情報漏洩対策ソフトをご検討のみなさまへ

22/11/21

DXで紙書類がデータに! 情報漏えいを防ぐためのファイルとファイルサーバのセキュリティ対策とは

セキュリティ対策

ファイル共有の必要性

日本経済の競争力維持と向上のため、DX(デジタルトランスフォーメーション)が叫ばれています。そのため近年は、さまざまな業務で紙の書類がデータ化され、Microsoft ExcelやPDF等のデータの形で存在するようになりました。本稿では、安全と利便性を両立させるファイルサーバやファイルのセキュリティ対策について考えます。

データ化されたファイルは、多くの場合、社内ネットワークにファイルサーバを設けて情報共有が行われます。また、ファイルサーバ以外にも、電子メールにファイルを添付して同僚や取引先に送ったり、Microsoft TeamsやSlackなどのチャットツールに添付して共有する場合もあります。

2020年頃から、パスワード付きZIPの添付をやめる「脱PPAP」を目的に、クラウドストレージにファイルをアップロードして、共有URLをメールで送るケースが増えています。

セキュリティ対策にならないパスワード付きZIP、廃止の流れに

ブラウザーでその情報を閲覧できている時点で、画像やテキスト情報等は閲覧者のPCにダウンロードされ電子メールに重要なファイルを添付して送る際、まずパスワードをかけたZIPファイルを先方に送り、直後にそのパスワードをメールで送るというセキュリティの運用が、2010年頃までに日本に広く普及しました。

しかしこの方法には、スマホでパスワード付きZIPファイルを受け取ると、すぐにその場で開けないことや、そもそもメールが盗聴されていたら元も子もないこと、ZIPファイルのパスワード解析ツールが出回っていること等々、運用面でもセキュリティ面でも大きな疑問符が付されていました。

2016年以降は、ある専門家会議の講演をきっかけに、最初に送る「P」assword付きZIPファイルの「P」、次のメールで送る「P」asswordの「P」、暗号化(「A」ngouka)の「A」「P」rotocol(プロトコル=「手順」の意)の「P」を、悪ふざけ的強引さでそれぞれの頭文字をつなげて、「PPAP」とはっきり揶揄されるようにすらなりました。

とりわけ問題になったのは、2019年以降感染拡大した、「Emotet」というウイルスが、感染拡大のために「PPAP」を悪用したことでした。

2020年11月には、当時のデジタル改革担当相が、中央省庁でPPAPを廃止する方針を打ち出し、日立グループなどの大手やIT系企業などが続々とそれにならい、PPAPの代替策が模索されるようになりました。

セキュリティ対策として導入されるオンラインストレージなどのファイル転送サービス

PPAP代替策のひとつとして活用されるようになったのが、オンラインストレージ等のファイル転送サービスです。

これまでは、メールに添付できないような大容量ファイルの送信に用いられることが多かったオンラインストレージですが、PPAP廃止の流れの中で、ごく小さな容量のファイルでも活用される例が増えてきました。

オンラインストレージで共有すれば、メール添付のファイル共有と異なり、誤った共有に気づいたらすぐにそれを停止できる利点があります。しかし、すでにダウンロードされていたとしたら、メール同様、もう取り返すことはできないという点は留意しておいた方がいいでしょう。

また、メールで連絡されたオンラインストレージのURLにアクセスして、平文メールで受け取ったパスワードを、アクセス先で入力する場合、メールを盗み見られてダウンロードされてしまうというリスクは、PPAP方式と何ら変わるものではありません。

利用時に、登録されたアカウントによる認証を求めるオンラインストレージが存在し、たとえばMicrosoft OneDriveやGoogleDrive等では、アカウントで認証を行い、閲覧者を限定して共有できるサービスも提供されています。

しかしその一方で、オンラインストレージには、電子メール添付とはまた別種の情報漏えいリスクがあります。事故件数が多いのは、ユーザー側の不注意や無知によって起こる、公開範囲等の「設定ミス」です。社内だけで共有するつもりが、URLを開けば誰でも閲覧できる状態になっていた、などの事故の報道を一度は耳にしたことがあるかもしれません。

また、サービス提供側へのサイバー攻撃も発生します。2019年には大手オンラインストレージサービス「宅ふぁいる便」へサイバー攻撃が行われ、およそ480万件の個人情報が漏えいし、約1年後にサービスは終了しました。

ファイルサーバーのセキュリティ対策の設定方法

重要なファイルをサーバに集約して管理する場合、ファイルサーバは金庫にあたります。

重要ファイルが保管された金庫を、サイバー攻撃や情報漏えいのリスクから守るためには、ユーザーを台帳化する「アカウント管理」、各ユーザーの閲覧範囲等を決める「権限管理」、ファイルサーバの利用状況を記録し異常を検知する「アクセスログの取得・監視」、ファイルサーバにマルウェア等が侵入することを防ぐ「ウイルス対策の導入」などがあり、その他にも「不要サービスやアプリケーションの停止や削除」「パッチ摘要等のアップデート」など、様々な対策の実施と恒常的な運用が必要となります。

