2018年7月24日文書管理

ドキュメント管理で大切なのは“アクセス制限”。盗難リスクを下げる5つの方法

WordやPDFなどの電子化されたドキュメントは、「デジタル」という性質上さまざまなリスクを持っています。

数あるリスクの中で今回注目するのが、ドキュメントの盗難リスク。社員がドキュメントを勝手に持ち出して外部に漏洩させたり、外部からの不正アクセスによって、ドキュメントのデータを奪われてしまったりする可能性があるため、厳重な管理が必要です。

ドキュメントのセキュリティを強化するためには、アクセス権をいかに制限するかが重要。今回は、ドキュメントの盗難リスクを下げるために知っておきたい認証技術や追跡管理について紹介します。

【はじめに】電子データの漏えいリスクについて、情報マネジメントのプロが言及

電子データの漏洩リスクの大きさについては、専門家も関心を寄せています。公益社団法人日本文書情報マネジメント協会が執筆した書籍中にあった次の記述をご覧ください。

 

電子データは改ざんが比較的容易で、改ざんや不正行為があっても痕跡が残りにくい。パソコンや記録メディアは持ち運びが可能であり、紛失した場合など大量の情報がなくなるだけでなく、情報の漏洩につながる。また、外部からネットワークへの侵入や、社内の人間による不正あるいは過失によるもの、データの廃棄を適切にしなかったことなどで情報漏洩が発生する。
出典「新しい文書情報マネジメントの基礎と応用」公益社団法人日本文書情報マネジメント協会著

 

この記述からも分かるように、電子化されたデータには社内の人間による情報漏洩だけでなく、外部からの侵入による盗難リスクもあるので、より一層の注意が必要なのです。

それでは、電子ドキュメントの盗難リスクを下げる方法を具体的に紹介していきましょう。

「IDとパスワードの設定」生年月日や名前は絶対NG

最初に紹介するアクセス制限の方法は、「IDとパスワードの設定」です。

誰もが知っているものであることは間違いありませんが、実際に活用されているかというといかがでしょう。たとえ重要な文書であっても、ID・パスワードを付けていない企業も多いのではないでしょうか。

不正アクセスからドキュメントを守るためにも、社内の情報や顧客情報が書かれたドキュメントなどには必ずID・パスワードをつけるようにしましょう。パスワードを設定するときには、以下の3点に注意するようにしてください。

・誕生日や社名など、推測されやすいものは避ける
・文字数をできるだけ長くする
・定期的に変更する

「PKIクライアント認証」ペアの鍵による暗号・復号でセキュリティを強固に

続いて紹介するのは、「PKI(公開鍵基盤)クライアント認証」です。

この認証技術は、ドキュメントを暗号化する際に利用する鍵と復号(暗号を解除)する際に利用する鍵が異なっているのが特徴。2つの鍵はペアになっており、一方の鍵で暗号化された文書は、もう一方の鍵を使わないと解除できないようになっています。

1つの鍵で暗号化・復号化する認証方式だと、その鍵自体が外部に渡ってしまうことで情報にすぐアクセスされてしまう可能性がありますが、PKIクライアント認証は、鍵をペアにしているためセキュリティがより強固になっているのです。

「リスクベース認証」質問への回答を要求し、なりすましアクセスを防止

「リスクベース認証」と聞いても、おそらくピンと来る方はあまりいないでしょう。

しかし、「会員登録をするときに設定する秘密の質問」と聞けば、覚えがある方も多いのではないでしょうか。これがリスクベース認証です。

ユーザーの行動履歴から「なりすましアクセス」かどうかを判断し、なりすましの可能性が高いと判断した場合に追加質問をして不正アクセスを防ぐというもの。

秘匿性の高いドキュメントを見るにあたって、もしIDとパスワードしか要求されなければ、万が一IDとパスワードが盗まれてしまった場合に自由にアクセスされてしまいます。こうしたリスクを手軽に減らせる認証技術として、リスクベース認証は評価を受けているのです。

「生体認証」個人の特定が可能で、セキュリティレベルの向上が期待される

近年テクノロジーの発達に伴って、急速に増えてきた「生体認証」

指紋や静脈、そして網膜など、人の個別の特徴によって本人かどうか認証するというものです。iPhone5s以降、iPhoneシリーズでも指紋認証でロックが解除できるようになるなど、私たちの身近なところにも登場し注目を集めています。

個人を特定できることによって、セキュリティレベルの飛躍的向上が期待されている一方で、写真に映った指紋を悪用されてしまう恐れがあるなど、今後の課題も多い認証技術だと言えるでしょう。

「ログの記録管理」不正アクセスをした人を特定可能に

ハッキングなどの不正アクセスを行う人は、痕跡を残さないようにするためにサーバのログを消すことがあります。もしログが消されてしまうと違反者の追跡が困難になってしまうので、「ログの記録管理」をしておくのがおすすめ。

具体的には、誰がいつどこにアクセスしたのかを記録しておくようにします。そうすることによって、万が一不正アクセスが発覚したときにも、ログを辿って違反者を見つけ出すことができるのです。

こうした取り組みを全社的に行うことによって、社内の人間が意図的に起こす情報漏洩の抑止力となることでしょう。

電子化されたドキュメントのリスク管理は、アクセス制限で

今後、機密性の高いドキュメントの電子化がさらに進めば、セキュリティ対策の重要性はますます高まっていくでしょう。

誰でも手軽にアクセスできてしまいがちな電子ドキュメントだからこそ、「アクセス制限」をどれだけ徹底できるかが、リスク回避の鍵となるのではないでしょうか。

情報をきちんと管理し外部への流出を防ぐことは、企業が損失を被らないようにするために不可欠です。ドキュメント管理が十分にできていないと感じた方は、ぜひ今回紹介した方法を活用して、セキュリティ対策を進めてみてはいかがでしょうか。

カテゴリー:文書管理