第2回 競合他社に勝つ!内部不正に強いWebシステムを目指して 〜新規開発システム、現行システムのいずれにも組み込みが容易な対策とは〜

誰から、何を、どのように保護していくか。今後提供・開発していくWebシステム、現在運用中のWebシステムにセキュリティ対策をどのように組み込めばよいか。本コラムでは、Webシステムのセキュリティレベル向上について、システム開発者の視点から「事前」「事後」の具体的な解決法にアプローチしていきます。

企業システムはWeb環境へ。ポータルサイトや文書管理システムなど、社内外の関係者と情報共有するインターフェースは今やWebが当たり前となってきています。このような中、「機密情報を扱っているが大丈夫だろうか…?」、「情報開示は業務上必要だが、共有した情報の管理は厳格に行いたい!」、「今のシステムは情報漏えい対策が取られているだろうか…?」といった、Web系の業務システム(以下、Webシステム)のセキュリティ課題に目を向ける企業ユーザが増えてきています。

Webシステム製品や受託システムの開発に取り組まれている開発ベンダーのプロジェクトマネージャー、システムエンジニア、お客様担当セールスにとっても、セキュリティ対策の強化は、製品力強化、顧客満足度向上に向けた重要テーマの一つとなっており、既に「今のシステムはそのままで内部不正対策を一層強化して欲しい」、「ユーザの利便性を損なうことなく実装できる追加対策を検討して欲しい」といったお客様からの要求対応に取り組まれているところなのではないでしょうか。

Webシステムが直面する内部不正リスクとは

情報漏えい対策は、ともすれば外的要因に目が向けられがちですが、情報漏えい・流出の要因として無視できないのが『内部不正』です。Webシステムを使って業務情報を共有する際には、社員や派遣社員、協力会社など、内部ユーザの不正行為によるリスクに目を向けなければなりません。

一般的に、システムやファイルへのアクセス制限は、外部ユーザからの不正行為に対して有効であっても、許可されたユーザによる不正行為に対しては意外と脆いものです。またユーザのIDを不正に取得する「なりすまし行為」にも注意を払わなくてはいけません。

許可されたユーザが不正行為を行う手法として、例えば、次のようなやり方が考えられます。

画面のキャプチャ、プリントスクリーン

文書ファイルのダウンロード、印刷

図版、画像データなどの二次利用

これらの操作は、セキュリティ上は是非とも制限したい操作です。情報漏えいのリスクなく安全に情報を共有するためには、外部からの攻撃に備えるのはもちろん、内部に潜むリスクにもしっかり目を向けて、不正を許さない仕組み作りを行っていく必要があります。

Webシステムでは何を保護するべきなのか?

Webブラウザの表示内容は、そのまま印刷したり、プリントスクリーン操作で簡単にコピーしたりすることができます。例えば、顧客情報を取り扱うコールセンターやサポート・サービス業務では、操作画面にお客様の大切な情報が表示されます。そのため、画面の印刷・コピー操作などにより、不正に情報が持ち出されかねません。

Webブラウザから直接参照できるOfficeファイルやPDFファイルなどについては言うまでもないでしょう。アクセス制御により、許可されたユーザ以外は閲覧・参照・印刷・保存などができないようにするのはもちろん、許可されたユーザの不正を防ぐ対策が必要です。具体的にはファイルの不正な流用、不正な保存・印刷による持ち出しなどを防ぐ対策が欠かせません。

意外と見落としがちなのが、図版やグラフ、写真画像の漏えいや不正な二次利用を防ぐ対策です。有料で借り出した素材写真(リースポジ)などは、許諾された条件での利用しか認められないものもあり、不正な二次利用によって高額な違約金が発生することもあります。

これらを踏まえ、Webシステムでは、Webブラウザに表示される情報、Web上で共有されるファイルに対して保護対策を講じる必要があります。

どのような観点で保護するべきなのか?