しかし、たとえこれらの運用を完璧に行っていても、正規の手続きでファイルサーバの外に出たファイルを、第三者がなんらかの方法で入手できてしまえば、不正を働くことは可能です。国際基準であるISMS等のセキュリティの考え方においては「動機」「機会」「正当化」の三条件がそろうと、内部不正が起きやすいとされています。

ファイル単位のセキュリティ対策の設定方法

情報の金庫であるファイルサーバに各種セキュリティ対策を実施するのはもちろんですが、一個一個のファイルごとにセキュリティ対策を確保するアプローチも存在します。

たとえば、Windows環境でファイルを右クリックして「プロパティ」を開き、アクセス許可等を設定すれば、重要ファイルを閲覧専用にして、誰かから勝手に変更されないよう保護したり、特定の人物だけしかアクセスできない権限設定を行うこと等が可能です。

ファイルごとにセキュリティ対策を行う利点のひとつとして、正規の手段でファイルサーバの外に出たファイルをたとえ第三者が入手しても、閲覧や変更等をすることができない点が挙げられます。

ゼロトラスト時代のファイル共有のセキュリティ対策

近年、ゼロトラストネットワークアクセス(ZTNA)という考え方が注目を集めています。ゼロトラストの概念自体は、2009年に米調査会社の研究者によって提唱されたものですが、コロナ禍以降リモートワークが普及し、クラウドコンピューティングの利用が増えたことで、その重要性が改めて評価されました。ゼロトラストネットワークアクセスの導入によって、VPN接続等の実施が不要になる場合もあります。

ここで、今回の記事の趣旨に沿って、ゼロトラストネットワークアクセスの要点の一部を箇条書きにします。

すなわちゼロトラストネットワークとは、

・「どのようなアクセスも決して信頼できない」という前提に立ち

・たとえ社員であるイントラネット内のユーザーも含め、全てのユーザーに認証を求め

・ファイルの重要性に応じたセキュリティを、ファイル毎に提供する

上記に挙げたポイントを、製品として全て実現しているのが、この記事を書いている、私たちティエスエスリンクが開発したファイルセキュリティソフト「トランセーファー BASIC」です。

ティエスエスリンクの「トランセーファー BASIC」なら利便性と安全性を両立できる

ティエスエスリンクの「トランセーファー BASIC」は、ファイルの暗号化、閲覧の制限、印刷・コピーの禁止等を行うことで、社内外でのファイル共有の結果、不正利用や情報漏えいの発生等を防止するソフトウェアです。

ファイル単位で、重要性に応じてセキュリティ設定を行い、たとえその会社の社員でも、パスワードを知らなかったり閲覧権限がなければ、ファイルの閲覧すらできない、あるいは閲覧者の権限を超えない利用をさせることができるという点で、ゼロトラストネットワークアクセスの要点の一部を満たしています。

また、「トランセーファー BASIC」は、セキュリティを高めるために、ファイルを閲覧・利用できるPCを限定したり、閲覧できる期限をたとえば年度末まで等に設定したり、あるいはスパイ映画に出てくる「このメッセージは○秒後に消滅する」のように、共有した相手のPCのHDDの中にあるファイルを、日時を設定して自動で削除することもできます。

また、暗号化されたファイルを編集後、ファイルを保存すると自動的に再暗号化されるなど、運用の一手間を減らす工夫も随所でなされています。運用負荷が少ないだけでなく、「トランセーファー BASIC」は管理サーバが不要で、情報システム部門の運用管理を必要としない点で導入も容易です。

「トランセーファー BASIC」のように個別のファイルごとに行うセキュリティ対策の場合、電子メール・チャットツール・オンラインストレージ・USBメモリなど、情報共有の方法に影響を受けない利点もあります。

まずは部門や部署など、貴社のビジネス環境で「トランセーファー BASIC」を検証・評価してみてください。評価やPoCのご相談はフォームまたはメールでお問い合わせください。

まとめ

  • これまで紙だった書類が電子化されて、ファイルサーバやファイルの管理及びセキュリティ対策が重要になっています。
  • ファイルサーバのセキュリティ対策には「アカウント管理」や「権限管理」「アクセスログの取得・監視」などがあります。
  • 個別のファイルひとつひとつに暗号化や権限設定などを施すセキュリティ対策は、ゼロトラストネットワークアクセスの要件の一部を満たします
  • 「トランセーファー BASIC」はファイルを暗号化し、閲覧制限や印刷・コピーの禁止、閲覧可能期限設定、閲覧可能PCの限定、自動削除などができますす。