文書管理を情報セキュリティ3要素CIAで考える ~機密性「Confidentiality」編~

情報セキュリティは、

「機密性」(Confidentiality)

「完全性」(Integrity)

「可用性」(Availability)

の3つの要素で定義されます(それぞれの頭文字からCIAと略されます)。

今回は「機密性(Confidentiality)」について説明します。
「機密性(Confidentiality)」とは、情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保することです。
つまり不正アクセス、情報漏えいなどのリスクに対して防止策を講じることです。
機密情報を取り扱う文書管理においてもCIAの3要素を考慮する必要があります。

一般的な文書管理における気密性対策と残存リスクについて

紙媒体の場合

 - 機密性対策 -

不正アクセス対策

デスク上など誰でも手に取れる場所ではなく、書庫やキャビネットなど施錠できる場所で保管する。

情報漏えい対策

書庫やキャビネットの鍵は特定の管理者または部署が責任を持って管理し、利用を許可したユーザからの要求に対して開錠または鍵を一時的に貸与する。

  - 残存リスク -

開錠による情報漏えい

書庫やキャビネットの施錠管理を人の手によって行うと、施錠を忘れてしまったり、鍵の紛失により本来利用できない者が資料を参照したり、持ち出したりできてしまう。

アクセス制限が限定的

書庫やキャビネットの施錠だけでは、同じ施錠内の情報を参照する事ができてしまう。(書類単位で参照制限をかける事が難しい)

一般的な文書管理システムの場合

 - 機密性対策 -

不正アクセス対策

ID、パスワード、アクセス元(IPアドレス)情報などでアクセス認証を行い、利用ユーザを限定する。

情報漏えい対策

ファイルまたはフォルダにアクセス権を設定し、ユーザ単位で利用できる文書を限定する。

 - 機密性対策 -

操作機能単位で制限できない

表示権限があれば、印刷やダウンロードができてしまう。
(ファイルのダウンロード・添付メール送信、ファイルの印刷・配布などが可能になる)OfficeやPDFファイルの場合、表示はPC側のアプリケーション機能に依存する為、表示ができればアプリケーションメニューの「印刷」、ファイルのダウンロード(メニューの「名前を付けて保存」など)ができてしまう。

直接的なデータ持ち出しへの対策までできない

ハードディスク(HDD)、データベース(DB)への直接不正アクセスによる情報漏えい。

Contents EXpert / Digital Document なら

操作単位の権限設定

独自のバインダ形式管理で閲覧、印刷、ダウンロード機能単位で制限が可能です。

文書情報、ファイル暗号化

文書情報(データベース)、文書ファイルへの暗号化管理が可能で、データへ直接的な不正アクセス時の情報漏えいリスクが低減されます。

Contents EXpert / Digital Document 詳細はこちら »

Contents EXpert / Digital Document 機能一覧

機能概要
認証 ユーザ認証、パスワード変更、パスワードポリシーの設定、認証エラー回数によるアカウントロック機能
アクセス制御 機能のアクセス制御、文書に対する操作のアクセス制御、フォルダに対する操作のアクセス制御
文書検索 文書名検索、文書属性検索、全文検索、バインダ形式ファイル検索、フォルダ名(V1.1新機能)
文書操作 文書登録、文書表示・ダウンロード・印刷、文書編集、チェックアウト、チェックイン、文書移動、文書コピー、URL表示、ショートカット作成、期日管理、文書廃止、文書削除、ページ出力、複合機、スキャナ連携
フォルダ管理 フォルダ登録・更新・削除・移動
文書分類管理 文書分類登録・変更・削除、選択型属性定義
ユーザ管理 ユーザの登録・更新・削除、グループの登録・更新・削除、ランクの登録・更新・削除
監査証跡管理 操作情報の記録、監査証跡情報の検索・表示、監査証跡情報のエクスポート、統計情報の検索・表示、統計情報のエクスポート
管理機能 メール通知、通知設定、監査証跡取得設定、利用状況集計
導入支援 インストーラ、文書の一括登録、文書の一括削除、グループのインポート、ユーザのインポート

Contents EXpert / Digital Document 導入実績

Contents Expert Digital Document はセキュリティレベルの高い金融機関をはじめさまざまな業種、業務でご利用いただいております。

他多数

関連情報