電子文書(PDFファイル)に、見えない”透かし情報”を埋め込むことにより、情報漏えい抑止や不正利用防止など、電子文書のセキュリティ対策を支援します。
企業にとって情報漏えい対策は非常に重要な施策であり、パスワードの管理や情報を不用意に廃棄しないことなど個人でできる対策から、社内ガイドラインの整備や最新のセキュリティソフトの導入など、会社全体で取り組むべきものまでさまざまな対策があります。そうした中でも、内部犯による情報漏えいを抑止する施策として重要になるのが「電子透かし」です。本記事では、情報漏えいを防ぐ10の対策や電子透かしを活用した漏えい対策について解説します。
社会のデジタル化が進展するにつれて、氏名や住所、年齢など個人を特定できる「個人情報」や、企業にとって重要な情報である顧客や人事などに関する「機密情報」が漏えいするリスクが高まっています。そこで以下では、個人情報や機密情報の漏えいを防ぐ対策を10個ご紹介します。
まずやるべきことは、「情報を不用意に放置・廃棄しないこと」です。最も基本的な情報漏えい対策の1つであり、社員1人ひとりの心がけによって改善可能な対策です。具体的には以下のような対策が挙げられます。
社内のPCやスマホを許可なく持ち出したり、私物のPCを会社のネットワークに接続したり、私物のUSBメモリに業務に関するデータを取り込んだりしないことを徹底する必要があります。これは、持ち出した機器が紛失・盗難の被害に遭い情報漏えいする可能性があるほか、持ち込んだ機器がウイルスに感染している場合などがあるためです。
テレワークなどでやむなく持ち出す必要がある場合は、許可を得て持ち出し状況をしっかり管理するなど、持ち出しのルールを整備しておくことが大切です。
同じパスワードを使い回していると、一カ所で漏えいしてしまった場合に他のサイトでも被害に遭う可能性が高まるため、使い回しは避けなければなりません。他人にパスワードを教えたり共有したりすることも厳禁です。
定期的にパスワードを変更することで、漏えいのリスクを下げることができます。
業務上知り得た機密情報は、親しい友人や家族であっても絶対に教えてはいけません。社員同士でも外出中には外部の人間に会話の内容を聞かれるおそれがあるため、特に公共交通機関などでは気を付ける必要があります。
メールの送信先の間違えや、重要書類や持ち出した機器の紛失、不審なメールのURLのクリックなど、情報漏えいにつながる事案が発生した場合にはすぐに報告・共有することが重要です。
自分だけで解決しようとすると対応が遅れ、被害が拡大する可能性が高まるため、社員1人ひとりが意識することはもちろん、速やかに報告できるような体制づくりをしておく必要があります。
以上は社員個人レベルでの対策ですが、会社全体として対策に取り組むことも重要です。その1つがセキュリティ教育の実施です。IPA(情報処理推進機構)のガイドラインなどを参考にして、新たに着任した社員向けに定期的な社内研修を必ず実施し、社員のセキュリティ意識向上に努めましょう。
ウイルスは日々進化しており、セキュリティソフトが最新版でないと攻撃を受ける可能性が高まります。そのため、最新版のソフトを導入して定期的な更新を怠らないようにしましょう。
個人情報や機密情報漏えいに対して有効なセキュリティ製品(サーバ)を立てて多層防御することも重要です。たとえばファイアウォールやIDS/IPSなどの製品が代表的なものとして挙げられます。
これらを導入することで、マルウェア感染はもちろん、意図的にサーバに負荷をかけるDoS攻撃やDDoS攻撃、不正なSQL文を実行することでデータベースを不正に操作する「SQLインジェクション」などのサイバー攻撃から自社のネットワークを防御します。
テレワークが普及し、社外で業務を行うことが増えている現在、ネットワークを社内と社外で分離し、「内部は安全で外部は危険」と区別する従来型のセキュリティ対策では脅威を防ぎきれない環境になりつつあります。社内・社外を区別せず、「すべての通信を信用しない」という考えに基づいて監視する「ゼロトラストモデル」や、ネットワークとセキュリティを一体的に提供する「SASE」(Secure Access Service Edge)などを活用したソリューションを導入し、新たな脅威に対応できるセキュリティ体制を構築することが重要です。
また、外出先でテレワークを実施する際には、セキュリティ対策が不十分な回線は利用しない方が賢明です。たとえば、カフェなどで提供されている無料Wi-Fiには暗号化が実施されていないものもあり、不正アクセスやウイルス感染、情報漏えいのリスクがあるため注意が必要です。
