FineArt News

コラム

ここ最近の情報漏洩事件は競合会社への技術漏洩も多く、漏洩した内容も20nm DRAMの製造工程、内製プログラム、ブループリント、設計図など多種多様です。「製造マシンメーカーが設計図を3つの部品メーカーに渡して、パーツ製造を依頼するまでは良かったのですが、設計図を渡してすぐクローンマシンが作られた」という報道もありました。部品製造の依頼は設計図を渡すしかなく、しかし渡したら最後、情報を保護できなくなります。NDAなどの機密保持契約だけでは実際に事件が起きても漏洩の証拠を揃えることは難しくなります。

伝統的なDLP システムの制限

DLP (Data Leakage Prevention) システムは基本的に守るべき内容の認識・把握と漏洩ルート制御の2つがあります。しかし、内容の認識・把握の面では誤認識による制御ミスが起こり得てしまい、ルート制御の面ではルールの調整が複雑で(管理コストが増える)、性能にも影響します。(スキャンが必要) 

さらに、ソースコードや設計図は内容の認識が難しく、一般的なソースコードには必ずidentifier, logic control, variables , constantsなどの共通文言があるので判断が難しくなります。さらに、画像ファイルの認識は一層難しく判別がほぼ不可能です。一部の製品はOCRによる認識を訴えています。実際、社内で開発した成果物に対しての保護効果は高くありません。

ではDRMは?

他のセキュリティシステムに比べて、DRM タイプの製品はドキュメント本体へのアクセス権限制御がメインで、ドキュメントの機密保持、権限制御には比較的有効で、権限のない人による濫用を防止できます。このタイプのセキュリティシステムはほとんどのオフィス環境に適用できますが、IDE(統合開発環境)、CAM/CADシステム開発だと簡単にはいきません。通常、暗号化と権限制御のためDRMプログラムとアプリケーション(Wordなど)、ファイルフォーマットは密接な繋がりで実装する必要があります。この場合、DRMプログラムの制御は対応するアプリケーションに大きく影響を受けます。

例えばアプリケーションがバージョンアップすると、DRMプログラムの制御が異常になる可能性が出てきます。IDE開発環境はもっと複雑で、ソースコードの編集だけで複数のエディターを使い、include filesは複数フォーマットのソースファイルになり、さらにresource file、project file、バージョン管理用のSVNサーバ等を使います。CAD/CAM はサブ図、コンポーネント図、テンプレートなどがあります。これらツールにセキュリティソリューションが提供されていない場合、サードパーティのコンポーネントで対応するのは相当困難になります。

ソースコード開発環境保護を実施する際の障害

セキュリティソリューションを長年施行してきた経験上、セキュリティは技術的な問題よりもユーザの行為とビジネス管理面の問題が大きいです。ソースコード開発環境保護ソリューションを実施する前に、まずぶつかるかもしれない障害を考えるべきです。

  1. 適切なツールが必要

前述の通りに使用するツールを検討する必要があります。

  1. 現場への影響

ツールを導入することによって開発者の作業習慣が強制的に変更され、不適切なフロー変更や厳しすぎる制限があると、生産性に大きく影響します。作業で発揮できる柔軟性が削られ、クリエイティブな作業に大きく影響します。

  1. 会社への信頼度が低下する

過度な監視・制御・録画は、社員が「会社から蔑ろにされている」と感じることがあります。会社への信頼度が低下すると、退職等のリスクに繋がります。

  1. 抜け道や回避

ツールの導入で今まで気づかなかった抜け道が発見され、活発に利用される可能性があります。
プログラマーにはある程度のノウハウがあり、さらにチャレンジ精神があります。(これは開発者の性といも言えます)

制御と制限の内容が分かってしまえば、回避するツールを自前で開発することは決して難しくありません。検討中のツールでは、これらに対応しきれるでしょうか?

  1. 適用する範囲の判断

管理に入れる部署、業務ユニットをどう決めるべきかも重要です。画像やイラストそのものが機密になる業務もありますし、オンラインゲームなどでは脚本 (script)自体が機密情報になります。保護するものはソースコードだけではありません。

  1. 外部協力会社へ展開する時の対応

協力会社にソースファイルを提供することも多くありますが、この場合は当然外部でもある程度保護されていることを期待します。しかし協力会社は別の会社であり、こちらが強制する制御・保護措置が作業の不便を強いた場合、協力自体が破談する可能性もあります。

投資した成果物を保護したいと考える時は、正当な理由とポリシーも明確にアナウンスして、内部の社員と適切にコミュニケーションする必要があります。セキュリティツールだけの問題ではないとは言え、適切なツールやソリューションを選択することは前述の管理コストと現場の抵抗を低減できる有効な手段です。

  1. クラウド印刷による企業セキュリティの脅威
  2. ランサムウェア対策ソリューションのホワイトペーパー
  3. BitLockerでの業務PC保護管理
  4. OSのセキュリティ脆弱性と情報漏えい防止