外部委託先、パートナーとの安全ファイル共有を目指して

外部委託先、パートナーとの安全ファイル共有を目指して
(Advanced Information Rights Management =AIRM)による
情報漏えい対策
株式会社ネプロジャパン
製造業における情報共有と機密情報保護課題
課題
・自社の独自の技術・ノウハウの流出、
・顧客から預かった設計ファイルなどの流出による信用失墜
・新興国での製造・販売に伴う現地委託加工先からの流出
製造業では製造委託、部品・材料調達などの際に外部の企業に社内の技術、ノウハウの結集である設
計図、仕様書などを渡さざるをえない局面がある。
一方、委託先・委託元の業務効率改善、コスト削減のため印刷物の支給からデジタルファイルの支給が
必須となっている。また、近年では3D画像や動画などの支給も必要になりつつある。
コスト競争の激化、海外での設計、製造委託の増加に伴い情報流出のリスクは高まっている。
セキュリティソリューションの課題
・暗号、復号ソリューションでは復号キー(パスワードや物理鍵)を渡してしまえば、それ以降の管理は相手
への信頼ベースとなってしまう。システム的に強制できる仕組みが必要である。
・閲覧だけでは済まない場合もあり、相手に加工、ファイルの更新を許可しつつ2次漏えいを防止する必要
がある。
・現場(オフライン状態)での設計変更、ファイルの更新にも対応できる必要がある。
・外注先、パートナーを含めると同一CADソフトとは限らず、また、機械、電気、建築などの複数CADソフト
を利用するため、複数のCADソフトで共通に利用可能なセキュリティシステムが必要である。
1
株式会社ネプロジャパン
DataClasysによる製造業での情報漏えい防止の効果
DataClasysの効果
・委託先、パートナーからの2次漏えいを防止
暗号化したまま、ファイルを利用(更新など)できるので、例えファイルを外部に持ち出ししても
暗号化ファイル。暗号ファイルはどこにあろうが、DataClasysサーバで管理された権限者以外は
ファイルを開けません。
・ほとんどのアプリケーションに対応可能
MS-Word、Excel、PowerPoint、Access、メディアプレイヤ、一太郎、花子、Openoffice
CAD(動作実績のあるCADソフト)
Autocad、CATIAv5、CADSuper、E-CAD、CADCity、頭脳α、ZWcad、Cadvance、
JWCAD、・・・・・・・
・現場(オフライン)利用
特定の機密区分で暗号化されたファイルは、特定の期間のみオフラインでの利用が可能
・国際化対応
韓国語版開発済み、中国語版、英語版(開発中)
・コラボレーションツールとの連携(予定)
ファイルの受け渡し、共有のコラボレーションシステムとの連携
2
株式会社ネプロジャパン
DataClasysの活用例1(委託元のDataClasysサーバにアクセスさせる)
業務委託先からの2次漏えい対策
配付先も暗号化したまま利用する事により、配付先からの
2次漏えいを防止。
印刷・コピー&ペーストも禁止可能
ファイルの利用期間の設定
常時接続を必要とし、リアルタイムに権限管理、利用ログ管理をこ実施
接続元IP・ポートフィルタリング
データセンタ
プライマリDataClasysサーバ
セカンダリDataClasysサーバ
ファイアウオール
インターネット
委託先企業B
IDファイル認証
IDファイル・暗号鍵・権限管理
利用ログ管理
ファイル利用者
ファイル利用者
ファイアウオール
配付元企業
委託先企業A
ファイル作成者
ファイル利用者
権限管理者
ファイル利用者
ファイアウオール
ファイアウオール
DataClasysユーザクライアントソフト要
DataClasys認証用IDファイル要
暗号ファイルを暗号化したまま利用
制限
一定期間内にIDファイル認証要
常時接続でなくいても利用可能
配付元の企業がIDファイル無効化すると
一定期間を経過すると利用不可
DataClasysユーザクライアントソフト要
DataClasys認証用IDファイル要
役割
暗号ファイル作成
利用者の権限にあう機密区分を選択
利用期間を設定
DataClasys管理者ソフト要
DataClasys管理者認証用IDファイル要
役割
権限設定
ユーザ・IDファイル管理
IDファイル作成・期限設定・無効化
利用期間を設定
ログ管理
3
株式会社ネプロジャパン
DataClasysの活用例2(委託先にオフラインで利用させる)
業務委託先からの2次漏えい対策
委託先も暗号化したまま利用する事により、配付先からの
2次漏えいを防止。
印刷・コピー&ペースト禁止
ファイルの利用期間を設定
ファイルに利用期間を設定
