機能紹介
- 2015/02/26
ファイル暗号化ソフト比較時の10個のポイント
この1年で大型の情報漏洩インシデントが相次いだ結果、トップダウンで「顧客情報や技術情報といった営業秘密の漏洩対策を至急取るように」という指示が出るケースや、総務部や技術本部、営業部などの業務部門自ら積極的に対策に乗り出すケースが増え、ファイル暗号化への関心が急激に上がってきています。
そこで今回は、ファイル暗号化ソフトを手掛けている立場から敢えて「自分がファイル暗号化ソフトの導入検討をするとしたら、比較時に着目するであろう10個のポイント」を書いてみました。自社製品とらわれず客観的に、しかも、よくありがちな「機能比較」にならないように書きましたので、ぜひ参考にしてみてください。
1. 管理者にとっても一般ユーザーにとっても、わかりやすくとっつきやすいか
日々の業務で使うファイルに関するものだから、直観的に「簡単」「使いやすい」と感じる製品を選ぶべきです。具体的には、「ユーザーインターフェースはシンプルで分かりやすいか」「ITに詳しくない一般ユーザーでもマニュアルを読まずに使い始められそうか」といった視点から比較してみましょう。
使いにくく面倒なソフトだと、徐々に使われなくなり情報漏洩対策の意味をなさなくなってしまうため、最も重要なポイントとして1つ目に書きました。
2. 常に進化しているか
新しいアプリケーションやデバイスが次々と生まれてくる今日において、その変化のスピードにしっかり追従しているかどうかは、製品不具合への対応の速さや、新たに生まれるセキュリティリスクへの反応の良さ、ユーザーの仕事のやり方の変化に合わせた機能拡張の速さの指標になります。
チェックするためのコツは、検討している製品のWebサイトのリリース情報を見てみること。バージョンアップの頻度や新たなスマートフォンOS等への対応状況を確認してみましょう。
3. ファイル暗号化ソフトの専用ソフトか
全てのユーザーにとって簡単で分かりやすい使い勝手を実現しつつ、一方で、ほんの一部の情報窃取を狙う悪意に対して十分堅牢な作りにすること。更に上記[2]の通り、急速な時代の変化に追従して進化させること。それらは、何かのシステムの1オプションとして実装できるほど簡単なことではありません。
例えば、資産管理ソフトに備わる多くの機能の1つに位置づけられているファイル暗号化機能には注意が必要です。もしかしたら、気休め程度にしかならず、本来取るべき情報漏洩対策が十分できず後から後悔することになりかねません。
情報漏洩が起きてしまうと、後悔では済まされず、会社に金銭的・社会的インパクトを発生させてしまいます。機密情報を守るための最後の砦になるファイル暗号化ソフトは、専用ソフトの購入を前提に検討しましょう。
4. 第三者機関の評価を得ているか
自社の機密情報を守るためのソフトですから、当然セキュリティ強度が気になるはず。ファイル暗号化ソフトのメーカーにセキュリティ強度について質問すれば、メーカーは当然「自社のソフトのセキュリティ強度は問題ない」と言うに決まっているはずで、ここですべき質問は「第三者にシステム全体の強度調査をしてもらっているか」です。
しかも、ここで言うセキュリティ強度とは、「ファイルの暗号化方式にAES256bit暗号を使っているから大丈夫」というだけの話ではなく、システム全体の話であり、クライアントプログラム自体のクラックへの耐性、サーバーへの攻撃を想定したWebアプリケーション診断、ID成りすまし、クライアントとサーバー間の通信の傍受、等への対応、など様々な視点から信頼できる機関に客観的に診断してもらった結果の提示をリクエストしましょう。
5. トライアル版で実際の運用のイメージをつかむ
ファイル暗号化ソフトの比較をする人は、たいていの場合、企業のシステム管理者になりますが、日々多忙なシステム管理者にとって「運用が楽か大変か」は気になるポイントのはずです。運用開始後に最も手間がかかる可能性が高いのはユーザー管理、特にユーザーの異動・退職があった場合に発生する作業です。
「退職者が営業秘密を不正に持ち出して競合に転職する」というインシデントが後を絶ちませんが、そのリスクを抑えるためにユーザーの異動・退職時の作業が簡単・確実にできるかどうかをチェックしましょう。
そこでのオススメは、ファイル暗号化ソフトにMicrosoftのAD(Active Directory)連携機能があるかを確認すること。暗号化ファイルの閲覧者にADのグループ(例:OUやセキュリティグループなど)を指定できる機能があれば、異動・退職時に必ず情シスが行うADの定義変更により、動的にタイムラグなく確実に暗号化ファイルの閲覧者も変わることになり、ADとファイル暗号化ソフトで2重の管理ををする必要が無くなります。
6. 「柔軟性」と「セキュリティ統制」のバランスを思いのままに実現できるか
