企業の情報漏洩の最多の原因は何かご存知ですか？実は8割が社内から漏洩しているのです。社内の人間は最も会社の重要データに触れやすい立場におり、顧客情報の漏洩は社内の人間がUSBなどで持ち出すことにより、発生するケースが多くあります。社内の管理者は重要な顧客の情報が漏洩しないように、対策を行う必要があります。ここでは個人情報管理に役立つサービスを15個、厳選してお伝えしたいと思います。

1: LOOOC /コムソル株式会社

LOOOCは、「画面キャプチャ」「キーログ監視」「USB着脱監視」によって社内のパソコンに関する社員の操作の履歴を全て把握します。例えば社員が会社の重要なファイルを個人のクラウドストレージにコピーしたりしていないか、USBにコピーした履歴はないか、社内の重要なファイルにいつ誰がアクセスしたか、誰がどのような内容をキーボードで入力したか、誰がどんな内容のウェブサイトをいつ閲覧したかなど、社内のパソコンの動きに関するすべてのデータを監視し把握し、記録を残します。

2: Guardium /metro

Guardium/metroは、データベースに関する怪しい動きをチェックします。通常は特権管理者であれば、データベースにアクセスでき、そこからデータをいくらでも持ち出すことが可能です。しかしこの製品は、特権管理者でも大量のデータをダウンロードするなどの、怪しい行動を、あらかじめ条件設定しておき、その条件に合致した場合は、リアルタイムでアラート発泡するという仕組みです。その他にログの記録をすべて記録することや、それらの情報を集計・レポートすることに強みがあります。またこれらの不正検知の機能を、設置する場所のLAN環境やサーバーに負荷をかけないように設計されたソリューションです。

3: Pirates Buster for Active WebPage /ティエスエスリンク

Pirates Buster for Active WebPageは、主にウェブブラウザに対するアクションを制御します。例えばウェブブラウザ状のコンテンツに対して、ダウンロードやコピー、印刷、画面キャプチャを禁止することが可能です。これにより、本来編集されたくないPDFやフラッシュ、htmlなどのコンテンツのデータの保護が可能です。その他にウェブアプリケーションサーバーと、クライアント端末との間にAWPサーバー挟むため、このAWPサーバーとクライアント端末との間で暗号化通信を行います。そのため本来キャッシュは暗号化されずに存在していますが、AWPサーバーがキャッシュを暗号化するため、安全なウェブブラウジングが可能になります。

4: オフィスガードウォール /株式会社電算システム

オフィスガードウォールは、「PCガードウォール」「メディアディテクト」「リークガードウォール」という独自のセキュリティーシステムを採用しています。PCガードウォールは、企業のセキュリティーポリシーに応じた様々なセキュリティー対策が可能です。USBの使用禁止や、ファイルのアクセス編集録の記録、またメールの送受信フィルターなどの機能があります。メディアディテクトは、ネットワークにつながっていないパソコン端末を守るセキュリティー機能です。スタンドアローンとして独立して運用されているパソコン端末のセキュリティー対策に威力を発揮します。リークガードウォールは、特定の保護領域内でのみファイルのやり取りを許す機能です。例えば特定の保護領域内にあるファイルを、保護されていない社員のパソコンにコピーしようとしても、そのアクションを阻止することができます。

5: 秘文 /日立ソリューションズ

秘文は、機密情報を「出さない」「見せない」「放さない」というコンセプトで情報を守るシステムです。機密情報を出さない、とは企業が機密情報をもち出すことに関するポリシーを一度定めれば、そのポリシーに沿って、情報の持ち出しを管理します。ポリシーに合致しないデータの持ち出し行動は、ただちにアラートで検知されます。
次に見せない、とは機密情報を外部に持ち出さざるを得ない状況の中で、第三者が閲覧することができないように、常に暗号化を行っています。最後に離さない、の意味は万が一情報の流出や拡散があった場合でも、流出先のファイルをコントロールし、そのファイルの利用権を遠隔で無効化してしまうことができます。

6: 情報漏えい対策ソリューション /NEC

情報漏えい対策ソリューションは、あらゆるファイルのバージョン管理や、図面や仕様書などのデータを一元管理します。また特定のファイルに対する権限設定と、その権限に応じた操作レベルでのアクション制御を行い、ファイルへのアクセス制御を行います。ファイルへのアクセスのログ管理や、社内のパソコン端末の稼働状況などのログ管理まで行います。その他に持ち出し制御として、重要なファイルをUSBで持ち出すことを禁止したり、ネットワークドライブへのコピーを禁止したり、メールでの送信を禁止したりする制御機能があります。

