ラネクシーはオンラインセミナー「内部不正やメール誤送信などの情報漏えいリスク対策、最初にすべきことは何?~従業員のセキュリティ意識向上にも役立つ『データ分類』の必要性と実現方法~」を開催した。調査資料などを活用して、データ保護の重要性を解説。同社が販売するデータ漏えい防止サービス「Janussealシリーズ」の有用性をアピールした。
(取材・文/岩田晃久)

データ保護は経営課題

 最初のセッションでは、ラネクシーの第1営業本部プロダクトソリューション部の清水勇佑氏が「データ分類の必要性と実現方法」と題して講演した。清水氏は第三者機関やセキュリティベンダーが実施した調査から国内企業が抱えるセキュリティの課題を解説した。
 
ラネクシー 清水勇佑氏

 まず情報処理推進機構(IPA)の「セキュリティ10大脅威2021(組織編)」の中で、6位に「内部不正による情報漏えい」、9位に「不注意による情報漏えい等の被害」が入ったことに触れ、「ランサムウェア攻撃による被害が拡大しているのはもちろんだが、企業内部の不注意による情報漏えいも長年の課題となっている。内部・外部問わずセキュリティ対策を施すことが重要だ」と語った。

 続けてIPAの調査報告書「企業における営業秘密管理に関する実態調査2020」を引用し、情報漏えいを認識した企業が何を実施したかを説明。従業員301人以上の企業はインシデント発生時に情報漏えい行為を行ったと疑われる社員へのヒアリングやログの確認といった対応ができている一方で、従業員数300人以下企業では何も対応できていないことが明らかになったことから「特に中小企業ではセキュリティ人材の不足が課題となっている」とした。

 また、近年増加しているサプライチェーン攻撃について、日本の取り組みが遅れていることも指摘した。NRIセキュアテクノロジーズ(NRIセキュア)が昨年行った「サプライチェーンに対するセキュリティ統制」に関する調査では、日本、米国、豪州の企業を対象に、国内関連子会社、国内ビジネスパートナーや委託企業、国外関連子会社、国外ビジネスパートナーや委託先企業が行っているセキュリティ対策の把握状況についてアンケートを実施。その結果、日本は米国や豪州に比べ「セキュリティ対策状況を把握していない」と回答した企業が圧倒的に多かったという。

 国内では2022年4月に改正個人情報保護法が、中国やタイ、米国カリフォルニア州などでも個人情報やデータ保護関連の法律が施行されることを受け、「グローバルで情報保護の流れが高まっている。罰則も強化されるため企業は経営課題として認識するべきだ」と強調した。

社員自らがラベルを付与

 こうした課題を解決する有効なソリューションとして、清水氏はラネクシーが販売するデータ漏えい防止サービス「Janussealシリーズ」を紹介した。Janussealシリーズは、各種データに対してセキュリティレベルに応じた「分類ラベル」を割り当てることができるサービス。WordやExcelといったドキュメントに対応する「Janusseal Documents」と、Outlookの送信メールに対応する「Janusseal for Outlook」で構成する。分類ラベルは「極秘」「社外秘」「公開」など、企業の情報機密性に基づいて設定が可能だ。分類ラベルの割り当ては従業員自身が行う。「自らラベルの割り当てをすることでデータの重要性を理解でき、セキュリティ意識の向上が期待できる」としている。

 セミナーでは、同社の関野直美・第1営業本部プロダクトソリューション部プリセールスが実際にJanussealシリーズを使用したデモも実施した。Janusseal Documentsをインストールすると、自動的にWordやExcelの画面にデータの重要度に関する項目が表示され、その中から選択するだけで手軽にデータ分類が行えることや、ヘッダーやフッターに付与した重要度が表示されることで、そのデータの機密性が一目で分かることなどをアピールした。また、ファイルにクレジットカード番号が記載されている場合は、マスキングできる機能を搭載していることも説明した。
 
ラネクシー 関野直美氏

 一方、Janusseal for Outlookについては、メールを送信する際にデータの重要度を選択するダイアログボックスが自動で表示される仕組みとなっていることや、極秘と分類されたファイルを添付してメールを送信しようとした際には、確認を促す画面が表示されるといった機能を紹介した。

セキュリティ対策の第一歩

 次のセッションでは、Janussealシリーズを開発する豪ジャヌスネットでJapanese Liaison and Supportを務める伊藤淳子氏が「高度なデータ分類の使用方法と国際的な応用」をテーマに講演した。「海外ではラベル付けしデータを分類することを『保護マーキング』と呼んでおり、セキュリティ対策の第一歩だという認識が浸透している」と説明。実際に、豪州では政府機関などが率先して保護マーキングに取り組んでいるという。
 
ジャヌスネット 伊藤淳子 Japanese Liaison and Support

 伊藤氏は「データの分類を実施する際は、『公開』『秘』『企業秘密』のようにシンプルな形でスタートすることで従業員の理解が進む。その後、必要に応じてカテゴリー項目を増やしていくことで運用が上手くできる」とアドバイスした。