管理ミス etc) 4 間接情報漏洩 重要 3 内部の悪意 ( 不正持出し etc) 重要 重要 11
3-2. 2 種類の 社外 と 間接情報漏洩 社外 には 2 種類あり 重要なファイルを渡さない 完全社外 と 近年は海外拠点や委託先など 重要なファイルを共有する必要はあるが セキュリティガバナンスが効きにくい社外 とがある 最近の情報漏洩事件でも 委託先の社員 が正規のルートで情報を持ち出すケースがみられる 社内 海外拠点 グループ会社海外拠点 グループ会社委託先など 完全社外 秘ファイルの共有秘秘秘秘 重要ファイルを流通させる ガバナンスが効きにくい 重要ファイルは流通するがセキュリティ ガバナンスは効きにくい 12
3-3. 情報漏洩後の 括削除 要件 先述の B 社の情報漏洩事件を受けて 政府は事後の 括削除 対応を法制化する 向で検討 従来は 流出した情報は取り返しがつかない というのが実情だったが これにシステム的に対応できるのが FinalCode 2014 年 7 月 11 日 菅官房長官は B 社でのインシデントを受け 個人情報が流出 拡散した場合 その情報全体を一括して利用できないようにする法改正の方向で政府として考えている と記者会見を行った これをシステム的に実現するのが 流出したファイルが勝 に複製 拡散してしまっても リモートで一括消去ができる 唯一のソリューション FinalCode 13
3. IRM を補完するFinalCode 社内 14
3-5. FinalCodeでできること一覧 閲覧者と閲覧期間 回数を指定し ファイル開封後の操作 編集 コピペ 印刷 も制御でき ファイルが世界中のどこに ってもアクセス履歴がリアルタイムで完全に追える さらに いざとなれば リモートであとから 消せる 究極のファイルセキュリティ デモ 15
3-6. B 社の情報漏洩対策レビュー 標準以上の漏洩防 策はされていた しかし 顧客 DB ダウンロード用サーバー USB メモリーの無効化 DB アクセス制限 ダウンロード時アラート DB 接続可能な PC の制限 ユーザー ID の制限 ログのトラッキング 各種業務ルール たまたま繋いだスマートフォンが穴を突いた... 16
3-7. 運 例 1:DB データの持ち出し対策 B 社のケースへの解 APIをかませて DBからダウンロードされるファイルを全て捕まえて強制的に暗号化してしまう ダウンロードしたファイルは全て暗号化状態 認証されている社内の特定端末 閲覧のみ 顧客 DB ダウンロード用サーバー 上記以外の端末全て ( 社内 外問わず ) ファイル自動削除 17
3-8. 運 例 2: フォルダー内の 律暗号化 A 社のケースへの解 で監視 ファイルサーバー フォルダー内のファイルは全て自動で暗号化状態に @sample.com のドメインで認証されている社内端末 閲覧 編集 流出したファイルを開けようとしている社外の端末 ファイル自動削除 自社社員の PC であればファイルを閲覧 編集は可能であるため 通常通りの業務は可能 ただし コピーペースト スクリーンキャプチャ 印刷の操作はブロックされているため ファイルの中のデータを不正に外に持ち出すことは防げる ファイルを開封できない 不正アクセスの瞬間ファイルが自動的に消滅し そのログが残り リアルタイムでアラートが管理者に届く 18
4. まとめ 情報が 量に複製され そのアクセスが便利になるクラウド化 スマートデバイス普及の時代では 内部の悪意 や 間接情報漏洩 のリスクが まる そこで 情報そのもの に施す IRM ソリューションが有効 これからは情報が どこにいっても 作成者の権限 管理を及ぼすことで漏洩を未然に防 する さらに万が ファイルが流出しても中の情報は閲覧されず 後から 括削除 できることが重要 Office365 IRM Windows Azure Active Directory Rights Management IRM ファイル インターネット Office365 Exchange Online Office365 Message Encryption FinalCode (ASP) Active Directory Web サーバー, プロキシ スマートデバイス, PC 19
ご清聴ありがとうございました 20