解説●ウイルスやメール誤送信による
情報漏えいを防ぐ(下)
キーワードでのフィルタリングは難しい,
メール保存などでユーザーの意識を向上
日経オープンシステム 2002年7月号,100ページより 社外秘の件名をルール化
| ||
|
過失による情報漏えいの防止に目的を絞って,フィルタリングをかけた企業もある。住友金属工業では,メールの保存に併せて,あらかじめ決められた文字列を含むメールのみをフィルタリングしていた(図3[拡大表示])*8。
同社では,社外に出してはいけないメールには,特定の文字列(例えば「秘」)を件名に含める規則を作った。この文字列でフィルタリングするのである。もちろん社員がこの規則を守らなければ意味はないが,守っている社員の誤送信は,フィルタリング・ソフトが食い止めてくれる。
誤送信ではないのにフィルタリングされてしまった場合には,社員は管理者にその旨を通知すればよい。管理者はメールの中身をチェックすることなく,フィルタリングされたメールを,改めて社外へ送信する。
当然,この運用では故意による情報漏えいは防げない。その代わり,ルール設定や内容の判断などの負荷がかからない。
不要なフィルタリングに備える
Webフィルタリング・ソフトの場合には,運用の手間は比較的かからない(表2[拡大表示])。管理者がルールを設定する必要がほとんどないからだ。ただし,いずれのユーザー企業も,不要なフィルタリングに備えた運用をしている。
Webフィルタリング・ソフトでは,管理者がルールを設定しなくても,例えば「ギャンブル」や「アダルト」といったカテゴリを指定すれば,ベンダーが提供するデータベースを基に,そのカテゴリに該当するサイトへのアクセスがフィルタリングされる。
とはいえ,運用の手間が全くかからないわけではない。業務上閲覧する必要があるサイトもフィルタリングしてしまう場合があるからだ。
そのため,今回取材したいずれの企業も,ユーザーからの要求があれば,管理者がそのサイトをチェックした上で,アクセスを許可する運用体制を敷いている。
国土交通省では,導入前に各部署から業務に必要なカテゴリをリストアップしてもらい,それに応じてフィルタリングのルールを部署ごとに設定した。「例えば,競艇を管轄している部署については,『ギャンブル』のサイトを閲覧する必要がある」(総合政策局情報管理部 行政情報システム室長 大島宏志氏)*9。
技術だけでは防げない
「フィルタリング・ソフトだけで情報漏えいを防げるとは考えていない」(神戸製鋼所の林氏)――。今回取材したすべてのユーザー企業から同様の話を聞いた。
いずれの企業も,社員のセキュリティ意識を高めなくては情報漏えいを防げないことを認識し,あくまでもその一助としてフィルタリング・ソフトを使っている。
もちろん,製品の機能を使いこなせば,社員の意識を高める以上のことが可能である。しかし,運用の負荷は大きくなる。導入の際には,かけられる運用コストと,得られる効果を十分考慮する必要がある。このことは,フィルタリング・ソフトに限ったことではない。