ドキュメントの機密をレベル分類することで保護対象に差
以上、活文 NAVIstaffの基本機能を紹介してきたが、具体的にはどんな文書を対象に保護すればいいのか、誰が管理すればいいのか、あるいはどうやって利用者へ展開すればいいのかといった疑問が企業から寄せられることが多く、それが導入の障害になることもあるという。
そこで、過去に日立ソリューションズがコンサルテーションした導入事例の対象的な2つのケースを紹介したい。
最初のケースは、日本の経済活力の向上と産業の発展を政策面で所管する経済産業省だ。同省では電子文書の情報漏えい対策に向けて、職員間でやりとりされる機密性の高い行政文書をPDF化し、指定した関係者に限定して閲覧又は印刷できる「閲覧者指定システム」を2013年2月に構築した。その技術を支えているのが活文 NAVIstaffだ。現在は、経済産業省の全職員にあたる約5700名が利用可能な環境整備がなされている。
経済産業省が目指した機密情報保護モデルは大きく2つ。1つは省外秘モデル。当該システムにより保護等の処理をかけられた行政文書は同省のLAN環境下で、かつ、指定された関係者のみ閲覧及び印刷となっており、省外環境に持ち出された保護処理文書は一切閲覧不可となる。
2つ目は省内関係者外秘・極秘モデル。たとえ省内のプロジェクトメンバーでも指定された関係者以外は閲覧又は印刷ができないよう設定されている。
当該システムは既に制定している省内の情報セキュリティを管理するためのルールに従い、保護処理が必要な行政文書の機密性をそのレベルごとに分類・管理している。
| メール添付 | 機密性の高い文書はセキュリティ設定した上で送付すること ※例外規定有り |
|---|---|
| 会議資料 | 機密性の高い会議資料はセキュリティを設定し、必要に応じて役職限定なども行う |
| 資料の印刷 | 当該システムで保護処理した行政文書について、時刻及び印刷した職員の氏名が透かし文字として印刷される ※印刷・受け取った職員の両方が「省内では文書の取り扱いに配慮している」と自覚する効果 |
「一般の企業では、経済産業省のようにドキュメントをきちんとレベル分けしている例は稀です。実はそれがIRMの導入が難しくしている理由なのです」(小山氏)
しかし、いくら機密性をレベルで分類・管理していても情報漏えい事故を完全に防ぐことは難しい。そのため同省では、情報セキュリティの目的、実態及び職員の理解等について普及啓蒙を行っており、経済産業省としての情報管理のあるべき姿に向けて今後も取り組みを続けていくという。
企業競争力の原資となる機密情報の流失が大きな経営リスク
2つ目の事例はセイコーエプソン株式会社(以下、エプソン)。「省・小・精」の技術をベースにプリンターやプロジェクターなどの情報関連機器や、水晶発信器などの電子デバイス、ウオッチや産業用ロボットなどの精密機器における研究開発、製造、販売を行う企業だ。
独創的なコア技術を強みとしてものづくりに強いプライドを持つ同社だが、リードタイムの削減とコスト競争力の強化を目的としてグローバルに事業を展開しているため、国内外の生産工場において企業競争力の原資となる機密情報の不正流失が経営の大きな懸念材料となっていた。
そこで、2009年4月に情報セキュリティ対策プロジェクトが発足。ツール選定においては、1)強固なセキュリティ環境の実現、2)10年後も複合化できる安定性、3)グローバル環境への適用、4)シンプルで使いやすいユーザーインターフェースなどを条件とした結果、新製品開発のスピードを高めると同時に情報の機密性も担保できるソリューションとして、活文 NAVIstaffが選ばれた。
「活文 NAVIstaffはPDFフォーマットを利用しているため、各種のドキュメントやファイルを統合しやすく、Adobe Readerさえあれば別途プラグインをインストールする必要もないので、ユーザーに不要な負担をかけません」と強調する小山氏。海外事業所やパートナー企業に、暗号化プログラムを輸出する際のやっかいな手続きがないことも大きなメリットとして挙げられたという。
2010年4月にパイロット運用が開始。現在は、全社の標準セキュリティ基盤として1,300ユーザーが活用している。
重要機密文書はコストをかけてもしっかりと守るというポリシー
エプソンは、当初から全ての情報を守ることは不可能に近いと考えていた。というのも、一般的な電子文書と重要な電子情報とでは運用コストのかけ方や管理方法を区別すべきだとの考えに基づき、新製品開発プロセスで発生する数百種類の文書の中でも、特に機密性の高い上流工程の文書や経営層で共有する重要機密文書は、コストをかけてもしっかりと守るというポリシーを掲げて、順次拡大していったのだという。
| 文書管理 | 技術情報を文書管理システムへ登録する際には、適切なセキュリティを設定した上で登録する |
|---|---|
| ワークフロー | 設計業務における特定のワークフロー添付資料は、適切なセキュリティを設定した上で添付する |
| 資料の閲覧・印刷 | 時刻、氏名が透かし文字として表示・印刷されるようにする ※電子情報は勿論印刷され紙になった文書の流出も抑止できることが社内でも高く評価 |
小山氏は、「認証による閲覧制限や事後による失効制御などの機能に最も安心感を示していたのはエンジニアの方々でした。設計部門からは『これで、やっと枕を高くして眠ることができる』という言葉が寄せられたのがとても印象的で、本当に守りたいものはものづくりのDNAであり、安全なドキュメント運用が可能になったことを高く評価してくれました」と振り返る。
今後エプソンでは、スマートデバイスを活用したモバイル運用を展開していく計画で、環境評価が完了すれば、経営資料などにも適用範囲を拡大していくという。
本当に守るべきものは何か?を決めることがIRM成功の鍵
今回紹介した経済産業省の事例資料はこちらから、エプソンの詳しい事例資料はこちらからダウンロードできるのでぜひご覧いただきたい。
活文 NAVIstaffはユーザーインターフェース上でメニューを選択して、ファイルをドロップし、ポリシーを選択するだけで、対象のファイルをセキュアなPDFに簡単に変換して保護できるシステムだ。文書管理システムなどに組み込むための開発ライブラリも豊富に用意されている。
「まずは、本当に守らなければならないものは何か?を決めて、そこから文書管理統制の第一歩を始め、徐々に拡大していくことが、IRMを成功させる秘訣です」と小山氏はアドバイスする。
日立ソリューションズでは、10月30日(水)に、東京国際フォーラムで開催される日立イノベーションフォーラム2013において「経済産業省、エプソンが導入した機密情報を確実に守る対策とは!?」と題したセミナーを講演する。このセミナーでは、記事中でも紹介したドキュメントセキュリティソリューション「活文 NAVIstaff」の経済産業省とエプソンにおける導入事例などについて詳しく紹介される。
