グループウェアは、スケジュール、などを部署内で共有するツールです。サイボウズやノーツなどのことだといったほうが分かりやすいでしょうか。今回は、このグループウェアに情報漏洩防止対策を組み込むシステムの選び方を見てみましょう。

前回のおさらい

グループウェアなどの文書管理システムには、情報漏洩を防止する機能がない製品があります。一般のウェブ型のシステムなら、ウェブからの情報漏洩を防止する製品と組み合わせることで、守ることができます。

対策製品はどれも同じなの？

ウェブを保護するシステムとしては、各社から、複数の製品がリリースされています。機能と値段にあわせて、このみのシステムを選択すればよいのですが、いくつか注意事項があります。ウェブを保護するといっても、その機能は大きく異なるのです。

これは外せない！重要な注意事項

重要な注意事項は、次の3点です。

1. 自社で使えるか
2. 導入や運用は簡単か
3. 守るべきデータが守れるか

どれも、当然と思われる項目ばかりでしょう。しかし、残念ながら、データの漏洩防止機能は、OSレベルでは考慮されていないため、一般的なアプリケーションからすると、裏技に近い仕組みを使って、実現されています。そのため、データの漏洩防止とは直接関係ないことでも制約を受ける製品が多いのです。

では、順に項目を詳細に見ていきましょう。

自社で使えるか

これは説明するまでもないでしょうが、自社での運用を確認しておく必要があります。確認するポイントを以下にあげます。

• ファイルが持ち出しできるか
  運用パターンとして、外部とのファイルやり取りや、持ち出しが必要な場合、これが利用可能かどうかが重要です。当然、データを守った上で、持ち出せることが必要です。また、外部でファイルに書き加えて戻させるなど、編集が必要な場合は、その機能に対応していることが必須です。
• サーバ上で、データ検索／ファイル検索ができるか
  ファイルを暗号化するタイプで失敗しやすいのが、この機能です。サーバ上でファイルが暗号化されていると、ファイルの検索ができなくなってしまいます。検索が使えないと、ファイルを見つけるのに無駄な時間がかかり、非常に不便です。なお、検索用のプラグインを用意されている場合もあります。サーバで暗号化されているタイプでは、これが用意されていて、自社で利用できるかどうかも、確認項目となります。
• コンテンツが動作するか
  データを守るための仕組みによっては、保護をかけなくても、動作しなくなるコンテンツがあります。例えば、特定のJavaScript／ Flash／JavaAppletなど。特に、コンテンツを改変するタイプでは要注意です。
• プロキシ認証などへの対応
  プロキシ認証など、使われることが少ないものには対応していないこともあります。評価版／デモがあれば、それで検証しておくと安心です。また、障害や、対応が必要になる項目が見つかった場合の、これまでの対応への期間も目安となります。

導入や運用は簡単か

これは一番失敗しやすい項目です。管理者や、組み込み担当者だけの問題ではありません。確認するポイントを以下にあげます。

• 一般社員の利用に大きな変更がないか
  どんなに優れたセキュリティーを実現したシステムでも、使われなければただのごみ。今までの運用形態を大きく変更せず、セキュリティ上必要な制限にとどめている製品がお勧め。余計な操作が必要だったり、利用方法を変更せざるを得ないものは、それが受け入れられるレベルかどうか、十分に確認しましょう。
• ウェブサーバの改変が必要ないか、コンテンツがそのまま動作するか
  ウェブサーバの種類が限定されるものや、あらかじめコンテンツの暗号化が必要だったり、特定のスクリプトを挿入する必要がある製品もあります。変更が必要なシステムでは、そのコストや移行にかかる期間も考慮しましょう。システムの変更が必要になる場合、製品の価格よりも高くなることも。特定のコンテンツでしか動作しない製品もあります。少なくとも守るべきデータが守れることと、表示できなくなるページがないかを、確認しましょう。

いかがでしょうか？ここまでの注意事項は、ごく当たり前と思われるでしょうが、なかなか、満足できるレベルの製品は少ないのです。

次回は、守るべきデータが守れるか！について、項目を見てみましょう。