Webシステム上の情報を守るためには、不正発生の「事前」「事後」両面から考えていく必要があります。

事前の対策
見せつつ守る

セキュリティを強化したいが、広く関係者に情報を共有したい。この両立が難しい要件を実現すること。

例えば

アプリケーションメニューやショートカットキー操作の制限で実現する方法があります。Webブラウザに対しては、HTML保存、ソース表示、画像保存、画面キャプチャなどをWebブラウザメニューやキーボード機能から制限します。Office、PDFなどの共有ファイルに対しては、ファイルの保存、印刷、編集、画面キャプチャなどの操作をアプリケーション側から制限します。このように情報共有に必要な機能は残した状態で、不正利用を誘引しかねない機能を制限することが必要です。

事後の対策
流出しても守る

不正利用が発生した際に情報が漏えいしない仕組みを用意しておくこと。

例えば

ファイルの自動暗号化で実現する方法があります。ダウンロードされた共有ファイルに対しては、ユーザが意識することなく自動的に暗号化し、流出しても閲覧できないようにすることが必要です。

機能設計例

Webブラウザに表示される情報の保護

Webサイトにアクセスするユーザが、画面上のコンテンツを流用・持ち出しできないよう、操作を制限します。

  • HTMLファイル
  • 画像ファイル(GIF、BMPなど)
  • 動的コンテンツ(CGI、JSPなど)
  • テキスト文書
  • Ajax
  • Flashファイル

このような操作を制限

  • ソース閲覧
  • ダウンロード
  • キャプチャ
  • 範囲選択
  • 印刷
  • コピー
Web上で共有されるファイルの保護

保護文書の印刷や流用、外部への持ち出しができないよう保護し、ユーザのファイル操作を制限します。

  • Office文書
    (Word、Excel、Powerpoint)
  • PDF文書

このような操作を制限

  • ダウンロード
  • キャプチャ
  • 印刷
  • コピー/ペースト
  • 編集
  • 上書き
  • 外部への情報の持ち出し

開発ベンダーがセキュリティで差別化するための課題と解決法

セキュリティニーズの高まりにより、Webシステム開発時には想定していなかったセキュリティ要件が都度発生しています。セキュリティ要件に対応し続けるために開発ベンダーとしてどのように対処していくか。セキュリティ機能を自社で開発し、Webシステムに組み込むのも選択肢の一つかもしれません。しかし、競合ひしめく状況の中、開発コスト・リソースをWebシステムのコア機能の拡充に集中しなければいけません。コア機能以外の部分に関しては極力コスト・リソースを効率化する必要があります。実際、開発ベンダーからは次のような声も聞かれます。

今後提供・開発していくWebシステム、運用中のWebシステムに更に強化したセキュリティ機能が必要であることは分かっているが、現状の開発体制、費用対効果を考慮すると自社での開発対応はなかなか難しい…

そこでお勧めしたいのが、アドオン型のセキュリティ対策ソフトウェア製品の利用です。利用にあたっては、「事前」「事後」2つの対策を備え、少ない開発工数でアドオンできるものが望ましいでしょう。セキュリティ対策ソフトウェア製品の開発ベンダーと連携するスタイルが取れるのであれば、開発メンバーの負荷を減らすことが期待できます。

アドオン型セキュリティ対策ソフトウェア製品の利用法

新システム開発時の組み込み

システム開発工程に影響を及ぼすことなく、セキュリティレベルの更なる向上が可能になります。お客様への提供形態は、標準機能としての組み込み、もしくはオプションとしての提供が考えられます。

Webシステム運用中のお客様の追加要求への対応

お客様への追加要求に対してスムーズな対応が可能になります。製品バージョンアップ時にオプションとして提供することも考えられます。

「Webコンテンツ保護・情報漏えい対策ソリューション」とは

当社は、開発ベンダーの課題を解決するためのアドオン型セキュリティ対策ソフトウェアとして「Webコンテンツ保護・情報漏えい対策ソリューション」を提供しています。

本ソリューションは、Webブラウザに表示される情報の保護を目的とした『Webブラウザプロテクター AE』、Web上で共有されるファイルの保護を目的とした『Webコンテンツプロテクター AE』の2つのセキュリティ対策ソフトウェア製品で構成されています。いずれもアドオン型の製品なので、今あるシステム、今後開発されるシステムに対して、少ない開発工数でセキュリティレベルをアップさせることが可能になります。いずれか一つ、あるいは両製品をセットで組み込むことも可能です。Webシステムでの安全な情報運用・共有を実現するものとして、官公庁・金融・製造など、機密性の高い情報を扱うお客様を中心に数多くの導入実績を有し、年々お問い合わせも増加しています。

