株式会社ラネクシー(自社導入)

いま企業に求められる情報資産のデータ分類を実現
情報漏洩のリスクを軽減し、社員の意識も高める

ラネクシーでは、かねてよりISMSの規定に沿って情報資産を管理してきた。しかし、情報資産は時間経過とともに重要度が変化するため、従来のフォルダによる管理では適切かつ柔軟な取り扱いが難しいという課題があった。そこで同社が採用したのが豪Janusnet社が開発したソフトウェア「Janusseal Documents」および「Janusseal for Outlook」だ。両製品の導入で、ファイルの重要度が表示されるようになり、メール誤送信など情報漏洩のリスクが軽減。また、社員自身がラベリングを行うことで、情報の取り扱い対する意識も高まった。今後、同社は導入で得た経験とノウハウをベースに、Janussealシリーズの拡販へ積極的に取り組んでいくとのことだ。

導入製品・ソリューション

ラネクシーの導入前の課題と導入後の効果

導入前の課題

情報資産を重要度別に格納するフォルダを分けてファイルを管理していたが、時間の経過とともに重要度が変化するため、適切かつ柔軟な管理が困難だった。

導入後の効果

ラベリングによりファイルの重要度が表示されることで、メール誤送信等による情報漏洩のリスクが軽減。社員自身がラベリングを行うため、情報の取り扱いについて常に意識する環境も醸成された。

フォルダによるファイル管理では
重要度の適切な反映が困難

 2020年に設立25周年を迎えたラネクシー。同社は自社ソフトウェア製品の「ソフトウェア開発事業」、国内外ソフトウェア製品の「ディストリビューション事業」、公共・文教市場を中心とした「ソリューション事業」の3つをビジネスの柱としている。2019年10月には同じグループのソフトウェア開発会社と合併、「新生ラネクシー」が誕生した。その効果について取締役 技術本部長の波間晋也氏は「ソフトウェアの開発から販売・サポートまで、ワンストップでサービスを提供できる体制が整いました。また、コロナ禍において全社的なテレワーク体制への移行を実現するなど、働き方改革も進んでいます」と語る。
 同社はセキュリティ商材を扱う企業の責務として、自社の情報セキュリティにも積極的に取り組んできた。具体的には、社内に「情報セキュリティ管理委員会」を設置。部門単位で責任者と担当者を置き、全社体制で情報資産のセキュリティ対策を実施・運用・推進してきた。加えて2009年9月には、ISO/IEC 27001(ISMS)の認定を取得している。
「現在、社内の情報資産はISMSの規定に沿って情報資産台帳で管理しています。具体的には、極秘/部外秘/社外秘/一般の4区分に分類しており、例えば契約書は極秘、見積書は社外秘となります」(波間氏)
 同社はこれらの情報資産をデータ化しファイルで管理していたが、そのファイルがどの区分にあたるのか、開いてもパッと見では判断できない。そこで、重要度別にファイルを格納するフォルダを分けて管理していたのだが、時間の経過とともにファイルの重要度が変わってしまい、フォルダの示す重要度と乖離してしまうことが珍しくなかった。
「各ファイルの内容はユーザーが編集する過程で変化します。もともとは一般扱いの情報であっても、そこに極秘事項が追記されれば極秘扱いにする必要があるのです。それで格納するフォルダが正しく変更されればいいのですが、そのまま放置されている場合も多く、誰かがうっかり外部に漏らしてしまうおそれがありました。また、ファイルを格納していたフォルダがいきなり変わったことで、それまで使っていたユーザーが、行き先がわからず困ってしまうケースもありました」(波間氏)
 このように、従来のフォルダによる管理ではファイルの取り扱いに難があった。そこで同社は、情報資産を適切かつ柔軟に管理できる仕組みがないか検討することにしたのである。

