本コラムでご紹介している内容のまとめ
第33回セキュリティ対策は情報収集が不可欠な時代へ
脅威インテリジェンスとは何か
誰から、何を、どのように保護していくか。今後提供・開発していくWebシステム、現在運用中のWebシステムにセキュリティ対策をどのように組み込めばよいか。本コラムでは、Webシステムのセキュリティレベル向上について、システム開発者の視点から「事前」「事後」の具体的な解決法にアプローチしていきます。
企業システムはWeb環境へ。ポータルサイトや文書管理システムなど、社内外の関係者と情報共有するインターフェースは今やWebが当たり前となってきています。このような中、「機密情報を扱っているが大丈夫だろうか…?」、「情報開示は業務上必要だが、共有した情報の管理は厳格に行いたい!」、「今のシステムは情報漏えい対策が取られているだろうか…?」といった、Web系の業務システム(以下、Webシステム)のセキュリティ課題に目を向ける企業ユーザが増えてきています。
Webシステム製品や受託システムの開発に取り組まれている開発ベンダーのプロジェクトマネージャー、システムエンジニア、お客様担当セールスにとっても、セキュリティ対策の強化は、製品力強化、顧客満足度向上に向けた重要テーマの一つとなっており、既に「今のシステムはそのままで内部不正対策を一層強化して欲しい」、「ユーザの利便性を損なうことなく実装できる追加対策を検討して欲しい」といったお客様からの要求対応に取り組まれているところなのではないでしょうか。
Webシステムが直面する内部不正リスクとは
情報漏えい対策は、ともすれば外的要因に目が向けられがちですが、情報漏えい・流出の要因として無視できないのが『内部不正』です。Webシステムを使って業務情報を共有する際には、社員や派遣社員、協力会社など、内部ユーザの不正行為によるリスクに目を向けなければなりません。
一般的に、システムやファイルへのアクセス制限は、外部ユーザからの不正行為に対して有効であっても、許可されたユーザによる不正行為に対しては意外と脆いものです。またユーザのIDを不正に取得する「なりすまし行為」にも注意を払わなくてはいけません。
許可されたユーザが不正行為を行う手法として、例えば、次のようなやり方が考えられます。
画面のキャプチャ、プリントスクリーン
文書ファイルのダウンロード、印刷
図版、画像データなどの二次利用
これらの操作は、セキュリティ上は是非とも制限したい操作です。情報漏えいのリスクなく安全に情報を共有するためには、外部からの攻撃に備えるのはもちろん、内部に潜むリスクにもしっかり目を向けて、不正を許さない仕組み作りを行っていく必要があります。
Webシステムでは何を保護するべきなのか?
Webブラウザの表示内容は、そのまま印刷したり、プリントスクリーン操作で簡単にコピーしたりすることができます。例えば、顧客情報を取り扱うコールセンターやサポート・サービス業務では、操作画面にお客様の大切な情報が表示されます。そのため、画面の印刷・コピー操作などにより、不正に情報が持ち出されかねません。
Webブラウザから直接参照できるOfficeファイルやPDFファイルなどについては言うまでもないでしょう。アクセス制御により、許可されたユーザ以外は閲覧・参照・印刷・保存などができないようにするのはもちろん、許可されたユーザの不正を防ぐ対策が必要です。具体的にはファイルの不正な流用、不正な保存・印刷による持ち出しなどを防ぐ対策が欠かせません。
意外と見落としがちなのが、図版やグラフ、写真画像の漏えいや不正な二次利用を防ぐ対策です。有料で借り出した素材写真(リースポジ)などは、許諾された条件での利用しか認められないものもあり、不正な二次利用によって高額な違約金が発生することもあります。
これらを踏まえ、Webシステムでは、Webブラウザに表示される情報、Web上で共有されるファイルに対して保護対策を講じる必要があります。
どのような観点で保護するべきなのか?
