外国為替取引を手がけるベンチャー企業のセントラル短資オンライントレードは2008年7月から情報漏洩対策を強化した。機密情報の流出を監視し、流出を水際で食い止めるDLP(Data Loss Prevention)アプライアンスなど二つの製品を組み合わせて導入。これにより、顧客情報や取引情報などをインターネットを介して外部に送信できないようにした。
特徴は「Webメールやオンラインストレージなどの外部サービスに完全アクセス禁止」するのではなく、「機密情報をアップロードするときだけ禁止」して流出を防止できるようにしたこと。「アプライアンスメーカーやインテグレータからの情報も含め、自社で調べたところ、このような機能を実現したのは世界初」と浦島伸一郎システム事業部長は説明する。
導入したのは、米コードグリーンネットワークスのDLPアプライアンス「CI Appliance」と米ブルーコートシステムズのプロキシアプライアンス「BlueCoat ProxySG」。導入費用は約2500万円(本誌推定)。構築作業は富士ゼロックスと日本テレマティークが担当した。
CI Applianceは機密情報のファイルを指定すると、そのファイルに含まれる文字列からハッシュ値を生成。その値を基にメールの本文や添付ファイルに機密情報が含まれていることを認識し、通信を遮断する。BlueCoat ProxySGは、URLフィルタリング機能などを持つ。2製品を組み合わせることで「機密情報をアップロードするときだけ禁止」が可能となった。
組み合わせる必要があったのは、CI ApplianceだけではSSLで暗号化された通信の内容を監視することができないため。通常、グーグルが提供するWebメールである「Gmail」に代表される無料のオンラインサービスはSSLで暗号化されている。
そこでSSLで暗号化される前のコンテンツをBlueCoat ProxySGからCI Applianceに送信させ、機密情報かどうかを判断するようにした。2製品の連携には、プロキシサーバーと他のアプリケーションを連携させるための「ICAP」と呼ぶプロトコルを使う。「ICAPによる連携を可能にしたDLPアプライアンスはまだ少なく、CI Applianceも昨年末の新バージョンで対応したばかり」(富士ゼロックス セキュリティ&ネットワークソリューション営業部の平泉暢宏氏)。
もともとセントラル短資オンライントレードでは、外部のオンラインサービスを業務で利用することをセキュリティポリシーで禁止している。このポリシー通りにシステムの利用を制限するならば、BuleCoat ProxySGが持つURLフィルタリングの機能などを使って、アクセス自体を禁止させることもできた。しかし、そうした手段を採用しなかったのは、「外部のオンラインサービスを完全に停止してしまうと、逆に業務を非効率にしてしまう」(矢川 和男システム事業部次長)と判断したため。同社では、オンラインで事業を展開している都合上、「顧客と同じ利用環境を社内に用意できなければ、問い合わせに答えることすらできない」(同)。
一方で、性善説に基づいてシステム的に規制をかけないのではリスクが高すぎる。そこで、オンラインサービスへのアクセス自体は禁止せず、コンテンツに機密情報が含まれていたら自動的に遮断できる解決策が必要になり、今回のシステム構成を選択するにいたった。
記事公開当初、「構築作業は富士ゼロックスが担当した」としていましたが、正確には「構築作業は富士ゼロックスと日本テレマティークが担当した」です。お詫びして訂正します。本文は修正済みです。[2008/08/06 14:05]
