...

文書セキュリティ向上のためのデータの定義

by user

on
Category: Documents
28

views

Report

Comments

Transcript

文書セキュリティ向上のためのデータの定義
文書セキュリティ向上のためのデータの定義 ホワイトペーパー
文書セキュリティ向上のためのデータの定義
文書を分類することによって、何の情報を保護すればよいのか見えてきます。
目次
前シリーズのホワイトペーパー「デリケートなバランス: モバイルの世界での IT とユーザーの競合するニーズ」では、文書に
1:モバイルの世界での機密
関する生産性の高いモバイル作業の要望について説明しました。モバイルやクラウドの環境では、企業の責任から企業内のセ
および取り扱い注意文書
キュリティまで様々なリスクが考えられます。個人のデバイスは、ファイル共有およびアカウント同期の急増に伴い、多くの
2:コンテンツの管理
職場で使用が始まっており、従業員が企業の機密および取り扱い注意文書を送信および保存するのに使用されています。さら
2:文 書の制御を検討する
に、従業員はモバイルデバイスを通じて企業のコンテンツに安全にアクセスするだけでなく、これらのモバイルデバイスで作
3:まとめ
成された新しいコンテンツも利用しています。
一方、モバイルエコシステムは従業員の生産性を飛躍的に向上させていることが、利用され続けている理由です。このホワイ
トペーパーでは、このような半構造化されていながらも整備が整っていない環境で、IT はどのようにコンテンツを管理および
保護できるか、という問題について考えます。
IT のニーズを犠牲にするこ
と な く、IT が い か に 文 書 を
モバイルの世界での機密および取り扱い注意文書
使用するモバイルワーカー
企業が組織のモビリティをサポートする際、機密および取り扱い注意情報を含む電子文書の安全性を確保することは 1 つの
の生産性を高めることがで
課題であり、場合によっては深刻な結果を招きかねません。セキュリティ関連の事故は、財政的な観点からだけでなく、顧
きるかを探る、3 部構成のシ
客の信頼を失うという意味でも大きな損失です。PWC(プライスウォーターハウスクーパース)が実施した最近の調査では、
リーズの 2 つ目のホワイト
ペーパーです。
28.6%の回答者が、自社がセキュリティ関連の事故により財政的損失を被ったと答えています。
第 1 部: デ リ ケ ー ト な バ
文書に関しては、多くの情報セキュリティソリューションでは、電子コンテンツの保存場所の保護、または送信中の保護に限
ランス: モバイルの世界で
定して、セキュリティ保護が試行されています。ただし、これらのソリューションでは、電子文書のライフサイクル全体を保
の IT とユーザーの競合する
ニーズ
第 2 部: 文書セキュリティ
向上のためのデータの定義
第 3 部: ハイブリッド IT は
護することはできません。
モバイルおよびクラウド環境での企業情報のアクセスに関する懸念がすべての従業員に当てはまらないまでも、多くの企業の
一定の従業員が、次の理由で既成の枠を取り払おうとしています。
企業モビリティをどのよう
• 複数のデバイスを操作し、これらのデバイス全体でファイルを同期する必要がある
にサポートできるか
• 複数のアプリケーションを使用して、モバイルデバイス上で作業を仕上げる(電子メールやカレンダー機能の利用にとどま
らない)
• 出張が多い
• BYOD プログラムに参加する(サポートされている場合)
すべての従業員が同じ LAN 上の企業ファイアウォールの内側で、同じ種類のデバイスを使用することが想定される IT モデル
では、これらの従業員の要求を十分に満たすことはできません。モバイルワーカーをサポートするだけでなく、ファイアウォー
ルの外側にあるファイルのセキュリティを保護する、現実的な環境で機能するモデルが必要です。
コンテンツの管理
データ分類は見落としがちですが、文書のセキュリティとコントロールの構成要素として非常に重要です。文書の分類を行え
ば、保護が必要な文書がわかります。
次の表に、保存または送信される電子情報の分類スキーマの例を示します。カテゴリは、使いやすさやコンプライアンスの可
能性を考慮して、意図的にシンプルにしています。
データ分類
定義
例
公開
任意の個人に公開される組織に関連した情報。
