重要情報の部分コピーにも対応! "情報統治"を提供するクリアスウィフトの新技術

「Information Governance (インフォメーションガバナンス)」――これはセキュリティベンダーのクリアスウィフトが新たに打ち出したコンセプトである。直訳すれば「情報の統治」となるが、重要な点は、統治の範囲を企業内の情報に限定せず、企業ネットワーク外へも広げているところにある。

英クリアスウィフト製品担当上級副社長のガイ・バンカー博士

「BYOD (Bring Your Own Device)という概念が浸透しはじめ、クラウドが当たり前のように使われはじめている今、企業のデータはネットワークを介して様々な場所に存在しています。ときには、ファイルやメールの部分的な複製を含めて外部へ情報を送信することもあるでしょう。そのようななか、企業や組織の管理者は保護すべき情報の流れをどこまで把握できているのかと言えば、ほぼ対応するための方策が無いというのが現状ではないでしょうか」

英クリアスウィフト製品担当上級副社長のガイ・バンカー博士は、このように問いかけ、「インフォメーションガバナンス」の必要性を強調した。

では、「インフォメーションガバナンス」がどういった概念で、企業に対してどのようなメリットをもたらすのか。バンカー氏の話を基に簡単に紹介しよう。

送信相手に応じて重要情報を削除する
「Adaptive Redaction(アダプティブリダクション)」

クリアスウィフトは、企業内の情報の流れに着目して情報を保護するセキュリティソリューション「MIMEsweeper for SMTP」、「SECURE Email Gateway」、「SECURE Web Gateway」を提供するベンダーである。コンテンツを深く掘り下げて検査を行うMIMEsweeperエンジンによる分析を強みとしており、メールやWeb上の通信に対して、「文章を解析し、社外秘にあたる内容が外部に送信されるのを遮断する」、「外部からのセキュリティリスクを検出して遮断する」といった処理を自動化できる製品だ。

今年7月には、SECURE Web Gateway および SECURE Email Gateway がアップデートされる予定である。iPhoneなどのモバイル端末がサポートされるほか、クレジットカード番号など、隠匿したい情報を指定しておくと、誤って部外者に送信した際に該当箇所が自動で削除される「Adaptive Redaction(アダプティブリダクション)」と呼ばれる機能が追加されるという。

「アダプティブリダクション」では、「直接目に触れる情報だけでなく、変更履歴やメタデータのような隠された情報をも対象としている」(バンカー氏)と言い、送信者が誤って情報を流出させる危険性を詳細に分析して制御することができる。

文書の部分的な流出をも追跡する「インフォメーションガバナンス」

さて、冒頭の「インフォメーションガバナンス」は、こうした既存の情報漏洩防止(DLP)技術の上に成り立つテクノロジーになる。

これまでの同社製品は、どちらかといえば情報の漏洩をいかにして防ぐかという点に着目してソリューションが提供されていた。外部へ流出させてはいけない情報を検知し、それを水際で食い止めるという考え方である。それに対してインフォメーションガバナンスは、「重要な情報がいつ・誰に対して送られ、それがさらにどのように変更され、どこへ流されたのか」という情報の流れのすべてを把握するためのメカニズムだ。

そして、この技術において特筆すべきなのが、文書の一部分を他のファイルへコピーした場合においても、その箇所を発見して追跡が行える点だ。例え部分的な情報であっても、メールに貼り付けたり、Power Pointで引用したりすれば、その情報がいつ・誰の手にわたり、誰が閲覧したのかまで把握することが可能となる。

「例えば、未公開の製品情報をまとめたWord文書から一部引用してPower Pointでプレゼンテーション資料を作るといった話はよくあります。従来のソリューションでは、そのような部分的な情報の漏洩を発見することが難しかったわけですが、インフォメーションガバナンスを導入することで、そのような部分的に取得された情報を持つPowerPointの文書をトラッキングできます。既存の製品である SECURE Email Gateway との連携も可能なため、送信相手によって、自動でファイルを暗号化したり、アダプティブリダクションの機能を使って不要な部分を自動的に削除した上で情報を送ることも可能です」(バンカー氏)

インフォメーションガバナンスを導入するには、Information Governance Server (インフォメーションガバナンスサーバ)という製品を企業内に設置する。情報の追跡を行うには、同サーバに対して追跡対象のファイルを登録すればよい。対象のファイルが登録されると、ドキュメントのハッシュコードがフィンガープリントとして記録され、移動のあったファイルに対してくまなく照合が行われる。文書の部分的な箇所に対するフィンガープリントも同時に対象として記録されるため、一部を抜き出して複製した場合も対象の追跡を行うことができる。

インフォメーションガバナンスの流れ

また、インフォメーションガバナンスの特長は、冒頭の説明のとおり、外部に送信した文書に対しても情報流出を追跡するなど、範囲を拡大している部分にある。上記のようにPower Pointの文書を外部に送信した際も、受信者が行った操作を追跡/制御できるようになる予定だ。

「今年9月にリリース予定の最初のバージョンでは未対応ですが、次のバージョンでは、Enterprise Digital Rights Management (エンタープライズデジタルライツマネジメント)というサーバを提供する予定です。こちらは、ネットワークの外部で追跡対象の情報が閲覧される際に、認証を要求することで、操作を制御するためのサーバになります。例えば、外部へファイルを送信する際に、暗号化を行うという"ポリシー"を定義しておきます。ファイルを解凍する際にIDとパスワードを入力するよう認証を要求します。このような制御を"ポリシー"に従って定義することが可能となる仕組みです。同時にどのような操作が行われたのかをも記録されるようになります」(バンカー氏)

全機能を含んだバージョンは来年の第一四半期にリリースされる見込み。これまで提供されてきた情報漏洩対策ソリューションに革新をもたらす新技術を楽しみに待ちたい。