Webシステム上の情報を守るためには、不正発生の「事前」「事後」両面から考えていく必要があります。
事前の対策
見せつつ守る
セキュリティを強化したいが、広く関係者に情報を共有したい。この両立が難しい要件を実現すること。
アプリケーションメニューやショートカットキー操作の制限で実現する方法があります。Webブラウザに対しては、HTML保存、ソース表示、画像保存、画面キャプチャなどをWebブラウザメニューやキーボード機能から制限します。Office、PDFなどの共有ファイルに対しては、ファイルの保存、印刷、編集、画面キャプチャなどの操作をアプリケーション側から制限します。このように情報共有に必要な機能は残した状態で、不正利用を誘引しかねない機能を制限することが必要です。
事後の対策
流出しても守る
不正利用が発生した際に情報が漏えいしない仕組みを用意しておくこと。
ファイルの自動暗号化で実現する方法があります。ダウンロードされた共有ファイルに対しては、ユーザが意識することなく自動的に暗号化し、流出しても閲覧できないようにすることが必要です。
機能設計例
Webブラウザに表示される情報の保護
Webサイトにアクセスするユーザが、画面上のコンテンツを流用・持ち出しできないよう、操作を制限します。
- HTMLファイル
- 画像ファイル(GIF、BMPなど)
- 動的コンテンツ(CGI、JSPなど)
- テキスト文書
- Ajax
- Flashファイル
- ソース閲覧
- ダウンロード
- キャプチャ
- 範囲選択
- 印刷
- コピー
Web上で共有されるファイルの保護
保護文書の印刷や流用、外部への持ち出しができないよう保護し、ユーザのファイル操作を制限します。
- Office文書
(Word、Excel、Powerpoint) - PDF文書
- ダウンロード
- キャプチャ
- 印刷
- コピー/ペースト
- 編集
- 上書き
- 外部への情報の持ち出し
開発ベンダーがセキュリティで差別化するための課題と解決法
セキュリティニーズの高まりにより、Webシステム開発時には想定していなかったセキュリティ要件が都度発生しています。セキュリティ要件に対応し続けるために開発ベンダーとしてどのように対処していくか。セキュリティ機能を自社で開発し、Webシステムに組み込むのも選択肢の一つかもしれません。しかし、競合ひしめく状況の中、開発コスト・リソースをWebシステムのコア機能の拡充に集中しなければいけません。コア機能以外の部分に関しては極力コスト・リソースを効率化する必要があります。実際、開発ベンダーからは次のような声も聞かれます。
今後提供・開発していくWebシステム、運用中のWebシステムに更に強化したセキュリティ機能が必要であることは分かっているが、現状の開発体制、費用対効果を考慮すると自社での開発対応はなかなか難しい…
そこでお勧めしたいのが、アドオン型のセキュリティ対策ソフトウェア製品の利用です。利用にあたっては、「事前」「事後」2つの対策を備え、少ない開発工数でアドオンできるものが望ましいでしょう。セキュリティ対策ソフトウェア製品の開発ベンダーと連携するスタイルが取れるのであれば、開発メンバーの負荷を減らすことが期待できます。
アドオン型セキュリティ対策ソフトウェア製品の利用法
新システム開発時の組み込み
システム開発工程に影響を及ぼすことなく、セキュリティレベルの更なる向上が可能になります。お客様への提供形態は、標準機能としての組み込み、もしくはオプションとしての提供が考えられます。
Webシステム運用中のお客様の追加要求への対応
お客様への追加要求に対してスムーズな対応が可能になります。製品バージョンアップ時にオプションとして提供することも考えられます。
「Webコンテンツ保護・情報漏えい対策ソリューション」とは
当社は、開発ベンダーの課題を解決するためのアドオン型セキュリティ対策ソフトウェアとして「Webコンテンツ保護・情報漏えい対策ソリューション」を提供しています。
本ソリューションは、Webブラウザに表示される情報の保護を目的とした『Webブラウザプロテクター AE』、Web上で共有されるファイルの保護を目的とした『Webコンテンツプロテクター AE』の2つのセキュリティ対策ソフトウェア製品で構成されています。いずれもアドオン型の製品なので、今あるシステム、今後開発されるシステムに対して、少ない開発工数でセキュリティレベルをアップさせることが可能になります。いずれか一つ、あるいは両製品をセットで組み込むことも可能です。Webシステムでの安全な情報運用・共有を実現するものとして、官公庁・金融・製造など、機密性の高い情報を扱うお客様を中心に数多くの導入実績を有し、年々お問い合わせも増加しています。
この機会に、御社の開発製品・システムと当社「Webコンテンツ保護・情報漏えい対策ソリューション」の連携を是非ご検討ください。
Webブラウザに表示される情報を
流用、漏えいから守ります。
Webサイトにアクセスするユーザが、画面上のコンテンツを流用・持ち出しできないよう、操作を制限します。