常時接続は不要であるが、認証ファイルの利用期間を設定
し、一定期間を経過するとオフライン状態では認証ファイルが利用不可
必要に応じ委託元がIDファイルを再発行する。
接続元IP・ポートフィルタリング
データセンタ
プライマリDataClasysサーバ
セカンダリDataClasysサーバ
ファイアウオール
インターネット
IDファイル認証
IDファイル・暗号鍵・権限管理
利用ログ管理
海外委託先企業A
配付元企業
ファイル利用者
ファイル利用者
ファイル作成者
権限管理者
ファイアウオール
ファイアウオール
DataClasysユーザクライアントソフト要
DataClasys認証用IDファイル要
暗号ファイルを暗号化したまま利用
制限
一定期間後IDファイル利用不可
常時接続不要
必要に応じIDファイルを再発行
DataClasysユーザクライアントソフト要
DataClasys認証用IDファイル要
役割
暗号ファイル作成
利用者の権限にあう機密区分を選択
利用期間を設定
DataClasys管理者ソフト要
DataClasys管理者認証用IDファイル要
役割
権限設定
ユーザ・IDファイル管理
IDファイル作成・期限設定・無効化
利用期間を設定
ログ管理
4
株式会社ネプロジャパン
DataClasysの活用例3(現場で修正)
現場で修正
現場で修正
社内
オフライン利用
権限管理者
プライマリDataClasysサーバ
セカンダリDataClasysサーバ
DataClasys管理者ソフト要
DataClasys管理者認証用IDファイル要
役割
権限設定
ユーザ・IDファイル管理
IDファイル作成・期限設定・無効化
利用期間を設定
ログ管理
利用者
DataClasysユーザクライアントソフト要
DataClasys認証用IDファイル要
役割
暗号ファイル作成
利用者の権限にあう機密区分を選択
利用期間を設定
DataClasysユーザクライアントソフト要
DataClasys認証用IDファイル要
役割
暗号ファイル修正・更新
一定期間が経過すると利用不可
社内に戻ってDataClasysサーバに
接続、再認証されれば再利用可能
5
株式会社ネプロジャパン
DataClasysは500社以上で利用されています。
導入実績
★ 様々な業種で
地方自治体、投資運用会社、設備メンテナンス企業、独立行政法人某研究所、システム開発会社、
情報・通信会社、広告代理店、人材派遣会社、電気部品卸会社、設計会社
などなど様々な業種で幅広くご利用いただいています。
★ 様々な部門で
事務・管理部門だけでなく
製造・設計・建設・設備保全などの部門も
含めて利用いただいています。
★ 様々な種類の情報を
個人情報だけでなく
企業の生命線である図面、お客様のお預かりデータ、得意先データなど機密情報を
含めて管理されています。
6
株式会社ネプロジャパン
DataClasys で、情報共有と機密管理を両立
文書の機密区分と利
用者の所属組織・職
位による権限管理
7
株式会社ネプロジャパン
DataClasys で、情報共有と機密管理を両立
文書種別・区分で管理
(極秘、社外秘、プロジェクト秘)
所属グループ・ポストのマトリッ
クスで権限管理
極秘(文書区分)を選択
して暗号化
プロジェクト秘(文書区
分)を選択して暗号化
○該当するIDファイルを持つ人に権限が付与されます。
IDファイルのグループ、ポストが変われば自動的に権限が変わります。
8
株式会社ネプロジャパン
DataClasys の機能一覧
IRM機能(暗号ファイルの利用権限)
・暗号化/復号/完全消去/列挙/閲覧/更新/削除/ファイル出力/クリップボード出力/プリント出力/
スクリーンショット/メール添付/メール送信(列挙、メール送信はV5.2以降で実装予定)
・暗号ファイルの利用期限
・暗号ファイルオフライン利用可否
・オフライン時の認証ファイル有効期間
・アプリケーション設定
管理機能
・文書種別管理(社外秘、部外秘、プロジェクト秘などのカテゴリ管理)
・所属組織と職位とのマトリックスによる権限ポリシー設定
・操作範囲(組織範囲)を限定して管理者権限の委譲
・ユーザの所属グループ、職位とそれぞれの有効期限の登録・変更
・ユーザの所属グループの兼任
・CSVによる一括インポート・エキスポート
・暗号ファイル利用履歴
・管理者操作履歴
・IDファイル複製利用検知
・IDファイル利用時のパスワードポリシー設定
暗号化機能
・共有ファイルサーバ内フォルダ自動暗号化
・同一ファイルの複数機密区分で暗号化
・カテゴリを選択して利用者の手動暗号化
・DataClasysクライアント終了時のPC内特定フォルダ自動暗号化
9
株式会社ネプロジャパン
DataClasys の特長一覧
