データ分類

偶発的な損失と情報制御に対する効果的なソリューション



機密性に基づいて情報を分類するという行為は、他の内部および外部の脅威をブロックすることに重点を置いたITセキュリティ対策と比べると、比較的小さな部分に感じられるかもしれません。

しかし情報漏洩の原因として一番多いのは、ヒトの予測できない行動によってい引き起こされています。例えば単純なオペレーションミスによる漏洩などです。だからこそ「情報の分類」は簡単なプロセスで効果を発揮し、高いコストや複雑なシステム導入への工数をかけずに情報漏洩のリスクを大幅に減らすことができます。

データ分類は、機密情報の損失や取り扱いミスを最小限に抑えるための、効率的で効果的な方法です。

情報を管理する

ITシステム担当者の役割として、企業情報のセキュリティ保護に対して、いかに堅牢な仕組みを構築するかという課題があります。この課題をクリアするには、機密情報がどこにあり、誰がそれにアクセスできるかを把握しておく必要があります。また、ユーザー自身に機密情報を扱っていることを認識してもらい、機密情報へのアクセスをコントロールすることがお勧めです。

データ分類を情報セキュリティポリシーと統合し強化する3つポイント

POINT!

識別

分類

制御

識別

機密情報データの識別は、公開情報、個人情報、および所有権情報を区別するために、ディスカバリを実行するか、情報源で識別することによって実現できます。

分類

一度識別されると、情報は自動化プロセスまたはヒトの理解に基づいて、機密性に応じて分類することができます。迅速かつ簡単に分類をおこなうには、ITツールでセキュリティレベル毎にデータ分類のラベルをデータに割り当てることをお勧めします。これにより分類の可視化が可能となります。

制御

機密情報のデータの損失を防止するには、セキュリティレベル毎にデータ分類された情報を活用してデータへのアクセスを制御し、必要に応じて暗号化や持ち出し制御対策など実施することで、効率的に対策プロセスを実施することが可能になります。

従業員からセキュリティを強化させる

ガバナンスリスクおよびコンプライアンス管理者にとって、情報漏洩のリスク軽減を実現させる近道は、多くのリスクがどこから来ているかをまず理解することです。どんなに優秀な従業員でも時には間違いを犯し、ストレスや疲れの溜まった時は 10 倍のミスを犯してしまうことが研究から分かっています。

もし電子メールまたはドキュメントにデータ分類のラベルが表示されてれば、自分が扱っている情報の機密性をユーザーに即座に警告することができ、不注意による紛失や誤った取り扱いの可能性を軽減します。避けられない間違いを予測するよりも、機密情報を管理することの方がはるかに簡単です。

機密情報を分類するための使いやすいツールをユーザーに提供することで、組織全体の従業員が情報セキュリティを積極的に向上させることができます。データ分類は単純な手法のように思えるかもしれませんが、あらゆるビジネスに対するその価値は証明されており、実質的なものなのです。

機密情報のアクセスコントロールのイメージ図

分類ラベルの表示

セキュリティ分類のコントロールで、機密情報と一般情報を区別する
コンプライアンス向上・機密データ漏洩防止ソリューション

Janusseal Documents は作成または編集するドキュメントにセキュリティ分類を割り当てることができます。また、Janusseal for Outlook はユーザーが送信する電子メールに、セキュリティ分類を簡単に割り当てることで、機密情報を効率的に分類して、人為的なミスによる情報漏洩リスクを軽減できます。

具体的には企業の情報機密性に基づいた「分類ラベル」でドキュメントや電子メールを区別します。これによりユーザー本人が、まず情報の機密性を意識し、「分類ラベル」に応じて情報の取り扱いをコントロールするようになります。また、ドキュメントや電子メールに「分類ラベル」が表示されることで、受信者にも機密性が通知され、
取り扱い注意が徹底されます。いたってシンプルなプロセスで実用的かつ柔軟な機密情報の取り扱い方を実現します。

Wordでのラベリング

Outlookでのラベリング

なぜ情報の分類が必要なのか?

機密性のレベルを分け、それを認識することが重要データを保護する最も簡単な方法

機密情報と一般情報を区別して、それを社内で認識することが重要データを保護する最も簡単な方法です。もしユーザーが自分で作成したドキュメントやメールの各情報レベルを識別・分類できれば資料の保護、管理、制御が容易になります。Janusseal シリーズはこの分類を権限と重要度に応じて、セキュリティ分類リストから選択するだけの簡単な運用をご提供します。これによりユーザーはセキュリティに配慮した文化を醸成し、コンプライアンスを向上させ、機密データが誤って処理されるリスクを軽減できます。

JANSSEAL FOR OUTLOOK 運用イメージ

  • 送信元の社員が自らセキュリティ区分を割り当てることで、その情報の重要さを認識する。
  • セキュリティ区分を可視化することで、受取側もその情報の重要さを認識した取り扱いを行う。

