コンサルティングの重要性

CPSの導入にあたっては、保護すべき情報を明確にし、さらにポリシーに沿った適切な運用が実現するよう、CPS自体のチューニングも含めた導入作業が重要になる。

加藤氏はこの点について、「ポリシーの作り方として最も単純な手法は、秘密情報に含まれていそうなキーワードをブラックリストに登録しておく手法だ。たとえば、"Confidential"が含まれている情報はブロックするなどだが、この手法は単純すぎて何でもブロックしてしまい、ビジネスをめちゃくちゃにしてしまう可能性がある」と指摘する。CPSでは「『ポリシー・ウィザード』という機能があり、各国の法令やガイドラインに基づいてあらかじめWebsenseが作成済みのポリシーを適用できる。CPS日本語版の発表時点では、日本市場向けに個人情報保護法に対応するポリシーが提供されており、来年にはJSOX法に対応したポリシーも提供開始する予定だ」といい、ポリシー策定段階でのユーザー企業の負担を軽減する手段が用意されている。

ポリシーの策定に続き、どこに重要なデータが存在するか、ネットワーク上をスキャンして所在を明らかにする「ディスカバリー」、重要なデータを対象に実施される「モニタリング」、モニタリングが完了したらブロックモードに移行し、「プロテクト」に移行、という3段階で運用を開始する。このサイクルをWebsenseでは「DMPサイクル」と呼んでいるのだという。モニタリングの段階では、重要情報に対してどのようなアクセスが発生しているかの監査が行なわれ、あわせてCPSの設定が適切か、誤認識による正当な通信のブロックや遮断すべき通信が通過してしまっていないかの確認を行ない、チューニングを行なうことになる。通常このサイクルを実施するのに半年程度を費やすことが一般的だというが、最短の例では4週間で完了したこともあるそうだ。

CPSインストール後の使用手順

Websense EMEA&APAC担当 Product Director Mark Murtagh氏

WebsenseのEMEA&APAC担当Product DirectorのMark Murtagh氏は「企業の事業内容やどのようなポリシーを設定するかによっても違うが、最も短期間に導入が完了した例としては4週間という実績もある。典型的には半年程度だ。4週間で完了した企業の場合は、初期段階で深刻な情報漏洩が起こっていることが発見されたため、ユーザー企業が緊急性を感じて急いで取り組んだ結果だった」という。

つまり、モニタリングを実施したところ、深刻な問題になりかねない現状が明らかになったことでトップの意識が変わり、情報保護対策の実装が企業内の最優先課題に昇格した結果だということだ。これに関して加藤氏も「実作業に要する時間だけなら半年もかかるはずがないが、ユーザー企業の担当者がほかの業務を抱えたりするため、CPSの導入サイクルだけに専念できないせいだ」という。

なお、CPSの導入は、単に既存の企業に対して情報保護手段を提供するだけでなく、企業の業務プロセス自体をより洗練されたものに変えていく効果もあるのだという。Murtagh氏は具体例として、ある投資銀行での実例を紹介した。この銀行では、M&Aに関わるチームと投資に関わるチームがあったが、法規制上この両者での情報交換は禁止されていた。CPSを導入したことで、この両方のチームの間で交換される情報に規制に抵触する情報が含まれていないことを保証できるようになったという。「もし法規制に違反するような情報交換が可能な状態で放置されていたとしたら、それはビジネス・プロセスの不備と言うことができるだろう。Websenseを使って、法令遵守を確実にする優れたビジネス・プロセスが実現できたといえる」とMurtagh氏は語る。CPSによる情報漏洩からの保護は、必ずしも社外への流出だけではなく、社内での職務権限の明確化や内部統制の確立にも有用だということだ。