0. デジタルアーツのご紹介 1. Office365 による利便性の向上とリスク 2. 情報漏洩対策の IRM ソリューション (Information Rights Management) 3. IRM を補完する FinalCode 4. まとめ 2

2014年8月20日（水）Sier必⾒！ BCN×ソフトバンクコマース＆サービス共催セミナー Microsoft Cloud&Solutions 2014 〜クラウドファースト、モバイルファースト時代に掴む商機〜 『Office365 安全性強化』[S-4]

クラウド時代に必要な、

「渡した後でも“あとから消せる”」

究極のファイルセキュリティ

FinalCodeのご紹介

デジタルアーツ株式会社 エンタープライズ・マーケティング部 プロダクト・マーケティング２課 萩原 剛志

0. デジタルアーツのご紹介

1. Office365による利便性の向上とリスク

2. 情報漏洩対策の「IRM」ソリューション

（Information Rights Management）

3. 「IRM」を補完するFinalCode

0. デジタルアーツのご紹介

Web サーバー サーバーサーバー サーバー, プロキシ プロキシプロキシ プロキシ メール メールメール メール サーバー サーバー サーバー サーバー スマート スマートスマート スマート デバイス デバイス デバイス デバイス, PC デジタルアーツは安全なインターネット社会の実現を目指し、インターネットアクセスに伴う危険を未然に 防止するWebやメール関連の情報セキュリティソリューションを提供。さらに、経路を問わず情報漏洩の原 因になりうる”ファイルそのもの”へのセキュリティとして、FinalCodeを提供している。 スマートデバイス スマートデバイススマートデバイス スマートデバイス, PC, ゲーム機ゲーム機ゲーム機ゲーム機, テレビテレビテレビ, etc.テレビ ファイル ファイルファイル ファイル

インターネット

インターネット

インターネット

インターネット

1-1. Office365の利便性

スマート スマート スマート スマート デバイス デバイスデバイス デバイス, PC Office365は社内にサーバー等のリソースを持たずに、メールやスケジュール、オンライン会議、ナレッジ共 有等を実現するクラウドサービス。システムの構築・維持費⽤が不要になり、スマートデバイスを⽤いるこ とで社外からのアクセスも容易にできる。 ファイル ファイルファイル ファイル

インターネット

インターネット

インターネット

インターネット

Web サーバー サーバーサーバー サーバー, プロキシ プロキシ プロキシ プロキシ メール メール メール メール サーバー サーバー サーバー サーバー ファイル ファイルファイル ファイル サーバー サーバー サーバー サーバー Exchange Online Office365 SharePoint Online Lync Online Office 365 ProPlus

1-2. 利便性の向上に潜むリスク

スマート スマート スマート スマート デバイス デバイスデバイス デバイス, PC ⼀⽅、従来は社内でしかアクセスできなかった情報に社外からもアクセスできるようになるため、情報漏洩 のリスクも高まる。それは「クラウドだから危ない」という印象や、技術的なセキュリティレベルが低いか らではない。 ファイル ファイルファイル ファイル

インターネット

インターネット

インターネット

インターネット

Exchange Online Office365 SharePoint Online Lync Online Office 365 ProPlus Web サーバー サーバーサーバー サーバー, プロキシ プロキシ プロキシ プロキシ メール メール メール メール サーバー サーバー サーバー サーバー ファイル ファイルファイル ファイル サーバー サーバー サーバー サーバー

1-3. 情報漏洩のリスク分析

情報漏洩の要因を４つに分類。クラウド化やスマートデバイスの普及によってリスクが⾼まるのは、正規の アクセス権限をもつ社員が不正に情報を流出させる③「内部の悪意」、および社外との情報共有が便利にな ることで、その社外から漏洩する④「間接情報漏洩」の機会が増えることによる。

社外

（海外拠点、協⼒会社、など）

②人為的ミス

（誤送信、管理ミス、

_etc）

③内部の悪意

（不正持出し、

etc

）

自社内

①外部からの悪意

（ウィルス、標的型攻撃、etc）

④間接情報漏洩

重要

重要

重要

重要

重要

1-4. 近年の重⼤な情報漏洩事件

今年3⽉には、元技術者が研究データを競合企業に流出させるという事件が発覚。また、今年7月には史上最 ⼤級の個⼈情報漏洩事件があった。両者の共通点は、いずれも正規ルートで重要な情報にアクセスできる⼈ が悪意をもって情報を持ち出したことにある。対策の１つは“情報そのもの”を守ることにある。

