コミュニケーションセキュリティを経営課題として捉える姿勢

　日本においても、2005年（平成17年）4月1日の個人情報保護法施行を契機として、暗号化などクライアントPCレベルのセキュリティ対策が進められてきました。さらにJ-SOX法の動きを背景に、内部統制強化に向けたセキュリティ管理を経営課題として考える企業が急増しています。また、企業システムがクライアント／サーバー型からWeb化に向かう中で、企業資産である機密情報や設計データなどのダウンロードやプリントアウトに対する無防備さに対する警鐘が鳴らされ始めました。

　いずれにしても、ビジネスのシステム依存度がますます高まる中で、デジタル化された情報はいとも簡単に大量複写され、社外に持ち出される危険性があることを、十分に認識する必要があります。さらに、現代のビジネス環境がグループ企業をはじめ、取引先やパートナー企業などを基盤に、有機的な結合を深めている事実を忘れてはいけません。すなわち、相互に深く結びついたネットワーク型社会は、その連携が深まった分だけ、リスクの相互波及度も大きくなっており、「コミュニケーションセキュリティ」の確保は、事業継続を考える上でも最重要課題のひとつなのです。

　コミュニケーションセキュリティに関するマネジメント体制を築くには、明確なセキュリティポリシーとルールの確立が不可欠です。情報価値の認識やその扱い姿勢の徹底は、コミュニケーションに対する社内のモラルアップと共に、外部に対しても自社の情報管理の正当性を証明することになるからです。

ポリシー構築からIT戦略までを貫くトータルソリューション

　いまやITの活用なくして、企業情報を守ることはできません。明確なポリシーやルールを築き、企業全体で情報価値を再認識し情報を守る機運が形成されたら、電子化された情報をガードするIT戦略の徹底が必要です。

　ＮＥＣソフトは、多くのお客さま情報や開発資産を有する企業として、社内意識の醸成とIT施策を両輪としながら、早い時期からコミュニケーションセキュリティ管理の徹底を進めてきました。その経験とノウハウを基盤に、セキュリティポリシー構築に対するコンサルティングなどの上流プロセスから、具体的なセキュリティソリューションのご提案、構築から運用に至る一貫した流れを、トータルにご提供できる点がアドバンテージであると考えています。

　以下では、コミュニケーションセキュリティを脅かすリスク領域ごとに、私たちがご提供する具体的なソリューションの一端を紹介していきます。

無用のWebコンテンツ持ち出しやコピー、印刷を防御

　企業資産であるデータは、もちろんしっかりガードされなければなりません。しかし、それが逆にスムーズな情報流通を妨げる要因となり、ビジネスの流れに支障が生じたり、利便性を損なって機会損失を招いたりすることになれば、本末転倒です。つまり、ネットワークへの不適切な侵入やデータへのアクセス、複製や持ち出しをガードしながら、適切なユーザーに対して適切なデータの閲覧や参照をスムーズに提供できる体制を築かなければなりません。

図：コミュニケーションセキュリティの位置づけ

　「Webコンテンツプロテクター AE」は、任意のWebコンテンツに対して、ファイル別／ユーザー別にセキュリティポリシーを適用し、Webサーバー上の各種コンテンツの印刷や保存、コピーを禁止したり、あるいはダウンロード後のファイルを自動的に暗号化して保護したり、柔軟なセキュリティ制御の下に情報の機密性を厳しく守ります。また、コンテンツへのアクセスやダウンロード、印刷などの操作をログ管理しており、証跡管理が可能なため、無用のデータアクセスへの抑止効果も期待できます。

　また「Webブラウザプロテクター AE」は、指定したWebコンテンツへのアクセスに対してブラウザ機能を制限することにより、全ユーザーに、同一のセキュリティポリシーを適用できます。コンテンツのコピーや保存、印刷、ソース表示、画像キャプチャーなどの制限およびブラウザの操作を無効化して、データの改ざんや悪用を防ぎます。さらにWebコンテンツプロテクター AEと同様に、通信データの暗号化や操作ログ管理を実現します。

　ビジネス環境の多様化の中で、いつでもどこでも利用できるセキュアなメールシステムの必要性も拡大しています。そこで「WitchyMail」は外出先や自宅、共有端末など、ブラウザがあればメールの送受信ができるWebメールの機動性を発揮。さらに、使い慣れたメジャーなメーラーと同様の操作性を提供します。また、暗号化製品との連携やSSL対応によって、確かなセキュリティを確保。ブラウザから閲覧したメールデータは、クライアントPCやブラウザのキャッシュに残らないので、データ漏えいの心配もありません。

　さらに、これらのシステムを連携させることで、より強固なセキュリティの実現が可能です。例えば、WitchyMailとWebコンテンツプロテクター AEを連携させ、メール添付ファイルの端末へのダウンロードや保存を抑止することもできます。

メールによる情報漏えいやスパムから企業を守る

　情報漏えいは、悪意ある第三者のネットワーク侵入やハッキングなどもさることながら、実際にはファイル添付ミスやTO／CCの宛先間違いなど、不注意や過失による社内のメール事故によって起こるケースが多いのです。また、複数のサーバーを経由する電子メールの情報は、フィルタリングだけで防ぐことはできません。

　「GUARDIANWALL」は、発信メールのサイズや宛先やアドレス数、添付ファイルの形式などをサーバー上で精査。キーワード検索や個人情報チェックなども可能です。さらに送信メールや保留・削除されたメールも、しっかりアーカイブします。また、暗号化を組み合わせた「GUARDIANWALL+PGP」では、GUARDIANWALLでの前述のチェックに加え、例えば個人情報を含むメールの場合などに暗号化が必要と判定し、送信前に自動的に暗号化します。暗号化を担う「PGP Universal」もゲートウェイ製品なので、サーバー上で自動的に動作します。暗号化するか否かの判断をメール送信者に委ねることなく、全体的に統一されたセキュリティポリシーに沿ったメール暗号化送信の徹底が実現します。アーカイブしたメールデータは暗号化する前の形で蓄積されるので、管理者による判読も可能でメール監査や証跡管理にも有効です。これらのメールフィルタリング（検査や査閲送信）、アーカイブ（メール保存・監査）からメール暗号化という仕組みが組織内に浸透することで、情報漏えい防止・抑止効果が期待できます。さらに、暗号化に伴う外部機関のデジタル証明を要さないので、コストや運用面でも効率的です。国際的な普及度も高いので海外とのやり取りもスムーズ。バックドアなどに対する信頼性も、グローバルな活用事例の中で証明されています。

　また、一方的かつ大量に送られてくるスパムは、本来のコミュニケーションを阻害するだけでなく、正規のメールやWebサイトを装ったフィッシング詐欺などの脅威を孕んでいます。さらに、自社のサーバーがDoS攻撃の踏み台などにされ、知らない間に加害者になってしまう危険を招くことにもなりかねません。

　「AddPoint/SpamWallServer」は、企業のポリシーに沿って高精度なスパム対策を実現。フィッシングをはじめ、次々と登場する新たな脅威をブロックしながら、確実に不要メールを振り分け、重要なメールの見落としや迷惑メールによる生産性低下を防ぎます。

　さらに、高精度のフィルタリングやメール通数・サイズによる拒否・遅延にも対応し、大量のメール受信によるメールサーバーの負荷拡大やディスク容量の浪費を防ぎ、スムーズな管理運用を実現します。

　ＮＥＣソフトでは以上紹介してきた製品をはじめ、多くのコミュニケーションセキュリティ製品群を用意しています。お客さまのセキュリティ戦略やポリシーに即して、それぞれの環境に適したソリューションを提供することが可能です。