結果:社員の自発的な行動による適切なデータ取り扱いが実施される為、効率的で効果的な情報管理を実現できる。

CUIマーキング

CUI(Controlled Unclassified Information)とは

ここではCUI(Controlled Unclassified Information)を管理するためのソリューションをご紹介しますが、まずはCUIを管理する必要について背景をご説明します。
米国政府機関が定めた調達する製品や技術を開発・製造する企業に対して求められるセキュリティ基準を担保するためのガイドラインとして「NIST SP800-171」があります。これは政府機関からだけではなく取引企業からの情報漏洩を防ぐために、業務委託先におけるセキュリティ強化を要求する内容になっています。ちなみにNIST SP800シリーズでは以下の2種類の情報が定義されています。

  • CI (Classified Information):格付け情報 ← NIST SP800-53
  • CUI(Controlled Unclassified Information):非格付け情報  ← NIST SP800-171

上記の通りCUIは非格付け情報として、機密ではない(重要)情報を指します。CUIに対して、更に厳格な管理が必要な機密情報はCI(Classified Information,格付け情報)と呼ばれ、こちらはより厳格なガイドライン(NIST SP800-53)が存在します。

CUIは例えば製品の仕様書や製品開発における実験データなどが相当し、米国政府ではCUIの保護も重要課題と位置付けています。もしCUIが漏洩すれば、安全保障や経済に影響を与える恐れがあるためです。よってNIST SP800-171では、このCUIを保護するためにCUIを扱う民間企業へ遵守を求める事項として新しく制定されています。米国政府の方針を受け、日本においても防衛調達のNIST SP 800-171と同レベルの仕組みの導入を開始するとされています。

JanussealはCUI (Controlled Unclassified Information) の管理を効率化するために、電子メールやドキュメントに対して、セキュリティレベルに合わせた分類ラベルをマーキングすることで、情報データを仕分けすることが出来ます。

Janussealの分類ラベルでCUIの管理を簡易化

JANUSSEAL FOR OUTLOOK を使用した電子メールの CUI マーキングと取り扱い(動画)

このビデオは、Januseal for Outlook を使用して電子メールにマーキングすることがいかに簡単で直感的かを示しています。 「すぐに使える」構成と正しいフォーマットを使用した CUI のメッセージングに特に重点を置いています。

JANUSSEAL DOCUMENTSによるドキュメントのCUI マーキングと取り扱い(動画)

Janusseal Documentsを使用した、Controlled Unclassified Information(CUI)の情報のマーキングは、すばやく容易です。 構成と正しいフォーマットは「すぐに使える」ものです。

参考

  • Classified Information(CI)=格付け情報=厳重な取扱が必要な機密情報
  • Controlled Unclassified Information(CUI)=非格付け情報=機密ではない(重要)情報
  • National Institute of Standards and Technology(NIST)=米国国立標準技術研究所
  • NIST SP800-171(NIST Special Publication 800-171 Revision 1)=米国政府機関が調達する製品や技術を開発・製造する企業に対して求められるセキュリティを担保するためのガイドライン

関連情報

世界が注目する 米国政府のサイバーセキュリティ基準「NIST SP800-171」とは

メール誤送信防止

目次

メール誤送信を防止するためには

プライバシーマーク制度の運用などを手掛ける、一般財団法人日本情報経済社会推進協会(JIPDEC)の「個人情報の取扱いにおける事故報告集計結果」によると2019年度にプライバシーマーク取得企業から発生・報告のあった情報漏洩事故2543件のうち、メール誤送信によるものが23.2%と最も多くなっています。そのため情報を取り扱うことの多い現代社会において、メール誤送信対策は必須と言われています。
Janusseal for Outlookはメールの誤送信防止および従業員の情報セキュリティ意識向上に効果的な、情報セキュリティレベルのコントロールツールです。

メール誤送信のリスク

もし万が一メール誤送信により機密情報や個人情報の漏えいが発生してしまった場合、事業継続に支障が発生してしまうような大きなダメージに直結する可能性があります。
例えば企業イメージの損失や信頼の失脚による取引停止や資格などの取り消し、漏えいした情報によっては損害金の支払いや二次被害への対応といった多大なリソースを割く必要があるでしょう。そのため機密情報や個人情報を扱う企業にとって、メール誤送信対策は必須と言えます。

メール誤送信の原因

では、そもそもメールの誤送信はどのような時に発生するのでしょうか。4つの例を挙げて確認してみます。

1. 宛先・アドレス等の間違い

メール誤送信という言葉から真っ先に思いつくものの代表として、宛先やアドレスの間違いがあります。原因として打ち間違いや自動入力機能の確認漏れ・操作ミス、複数の宛先へ送る際BCCにしなければならないところをToやCCにしてしまい、受信者全員がアドレスを確認できるようになってしまった場合の設定ミスなど、”ついうっかり”で発生してしまいそうですが、重大な業務データの流出や取引先との信用問題に直結するミスでもあります。

