噂の「セキュリティプラットフォーム」、何がすごい?

ハミングヘッズ取締役の前一樹氏

大きく報道されることこそ減ったものの、依然として毎日のように発生し続けている情報漏洩事件。NPO法人 日本ネットワークセキュリティ協会の調べによれば、国内だけでも2008年に1373件、2009年に1539件を記録。2010年も上半期に684件もの報告があり、通年では3年連続で1000件を超えることが確実視されている。

こうした状況を背景に、セキュリティベンダーや管理ソフトウェアベンダーは、競って情報漏洩対策ソリューションを売り込んでいるが、いずれも一長一短があるのが実情だ。安全性が高まる代わりに、情報システム部の管理業務が複雑化したり、ユーザーの業務効率が大きく低下するような運用を強制したりと、大きな代償が伴うケースが多く、導入に二の足を踏んでいるユーザーは決して少なくない。

そんな中、現場の負荷を最小限に抑える情報漏洩対策ソフトウェアとして注目を浴びているのが、ハミングヘッズの「セキュリティプラットフォーム(SeP)」だ。では、そのSePにはどのような機能が備わっているのか。以下、簡単に紹介していこう。

国内で生まれた"老舗"の高機能情報漏洩対策ソフトウェア

ハミングヘッズが情報漏洩対策ソフトの開発作業に着手したのは、個人情報保護法が法案化されるはるか前の2000年のこと。当時、ハミングヘッズでは、Officeドキュメントや画像、メール、Webサイト(HTMLファイル)といったさまざまな種類のファイルを単一のUIで閲覧/管理できるソフトウェア「FileManager1」を提供していたが、この製品がローカルPCやサーバなど、存在場所も問うことなくファイルへのアクセスが可能であったこともあり、ユーザーから「こんなソフトウェアがあると社内の情報が外に漏れそうで怖い」といった意見をもらうことが多かったという。

これを受けて"防ぐソリューション"の必要性を強く認識した同社では、他社に先駆けて情報漏洩対策ソフトの開発を開始。FileManager1の開発で得た知見も活かしながら、どのようなアーキテクチャにすればユーザーと管理者の双方にとって負荷の少ないソリューションになるのかを真剣に模索した。議論を重ねた上、2001年にリリース。その後、バージョンが繰り返され現在の高機能情報漏洩対策ソフトウェアに成長したというわけだ。

SePの開発初期段階から参画しているハミングヘッズ取締役の前一樹氏は、その大きな特長について、「『あらゆる操作/経路からの情報漏洩を防止する自動暗号化』、『網羅的に収集し、誰が見てもわかる形で出力する操作履歴』という2つの基本機能によって構成されている」と説明する。では、これらが具体的にどのような機能なのか、順に説明しよう。

「うっかりミス」を無害にする仕組み

第1の特長である自動暗号化は、「evolution /SV」と呼ばれる機能として提供されている。このevolution /SVこそがSePの核となる部分だ。

evolution /SVでは、日常業務を行なう社内環境(ドメイン内のマシン)と、社外環境(ドメイン外のマシンや、ドメインの外に持ち運べるメディア)を分け、それぞれの環境を行き来するすべてのファイルを対象にして自動的に暗号化/復号化処理を施すという仕組みをとっている。行き来するファイルが機密文書ではなく、重要度の低いテキストであっても、一律に暗号化の対象となる。

自動暗号化機能の動作概要

例えば、あるファイルをUSBメモリにコピーし外に持ち出すと、そのファイルは自動的に暗号化され、社外のPCでは内容を見ることができなくなる。また、同じUSBメモリを社内に持ち帰って社内のPCに挿し込むと自動的に復号化され、元通り読むことができるようになる。

こうした社内、社外の環境を、同社ではそれぞれ「信頼領域」、「非信頼領域」と呼んでいるが、ここで興味深いのは、信頼領域と非信頼領域の間での持ち込み/持ち出しは、何の制限もなく、自由に行えるという点だ。USBメモリへのコピーのほか、メールでの送受信、インターネットでのファイルアップロードなども通常通りに行える。それが信頼領域内で閉じた操作であれば暗号化は施されず、非信頼領域に対する操作であれば自動的にデータが暗号化されるのである。ユーザーは、すべての操作を通常のファイルとまったく同じように行えるのだ。

「セキュリティ対策をどんなに強化しても、ヒューマンエラーは防ぐことはできません。例えば、機密情報を含むファイルをメールに添付し、うっかり誤送信してしまうといったケースです。もちろん、誤送信をシステム的に検出して送信させないといった対策もありますが、検出から漏れるケースはどうしてもでてきます。だったら、ファイルの持ち出し、持ち込みに制限をかけないでおいて、誤送信した場合はファイル自体を読めないようにしておけばいいという発想です」(前氏)

情報漏洩事故の多くがヒューマンエラーに起因していることを踏まえると、SePが採用する仕組みは効果的だ。一方、社内環境では、一切の支障なく業務を行なうことができる点で、ユーザーの利便性も損なわれない。これであれば、管理者も安心して導入できるだろう。

では、社外の取引先などにファイルを送る場合などはどうすればよいのか。そこで登場するのが「リリースフォルダ」という機能だ。これは、管理者が任意の場所に設定できるフォルダで、ユーザーがそこにファイルを一度コピー(ドラッグ&ドロップ)しておくと、データを非信頼領域へ送る際に諸条件を設定するためのダイアログが自動的に立ち上がる仕組みになっている。

このダイアログでは、「暗号化しない通常のファイル形式で持ち出す」、「自走式(パスワード式)暗号化を施す」、「ZIP形式(パスワード式)暗号化を施す」、「持ち出したファイルを他人がコピーした場合に読めないようにするSeP特有の処理を施して(「カプセル化」と呼ばれる)持ち出す」などを選択できる。ユーザーに対して情報漏洩リスクが伴う操作であることを認識させつつ、極力簡単な操作で作業を終えられる仕組みになっている。