第11回「セキュリティ分類の定義」

Janussealを導入してデータ分類をする際の基本となり、かつ最も重要なものは、分類の定義です。

このブログでこれまでも触れてきましたように、データを分類することの主な目的は、組織の情報資産について適切な保護レベルを定義し、組織のメンバーが情報資産を保護レベルにしたがって適切に取り扱うように意識づけることで、機密性の高いデータの不用意な操作による漏えい等、実質的なセキュリティレベルの向上を図ることです。

また、データ分類された電子メールやファイルを受け取った相手先(顧客や取引先など)は、データに埋め込まれたメタ情報やヘッダー、メール件名等から、このデータの機密性を察して適切な取り扱いを意識するようになり、同時に、送り元のデータセキュリティに対する姿勢を理解し評価することになります。

データ分類のための有効なツールとして開発されたJanussealソフトウェアは、ドキュメントや電子メールメッセージといったデータに分類ランクを設定するために操作するものですが、その分類ランクを決定するのはコンピューターのユーザーです。

そのため、組織のすべてのメンバーが分類の目的および定義を理解し、正しくデータを分類することが肝心なのです。

では、データ分類と修飾子(二次分類)について、少し詳しくお話ししましょう。

既にこのブログの第7回「導入前の質問表」や、第9回「電子メールのデータ分類」に、例として下のような分類が登場していました。

公開 (組織外に公開、または一般に入手可能とする情報)
社外秘 (組織のメンバー以外に内容を知られてはならない情報)
部外秘 (組織の特定の部門外に内容を知られてはならない情報)
極秘 (組織や関係先の重要事項として、作成者や特定の関係者以外に内容を知られてはならない情報)

これらが分類ランクのうち基礎となる分類項目になります。
まずこれらを検討し、どのような分類項目が必要で、その内容はどのようなものか、を確定しましょう。

この例では上記4つが定義されていましたが、これはJanussealを導入される組織にて、自由に設定できます。

例えば、公開、一般、社外秘、非公開、社員のみ、関係者のみ、部外秘、極秘、機密、また、場合により、分類対象外、というのも有りです。

このあたり、用語の解釈にもよりますし、いくつかに絞るのは少し難しいかもしれません。

分類項目(選択肢)が多すぎると、Janussealでの実際の分類操作時に、どの分類を適用したらよいか迷うことになるかも知れません。

また、逆に分類項目(選択肢)が少なすぎると、データを参照する人に、データの機密性を正しく伝えられない恐れもあります。

そこで、分類項目を最適化する工夫として、このような分類項目を設定した上で、項目の付加情報として下位レベルに、もう少し詳しい内容を設定してみてはどうでしょう。

例えば、「部外秘」扱いなのだけれど、具体的にどんな内容なのか(契約書なのか、個人情報を含むのか、等)を示すことで、分類の決定を簡易にしてデータを取り扱う人の利便性を高めると同時に、データの取り扱い方を考えさせる効果もあるのではないかと思います。

そんな場合のためにJanussealでは、「修飾子(二次分類)」を設定できるようになっています。

修飾子は、各分類項目の下位分類にあたるもので、任意の用語を指定でき、また、設定してもしなくても自由です。

上の例の4分類に修飾子を設定すると、例えば、以下のようになります。

公開 (修飾子)一般情報、メールマガジンなど
社外秘 (修飾子)幹部、社員、パートナー、顧客情報、企画書など
部外秘 (修飾子)管理部門、営業部門、関係者、契約書、人事情報など
極秘 (修飾子)役員、経営資料、経理資料、開発資料など

もちろん、これは一例であり、どの組織にも最適なもの、ということにはなりません。
修飾子にどのような項目を設定するか、どの分類項目に所属させるか、は自由です。

組織にて十分検討した上で決定するのが良いと思います。

なお、分類項目、修飾子といった分類方針は「スキーマ」と呼ばれ、組織のデータ分類の基礎となりますが、いったん決定したものをJanusseal運用中に変更することも可能です。

データ分類の趣旨や決定したスキーマは、組織のメンバーに十分に説明して理解してもらいましょう。

最後に、修飾子の話に戻りますが、Janussealでは対応アプリケーション(Microsoft Outlook、Microsoft Office)から、修飾子の選択までできるようになっています。

例えば下の画面(Microsoft OfficeのリボンにあるJanussealのセキュリティ分類選択部分)のように、修飾子がある分類項目にはプルダウンメニューがついており、修飾子の選択候補が表示されます。

修飾子を選択すると、分類項目と修飾子の全体を分類結果として「部外秘-管理部門」のように表現します。

また、修飾子を選択しないことも可能で、この場合は分類項目のみを分類結果として「部外秘」のように表現します。

分類結果はMicrosoft Office電子メールの件名や本文中、Microsoft Officeドキュメントのヘッダー・フッターなどに配置できます。

投稿日:2021年03月05日

Janussealシリーズ

従業員が情報の重要性を認識していれば、情報の取り扱いに際しミスなどを未然に防ぐことが可能となり、情報漏洩リスクを低減できます。 データの機密性レベルを分け、それを認識することで従業員からセキュリティを強化させることが重要データを保護する最も簡単な方法ではないでしょうか? Janussealであればセキュリティレベルに基づいた「分類ラベル」でドキュメントや電子メールをかんたんにデータ分類できます。
記事一覧