ドキュメントや電子メールを重要度に基づき分類
情報のラベリングに最適のツール

 ラネクシーは慎重に検討を重ねた結果、Janusnet社(豪州ノースシドニー)が開発したソフトウェア「Janusseal Documents」および「Janusseal for Outlook」の採用を決めた。
 Janusseal Documentsはユーザーが作成・編集するドキュメントに対して、Janusseal for Outlookはユーザーが送信する電子メールに対して、それぞれセキュリティレベルに合わせたデータ分類を割り当てるツールだ。具体的には、「分類ラベル」機能を用いてドキュメントや電子メールを重要度に基づき分類していくのだが、ユーザー自身がファイルをラベリングすることで、その情報の重要性を意識し、分類ラベルに合わせた適切な取り扱いをするようになる。また、社外にメールでファイルを送付する際には、ドキュメントや電子メールのヘッダーと本文に分類ラベルが表示されるので、受信者にも重要性が通知され、慎重な取り扱いが徹底できる。
「ISMSでは情報のラベリングについて、組織が採用した情報分類体系に従って策定、実施しなければならないと規定していますが、両製品はこれを実現するために最適のツールです。近年、海外ではEUデータ保護指令のように情報資産の適切な管理を求める動きが加速しており、我が国でもいずれ立法化されると考えています。それゆえ、情報のラベリングは今後ますます重要性を増し、企業の必須テーマとなることでしょう。Janusnet社は豪政府が採用した電子メールの保護マーキングフォーマットの標準設計に携わり、電子セキュリティラベルのモデルになるなど、この分野のリーディングカンパニーのひとつです。そうした実績も評価し、今回の導入に至りました」(波間氏)

取締役 技術本部長
波間 晋也氏

第1営業本部
プロダクトソリューション部
セールスグループマネージャー
清水 勇佑氏

メール誤送信による情報漏洩のリスクを大幅に軽減
社員に対する情報セキュリティの“意識づけ”効果も

 2020年7月、ラネクシーはJanussealの導入プロジェクトをスタート。途中、コロナ禍による中断はあったものの、テスト運用も含めて約2カ月で展開を完了した。導入においては、ISMSをベースとする社内の分類と、Janussealの挙動とを組み合わせながらポリシーを作成していく工程で苦労したというが、業務の実態に合うよう従来より分類を増やすことで対応した。
 同社は2021年3月から全社での運用を開始しているが、導入の効果としては、まずメール誤送信のリスクが大幅に軽減されたことが挙げられる。以前は、社外秘であるはずのファイルを不注意で外部へ送付してしまうおそれがあったが、Janussealではラベルが表示されることで明確な判断が可能になり、システム的にも送付できなくなった。
 また、現場の社員への情報セキュリティの“意識づけ”の効果も大きい。第1営業本部 プロダクトソリューション部 セールスグループのマネージャーである清水勇佑氏は「弊社ではeラーニングなどを通じ全社員に情報セキュリティ教育を継続的に実施していますが、一時的に意識が高まるものの、時間の経過とともに低下します。この点、Janussealは自分でラベリングを行うため、情報の取り扱いについて常に意識する環境を醸成してくれます」と強調する。

プロジェクト期間:2カ月

ファーストユーザーとしての経験、培ったノウハウを拡販に活かす
コンサルティングまで含めたソリューションとして提供

 今後ラネクシーでは、Janussealのさらなる活用を進めるとともに、国内ファーストユーザーとしての経験、導入・運用において培ったノウハウや気付きをベースに、販社として同製品の積極的な拡販に取り組んでいくという。
「ここにきてNIST(米国立標準技術研究所)策定のサイバーセキュリティ基準が注目され、日本でも採用する企業が増えています。このNISTに加えて先進国政府が導入を進めているのが、機密情報と一般情報を区別する『セキュリティレベルに応じたデータ分類』です。日本でもこのガイドラインに準拠した法整備が進み、データ分類という新たなマーケットが誕生するでしょう。そういった意味でも、Janussealは当社にとって強力な商材になると確信しています」(清水氏)
 同社は今後、官公庁、金融、インフラ、メーカーなどに向けてJanussealを販売していく予定だが、そういった企業の中にはこれまでデータ分類を行った経験がなく、どこから手を付けていいかわからないところも少なくない。
「こうした悩みを持つ企業に向けては、分類手法やノウハウなど情報資産のアセスメント、データ整備のサポート、コンサルティングまで含めたソリューションを提供していきたいですね」(清水氏)

JANUSSEAL FOR OUTLOOK 運用イメージ
  • 送信元の社員が自らセキュリティ区分を割り当てることで、その情報の重要さを認識する
  • セキュリティ区分を可視化することで、受取側もその情報の重要さを認識した取り扱いを行う

こちらの資料は資料請求からダウンロードしていただくことができます。

資料請求はこちら