7: TotalSecurityFort /NTTデータ先端技術株式会社

TotalSecurityFortは、防止対策として、許可されていないソフトウェアの利用制限や、許可されていない外部デバイスの利用制限を行います。また抑止対策としては、特権管理権限の社員に対する不正と思われるアクションに対するポップアップ等の牽制機能があります。また検知対策としてパソコンの設定変更による環境の変化を検知します。

8: InterScan Web Security /TRENDO MICRO

InterScan Web Securityは、出口対策と入り口対策に大きく分かれます。出口対策では、不正なウェブ閲覧の禁止や、SNSの閲覧は許可しつつも、書き込みやファイルのアップロードを禁止したり、特定のIPへの接続を制御することができます。入り口対策としては、httpの監視を行っており、不正なファイルやウィルスをブロックします。またフィッシング詐欺サイトも監視しており、アクセスしようとする社内の行動があった際に、そのアクションを禁止します。その他、フリーソフトのダウンロードや、反社会的サイトへのアクセスなども制御します。

9: IIJマネージドファイアウォールサービス /Internet Initiation Japan

IIJマネージドファイアウォールサービスは、「アノマリ検知システム」という独自の検知システムを採用しています。これは企業のネットワークパターンを機械が学習し、そのパターンに合致しない波形が現れたときに、それを異常として検知します。

10: DocumentSecurity /アルシー・ソリューション

DocumentSecurityは、アクセス管理機能として、情報を一元化することにより、不正なアクセスを監視します。その際にデータは暗号化されます。またデータの持ち出し制御を行いますので、誰がいつどこでどんなデータを持ち出したのかを監視します。

11:Malion Cloud /intercom

Malion Cloud/intercomは、クライアントPCの運用管理するソフトです。ウィンドウズやMacのIT 資産管理を行います。各端末の操作ログ管理や、マイクロソフトオフィスなどのライセンス管理を一括して行います。またクラウドで利用できるため、サーバー構築にかかる多大な初期費用が不要となります。

12: ServiceNow /ServiceNow Japan株式会社

ServiceNowは、ソフトウェアとハードウェア、またはIT資産以外の管理も決めて一括して社内の情報を管理します。財務や契約、在庫の情報までこのソフトの中で管理することが可能です。社内のIT資産の持ち出し、貸し出し管理を行うことができるため、IT管理者の工数が削減されます。

13: ism Cloud one /クオリティソフト株式会社

ism Cloud one は、社内のセキュリティーレベルの見えるに強みのあるツールです。情報システム担当者は、日々ダッシュボードを確認し、社内のセキュリティー状況をゲージでチェック。異常が検知されれば、対応するというフローをつくることができます。また社内にあるデバイスはパソコンのみに限りません。スマートフォンやタブレットなどのデバイスも一括してセキュリティー管理とIT資産管理を行います。

14:Business OffiSuite 「PCセキュリティ」 /USEN

Business OffiSuite 「PCセキュリティ」は、社内のIT資産管理をクラウドで提供するツールです。自社のポリシーに応じてセキュリティーレベルを設定でき、内部統制を強化することができます。パソコンのセキュリティソフトの導入やネットワークでのセキュリティー強化も重要ですが、そもそもパソコンの資産管理をして、社内にあるべきパソコンの台数がきちんとあるのか、ということを管理することに強みがあります。パソコンの紛失等による、情報漏洩を防止します。

15:e-Survey+ /株式会社ニッポンダイナミックシステムズ

e-Survey+パソコンにアプリケーションをインストールする必要がありません。管理サーバーのインストールと、端末の登録だけでクラウドで利用することができます。またパソコン端末のリースや保守契約、オフィスやセキュリティソフトのライセンスの情報なども紐付けて管理することができるため、端末の知りたい情報へすぐにアクセスすることが可能です。

まとめ

ご紹介してきたとおり、顧客情報の流出を防止するためのツールは非常に多く出揃っています。それぞれ特徴のあるシステムばかりなので、選ぶことに苦労するかもしれませんが、大事な事は、貴社の規模や運用状況に合わせた規模のシステムを選ぶことが重要でしょう。