公開 Web サイト、広告、プレスリリース上の情報
すべての正社員および派遣社員が利用できるものの、
社内の従業員名簿のデータ、一部の社内報
内部
一般に公開されない情報。
機密
従業員や契約社員など従業員の役割に応じて定義された、
メモ、計画書、戦略文書、契約書、顧客データ
限られた関係者のみが知っておく必要のある情報。
極秘
価値の高い情報。このクラスのデータへの無許可のアク
個人データ、社内財務報告書、顧客の機密データ、合併
セスは、業務上または規則上の重大なリスクを伴います。
買収の情報、非公開の契約書、事業計画、インサイダー
このクラスの情報は、特定の従業員や他のスペシャリス
情報、規制情報
トなど限られた従業員のみが利用できます。
モバイルデバイスで許可する、またはクラウドで転送されるビジネスデータの種類を慎重に選択する必要があるのは明らかで
すが、何から始めればいいか判断に迷います。電子情報の分類では、その機密性ごとにデータを整理し、最初に最も脆弱なコ
ンテンツのリソースから取り掛かるというフレームワークを使用します。
組織がコンテンツをカテゴリ分けしたら、次のステップは、各カテゴリに必要な保護レベルの設定です。例えば、どの文書を
パブリッククラウドに保存できるかを決めます。価値が高いため格納できないと思われるデータを、慎重に調査せずに簡単に
モバイルデバイスで利用できるようにするべきではありません。検討事項は、クラウドストレージだけではありません。前シ
リーズのホワイトペーパーでも触れたように、多くの場合、従業員はモバイルデバイス上で文書をオフラインで表示できる機
能を求めています。とはいえ、デバイスが盗まれたら、そこにある文書も失われます。
さらに、モバイル文書ソリューションを利用する可能性の高い従業員にガバナンスプログラムを実施することで、組織として
文書セキュリティ向上プログラムを開始するのに有効な出発点を提供します。
文書の制御を検討する
文書管理システムまたはファイアウォールの外側で一度共有された文書を保護することは容易なことではありません。ただし、
ソフトウェアの文書セキュリティ機能により、文書がどこに送信されても、その文書に選択したセキュリティレベルを保持す
ることで、そのリスクを軽減できます。以下に例を示します。
暗号化 知的財産、機密情報、またはその他の機密コンテンツを含むデジタルドキュメントを作成および共有するときは必ず
誤用または悪用を避けるためそれを保護する必要があります。ユーザーが文書に対して行える項目は、保護された文書に付随
する権限に依存します。例えば、パスワード権限を使用すると、
文書へのアクセス権がある受信者が、
フィールドのコピー、
編集、
入力、コメントの追加、ページの挿入または削除、または文書への電子署名を通じて、文書を開いたり、印刷したり、修正し
たりできるかどうかを指定できます。
墨消し この機能には、機密性の高いテキストやイラスト(顧客の名前、口座番号、住所など)を PDF 文書で選択し、それを
ファイルから完全に削除するツールセットが用意されています。また、一般的なパターン(電話番号、クレジットカード番号、
電子メールアドレスなど)に基づいて、検索や墨消しを行うこともできます。削除される情報は黒いボックスに置き換えられ
ます。これにより、その情報が元はどこにあったかがわかります。これは、
印刷されたページのコンテンツを隠すために黒のマー
カーを使用するのと同じくらい簡単ですが、機密情報を単に隠すのではなく、ファイルから完全に削除するため、安全性をよ
り高めることができます。
墨消しは、政府機関、企業およびあらゆる種類または規模の組織にとって極めて重要な機能です。機密情報が誤って公開文書
に含まれる可能性を最小化し、その結果生じるかもしれない法的責任のリスクを軽減します。
文書セキュリティ向上のためのデータの定義 ホワイトペーパー
2
非表示情報の削除 墨消しと同様、非表示情報の削除機能は、文書内のテキスト、メタデータ、注釈、添付ファイル、レイヤー、
ブックマークを含む、隠れた情報を処理します。コンプライアンスへの適合、またプライバシーおよび知的財産の保護にあたっ
ては、文書を配布する前に文書から非表示情報が確実に削除されているようにする必要があります。
証明書または電子署名 金融取引、法的取引、その他の規制取引など、多くのビジネス取引では、文書への署名時に高い保