- ユーザ操作制限
- 流出経路の遮断
- 操作ログの収集
Web上で共有されるファイルの
流用や持ち出しを防ぎます。
保護文書印刷や流用、外部への持ち出しができないよう保護し、ユーザのファイル操作を制限します。
- 文書の暗号化
- ユーザ操作制限
- 流出経路の遮断
- 操作ログの収集
適用システム例
グループウェア
コールセンターシステム
顧客窓口システム
社員情報管理システム
社内ナレッジシステム
eラーニングシステム
財務会計システム
文書管理システム
電子決済システム
利用事例
官庁様
職員情報管理システム
- Webブラウザで表示されるテキスト情報に加え、顔写真のコピー&ペースト、印刷、キャプチャなども禁止し、閲覧のみを可能にすることで安全性を向上。
- 「Webコンテンツプロテクター AE」も同時導入し、ダウンロードしたファイルを強制的に保護する仕組みを構築。
大学様
研究情報管理システム
- 研究員と作業者のグループで異なる閲覧制御を実施し、部門外への公開禁止情報も含めた研究情報を適切な範囲で共有。
- ユーザ属性による閲覧制御を可能にしたことで、学外での作業が可能になり、利便性・研究効率を向上。
製造業様
海外委託先との情報共有
- 企業間・部門間情報共有プラットフォームと連携し、海外委託先と重要情報を安全かつ効率的に共有する仕組みとして導入。
- 情報共有システムだけでは実現できない、委託先からの二次漏洩まで防止。
- 情報流出・悪用に怯えることなく、海外の委託先と技術情報を共有することが可能に。
金融業様
ナレッジ保護
- ブラウザベースのナレッジシステム上の機密文書の適正利用と外部流出防止を実現。
- 「誰が何を印刷したか」をサーバ・紙の両方で特定し、万が一の時の追跡を可能に。
- 社員のセキュリティ意識も向上。
金融業様
社内ポータル保護
- 契約社員やグループ会社社員も利用する社内ポータルの安全運用対策として後付で導入。
- 利便性はそのままにセキュリティを強化、ダウンロード後のデータ悪用を防止。
- 通常業務に影響しない/ユーザのリテラシーに依存しない情報漏えい対策の仕組みづくりを実現。
プロセス業様
社内ポータルセキュリティ強化
- 経営数値情報、中計資料、社長訓示などのファイル共有を行っていたグループ会社ポータルの安全性向上に向けて導入。
- 「Webブラウザプロテクター AE」も同時導入し、HTMLデータや画像データも合わせて保護。
利用事例について詳しい説明をご希望の方はこちらからお問い合わせください。
掲載日:2016年8月4日
情報セキュリティコラム
情報漏えい対策の視角
セミナー・イベント情報
現在ご案内中のイベント・セミナーはございません。
注目のコンテンツ
テレワーク環境にもおすすめ
CylancePROTECT 無料トライアル(1カ月)をお試しいただけます!
無料トライアル紹介資料をご提供しています
CylancePROTECTは業種や事業規模を問わず、様々なお客様にご活用頂いております。CylancePROTECTの「使い勝手を知りたい」「自社の運用に合うか確かめたい」といったご要望にお応えするために、CylancePROTECTの無料トライアル(1カ月間)をご用意いたしました。
ただいま無料トライアルの流れをご紹介した資料を差し上げております。
※資料では旧製品名である「BlackBerry」となっておりますが最新の内容となります。
資料ダウンロード
企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。
サイバー脅威からお客様の資産・ビジネスを守る
サイバーセキュリティ対応のポイント リーフレット
NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。
(A4・全2ページ)情報セキュリティ対策の特集/業界トレンド情報をご提供
ホワイトペーパー
-
IT部門 意思決定者を対象
(A4/全8ページ)
とした調査結果レポート -
「終わりなきITセキュリティ対策」
(A4/全4ページ)
に必要な2つの視点とは -
21世紀のセキュリティに
(A4/全6ページ)
AIが果たす役割
情報漏えい対策ソリューション
製品ご紹介リーフレット
本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。
-
NonCopy2(A4・全2ページ)
-
4thEye Professional(A4・全2ページ)
-
Tripwire Enterprise(A4・全2ページ)
-
CylancePROTECT(A4・全2ページ)
-
Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)
サイバー脅威からお客様の資産・ビジネスを守る
サイバーセキュリティ
サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。
