前回は、グループウェアの情報漏洩対策システムを選ぶときに、自社で適用できるか、現在のシステムを変更しなくて良いか、について、注意すべき項目を確認しました。今回は、最後の、守るべきデータが守れるかどうかについて見てみましょう。
守るべきデータが守れるか
これはカタログに書いてある項目が多いので、致命的な失敗は少ないでしょう。しかし、、各製品とも、対応できていない項目については書かれていません。守り方が不十分だと、穴が開いたざるで水をすくうようなものです。確認するポイントを順に見ていきましょう。
データを守るための対策が十分か
残念ながら、この項目については、ここでは詳細を書けないのですが、ブラウザなどに表示されたデータを取得する方法としては、様々な方法があります。比較的知られた、簡単な抜け道に対応しているかどうかが特に重要です。簡単な抜け道でデータが取られるのではあまり意味がありません。
これらは、抜け道を探す手がかりになることから、通常、カタログには記載されていません。どんな抜け道対策がされているか、直接聞いておきましょう。また、思いつく方法は、自分でも確認しておくと良いでしょう。
データが暗号化されているか
これは案外見落とされやすいが、重要な項目です。ウェブのデータは、インターネットキャッシュとして、PCに残るため、コピーが容易なのです。キャッシュを削除する製品もありますが、表示中など、一時的には存在するため、いろいろ試せば、コピーできてしまいます。また、htmlとFlashやPDFでは、アプリケーションの動きが異なるため、各々確認する必要があります。
また、暗号化されていないと、通信経路での取得も容易です。SSLを使うことを案内している製品もありますが、これは情報漏洩防止では簡易的な方法でしかありません。SSLは通信相手とのセキュリティ保持の仕組みなので、ブラウザ側のPCで、SSLに対応するプロキシをおいただけで、ページデータが丸ごと取れてしまいます。従業員の過失のみを防ぎたいのであれば、この方法でも良いでしょう。しかし、故意からも守るのには不十分です。簡単に守れればよいという程度のデータしかないのなら、良いかもしれませんが、個人情報を一覧する機能があるなら、しっかり守りましょう。
守れるデータの種類に必要なものが全て含まれているか
これは通常、カタログに対象となるファイルの種類が書いてあるので、これを参考にできます。自社で使用するデータに全て対応しているかどうかのチェックが必要です。
- ウェブページ( html/画像/JavaScript )
ウェブページとは、もっとも普通にブラウザに表示されるデータのことです。テキストや画像を含み、JavaScriptやcssが含まれることもあります。ここにデータベースから出力された個人情報等が表示される場合、守る必要があります。 - 動的なページ( jsp/cgi/asp/phpなど )
主に保護する対象になるのは、データベースを元に生成しているようなページです。あらかじめ暗号化が必要なタイプでは、動的なページを保護することはできません。また、特定のスクリプトの埋め込みが必要なタイプでは、ウェブサーバのシステム自体を改変する必要があり、導入コストと期間がかかるのを考慮する必要があります。 - Flash
Flashはよく使われるウェブの部品となりました。ウェブシステムによっては、これをメインで使用しているところもあります。使用している場合は、守れるかどうかチェックが必要です。 - PDF
PDFはブラウザ内に表示されることもあり、ページの一部としてもよく使われます。守るべきデータにPDFがある場合は、これが守れるかどうか確認しましょう。 - Officeファイル( Word/Excel/PowerPoint )
WordやExcelは一番使われる文書ファイルです。文書管理システムに、これらのファイルが置いている場合は、これが守れるかどうかを確認しましょう。Officeファイルではないが、データベースからcsvで出力して、Excelで表示するというケースもあります。これが守れるかどうかも確認しましょう。PDFに変換してから守るタイプもあるが、利用者の操作性が大きく変わるため、自社で適用可能かどうか十分に検討しましょう。
画面キャプチャ対策も
PrintScreenやキャプチャソフトによる、画面キャプチャを禁止することができるかどうかも確認されることをお勧めします。画面キャプチャのテキストデータは、OCRで変換しないと使えないなど、再利用が面倒になるのと、デジカメ撮影でも精度は落ちるが取得可能なため、他の項目に比べると重要度は落ちるのですが、画面キャプチャを禁止していることを、安易な利用者に警告する意味があり、カジュアルコピー防止効果があります。
■まとめ
- 守りたいデータや、システム変更のコストを考慮して対策ソフトを検討しよう。
- 「パイレーツバスター AWP」(エーダブリューピー)なら、上記課題に対応した情報漏洩対策が可能です。