証が要求されます。この要求に応えるため、多くの企業では、参加者の身元を単独で検証するサードパーティの認証機関を
使用して、独自の証明書ベースの署名インフラストラクチャを設けることを選択しています。例として、SAFE(Signatures &
Authentication For Everyone)BioPharma 業界標準に準拠した署名を使用する製薬会社や、ETSI PAdES 標準(PDF Advanced
Electronic Signatures)に準拠する必要のある欧州連合の企業などが挙げられます。
証明書ベースのデジタル ID を確立したら、それを使用して、ファイルに署名することができます。証明書の署名(電子署名と
も呼ばれる)を使用すると、署名者の身元の検証、文書の真正性の検証、サードパーティのタイムスタンプサーバーでタイム
スタンプが追加された文書、作成者の表示または非表示署名付きの文書の証明書、または長期間検証のための組み込み証明書
データを必要とするビジネスプロセスをサポートできます。高い信頼性を必要とするビジネスプロセスは、
通常サードパーティ
の認証局が発行したデジタル ID を展開しますが、独自の証明書ベースのデジタル ID を作成することもできます。
これらの機能が、使用するデータ分類スキーマ内の文書に適用できるかどうかご検討ください。
まとめ
デバイス上のファイルにアクセスしたり、表示および注釈付けする機能は画期的です。この機能により、従業員は、特定の場
所や限られた組み合わせのデバイスに限定した仕事のやり方から解放されます。それと同時に、この技術は、企業のデータ保
護プログラムの向上にもつながります。
データ分類により、保護する必要のある最も重要な情報を特定してから、その決定を一貫した構造化されたアプローチに集約
して文書を保護できます。また、文書を自身で保護するためのオプションを探ることで、セキュリティ関連の事故のリスクを
軽減できます。
今のところ、文書に関するモバイルワーカーのニーズをサポートするために必要なすべての技術的要素は揃っていますが、
それを 1 つにまとめることはまた別の課題です。これが、エンタープライズレベルのセキュリティに満たないソリューション
を統合する理由です。
しかし、オンプレミス環境とオフプレミス環境の組み合わせである現状をサポートし、かつ利用しし続けなければならないア
プリケーションの市場には、依然として大きなギャップがあります。シリーズ 3 のホワイトペーパー「ハイブリッド IT は企業
モビリティをどのようにサポートできるか」では、
確立したデスクトップアプリケーションと連係するモバイルアプリケーショ
ンおよび SaaS ソリューションに対するアドビのビジョンを共有します。まだ小規模ですが、オンプレミス環境とクラウドの
環境を組み合わせたハイブリッド IT は整いつつあります。
アドビ システムズ 株式会社
〒 141-0032 東京都品川区大崎 1-11-2
ゲートシティ大崎イーストタワー
www.adobe.com/jp
Adobe Systems Incorporated
345 Park Avenue
San Jose, CA 95110-2704
USA
www.adobe.com
Adobe and the Adobe logo are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. Microsoft and Windows are either registered trademarks
or trademarks of Microsoft Corporation in the United States and/or other countries. Java is a trademark or registered trademark of Sun Microsystems, Inc. in the United States and other countries. All other
trademarks are the property of their respective owners.
© 2013 Adobe Systems Incorporated. All rights reserved. Printed in Japan.
7/13
3
Fly UP