2014

2014

2014

2014年

年

年

年3

3

3

3月

月

月

月

A

A

A

A社の最新の半導体研究データが韓国競合

社の最新の半導体研究データが韓国競合

社の最新の半導体研究データが韓国競合

社の最新の半導体研究データが韓国競合

企業

企業

企業

企業X

X

X社に流出。

X

社に流出。

社に流出。

社に流出。

A

A

A

A社在籍中にサーバーにアクセス権のあった

社在籍中にサーバーにアクセス権のあった

社在籍中にサーバーにアクセス権のあった

社在籍中にサーバーにアクセス権のあった

元技術者が

元技術者が

元技術者が

元技術者がUSB

USB

USB

USBメモリーにコピーして持ち出

メモリーにコピーして持ち出

メモリーにコピーして持ち出

メモリーにコピーして持ち出

した疑い。

した疑い。

した疑い。

した疑い。

2014

2014

2014

2014年

年

年7

年

7

7月

7

月

月

月

B

B

B

B社の

社の

社の

社の2,260

2,260

2,260万件にもおよぶ個人情報が流出

2,260

万件にもおよぶ個人情報が流出

万件にもおよぶ個人情報が流出

万件にもおよぶ個人情報が流出

し複数の名簿業者に拡散。

し複数の名簿業者に拡散。

し複数の名簿業者に拡散。

し複数の名簿業者に拡散。

流出元はデータベース運用委託先のシステ

流出元はデータベース運用委託先のシステ

流出元はデータベース運用委託先のシステ

流出元はデータベース運用委託先のシステ

ムエンジニアで、データベースから情報をダウ

ムエンジニアで、データベースから情報をダウ

ムエンジニアで、データベースから情報をダウ

ムエンジニアで、データベースから情報をダウ

ンロードし、スマートフォンにコピーして、不正

ンロードし、スマートフォンにコピーして、不正

ンロードし、スマートフォンにコピーして、不正

ンロードし、スマートフォンにコピーして、不正

に持ち出した後、名簿業者に売却した模様。

に持ち出した後、名簿業者に売却した模様。

に持ち出した後、名簿業者に売却した模様。

に持ち出した後、名簿業者に売却した模様。

2つに共通する本質的なイシュー：

“内部の悪意”が通常業務を装って正規アクセスルートを活⽤して

機密情報を不正持出しするのを防ぐにはどうしたらいいか？

情報は必ず「ファイル」の状態で動く。

情報漏洩対策の肝はファイルにあり。

印刷 印刷 印刷 印刷

2-1. 「IRM」による情報漏洩対策

“情報そのもの”を守る考え方に「IRM」(Information Rights Management）がある。これには、閲覧でき る人を限定し、未知の第三者には閲覧されないようにすることや、ファイルの印刷や改変を防ぎ、また閲覧 可能な期間や回数を設定したりすることが含まれる。パスワードも不要。 作成者 作成者作成者 作成者 受信者受信者受信者受信者 未知の 未知の 未知の 未知の 第三者 第三者 第三者 第三者

従

従

従

従

来

来

来

来

I

R

M

改変 改変改変 改変 _{公開、公開、公開、公開、} 再利用 再利用 再利用 再利用 閲覧 閲覧 閲覧 閲覧 作成者 作成者作成者 作成者 ファイルに対する ファイルに対する ファイルに対する ファイルに対する 権限を自由に設定 権限を自由に設定 権限を自由に設定 権限を自由に設定 ※ ※ ※ ※パスワードロックをしても、パスワードロックをしても、パスワードロックをしても、パスワードロックをしても、 解除した後は同じ 解除した後は同じ解除した後は同じ 解除した後は同じ 文書が 文書が 文書が 文書が 流出 流出 流出 流出 印刷 印刷 印刷 印刷 受信者 受信者 受信者 受信者 未知の 未知の未知の 未知の 第三者 第三者第三者 第三者 改変 改変 改変 改変 _{公開、公開、公開、公開、} 再利用 再利用 再利用 再利用 閲覧 閲覧 閲覧 閲覧 文書が 文書が 文書が 文書が 流出 流出 流出 流出 ※ ※※ ※パスワードなしで暗号化パスワードなしで暗号化パスワードなしで暗号化パスワードなしで暗号化

2-2. Office365のRights Management

MicrosoftはOffice2003でIRM機能を実装。Office365ではRights Managementサービスが提供され、従来 のWindows Server構築やRights Management Services(RMS)との統合は不要（RMSはクラウド側で統合 されている）。

「Office 2013 で Information Rights Management を計画する」より抜粋 Microsoft Azure Rights Management
IRM（ファイル）
Office365 Message Encryption（メール）  Officeのファイルと メールの暗号化/権限制 限が可能。  Exchange Onlineや SharePoint Onlineと 連携させて利⽤するこ とができる。

2-3. 「IRM」による情報漏洩対策

AzureではActive Directory Rights Management（ADRM）が提供されており、ADの範囲でIRMを適用す ることが可能。「内部の悪意」に対するIRMソリューションは、社員の情報セキュリティに対する意識向上 にもつながる。⼀⽅、情報システム担当者が⾃動で制限をかけるポリシー運⽤も不可⽋。 スマート スマート スマート スマート デバイス デバイスデバイス デバイス, PC ファイル ファイルファイル ファイル

インターネット

インターネット

インターネット

インターネット

Web サーバー サーバーサーバー サーバー, プロキシ プロキシ プロキシ プロキシ Exchange Online Windows Azure Active Directory

Rights Management Active Directory IRM Office365 Office365 Message Encryption

3-1. 「IRM」を補完するFinalCode

ここまで③「内部の悪意」への対策としてMicrosoftのIRMについて解説した。ここから異なる⼟俵で情報漏 洩対策にフォーカスするFinalCodeについて紹介する。FinalCodeのメインテーマは「”社外”に出さざるを得 ない重要なファイルをいかに守るか」で、特に④「間接情報漏洩」に焦点を当てる。