そのほか、テレワーク時には部外者に画面を覗き込まれたり、通話・Web会議での会話を聞かれたりすることで情報が漏えいするリスクもあるため、近くに部外者がいない環境で業務を行うなどの対応も求められます。
情報セキュリティのガイドラインや個人情報・機密情報の扱いに関するルールを策定することも重要です。機密情報が含まれるハードウェアの処分の手順や、機器の持ち出し・持ち込みに関するルール、メール誤送信や添付ファイルのミスを防ぐための仕組みづくりなど、考えられるリスクを洗い出し、それに対応するルールを整備します。
対策6で示したような研修などを通じて、これまでご紹介したような対策をまとめたガイドラインやルールを周知することも効果的です。
電子透かしの基礎や入れ方、活用方法に関するPDF資料がダウンロードできます。
上記のような対策を行っているとしても、社内で内部犯行が起こる可能性はゼロではなく、その場合情報漏えいを完全に防ぐことは困難です。そこで、そうした内部犯行を抑止するための対策として「電子透かし」が重要になります。
電子透かしとは、電子文書(PDFファイル)や画像、動画、音声などのデータ内に、ユーザー情報・データ提供元・データ提供先などの情報を、”透かし情報”として埋め込む技術のことです。目に見える透かしと見えない透かしがあり、見えない透かしの場合、データにアクセスしている際には透かしを確認することはできず、専用のソフトなどを利用することで電子透かしを検出できます。
電子透かしにより、電子データ内に「データの提供元」や「データの提供先」を埋め込むことができます。ユーザーの情報(作成者・システムから取り出したユーザー)も埋め込めるため、データが流出した際にもデータの所有者が特定され、2次転用のリスクを最小限に抑えることが可能です。
また、電子透かしは取り除くことが困難であり、埋め込まれた情報を削除することができないため、情報取り扱い者のセキュリティ意識を高めて、安易な持ち出しを防ぐことができます。
情報漏えい対策として、社内の機密文書に電子透かしを入れておくことで、内部不正の抑止に活用できます。電子透かしを入れる機密文書の例としては下記のような文書が考えられます。
こういった社内の文書を何らかの理由で外部に共有するときや、複数の社内関係者に閲覧権限を付与する時などに電子透かしを活用することができます。
市場調査レポートなどのデータを販売する際に、電子透かしを入れておけば、販売したデータの二次利用や転売の抑止につながります。万が一、二次利用・転売が発覚した場合には著作権主張と出所の特定にも活用できます。
電子透かしは、情報漏えいの出所を特定することが可能です。そのため、万が一、情報漏えいの疑いがある部門や担当者がいる場合、その該当者に電子透かし入りのデータを共有することで、犯人特定に活用できます。該当者には、電子透かしが入っていることを伝えず、いつも通りデータを共有するだけでよく、情報漏えいした場合に、電子透かしをトレースすることで、犯人特定につなげることができます。
以上、電子透かしによる情報漏えい対策の活用例を3つご紹介しました。抑止効果、転売防止効果、犯人特定効果がありますので、御社での情報漏えい対策の強化に活用できます。
情報漏えいが確認された際には、データの所有者・システムから取り出したユーザーなどを特定することで流出経路を特定します。
背景に情報を隠す地紋透かしの場合、漏えいした文書の一部を回収できれば地紋をスキャンして誰が不正に印刷したか特定できます。また、印刷管理ログとの照合も可能です。
情報漏えいを防ぐためには、個人情報・機密情報のデータが含まれる機器の扱いや、文書の取り扱いを厳格にする必要があります。ご紹介したように、他者の目に入る場所に不用意に情報を放置・廃棄しないことや、機器の持ち出しに十分留意することなど個人で行う対策のほか、機密情報の取り扱いに関する社内ルールの整備やセキュリティ教育の実施など、会社全体で取り組むべきこともあります。
そうした対策を行った上で、データの提供元や提供先の情報を埋め込める「電子透かし」を活用して、情報漏えいを抑止するとともに、万が一漏えいが起きた場合にも確実にトレースできる体制を構築することが重要です。
電子透かしの基礎や入れ方、活用方法に関するPDF資料がダウンロードできます。
電子透かしソリューションの詳しいご案内やお見積もり、ご質問・ご相談などございましたら、お気軽にお問い合わせください。
