新発想のセキュリティソリューション「Digital Guardian 3.0」■第2回■

2005年4月に個人情報保護法が全面施行され、多くの企業が顧客情報など重要な情報資産の「管理の徹底」に取り組んでいる。しかし「個人情報流出事件」は後を絶たない。少し古い話になるが、ソフトバンクBBの大規模な個人情報流出事件をはじめ、銀行や消費者金融など金融機

特集特集

2005年7月26日（火） 19時00分

2005年4月に個人情報保護法が全面施行され、多くの企業が顧客情報など重要な情報資産の「管理の徹底」に取り組んでいる。しかし「個人情報流出事件」は後を絶たない。少し古い話になるが、ソフトバンクBBの大規模な個人情報流出事件をはじめ、銀行や消費者金融など金融機関からの100万人単位での個人情報流出事件など、すでに発生した事件・事故をあわせると、現在までに「のべ1000万人以上」の人たちの個人情報が流出したとされる。日本国民の「約10人に1人」は個人情報流出事件の被害者になっているのだ。後を経たない情報漏えい事件を防ぐ手立てはないものか。そこで新発想のセキュリティソリューションを紹介しよう。

●被害総額110億円もの内部犯行による情報盗み出し未遂事件に遭遇
　その経験から効果的な対策を模索しソリューションを開発

企業における情報資産の盗み出しや漏洩といった事件・事故の対策として効果的なのは「その情報が『利用される瞬間』の管理を徹底することである」。そこに着目し、情報資産の「Point of Use」における管理を徹底するという新たなコンセプトの情報セキュリティソリューションが、三井物産セキュアディレクションが発売した「Digital Guardian 3.0」である。「Point of Use」とは、「ある利用者がデータにアクセスし、何らかの処理をしようとする、まさにその瞬間」である。どんなに重要な情報資産であっても、外部からの不正アクセスや内部犯行によるアクセスなどを含めて、「どこからもアクセスされていない状態」であれば「安全性は確保されている」状態といえる。Digital Guaridian 3.0の開発元である米・バーダシス社のCEOであるセス N. バーンバウム氏は「情報がStill（静止している状態）であれば安全だが、Active、つまり活用され始めると、その瞬間にリスクが発生する」と指摘する。つまり、重要情報がコピーされたり電子メールに添付されたりする、まさにその瞬間に操作を監視し、操作ログを収集して犯人のパソコンを特定し、操作をブロックして警告を出すなどの対策を実行する。情報の盗み出しや情報漏えいなどの「リスクが発生する瞬間」を抑え込むソリューションがDigital Guardian 3.0なのである。

さて、Scan編集部では、このほどバーダシス社のバーンバウム氏への独占インタビューの機会を得ることができた。そこで、開発の経緯、バーダシス社の日本市場での戦略、そしてDigital Guardian 3.0の注目すべき新機能などについて聞いた。まずは、開発の経緯から紹介しよう。

バーンバウム氏は、Digital Guardianの開発に着手した契機について、「以前、勤務していた企業で『内部犯行』によって100ミリオンUSドル（1ドル＝110円として約110億円）にものぼる大規模な情報資産の盗み出し未遂事件が起きたのがきっかけだった」と語った。企業における価値ある情報資産をリムーバブルメディアなどにコピーして持ち出す犯罪については、社員のモラルの向上、企業におけるセキュリティポリシーの厳格化などの対策が考えられるが、現実的には現在も以前も「効果的な手立てがない」のが実情である。「重要な情報資産がコピーされたり、電子メールに添付されたりして『持ち出されるのを』防ぐソリューションを探したが、当時はなかった。そこで自分たちで作ってしまえと開発に着手した」（バーンバウム氏）。

開発の経緯からもわかるように、リスクとは、情報資産に誰かがアクセスし、不正にコピーしようとするなど「情報がActive」になった状態に発生する。その時に何かしらのデータ保護ソリューションを提供するのがDigital Guadian 3.0なのである。Digital Guadian 3.0がインストールされているだけで、コピーしようとすると「コピーは禁止されています」といったアラートがだされる。それだけでも従業員、情報を扱う人間の意識をよりシビアに変えてくれるのだ。

●企業に求められるコンプライアンスの実現にも
　Digital Guardianの導入が大きく貢献する

バーンバウム氏は、日本とアメリカの企業の情報セキュリティに対する意識について、「多くの企業が同じ基本ソフト、ウイルス対策ソフトを導入している現状では、セキュリティに対する大きな意識の差は見られない」としたうえで、「アメリカでは、何か事件や事故を起こした企業に対する法的な罰則、社会的な制裁は厳しい」と語った。その一例として、株式を公開している企業が遵守すべき「Sarbanes-Oxley法（サーベンス・オクスリー法：企業改革法）」をあげ、「多くの企業には法令遵守が厳しく求められている。その際に『Digital Guardian』の導入が大きな効果を発揮する」と述べた。

バーンバウム氏によれば、世界的に知られているアメリカの「格付け会社」がサーベンス・オクスリー法を遵守しているかどうかの監査を受けた際、「当初は法令を遵守していないとされて監査を通らなかったが、Digital Guardianを導入して情報セキュリティの安全性、信頼性を高めたことで監査を通った」という事例を紹介した。企業における情報セキュリティに関連して「何か問題が発生したときに、その問題にどのように対処するか・・・。そういった問いに対しては『Digital Guardianをこう運用している』と回答すれば、それが最適な解決策の1つとして認められる」（バーンバウム氏）というのである。

【執筆：下玉利尚明】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd

《ScanNetSecurity》