IRM製品の代表例

テレワークの浸透やインサイドセールスの拡大を背景に、情報共有の見直しを進める企業も多くなっています。資料の共有方法に社内のファイルサーバーや外部のファイル転送サービスを使っているものの、情報漏えいのリスクが気になるというシステム担当者も多いのではないでしょうか。

こうした中、データ管理の分野では、「IRM」と呼ばれるソリューションが注目されています。

本記事ではIRMの基本的な情報や活用方法についてご紹介します。

IRMの定義

IRMとは” Information Rights Management”の略で、文書ファイルの暗号化や閲覧・編集のための権限管理、操作履歴の管理を可能にする機能やソフトウェアを指します。日本語ではその機能から「ファイル暗号化ソフト」「情報管理ソフト」などと呼ばれていますが、定着した呼び名はなく、「IRM」や「IRM製品」と呼ばれることが多いです。

IRMによって管理されているファイルは内容が暗号化され、IRMによって権限が与えられていないユーザーによる閲覧、編集、印刷、スクリーンショットの撮影などは制限されます。また、ファイルに対する操作ログも取得でき、社外からの不正アクセスに対して綿密なセキュリティ対策をとることが可能です。外部のデバイスへファイルをコピーした場合でもファイル単位で暗号化されているため、情報漏えいが生じにくいのが大きな特徴です。

従来のセキュリティにおけるファイル管理は、情報漏えいを防ぐためにファイルの保管場所に対してアクセス権を設けたり暗号化を施したりしていました。しかしその場合、ファイルを第三者に誤送信してしまった場合の機密情報の拡散を防ぐことはできません。IRMはファイルを持ち出された後でも、機密情報の拡散を防止できるのが特徴です。

IRMが注目を集めている背景

IRMそのものは10年以上も前から存在する技術ですが、近年の状況からそのコンセプトが大きく注目されるようになりました。IRMが注目されている背景は次のとおりです。

セキュリティリスクの変化

一昔前は、セキュリティリスクの代表といえば「外部からのサイバー攻撃」でした。コンピュータウイルスや、技術的な方法によるシステムやアカウントの乗っ取りなどが知られ、近年もランサムウェアによる攻撃などが行われています。しかし、セキュリティ対策の仕組みやシステムが高度化したことで、こうした攻撃が大事になることは少なくなっています。

一方で、セキュリティリスクにおける「内部不正」や「ヒューマンエラー」が増えています。このリスクに該当するのは、従業員によるデータの持ち出しや、メールの誤送信、ノートパソコンやUSBメモリの紛失といったものです。これらは情報へのアクセス権を持つ従業員だからこそのリスクであり、保存場所を中心にしたセキュリティ対策では効果がありません。

クラウド化・テレワーク化による境界型セキュリティの限界

従来のセキュリティ対策は、ネットワーク上の玄関部分(ゲートウェイ)やルータなどのネットワーク機器、各デバイス、そしてデバイス内のフォルダといった境界でセキュリティ対策を行うことで内部のデータへのアクセスを管理していました。これは「社内は安全、社外は危険」を前提としたセキュリティの考え方で「境界型セキュリティ」と呼ばれます。境界型セキュリティは外部からの攻撃に対しては効果的でしたが、最近は限界が指摘されることが増えています。

その理由の1つは、近年進んでいる「クラウド化」です。企業の情報システムや重要な情報が社外のクラウドにも保存されるようになったことで守るべき境界が増加しました。境界型セキュリティでは、境界が増えると対策のための管理者の手間やコストが大きくなる特徴があります。そのため、クラウド化が進むにつれて境界型セキュリティによる対策は日増しに難しくなっていきました。

また、テレワークが増加したことも大きな要因です。外部からの社内ネットワークへのアクセスを容認せざるを得ない状況が生まれ、セキュリティ環境の見直しが必要になりました。社外からの社内ネットワークへのアクセスのために情報の持ち出しや外部からの不正アクセスのリスクは高まり、一方でセキュリティのためにアクセスを制限すると業務効率が低下するため、企業はジレンマに悩むようになりました。

セキュリティコストの増加

企業では情報漏えいを防ぐため、さまざまなセキュリティ対策を行っています。その範囲がクラウド環境下のさまざまな外部サービスや、テレワーク用の支給デバイスまで及ぶようになると、VPNやセキュリティソフト、MDM(デバイス管理ツール)などのライセンスの必要数も増加し、導入や運用・保守のコストが非常に高くなってしまいます。こうした中で、境界型セキュリティに替わる新しいセキュリティ対策の仕組みが求められるようになりました。

