IRMとは「Information Rights Management」の略で、簡潔にまとめると「ファイルを暗号化した上で、ユーザーごとに操作権限を付与し、その利用状況を管理するための仕組み」のことです。DRM(Digital Rights Management)と同系統のセキュリティ製品で、中でも文書の管理に特化したものと位置付けられます。
本稿では、クラウドストレージなどの普及にともない、改めて重要性が認識されるようになってきたIRMについて、基礎知識や背景、導入時の注意点などを説明します。
.png){kind=logo}
IRMが注目される背景とIRMでできること
IRM保護が必要とされる背景
最初に認識しておきたいのが、メール誤送信とは、あくまでもヒューマンエラーだという点です。システムやネットワークのために、いくら充実したセキュリティ機能を用意しても、アドレスを選んで送信ボタンを押すのが人間である以上、「うっかりミス」が起こる可能性は排除できません。どんなに対策しても、いつかは起こってしまうと考えるべきものなのです。
「高リスクなのに緊張感ゼロ」というメールの現実
IRMは、すでに長い歴史を持つ技術です。高いセキュリティを求める企業の間には一定のニーズがあり、長年利用され続けてきました。そして近年、改めて重視されるようになった理由として、リモートワークや社外とのコラボレーションが進み、クラウドサービスを使った便利なファイル共有の手段が普及したことが挙げられます。企業内外でのファイル共有のハードルが下がり、機密情報が簡単に社外ネットワーク上に流通し始めた結果、情報漏えいのリスクの高まりとともに対策が求められているのです。
従来なら、ひとたびファイルが社外に渡ってしまえば、その後のコントロールは不可能でした。たとえ暗号化して送信しても、相手先でのファイルの扱いまでは管理できません。復号されたファイルが、平文で先方の端末に保存されてしまうことは多々あります。これがIRM以前のセキュリティの限界です。
IRMでできること
IRMは、前述で指摘した企業内外でのファイル共有の課題を解消する「送り先でもファイルをコントロールするための仕組み」です。IRMでできることは多岐にわたりますが、ベースには暗号化と復号の仕組みがあります。一般的なIRMサービスでは、暗号鍵やアクセス許可ポリシーなどの資格情報はサーバー上で常に管理されており、ファイルに関する操作は、サーバー経由でユーザー認証を受けた端末上のみで行われます。
IRMの管理下にあるファイルに対して行える操作は、付与された権限により変わります。同じファイルでも、ユーザーの役職・属性により、閲覧可能/編集可能/印刷可能などと操作できる範囲を変更できます。共有した相手先では、暗号化時に許可されたユーザーかつ、ファイル操作時に暗号鍵にアクセスできるユーザーのみがファイルを利用できます。さらに、製品によっては、指定した期間を過ぎたファイルを削除するといったことも可能です。
●IRMでできること
- アクセス許可/アクセス制限
-アクセス許可ポリシーを設定し、閲覧できるユーザーやユーザー権限を限定する - ユーザー権限の制御
-閲覧/編集/印刷などユーザーによって操作できる範囲を制限する - コンテンツの保護
-仮に情報漏洩インシデントが発生しファイルが流出しても、暗号化されているため許可されていないユーザーは閲覧ができない
なお、IRM導入時に注意したいのは、対応しているファイル形式です。IRMの機能にはOS機能と密接にかかわるものが多く、IRM管理下にある状態で利用できるアプリケーションには限りがあります。自社で必要としている形式に対応しているか、必ず確認しておきましょう。
IRMだけではカバーできない部分もある
では、IRMさえ導入しておけばファイルのセキュリティは万全でしょうか。残念ながらそうとはいえません。情報漏えい対策には、セキュリティ製品ごとのカバー範囲、いわば得意分野があります。求められるセキュリティレベルが高まり、リスクも多様化する中で、1つの対策を導入すればすべて安全というような、オールインワンのセキュリティはもはや成り立ちません。すべてのフェーズで、様々なケースを想定しつつ対策を重ねる必要があります。
ファイル共有に関する情報漏えい対策でいえば、相手にファイルが渡るまで、つまり「経路」のセキュリティと、IRMのカバー範囲である「渡した後」のセキュリティがあります。
例えば、ファイルの中身が個人情報であるならば、IRM機能による暗号化とあわせて、経路を守るための安全な施策が法律上必要になります。ここで注目したいのが、法人向けのセキュアなファイル転送/共有サービス「クリプト便」です。クリプト便の詳細はこちらからご確認ください。
なお、個人情報の共有に関しては、こちらの記事で詳しく解説していますので、ぜひご一読を。
「送信後」のファイルも管理できる、IRMの機能とは
ここではIRMの機能について、代表的製品であるデジタルアーツ社の「FinalCode」の機能を例に説明します。
●ファイルやフォルダを暗号化する
「FinalCode」は、ファイル単位のほか、フォルダごとなど、様々な単位で暗号化する機能を提供しています。ファイルにアクセスする際は、「FinalCode」のサーバーで認証する必要があるため、すべての操作の痕跡がサーバーに残ります。「誰が」「いつ」「ファイルを閲覧したのか」といった細かなことまで、遠隔から管理画面を通じて把握することができるのです。
●特定の人にしか閲覧・操作できないようにする
暗号化されたファイルは、ユーザー権限を制御することにより、あらかじめ許可したユーザーしか閲覧・操作できなくなります。コピー&ペースト禁止/画面キャプチャ禁止/印刷禁止/スマホによる画面撮影対策のための画面透かしなども行えます。
●送信後のファイルをコントロールする
最初に設定したアクセス権限を送信後に変更したり、送り先の端末に保存されたファイルを遠隔から削除(※1)することも可能です。
●ファイルの対応形式
Microsoft製品やAdobe製品をはじめ、対応ファイルは多岐に渡ります。ビジネスで利用される一般的なファイル形式は、ほぼ網羅。また、iCAD、AutoCAD、SolidWorksなど、複数のCAD製品に対応し、多くの設計の現場からも高い支持を集めています。
●エージェントレスでも機能
なお「FinalCode」はエージェントレス(※2)でも機能するIRMです。ブラウザービュー形式で暗号化されたファイルの閲覧には、メール(ユーザーID)に送られたワンタイムパスワード入力とブラウザのみ用いるため、エージェントが不要です。このため、送信先の環境にかかわらず利用できます。
「FinalCode」について、詳しくはこちらからご確認ください。
※1 アクセスが認められていないファイルを開こうとすると、PCにインストールしたエージェントが当該ファイルを自動削除する機能です。したがって、例えば引き出しにしまったUSBメモリの中にある暗号ファイルが勝手に消えるようなことはなく、エージェントがあっても、そのファイルを開こうとしなければ勝手に消えることもありません。
※2 ファイルの編集を行う際にはエージェントが必要になります。ブラウザービュー形式で暗号化されたファイルは閲覧のみで編集できません。
パンフレット
関連製品
