「文書コントロール」を実現するソフトウエア製品が続々登場している。文書ファイルを暗号化した上で,編集やコピー,印刷といった操作の権限をユーザーごとに細かく設定し,制御を可能にする。漏洩の危険性が小さくなるため,機密文書を扱う際の息苦しさが多少は解消されそうだ。(日経コンピュータ)
文書コントロール製品とは,ファイルを暗号化した上で,編集,コピー,印刷といった操作を,ユーザーごと,文書ファイルごとに制限するソフトウエアのことを指す。操作可能な期間や回数を指定できる製品も多い。企業内だけでなく,社外に持ち出したファイル,業務委託先に預けたファイルにまで,そういった制限を設けて情報流出や悪用を防ぐことができる。
暗号化ソフトや文書管理システムだけでは,ここまで文書をコントロールするのは難しい(図1)。いったんファイル・サーバーからダウンロードした文書ファイルは,改変してもコピーしても,ファイル作成者には分からない。取引先企業などの社外に送信すれば,その後ファイルがどのように使われるかを把握することは難しい。
 |
| 図1●アクセス管理や暗号化だけでは,重要な情報を守れない |
暗号化していても,十分とはいえない。多くのツールは復号化にパスワード認証を使っているため,パスワードさえ分かれば,誰でもファイルを閲覧できてしまうからだ。
文書コントロールを実現する製品が充実してきたのは2006年以降のことだ。現在,その数は主なものだけでも10を超える。いずれも,動画コンテンツや音楽ファイルで利用されていたDRM(デジタル著作権管理)技術や暗号化技術を文書ファイルの管理に応用したものだ。富士キメラ総研の調査によると,2005年度に18億円だった市場規模は,2006年度には27億円に,2010年度には54億円にまで成長するという。
ファイル単位に操作を制限
どの製品も暗号化や操作制御を実現する仕組みやシステム構成は,ほぼ共通している。
文書ファイルを作成したユーザーは,文書コントロール製品の専用クライアント・ソフトを使って暗号化する。その際,どのユーザーにどのような操作を許可するかを指定する。「営業部門は,閲覧は可能だが,編集や印刷は禁止」「部門長以上の役職のユーザーしか閲覧できないようにする」といった具合である。
利用期間や利用回数を指定できる製品も多い。指定した権限情報は,文書ファイルごとに自動的に割り振られるユニークなIDとともに,ポリシー・暗号鍵管理サーバー上に自動的に登録される。ファイル・サーバー上のフォルダにファイルを登録すると,あらかじめフォルダにひも付けてあった権限を自動的に割り当ててサーバー側で暗号化する機能を持つ製品もある。
その文書ファイルをほかのユーザーが利用しようとすると,まずは専用クライアント・ソフトがファイルのIDを基に,暗号化されているそのファイルを復号化するための復号鍵と,そのユーザーが認められた操作内容をサーバーに確認。ファイルを復号化した上で,WordやExcel,Adobe Readerなどを制御し,操作を制限する。
ユーザー認証基盤導入が大前提
文書ファイルにはIDが埋め込まれているだけで,権限情報や復号鍵は,利用時にサーバーからその都度取得する仕組みである。このような仕組みにしているのは,文書ファイルの操作権限をリアルタイムに変更できるようにするためだ。重要な開発プロジェクトに携わっていた社員がそのプロジェクトから外れたら,権限情報を変更し閲覧禁止にすることで,異動したその日からファイルを操作不能にする。
文書ファイルを開くたびに,サーバーにアクセスする仕組みは,ファイルの操作記録を収集するのにも役立つ。ほとんどの製品が,操作履歴を保存する機能を備えている。
ただ,文書コントロールを実現するためには,どのクライアント・パソコンをどのユーザーが利用しているかを把握するユーザー認証基盤を構築していることが大前提である。ユーザーの属性情報に応じて,文書ファイルに対する権限を規定する仕組みだからだ。代表的な認証基盤は,Active DirectoryやLDAP(簡易ディレクトリ・アクセス・プロトコル)などだ。また,クライアント・パソコンには,前述したように専用のクライアント・ソフトウエアを導入する必要がある。