IRM製品としての特長
ファイル形式・アプリケーションに依存しない、ほぼ全てのファイルを暗号化、IRM管理
他社DRM、IRM製品はMS-Word、Excel、Powerpoint、Adobe Reader、Acrobatに限定)
暗号化状態を保持したままでのファイルクリックによる利用
DataClasysクライアントを常駐させれば、暗号ファイルを開くたびにID、パスワードなどの入力は不要
常駐化はログイン時自動起動可能
他社製品では、暗号ファイル毎にID、パスワード入力が必要な場合もある。
暗号化状態のままでの、マクロやリンク、全文検索、他のシステムとの連携が可能
アプリケーション設定により、他のシステムに復号データを渡す、他のフォーマットでの出力を許可す
るなどの動作を設定可能
他社製品では、アプリケーションが限定されているため、他のシステムとの連携はできない。
連携例、PDF作成ツール、文書管理ソフト、グループウェアなど
管理機能の特長
文書種別・機密区分による権限管理
DataClasysサーバの利用者の人事異動・退職等の設定変更で利用権限の自動変更
他社製品では、文書毎にグループや利用者を設定するため、人事異動、組織変更時の対応が不可
能
管理DBが簡易で、管理文書数に制限がない。
10
株式会社ネプロジャパン
DataClasys の利用者の負担は?
1、フォルダ保存で自動暗号化
2、暗号化・権限管理されたファイルの利用はほとんど従来通りの
操作
3、ファイル形式に依存せず、あらゆる文書をファイル単位で
11
株式会社ネプロジャパン
大規模ネットワークにも対応
文書流通と組織再編、人事異動にも対応する管理
・権限ポリシーは、所属組織と職位で設定
・組織再編による文書管理は、機密区分の移動、変更で対応
・人事異動には引き継ぎ期間の設定で対応
・ActiveDirectoryとはCSV連携
12
株式会社ネプロジャパン
社外や通信環境のない状況でも情報共有と機密管理を両立
2つのオフライン機能
社外利用型オフライン機能
配布型オフラインオプション
特定の区分で暗号化された暗号ファイルのみ社
内のPCをそのまま社外に持ち出してもそのまま
利用できます。
取引先や社外パートナーに機密性の高いファイ
ルを配布し、暗号化状態のまま、設定期限まで
利用できます。
他の区分で暗号化されたファイルは社外では誰
も利用できません。
相手先に必要なのは、パスワードのみ。
ほとんどのアプリケーション、フォーマットに対応
(対象アプリケーションはMS−Office、PDF、
NotePad)
13
株式会社ネプロジャパン
DataClasys のオフライン機能比較
14
株式会社ネプロジャパン
安全なシステム運用
鍵管理サーバ(DataClasysサーバ)の冗長化とサーバリダイレクト
・リレーショナルデータベース(PostgreSQL)採用
・DataClasysサーバの2重化が可能
・セカンダリサーバの登録により障害時にリダイレクト
・通信はhttp
基本構成
DataClasysサーバ
プライマリサーバ
サカンダリサーバ
DataClasysマネージャ
ファイルサーバ
DataClasys
フォルダ自動暗号化
DataClasys IDファイル
DataClasysユーザクライアント
15
株式会社ネプロジャパン
DataClasysによるセキュアファイルサーバ
①1つのサーバで構成
Windows 2000、2003 Server+ File Server
+
ひとつのWindowsサーバにファイル
サーバ、DataClasysサーバ、自動暗
号化機能を搭載。30∼100人前後の
利用に適合。既存ファイルサーバを
利用することも可能
DataClasys サーバ
②2つのサーバで構成
Windows 2000、2003 Server+FileServer
+
DataClasys 自動暗号化オプション
DataClasys 自動暗号化オプション
Windowsサーバにファイルサーバ、
自動暗号化機能を搭載。500人まで
の利用に適合。既存ファイルサーバ
を利用することも可能
DataClasys サーバ
③NASを活用
NAS(WindowsStorage、Linux Samba)
DataClasysサーバに自動暗号化機
能を搭載し、NAS内のフォルダをリモ
ートで監視・自動暗号化。1000人ま
での利用に適合。既存のNASも利用
可能。
+
+
WindowsServer+DataClasys サーバ +自動暗
号化
16
株式会社ネプロジャパン
他の情報漏えい対策製品との相違
暗号化製品:ファイル・ディスクを暗号化して、アクセス許可者のみ復号・利用可能
欠点:権限者からの2次漏えい、誤操作、意図的漏えいを防止できない。
