情報流出を“元から”断つ
暗号化ソフト市場が立ち上がる

大森敏行

2003.11.27

個人情報保護法の成立や相次ぐ顧客情報の流出事件をきっかけに、社内文書の流出を防ぐ製品が注目されている。かつてはコンテンツ・ビジネス向けだったDRM（デジタル著作権管理）ソフトで、昨年から今年にかけてこの分野を狙った多くの製品が登場している。マイクロソフトも、「Windows Rights Management Services（RMS）」を投入して参入した。

（大森　敏行）

本記事は日経コンピュータ2003年12月1日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「クローズアップ」の全文をお読みいただける【無料】サンプル版を差し上げます。お申込みはこちらでお受けしています。なお本号のご購入はバックナンバーをご利用ください。

　顧客の個人情報の流出に代表される情報漏洩の多くは、内部の人間によるものだということが「定説」になりつつある（本誌2003年6月30日号特集「情報はここから漏れる」を参照）。高額での売却を狙った顧客名簿の持ち出しといった悪質なケースもあるが、社内の重要情報を記したファイルを気軽な気持ちで社外の取引先に渡したり、メール・ソフトの操作ミスで重要ファイルをうっかり電子メールに添付して送ってしまうケースもある。

　こうした内部からの情報流出に対して、企業は対策の必要性を感じ始めている。最近の調査によると、「内部からの情報漏洩に十分な対策ができている」と答えた企業は24％に過ぎない。今後力を入れたい情報セキュリティ対策では、「社外への対策」を挙げた企業が57％だったのに対し、「内部への対策」を挙げた企業は75％。内部からの情報流出対策に企業の関心が高まっているのがわかる。

「転ばぬ先の杖」を用意

　社内の情報セキュリティ対策として最も重要なのは、一人ひとりの社員のセキュリティ意識を高め、安易に社内情報を持ち出さないよう教育することだ。ただ、人間にはミスは付き物。不注意で重要なファイルを外部に流出させてしまう事故はどうしても起こる。教育に加え、たとえ社員がミスを犯しても情報漏洩につながらない仕組み作りも重要だ。

図1●企業情報の流出防止に使うためのデジタル著作権管理（DRM）システム。主に(1)暗号化、(2)ユーザー認証、(3)アクセス権制御の三つの機能からなる

　こうした仕組みの一つとして最近注目を集めているのが、デジタル著作権管理（DRM）システムである（図1[拡大表示]）。DRMはもともと、音楽や画像、動画といったコンテンツの配信ビジネスを行う際に、不正コピーを防ぐために開発されたもの。主要な機能は、暗号化、ユーザー認証、アクセス権制御の三つである。コンテンツ提供者側でファイルを暗号化し、認証された正規のユーザーだけが復号化して利用できるようにする。こうすれば、たとえコピーされても正規のユーザー以外はコンテンツを利用できない。

　音楽や画像、動画の場合は、ユーザーに許される“利用”は「視聴」ということになるが、これを「閲覧、印刷、コピー、編集」などに置き換えると、社内文書の流出防止向けのDRM製品ということになる。

　これまで、社内情報の流出防止技術は、流出経路ごとの対策が一般的だった（図2上[拡大表示]）。メールによる情報流出に関しては、「社外秘」など特定の文字列を含むメールを検出すると社外への送信を止めるフィルタリングが広く行われている。パソコンが紛失したり盗難に遭った際の対策としては、ハードディスク全体を一括して暗号化しておくなどの手段がある。廃棄パソコンからの情報流出を防ぐため、廃棄の際にはハードディスクのデータを完全に消去するのも一般的になってきた。

　これらの対策はもちろん有効だ。ただ、セキュリティに完全な対策はあり得ない。重要な社内情報を含むメールがフィルタリングをすり抜ける場合もあるだろうし、ハードディスク全体を暗号化してもパスワードを類推されればそれまでだ。

図2●「ファイル単位の暗号化」による情報流出防止に注目が集まる。従来の情報流出対策は、流出経路ごとに行うのが一般的だった。これにDRMを加えて個々のファイルを暗号化すれば、より情報流出のリスクを抑えられる

　そこで、「流出経路」に対する対策に加え、「ファイルそのもの」を暗号化しようという考え方が新たに出てきた（図2下[拡大表示]）。ファイル自体を暗号化しておけば、たとえファイルが流出しても、復号化の手段を知らない第三者には内容は分からない。

　ただ、やみくもにファイルを暗号化しても暗号キーの管理が大変である。誰にどんな操作を許すかという権限を設定するのも重要だ。まさにそれに打ってつけなのが、図1[拡大表示]に示したような企業情報の流出防止に特化したDRMソフトなのである。

マイクロソフト参入が追い風に

　こうした流出防止用DRMソフトはまだ導入実績は少なく、大きな市場を形成するには至っていない。1999年に日立ソフトウェアエンジニアリングが発売し、この分野の草分け的な存在である「秘文エンタープライズ」（現行製品は後継の「秘文Advanced Server」）でも、販売実績は13万本程度。だが、将来的には有望と見て「雨後のたけのこのように」（あるメーカーの製品担当者）多くの製品が登場している。

続きは日経コンピュータ2003年12月1日号をお読み下さい。この号のご購入はバックナンバーをご利用ください。