情報漏えい対策ソリューションを選定するポイント

株式会社エアー　黒岡 聖登

メールの誤送信に限った話ではありませんが、機密情報の漏えいと言うのは枚挙にいとまがありません。また、情報漏えいは社外に対してだけではなく、社内においても問題となります。その対策として、ゼロトラストモデルを背景としたソリューションとしてMicrosoft社よりAzure Information Protection（以下AIP）がリリースされています。

AIPを簡潔に説明すると、ファイルやメールなどに暗号化を行い、特定のユーザのみに復号化のカギを渡すことで意図しないユーザに対する情報漏えいを防ぐ、といった機能になります。
暗号化を行う対象やカギを渡すユーザは手動で選択することもできれば、指定した条件に一致したものに対して自動的に暗号化を行い、事前に指定しておいたユーザにカギを渡す、といったことも可能です。カギを持っているユーザであっても閲覧のみしか許可しないなど事細かな権限管理を行う事もできますし、さらにはカギの有効期限の設定や不要となったカギの剥奪、何処でカギを利用したかの確認も行う事ができます。

これらの機能をみれば、AIPを導入する事によりPPAP対策をはじめとした多くの情報漏えいに対して高い効果を期待できると感じられます。しかし、現実に業務を行っている中でAIPにより守られたファイルを確認したことがあるでしょうか？多くの方は無いと思います。現状ではそれぐらいにはAIPの普及率が低いと言えます。
理由としては、実際の運用に対するハードルの高さがあるのではないかと考えています。詳細は割愛しますが、管理者側での各種設定、どういったファイルにどの程度の条件を設定するべきかといったポリシーの策定やユーザ側での暗号化ツールの利用方法の教育が必要ですし、カギで開ける側にもRMS対応ツールの用意が必要、といった種々様々なものが考えられます。

情報漏えいの対策を何かしらのソリューションで考える際は単純に機能面だけではなく、実際にどのように運用ができるのかも含めて考えていくべきでしょう。