データ分類

偶発的な損失と情報制御に対する効果的なソリューション



機密性に基づいて情報を分類するという行為は、他の内部および外部の脅威をブロックすることに重点を置いたITセキュリティ対策と比べると、比較的小さな部分に感じられるかもしれません。

しかし情報漏洩の原因として一番多いのは、ヒトの予測できない行動によってい引き起こされています。例えば単純なオペレーションミスによる漏洩などです。だからこそ「情報の分類」は簡単なプロセスで効果を発揮し、高いコストや複雑なシステム導入への工数をかけずに情報漏洩のリスクを大幅に減らすことができます。

データ分類は、機密情報の損失や取り扱いミスを最小限に抑えるための、効率的で効果的な方法です。

情報を管理する

ITシステム担当者の役割として、企業情報のセキュリティ保護に対して、いかに堅牢な仕組みを構築するかという課題があります。この課題をクリアするには、機密情報がどこにあり、誰がそれにアクセスできるかを把握しておく必要があります。また、ユーザー自身に機密情報を扱っていることを認識してもらい、機密情報へのアクセスをコントロールすることがお勧めです。

データ分類を情報セキュリティポリシーと統合し強化する3つポイント

POINT!

識別

分類

制御

識別

機密情報データの識別は、公開情報、個人情報、および所有権情報を区別するために、ディスカバリを実行するか、情報源で識別することによって実現できます。

分類

一度識別されると、情報は自動化プロセスまたはヒトの理解に基づいて、機密性に応じて分類することができます。迅速かつ簡単に分類をおこなうには、ITツールでセキュリティレベル毎にデータ分類のラベルをデータに割り当てることをお勧めします。これにより分類の可視化が可能となります。

制御

機密情報のデータの損失を防止するには、セキュリティレベル毎にデータ分類された情報を活用してデータへのアクセスを制御し、必要に応じて暗号化や持ち出し制御対策など実施することで、効率的に対策プロセスを実施することが可能になります。

従業員からセキュリティを強化させる

ガバナンスリスクおよびコンプライアンス管理者にとって、情報漏洩のリスク軽減を実現させる近道は、多くのリスクがどこから来ているかをまず理解することです。どんなに優秀な従業員でも時には間違いを犯し、ストレスや疲れの溜まった時は 10 倍のミスを犯してしまうことが研究から分かっています。

もし電子メールまたはドキュメントにデータ分類のラベルが表示されてれば、自分が扱っている情報の機密性をユーザーに即座に警告することができ、不注意による紛失や誤った取り扱いの可能性を軽減します。避けられない間違いを予測するよりも、機密情報を管理することの方がはるかに簡単です。

機密情報を分類するための使いやすいツールをユーザーに提供することで、組織全体の従業員が情報セキュリティを積極的に向上させることができます。データ分類は単純な手法のように思えるかもしれませんが、あらゆるビジネスに対するその価値は証明されており、実質的なものなのです。

機密情報のアクセスコントロールのイメージ図

分類ラベルの表示

セキュリティ分類のコントロールで、機密情報と一般情報を区別する
コンプライアンス向上・機密データ漏洩防止ソリューション

Janusseal Documents は作成または編集するドキュメントにセキュリティ分類を割り当てることができます。また、Janusseal for Outlook はユーザーが送信する電子メールに、セキュリティ分類を簡単に割り当てることで、機密情報を効率的に分類して、人為的なミスによる情報漏洩リスクを軽減できます。

具体的には企業の情報機密性に基づいた「分類ラベル」でドキュメントや電子メールを区別します。これによりユーザー本人が、まず情報の機密性を意識し、「分類ラベル」に応じて情報の取り扱いをコントロールするようになります。また、ドキュメントや電子メールに「分類ラベル」が表示されることで、受信者にも機密性が通知され、
取り扱い注意が徹底されます。いたってシンプルなプロセスで実用的かつ柔軟な機密情報の取り扱い方を実現します。

Wordでのラベリング

Outlookでのラベリング

なぜ情報の分類が必要なのか?