社外

（海外拠点、協⼒会社、など）

②人為的ミス

（誤送信、管理ミス、

_etc）

③内部の悪意

（不正持出し、

etc

）

自社内

①外部からの悪意

（ウィルス、標的型攻撃、etc）

④間接情報漏洩

重要

重要

重要

重要

重要

3-2. ２種類の“社外”と「間接情報漏洩」

”社外”には２種類あり、重要なファイルを渡さない「完全社外」と、近年は海外拠点や委託先など「重要な ファイルを共有する必要はあるが、セキュリティガバナンスが効きにくい社外」とがある。最近の情報漏洩 事件でも「委託先の社員」が正規のルートで情報を持ち出すケースがみられる。

社内

海外拠点・グループ会社

海外拠点・グループ会社

海外拠点・グループ会社

海外拠点・グループ会社

完全社外

秘

秘

秘

秘

秘

ファイルの共有

重要ファイルを流通させる

ガバナンスが効きにくい

重要ファイルは流通するが

セキュリティ・ガバナンスは効きにくい

秘

秘

海外拠点・グループ会社

委託先など

海外拠点・グループ会社

委託先など

3-3. 情報漏洩後の「⼀括削除」要件

先述のB社の情報漏洩事件を受けて、政府は事後の「⼀括削除」対応を法制化する⽅向で検討 。従来は「流 出した情報は取り返しがつかない」というのが実情だったが、これにシステム的に対応できるのがFinalCode。

2014

2014

2014

2014年７月

年７月

年７月11

年７月

11

11日

11

日

日

日

菅官房長官はB社でのインシデントを受け、「個人情報

が流出・拡散した場合、その情報全体を一括して利用

できないようにする法改正の方向で政府として考えて

いる」と記者会見を行った。

これをシステム的に実現するのが、

流出したファイルが勝⼿に複製・拡散してしまっても、

リモートで一括消去ができる、唯一のソリューション

「

_FinalCode」

3. 「IRM」を補完するFinalCode

3-5. FinalCodeでできること一覧

閲覧者と閲覧期間・回数を指定し、ファイル開封後の操作（編集・コピペ・印刷）も制御でき、

ファイルが世界中のどこに⾏ってもアクセス履歴がリアルタイムで完全に追える。

さらに、いざとなれば“リモートであとから”消せる、究極のファイルセキュリティ

3-6. B社の情報漏洩対策レビュー

標準以上の漏洩防⽌策はされていた。

しかし、、、

顧客DB

ダウンロード

用サーバー

DBアクセス制限

ダウンロード時アラート

DB接続可能なPCの制限

ユーザーIDの制限

ログのトラッキング

各種業務ルール

USBメモリーの無効化

たまたま繋いだスマート

フォンが穴を突いた...

3-7. 運⽤例①：DBデータの持ち出し対策

B

社の

ケースへの解

顧客DB

ダウンロード 用サーバー

APIをかませて、

DBからダウンロードされるファイル

を全て捕まえて強制的に暗号化

してしまう

認証されている社内の特定端末

上記以外の端末全て

（社内・外問わず）

閲覧 のみ ファイル 自動削除 ダウンロードしたファイルは 全て暗号化状態

3-8. 運⽤例②：フォルダー内の⼀律暗号化

A

社の

ケースへの解

ファイルサーバー

で監視

フォルダー内のファイルは 全て自動で暗号化状態に

「@sample.com」の

ドメインで認証されている

社内端末

自社社員のPCであればファイルを閲覧・編集 は可能であるため、通常通りの業務は可能。 ただし、コピーペースト・スクリーンキャプチャ・ 印刷の操作はブロックされているため、ファイル の中のデータを不正に外に持ち出すことは防 げる

流出したファイルを

開けようとしている

社外の端末

ファイルを開封できない。不正 アクセスの瞬間ファイルが自動 的に消滅し、そのログが残り、リ アルタイムでアラートが管理者 に届く ファイル 自動削除 閲覧・ 編集

4. まとめ

スマート スマート スマート スマート デバイス デバイスデバイス デバイス, PC 情報が⼤量に複製され、そのアクセスが便利になるクラウド化・スマートデバイス普及の時代では、「内部 の悪意」や「間接情報漏洩」のリスクが⾼まる。そこで_{”情報そのもの”に施すIRMソリューションが有効。} これからは情報が“どこにいっても”、作成者の権限・管理を及ぼすことで漏洩を未然に防⽌する。さらに万 が⼀ファイルが流出しても中の情報は閲覧されず、後から「⼀括削除」できることが重要。 ファイル ファイルファイル ファイル

インターネット

インターネット

インターネット

インターネット

Web サーバー サーバーサーバー サーバー, プロキシ プロキシ プロキシ プロキシ

FinalCode

(ASP) Active Directory Exchange Online Windows Azure Active Directory

Rights Management IRM

Office365

IRM

Office365 Office365 Message Encryption