近年「コンテンツセキュリティ」という言葉が注目を集めています。これは、企業が保有する情報コンテンツに対するセキュリティを指しますが、まだ他のセキュリティ対策ほど浸透していません。そこで、コンテンツセキュリティの考え方や注目される理由、またコンテンツが持つセキュリティリスクについて詳しく解説していきます。
コンテンツセキュリティとは
コンテンツセキュリティとは、企業が保有する情報に関するセキュリティを意味します。この情報とは、一般的に非構造化されたデータ、つまりカタログやマニュアルと言った一般的な業務資料から、議事録、顧客情報、契約書や提案書、注文書、設計情報など非常に機密性・秘匿性の高いものなど多岐に渡ります。
コンテンツセキュリティを理解するには、ファイアウォールなどに代表されるネットワークトラフィックに対するセキュリティと比較して考えると分かりやすいでしょう。
トラフィックに対するセキュリティは、プロトコルの種類や、送信元のIPアドレスから、安全性を判断します。このような「やりとりに関する情報」を判断材料とするセキュリティは、制限をかけるべきかどうかの評価が比較的容易であるため、企業の境界型防御セキュリティの一つとして広く利用されています。
対するコンテンツセキュリティでは、ネットワークトラフィックではなく「情報(コンテンツ)」そのものの安全性を検証し、セキュリティレベルを保つことに主眼を置いています。企業において最も重要な情報を守る、本質的なリスクを避けるという観点で、情報そのものを安全に保つコンテンツセキュリティは情報がより価値を持つデジタル時代の今、必須であるといえます。
コンテンツセキュリティが求められる背景
多くの企業では、日々膨大な電子コンテンツが作成され、企業内外を問わずWebやメール、クラウドストレージを介してやり取りされています。その中には機密性の高い情報も含まれていますが、すべての企業で万全のセキュリティ対策ができているとはいえません。例えば、個人情報のやりとりの際に個人情報の含まれた文書が添付されたメールを誤ったアドレスに送信してしまうと、簡単に情報漏えいが発生します。
一般的にセキュリティ対策において、リスクをゼロにする対策の実現は困難と言われています。前述の通り、ファイアウォールなど一般的に用いられる従来通りの手法は、通信プロトコルや送信元のIPアドレスなどから安全性を判断しています。つまり、これらのトラフィック情報自体に異常がなければ、コンテンツの取り扱いに問題があってもフィルターを通過し、アクセスが許可されてしまいます。このように、多くの企業はトラフィックに対して制限をかけていることはあっても、コンテンツセキュリティそのものには着目しておらず、大きなリスクを抱えたままになっている企業が多いのが実状です。中には企業内に無尽蔵に配置されたファイルサーバー上に機密情報が分散保管され、管理・統制できていないといったケースも多数見受けられます。
また、近年はメールやweb上にもウイルスやマルウェアといったセキュリティ脅威が多く含まれるようになってきました。それらにより重大な情報漏えいの問題が生じていることから、より広範囲、かつ高度にセキュリティ対策が求められています。また、デジタルマーケティングの発展などにより、センシティブ(機微)情報となる個人情報を企業が取り扱う機会も増えました。そのため、対策が不十分だった場合に生じ得る企業リスクや、万が一セキュリティ事故が起きた際の損失規模が拡大していることもコンテンツセキュリティが注目を集めている一因となっています。
Webやメールコンテンツに含まれるリスク
それでは、具体的にどのようリスクが含まれているのかを社内外の観点から紹介します。
ウイルス感染リスク
企業活動において社員が日常的に行なっているWeb閲覧およびメールのやりとりから生じるリスクの1つは、「ウイルス感染」です。
コンピュータウイルスの届け出先機関「情報処理振興事業協会(IPA)」によると、コンピュータウイルスの感染経路は、Webサイトやメールからのダウンロードが9割以上といわれています。しかも近年は、世界的に流行するインターネットウイルスの出現頻度も高まっています。ウイルスによる被害報告も多く、日々増産されるウイルスへの対策も十分であるとはいえない状況です。