2. 添付ファイルの間違い

こちらも同じくメール誤送信の代表的な例として思い浮かぶものかもしれません。同じフォルダに入っている別のファイルと間違えてしまった場合や似た名前のファイルと間違えてしまう場合、同じ情報について取り扱った更新前の古いファイルを送ってしまう場合などが考えられます。ファイルの場合はメール本文に比べて非常に多くの情報を送受信できることから万が一の情報事故で被害が深刻化しやすいとも言えるでしょう。

3. 誤字脱字など文面の間違い

こちらは誰しもが一度はヒヤリハットとして経験があるかもしれません。
タイプミスや変換ミスなどであいさつが「よrしくおねがします」となってしまった程度であれば大きな問題にはならないかもしれませんが、例えばコピー&ペーストをする際にコピー元を間違えて社外秘のメモを挿入してしまった場合などであれば、重大な情報事故に繋がってしまいます。

4. セキュリティ方針の違反

こちらはあまりイメージがつきにくいかもしれないですが、職場や法律で定められている規則に反してしまうことです。個人情報やマイナンバーなど、適切な管理が義務付けられている情報が法律の認知不足により添付・送信されてしまった場合などがこれにあたります。

 また、これらは必ずしも単独で発生するとは限りません。意図せぬ送り先に、意図せぬファイルを送ってしまった場合など、より深刻な被害が発生してしまう場合もありえます。これはたったひとつのミスが重大な事故に直結する航空業界の格言ですが「人はミスをし、機械は故障する」というものがあります。人は環境や状況などでミスを起こしてしまい、機械は運用や整備次第で意図せぬ動作をしてしまう。そのため極端に人に依存したり機械を過信した運用はせず、どちらかがエラーを起こしてももう一方が補うことで事故を防ぐという考え方です。情報の取り扱いにおいても、人の手や意識による防止策と機械やシステムによる防止策を併用することが望ましいと言えます。

メール誤送信の対策

ここまでで不安にさせてしまったかもしれませんが、ご安心ください。メールの誤送信は原因が分かれば対策が可能です。
そして対策をすることで防ぐことができます。それでは、先ほど挙げた4つの例についての防止策を考えてみましょう。

1. 宛先・アドレス等の間違いを防ぐ

オートコンプリート機能をオフにすることで類似した名前のアドレスと間違えることを防ぐことに繋がります。ただし、それだけだと手入力によるミスを防ぐことができないため、後述の送信予約などと併用することが推奨されます。
オートコンプリート機能をオフにすると業務効率が著しく低下する懸念がある場合、社内は名前のみ、社外は墨付き括弧で頭に社名を入れるなど、一目できるアドレス帳の登録ルールを規定することで入力ミスを防ぐことができます。ただし、既に登録してあるアドレス帳を書き換える手間が発生してしまいます。

2. 添付ファイルの間違いをなくす

第三者承認として、送信する際に上司や同僚などから確認をしてもらう方法です。メール送信の度に工数が発生してしまいますが、第三者が介入する分、誤字脱字などのミスも併せて防ぐことができます。
ファイルの命名ルールを明確化し、類似した名前のファイルが並ばないようなルールを規定することで、選択ミスを防ぐことができます。また、更新前のファイルと更新後のファイルを並べず、「old」などのフォルダを作成して更新前のファイルをまとめることも有効です。

3. 誤字脱字など文面の間違いに気付く

送信ボタンを押してから一定時間後に送信される送信予約を利用することで、送った瞬間に誤字脱字などのミスに気付いても修正できるほか、宛先や添付ファイルの確認なども行うことができます。類似の機能として送信取り消しがありますが、そちらの場合は一度送信されてしまうため重要データの漏洩を防ぐことには繋がりません。

4. セキュリティ方針を守る

セキュリティ方針の違反は不注意だけでなく規定や法律の認知不足が原因となっている場合も多く、ここまでの防止策と併せて意識の向上や規定の認知を図ることが求められます。例として外部セミナーの参加や社内講義の実施が挙げられますが、一時的な向上には繋がるものの時間の経過と共に低下してしまう傾向が強いです。そのためシステムにより恒常的な認知を図ることが最も有効となります。このような、セキュリティ方針の意識向上に有効なシステムとしてJnusseal for Outlookが挙げられます。

Janusseal for Outlook

Janusseal for Outlook はユーザーが送信する電子メールに、セキュリティ分類を簡単に割り当てることで、機密情報を効率的に分類して、人為的な紛失や誤操作からの情報漏洩リスクを軽減できます。

Janusseal for Outlookについてはこちら