この機会に、御社の開発製品・システムと当社「Webコンテンツ保護・情報漏えい対策ソリューション」の連携を是非ご検討ください。

Webシステム上で共有される重要機密情報の保護を実現 Webコンテンツ保護・情報漏えい対策ソリューション

Webブラウザプロテクター AE

Webブラウザに表示される情報を
流用、漏えいから守ります。

Webサイトにアクセスするユーザが、画面上のコンテンツを流用・持ち出しできないよう、操作を制限します。

  • ユーザ操作制限
  • 流出経路の遮断
  • 操作ログの収集

Webコンテンツプロテクター AE

Web上で共有されるファイルの
流用や持ち出しを防ぎます。

保護文書印刷や流用、外部への持ち出しができないよう保護し、ユーザのファイル操作を制限します。

  • 文書の暗号化
  • ユーザ操作制限
  • 流出経路の遮断
  • 操作ログの収集

適用システム例

グループウェア

コールセンターシステム

顧客窓口システム

社員情報管理システム

社内ナレッジシステム

eラーニングシステム

財務会計システム

文書管理システム

電子決済システム

利用事例

Webブラウザプロテクター AE

官庁様
職員情報管理システム

  • Webブラウザで表示されるテキスト情報に加え、顔写真のコピー&ペースト、印刷、キャプチャなども禁止し、閲覧のみを可能にすることで安全性を向上。
  • 「Webコンテンツプロテクター AE」も同時導入し、ダウンロードしたファイルを強制的に保護する仕組みを構築。

大学様
研究情報管理システム

  • 研究員と作業者のグループで異なる閲覧制御を実施し、部門外への公開禁止情報も含めた研究情報を適切な範囲で共有。
  • ユーザ属性による閲覧制御を可能にしたことで、学外での作業が可能になり、利便性・研究効率を向上。

Webコンテンツプロテクター AE

製造業様
海外委託先との情報共有

  • 企業間・部門間情報共有プラットフォームと連携し、海外委託先と重要情報を安全かつ効率的に共有する仕組みとして導入。
  • 情報共有システムだけでは実現できない、委託先からの二次漏洩まで防止。
  • 情報流出・悪用に怯えることなく、海外の委託先と技術情報を共有することが可能に。

金融業様
ナレッジ保護

  • ブラウザベースのナレッジシステム上の機密文書の適正利用と外部流出防止を実現。
  • 「誰が何を印刷したか」をサーバ・紙の両方で特定し、万が一の時の追跡を可能に。
  • 社員のセキュリティ意識も向上。

金融業様
社内ポータル保護

  • 契約社員やグループ会社社員も利用する社内ポータルの安全運用対策として後付で導入。
  • 利便性はそのままにセキュリティを強化、ダウンロード後のデータ悪用を防止。
  • 通常業務に影響しない/ユーザのリテラシーに依存しない情報漏えい対策の仕組みづくりを実現。

プロセス業様
社内ポータルセキュリティ強化

  • 経営数値情報、中計資料、社長訓示などのファイル共有を行っていたグループ会社ポータルの安全性向上に向けて導入。
  • 「Webブラウザプロテクター AE」も同時導入し、HTMLデータや画像データも合わせて保護。

利用事例について詳しい説明をご希望の方はこちらからお問い合わせください。

関連情報 Webコンテンツ保護・情報漏えい対策ソリューション

掲載日:2016年8月4日

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

セミナー・イベント情報

持出しPCの情報漏えい対策「働き方改革 はじめの一歩パック」を出展します。

セミナー・イベント情報

当セミナー分科会のセッション09において当社社員が講演予定です。
Webサイトの改ざんによる情報漏洩を防ぐ「Tripwire Enterprise」の活用方法をご紹介します。

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

漏えいリスクから企業の情報資産を守る

情報漏えい対策ソリューションリーフレット

情報漏えい対策ソリューションリーフレット

本サイトに掲載しているソリューションをA4裏表でコンパクトにまとめたご紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • Check Point Media Encryption リーフレット

    Check Point Media Encryption(A4・全2ページ)

  • Check Point Full Disk Encryption リーフレット

    Check Point Full Disk Encryption(A4・全2ページ)

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • CylancePROTECT リーフレット

    CylancePROTECT(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策ソリューション リーフレット

    Webコンテンツ保護・情報漏えい対策ソリューション(A4・全4ページ)

漏えいリスクから企業の資産を守る

情報漏えい
対策ソリューション

NECソリューションイノベータの情報漏えい対策ソリューションは、
「内部からの情報漏えい」と「外部からの悪意ある攻撃」2つのリスクに着目し、
お客様の環境、ご要望に沿ったセキュリティ強化対策を、導入のご相談から運用に至るまでワンストップでご提供。お客様の情報資産を安全かつ強固にお守りします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。