ウイルス感染で注意しなければならないのは、自社内だけではありません。第三者へ感染を広げ、被害を拡大させてしまうおそれもあります。ウイルスの感染元になってしまうと企業や組織全体の信用を落とすことにもなりかねません。経済的な損失だけでなく、将来的なダメージまで負ってしまう可能性があります。
これらに対する最も初歩的な対策としては「不審な添付ファイルは開かない」「不審なメール内のリンクをたどらない」「怪しいサイトの閲覧をしない」といったことが挙げられます。社員一人ひとりの意識を高めることも重要ですが、人的ミスを起こさないためには企業内の端末へのウイルス対策ソフト導入、昨今では振る舞い検知を行うEDRの導入、またメール添付による情報共有をしない、させないなどの対策がおすすめです。
スパム
スパムメールは、大量に送り付けられると、トラフィックに余計な負荷がかかる、メールを処理する社員の業務効率を下げるなどの問題が生じます。ウイルス対策同様、流入を防ぐ対策を行うことが重要です。
例えば、送信者のリストを作成してフィルタリングしたり、スパムでよく用いられる件名およびキーワードをブラックリストに登録したりするといった方法もあります。以前見られたメール爆弾と呼ばれる、かなり大きな容量を持ったメールに対しては添付ファイルのサイズで判断して制限をかけることが有効です。
ただし、メール添付で重要なデータのやりとりを行っているような企業の場合、正当なデータの送受信も妨げてしまう可能性があります。メール添付によるファイルやりとりはセキュリティの観点だけではなく、効率面からみても今日では適切とはいえなくなっています。そのため、Boxなどの企業向けクラウドストレージでアクセス権付きでの共有やコラボレーターとしてファイル共有し共同作業をするといった業務効率も高く、セキュリティも高い運用方法を検討しましょう。
情報漏えいリスク
情報漏えいは非常に大きなリスクです。企業の信用低下のみならず、場合によっては法的責任を問われることさえあります。
メールの誤送信を例に考えてみましょう。この場合、トラフィック自体に問題はないため、ファイアウォールなどでは防ぐことはできず、通常のやりとりとして処理されてしまいます。メールの内容に企業の機密情報が含まれている場合や送信先によっては、大きな問題となるでしょう。
この問題に対してはフィルタリングソフトなどの導入で、ある程度はリスクを軽減できますが、昨今のテレワークなどの働き方を考慮するとリスクを回避することは困難です。社員への教育を行うことや、組織の体制を整備することが重要ではありますが、漏えいが発生しづらい環境や仕組みを整えることも企業の責務と言えるでしょう。例えばファイル添付を禁止してBoxなどのクラウドストレージを利用することで、コンテンツのやりとりなどを共有リンクで行うことが可能になります。この場合クラウドストレージ側でアクセス制御をすることが可能であるため、メールの誤送信を行ってしまってもアクセス制限により情報自体を守ることも可能になります。
情報漏えいは先に紹介した他のリスクとは異なり、必ずしも攻撃を受けたことに起因するわけではなく自社の過失によって引き起こされることが多い問題です。適切なセキュリティポリシーを策定し、それに基づいた教育および体制、そして環境を整えるようにしましょう。
[SMART_CONTENT]
まとめ
昨今は働き方が多様化し、社内ネットワークを守る境界型のセキュリティ防御は限界を迎えています。そのため従来通りのセキュリティ対策だけでは、万全とはいえません。より高い安全性を確保するには、情報そのものを守るコンテンツセキュリティ対策を行うことが重要です。ほとんどの企業において機密性の高い情報はファイルといったコンテンツです。これらを守る、そしてリスクを最小化することがニューノーマルでは必要不可欠と言えるのです。
例えば、コンテンツそのものに対するセキュリティ機能を多数備えた「Box」など、法人利用に特化したセキュリティレベルの高いクラウドサービスを選んで対策をしてみてはいかがでしょうか。