ファイル操作性が悪い。マクロ、リンク、他のシステムとの連携ができない。
持ち出し制御製品:PCの操作を監視し、外部メモリー、メール添付、WEBアクセス、印刷などをPC、利用者単位で制御
欠点:運用負荷が大きい、権限者からの2次漏えいを防止できない。
他のDRM製品:編集・印刷・コピー&ペースト・印刷などをファイル単位で制御
欠点:対象アプリケーションが限定されている。組織での運用に無理がある。
ファイル操作性が悪い。マクロ、リンク、他のシステムとの連携ができない。
DataClasys
権限者からの2次漏えいも防止、利用者負担、運用負荷も小さい、
ほとんどのアプリケーションに対応、大規模組織の運用も可能。
マクロ、リンクも暗号化したまま利用可能、他のシステムとの連携も容易
17
株式会社ネプロジャパン
他の情報漏えい対策とDataClasys
■ DataClasysは、ファイルの重要度(情報の中身)に応じてポリシーで運用します。一方、従
来の持ち出し制御製品はPCの操作を制御します。
■ DRM製品は暗号化したまま利用するがDataClasysは更に情報の中身、重要度による権限
管理ができ、また幅広いアプリケーションに対応できます。
18
株式会社ネプロジャパン
他のDRM製品との相違
DataClasys(Advanced IRM) はドライバー制御タイプの唯一のDRM製品
特徴:アプリケーションに制限なし
権限があれば、平文と同じ操作(マクロ・リンク・全文検索など)
他のシステムとの連携が容易
他のDRM製品
ビュワー型製品
概要:専用ビュワーもしくはブラウザーで閲覧・印刷
限界:編集する場合は復号するため、2次流出を防げない。
権限を個人に付与するため、異動・組織変更の対応に限界
ファイルの利用に制限がある。マクロ・リンク・全文検索などができない。
プラグイン型製品 概要:MS-OFFICE製品にプラグインして編集・印刷を制限
限界:適応アプリケーションがMS-OFFICEのみ
ファイルの利用に制限がある。マクロ・リンク・全文検索などができない。
19
株式会社ネプロジャパン
DataClasys の2大特徴
1、ほとんどのファイルを暗号化したまま、利用可能
他のDRM製品は、Word、Excel、PowerPoint、PDFだけ
DataClasysはAUTOCAD、CATIA、CADVANCEなどのCADファイル、
一太郎、 ACCESSなど、ほとんどのファイルを管理可能
対応できないアプリケーション例
AutoCAD LT(他のモジュールとの連携を禁止するためWindowsAPIフックをすると強制終了)
評価版での動作確認を推奨します。
2、権限管理は、文書区分に対して、組織と職位で設定
他のDRM製品はファイルに対して個人やグループで設定。
そのため、人事異動や組織変更への対応ができない。
DataClasysは人事異動や、組織変更に柔軟に対応
20
株式会社ネプロジャパン
DataClasysのシステム構成と動作環境
動作環境(ソフトウェア/対象OS)
ユーザクライアント
Windows 2000 Professional(SP4以上)/
Windows XP Professional/
Windows XP Home Edition/
Windows Vista/Windows7
マネージャクライアント
Windows 2000 Professional(SP4以上)/
Windows XP Professiona/Vistal
サーバ Windows版
Windows Server 2008 Standard/
Windows Server 2003 Standard Edition/
Windows Server 2003 Enterprise Edition/
Windows 2000 Server/
Windows 2000 Advanced Server
サーバ Linux版
Red Hat Enterprise Linux ES4
データベース
PostgreSQL 8.3
暗号方式
公開鍵暗号方式と共通鍵暗号方式のハイブリット
公開鍵
RSA(鍵長 2048ビット)※
共通鍵
AES(鍵長 256ビット)※
21
株式会社ネプロジャパン
株式会社ネプロジャパン
IPソリューション事業部
〒104-0031
東京都中央区京橋1-11-8 西銀ビル4F
TEL:03-6803-3992 FAX:03-6803-3969
http://www.dataclasys.com/
E-mail:[email protected]
DataClasys 30日間評価版申し込み受付中
詳しくはお問い合わせください。
22
株式会社ネプロジャパン