IRMの特性に注目が集まる

このような背景から、ファイルを不正入手されても情報が漏えいを抑止できるIRMの特性が注目されるようになり、使いやすいIRM製品・サービスが増えるようになっています。

IRMではファイルごとに暗号化および権限の設定を行うため、ファイルの保存場所に関係なく均一のレベルでセキュリティ対策を施すことができます。また、IRMならテレワーカーの各デバイスへのセキュリティ対策も必要最小限で済むため、対策を比較的低コストで行えるのもメリットです。

セキュリティの強固なファイル転送サービスでも、ユーザーの誤送信があった場合には機密情報が外部に漏えいするリスクが残ります。しかし、サーバー上で操作権限を管理できるIRMなら誤送信の際にも指定した相手以外のアクセスは許可されないため、外部とのやりとりでも安心です。

現在、境界型セキュリティに替わる、新しいセキュリティの考え方として広まりつつある「ゼロトラスト」においても、IRMは重要な技術と考えられています。ゼロトラストの拡大の動きにつれて、IRMも一層の普及が予想されます。

セキュリティ対策におけるIRMのカバー範囲

セキュリティ対策はさまざまな状況やケースを想定して複数の対策を組み合わせて行う必要があり、オール・イン・ワンのセキュリティ対策はありません。では、IRMがカバーするセキュリティはどの範囲になるのでしょうか。

IRMはファイル暗号化や権限管理、操作の監視といった部分にフォーカスしており、「ファイルが相手に渡った後」のセキュリティ対策です。しかし、IRMでカバーできる範囲には限界があり、それだけでは完全なセキュリティ対策であるとはいえません。そのため、個人情報など厳重な管理が求められる情報の場合には、IRMにおける暗号化だけでなく、「ファイルが相手に渡る前」のセキュリティ対策もしっかり行なうことが大切です。

具体的には、情報共有用のファイルサーバーやファイル転送サービスなどにおけるセキュリティソフトやIDS、WAFなどのアプリケーションへの対策、外部へのファイル送信に申請を必要とするといった仕組み作りも必要になるでしょう。

IRMを活用し一貫したセキュリティ対策を行う方法

クラウドサービスでファイルの共有を行う際、各プロセスでのリスクを意識したセキュリティ対策を行うことが必要です。
今回はクラウドサービスの中でも、法人向けクラウドストレージDirectCloud-BOXを参考にどのようなプロセスがあり、必要な対策は何なのか確認していきましょう。

  • ファイル作成者のデバイスからクラウドストレージへのアップロード
  • クラウドストレージ上での設定(ダウンロード期限やパスワードなど)
  • メールなどによる連絡
  • 閲覧やダウンロードなど受信側での操作

ファイル作成者のデバイスからクラウドストレージへのアップロード

デバイスからの情報漏えいに注意することはもちろん、アップロードされるファイルが安全であることを確認する仕組みが必要です。また、アップロード時に情報を盗聴されないよう、通信の安全も求められます。DirectCloud-BOXでは、アンチウイルス機能によりマルウェア・ウイルス感染を予防し、保護された通信でファイルのやりとりができるので安全です。

クラウドストレージ上での設定(ダウンロード期限やパスワードなど)

アクセス権やダウンロード期限、ダウンロード用パスワード、ファイルの保存期限などを適切に設定することが必要です。このとき、単純なパスワードにならないようルールを定める必要があります。DirectCloud-BOXでは、管理者によるパスワードポリシーが設定できるため、企業のセキュリティポリシーに則った運用が可能です。

メールなどによる連絡

誤送信を防ぐ、またはその影響を軽減するための対策が必要です。承認のためのワークフローの導入や、送信した共有リンクの削除機能が求められます。DirectCloud-BOXならメールの送信のために承認ワークフローを導入できますし、誤送信に気づいた後もリンクの削除やパスワード変更などの対応で被害を最小限に抑えることが可能です。ファイルに紐づいたの操作ログも確認できるため、どの範囲に情報が拡散した可能性があるかを素早く把握し、対応につなげることができます。

閲覧やダウンロードなど受信側での操作

第三者による不正アクセスへの対策が求められ、IRMによる暗号化が効果的です。DirectCloud-BOXでは、オプションのDirectCloud-SHIELDを利用することでIRM機能を使用でき、保護対象ファイルの暗号化や権限設定、アクセス履歴の確認などを行うことができ、情報漏洩を防ぐことができます。

通常、ファイル共有におけるセキュリティ課題を解決し、一貫性のあるセキュリティ対策を準備するためには多くの費用が必要です。ファイル共有サービスの中には無料で利用できるものもありますが、ダウンロード用パスワードのルール設定ができないものも多く、また誤送信を防ぐための仕組みや、不正利用を防ぐための仕組みもありません。