機密性のレベルを分け、それを認識することが重要データを保護する最も簡単な方法

機密情報と一般情報を区別して、それを社内で認識することが重要データを保護する最も簡単な方法です。もしユーザーが自分で作成したドキュメントやメールの各情報レベルを識別・分類できれば資料の保護、管理、制御が容易になります。Janusseal シリーズはこの分類を権限と重要度に応じて、セキュリティ分類リストから選択するだけの簡単な運用をご提供します。これによりユーザーはセキュリティに配慮した文化を醸成し、コンプライアンスを向上させ、機密データが誤って処理されるリスクを軽減できます。

JANSSEAL FOR OUTLOOK 運用イメージ

  • 送信元の社員が自らセキュリティ区分を割り当てることで、その情報の重要さを認識する。
  • セキュリティ区分を可視化することで、受取側もその情報の重要さを認識した取り扱いを行う。

結果:社員の自発的な行動による適切なデータ取り扱いが実施される為、効率的で効果的な情報管理を実現できる。

CUIマーキング

CUI(Controlled Unclassified Information)とは

ここではCUI(Controlled Unclassified Information)を管理するためのソリューションをご紹介しますが、まずはCUIを管理する必要について背景をご説明します。
米国政府機関が定めた調達する製品や技術を開発・製造する企業に対して求められるセキュリティ基準を担保するためのガイドラインとして「NIST SP800-171」があります。これは政府機関からだけではなく取引企業からの情報漏洩を防ぐために、業務委託先におけるセキュリティ強化を要求する内容になっています。ちなみにNIST SP800シリーズでは以下の2種類の情報が定義されています。

  • CI (Classified Information):格付け情報 ← NIST SP800-53
  • CUI(Controlled Unclassified Information):非格付け情報  ← NIST SP800-171

上記の通りCUIは非格付け情報として、機密ではない(重要)情報を指します。CUIに対して、更に厳格な管理が必要な機密情報はCI(Classified Information,格付け情報)と呼ばれ、こちらはより厳格なガイドライン(NIST SP800-53)が存在します。

CUIは例えば製品の仕様書や製品開発における実験データなどが相当し、米国政府ではCUIの保護も重要課題と位置付けています。もしCUIが漏洩すれば、安全保障や経済に影響を与える恐れがあるためです。よってNIST SP800-171では、このCUIを保護するためにCUIを扱う民間企業へ遵守を求める事項として新しく制定されています。米国政府の方針を受け、日本においても防衛調達のNIST SP 800-171と同レベルの仕組みの導入を開始するとされています。

JanussealはCUI (Controlled Unclassified Information) の管理を効率化するために、電子メールやドキュメントに対して、セキュリティレベルに合わせた分類ラベルをマーキングすることで、情報データを仕分けすることが出来ます。

Janussealの分類ラベルでCUIの管理を簡易化

JANUSSEAL FOR OUTLOOK を使用した電子メールの CUI マーキングと取り扱い(動画)

このビデオは、Januseal for Outlook を使用して電子メールにマーキングすることがいかに簡単で直感的かを示しています。 「すぐに使える」構成と正しいフォーマットを使用した CUI のメッセージングに特に重点を置いています。

JANUSSEAL DOCUMENTSによるドキュメントのCUI マーキングと取り扱い(動画)

Janusseal Documentsを使用した、Controlled Unclassified Information(CUI)の情報のマーキングは、すばやく容易です。 構成と正しいフォーマットは「すぐに使える」ものです。

参考

  • Classified Information(CI)=格付け情報=厳重な取扱が必要な機密情報
  • Controlled Unclassified Information(CUI)=非格付け情報=機密ではない(重要)情報
  • National Institute of Standards and Technology(NIST)=米国国立標準技術研究所
  • NIST SP800-171(NIST Special Publication 800-171 Revision 1)=米国政府機関が調達する製品や技術を開発・製造する企業に対して求められるセキュリティを担保するためのガイドライン

関連情報

世界が注目する 米国政府のサイバーセキュリティ基準「NIST SP800-171」とは