社内には無数のファイルがあり、日々新たなファイルも生まれるため、ファイルの内容・目的に合わせて個別の閲覧権限設定をするケースも、管理者が事前に決めた権限テンプレートに従って暗号化するケースも出てきます。
また、仕事の状況は常に変化していくので、暗号化ファイルが流通した後であっても、リモートで全ファイルの権限設定を行うべきケースが出てきます。これらを踏まえ、暗号化設定の「柔軟性」と「セキュリティ統制」を要件に応じて適切なバランスを取ることができる仕組みがあるかをチェックしましょう。
7. 「すぐに」「小さく始める」ことができて、
後からでも柔軟に「横展開・大規模化」といったシナリオを描けるか
これまでの記述した通り、ファイル暗号化ソフトの選定は難しいです。ユーザーの業務フローも変わる可能性もあり、使い始めて初めて気づくことも多々あるはずです。
従って理想的な導入シナリオは、最初から社内の全ファイルを暗号化するのではなく、特定の部署・機能・業務で始めてみて、様子を見ながら順次展開範囲を広げていくアプローチ。そう考えると、導入ステップの最初にハードウェア・ネットワークの調達をしてオンプレミスサーバーを立てなければいけないならハードルが高すぎます。
まずは、自社でサーバーを立てなくても、ASPサーバーなどを活用して「小さく始めて」、様子を見ながら横展開していき、後で必要があればオンプレミスサーバーで自社用サーバーに移行するといった展開シナリオを描きましょう。
8. 導入スコープに制約が無いか
海外生産、企業間連携、業務委託・アウトソーシングなどが当たり前の今日、重要情報を含むファイルは業務上どうしてもそういった社外の企業・組織と共有する必要が出てきます。しかし、社外になれば、自社と同じレベルのセキュリティガバナンスを掛けるのは不可能。そういったジレンマを解決するツールこそがファイル暗号化ソフトです。
社外に重要ファイルを渡す時には、そのファイルを閲覧できる人、期間、回数、ファイルを開封した後の操作(編集、コピペ・キャプチャ、印刷など)などの権限設定をして渡し、渡したファイルへのアクセス状況もリアルタイムで把握できれば安心。従って、ファイル暗号化ソフトの導入可能スコープに「自社ADの範囲内」といった有効領域に制限が付くものは避ける必要があります。
ファイルが物理的に社内外のどこに行っても、完全にコントロール下に置けるかどうかをチェックします。ファイルのロケーションだけでなく、制御できるファイルの種類にも制約が無いか確認しましょう。頻繁に使うMicrosoft OfficeやPDFだけではなく、画像、動画、CADも含めて守ることができるかをチェックしましょう。
9. 誰に有償ライセンスが必要か
社外の企業・組織に渡す重要ファイルを暗号化ソフトで守ろうとするときに、渡す相手である社外ユーザーにも有償ライセンスが必要かどうかは導入のハードルに直結します。
例えば、ある製造業の会社が設計図面をA国の生産子会社a社に渡し、さらにa社が一部を外注するB国の孫会社b社に渡すといったバリューチェーンを通してファイル暗号化ソフトを活用しようとしたときに、本社だけでなく子会社a社、孫会社b社にも費用が掛かるなら、調整は困難を極めるでしょう。
ファイル暗号化ソフトの価値は、「ファイルに閲覧権限を設定し、ファイルがどこに行っても状況を追跡し、事後的にも柔軟に権限設定を変えて、意のままにコントロールできること」にあるので、そこ(ファイル暗号化)にだけ費用が掛かり、暗号化されたファイルを閲覧するだけであれば無償で使える仕組みこそ納得性が高いと思いませんか。ちょうど、AdobeがPDFで取っている課金体系と同じ考え方です(PDFファイルを作るためのAdobe Acrobatは有償だが、PDFファイルを閲覧するためのAdobe Readerは無償)。
10. サポートレベルは高いか
重要ファイルが暗号化の対象となるため、ファイル暗号化ソフトの不具合はそのまま業務遂行にインパクトを与えます。この世に完璧なソフトウェアは存在しないのが公然の事実ですから、何かサポートが必要になったケースに迅速に手厚いサポートを受けることができるかは、導入検討をしている管理者が忘れてはいけないチェックポイントです。検討している暗号化ソフトのサポート窓口のサポートレベルの確認や、既存客の満足度調査のレポートのリクエストをして、サポートの信頼性を確認しましょう。
以上が、「ファイル暗号化ソフト比較時のポイント」です。皆様がファイル暗号化ソフトを選定する時の参考にしていただければと思います。
デジタルアーツでは、ファイル暗号化ソフトの導入に際して、上記のポイントを踏まえたファイル暗号化ソフトの導入のご相談やFinalCodeの製品紹介などを随時承っております。お気軽にお問い合わせください。
<「FinalCode」製品担当:本澤>