弊社のクラウドストレージ「DirectCloud-BOX」とオプション「DirectCloud-SHIELD」を組み合わせて活用すると、上記のファイル共有における課題を一貫して解決することが可能です。

IRM製品一覧

IRMの歴史は長いため、すでにさまざまな製品があります。IRM製品の中でも代表的な製品をいくつか紹介します。

Microsoft 365(日本マイクロソフト株式会社)

オフィスソフトの定番であるMicrosoft OfficeにもIRM機能があります。すでにMicrosoft Officeを導入している場合、WordファイルとXPSファイルに対してIRMによる権限の管理が可能です。IRM では、ユーザー単位、ファイル単位、またはグループ単位で制限を適用できます

Office単体のIRMでは、ローカルコンピュータやドメインのアカウント、またはMicrosoftのアカウントを指定した制限になるため、その他の外部ユーザーとのファイル共有には使えません。

基本的に同社が提供するTeamsやActiveDirectory、SharePoint、AzureのIRMサービス(ライセンスサーバー)などと連携して使うことが想定されており、利便性を求めるならこれらのサービスの利用が必要です。連携するサービスにより、共有できる範囲やIRMが適用できるファイルの種類も変わってきます。

Microsoft 365

DataClasys(株式会社データクレシス)

DataClasysは、オフィス文書はもちろんCADで作成した図面や画像、動画など幅広いファイルにDRMやIRMを適用できるシステムです。

社外の利用者に対してもIDやクライアントソフトを配布することでデータの共有ができます。また、オフライン機能を搭載しており、インターネットに接続できない環境でも暗号化されたファイルを開くことができるため、社外でのプレゼンテーションなどにも対応可能です。オプションで自動暗号化・複合化やシステム連携などの機能を追加できます。

機密情報を多く扱う官公庁や金融機関、教育機関、製造業などで広く利用されています。

DataClasys

NonCopy2(サイエンスパーク株式会社)

NonCopy2は、コンピュータ内にセキュアフォルダを作成してファイルを暗号化したり、デバイス全体を制御したりして他デバイスへの情報の流出を防ぐことができるソフトウェアです。

ファイルの持ち出しを防ぐため、暗号化やワークフロー、管理者によるデバイス管理などさまざまな機能を有しているのが特徴です。セキュリティモードを設定すると、セキュアフォルダに入れたファイルが自動的に暗号化されるため簡単に操作できます。セキュリティモードでは、ファイルの閲覧や編集は可能ですが移動やコピーができなくなるため、持ち出し防止に効果的です。

内部不正への対策や情報の持ち出し時の安全確保を目的としたソフトで、外部とのファイルの共有はできない点には注意が必要です。ファイルサーバーを丸ごと暗号化することも可能で、100社、50,000ライセンス以上の導入実績があります。

NonCopy2

DirectCloud-SHIELD

DirectCloud-SHIELDは、クラウドストレージ「DirectCloud-BOX」のオプションとして利用できるIRMアプリケーションです。ビジネスプラン以上は10ライセンス分を無償で利用でき、追加分も最小10ライセンスで10,000円/月という低価格で利用いただけます。ファイル閲覧専用の権限が付与できる他、印刷・クリップボードへのコピー・スクリーンショットの禁止やログ取得、リモート削除など多くの機能を備えています

サーバーにアップロードした文書に個人情報や仕入価格などの機微情報があった場合、それを自動的に検知して暗号化を施す機能があり、IRMの設定作業を効率化できるのが大きな特徴です。会社のセキュリティポリシーを元に管理者側で機密情報の定義や機密情報管理有無の設定を行うことで、システムがファイル内のテキストから機密情報対象となるキーワードを検知することができるようになります。

利用にはクラウドストレージDirectCloud-BOXの契約が必要ですがユーザー数無制限の定額料金で利用できるため、企業や行政機関などさまざまな団体で利用されています。

DirectCloud-SHIELD

まとめ

IRM機能により、ユーザーは情報漏洩の不安なく普段の業務に集中できるのでぜひとも導入を検討しておきたいところです。
中でもDirectCloud-SHIELDはIRM製品特有の敷居の高さを感じることなく、DirectCloud-BOXと同じUI・操作感でシームレスに使用することができます。
導入時においても、設定は管理者側に一任されユーザー側での設定は最小限になるので、すぐに使い始めることができるのが特徴です。
利便性とセキュリティの両立を図りたい方はぜひ資料ダウンロード、またはトライアルをご検討ください。

資料ダウンロード