われわれは仕事をする上で、Microsoft Office、PDFファイル、Googleドキュメントなど、さまざまなデジタル文書を利用しているが、これらのファイルは情報が漏洩するリスクを抱えている。ファイルを作成する時に、図らずしも個人情報を含めてしまっている可能性があるのだ。

そこで本稿では、カスペルスキーの公式ブログをもとに、デジタル文書からの情報漏洩を防ぐポイントを紹介しよう。

画像に含まれた情報に注意

画像に含まれている「見せたくないもの」は、画像を編集するだけでは隠せないことがあるという。カスペルスキーは、画像から情報を漏洩させてしまうおそれがある行為として、以下を挙げている。

  • Officeのアプリで画像を編集する
  • 半透明の線で隠す
  • 目に見えない秘密のレイヤーを使う
  • 元に戻せるフィルターを使う

そして、画像からの情報漏洩を防ぐための対策として、以下を紹介している。

  • 写真用のエディターで画像を編集し、Officeドキュメントで使用するのは編集済みの画像だけにする
  • ツールを使って秘密の情報を塗りつぶす場合は、透明度ゼロのフィルターを使用する
  • ぼかし効果やモザイク処理を使う場合は、文字の形がわかる状態になっていないかどうか、編集結果を確認する
  • 画像を投稿する前に、隠したはずの秘密を漏洩させかねない他の情報が写真の中に残っていないかを確認する

  • メタデータを削除する

PDFファイルの画像に注意

社外に出してはいけない画像を含んだPDF形式の文書を社外の人に送らなければいけない時、どうしたらよいだろうか。例えば、Adobe Acrobatの有料版を使って、黒く塗りつぶした長方形でその情報を隠せば、大丈夫だろうか。

  • Adobe Acrobatで画像を塗りつぶして隠しても、塗りつぶした図形は動かすことができる

残念ながら、この対策では目的を達することはできない。修正済みの文書を送っても、文書に含まれている画像から個人情報を探り出すことが可能だという。というのも、Acrobatは画像編集用のソフトウェアではないので、画像の上に描画したものと画像とを結合させることができず、ファイルを開いた人は誰でも、画像の上に配置した図形を削除できてしまう。つまり、黒く塗りつぶした長方形を動かして、その下の情報を見ることが可能というわけだ。

WordファイルのPDF形式によるエクスポートに注意

画像を加工するために、作成中の文書の上で画像を加工し、PDF形式にエクスポートするといった方法を使っている人がいるかもしれない。画像をトリミングすれば、切り取られたところはPDFに変換されない。

しかし、編集の仕方次第では情報を隠せないことを覚えておく必要があります。WordファイルをPDFにエクスポートしても、PDFファイルをAdobe Acrobat Readerで開き、画像をコピーしてWordに貼り付けると、元の画像が貼り付けられるので、隠していた部分が見えてしまうという。

なぜなら、WordファイルをPDFにエクスポートする時、元の画像とその上に描かれた画像は結合されず、別々に保存されるため、隠した情報もそのまま残ってしまうからだ。

カスペルスキーは、文章を作っている時に編集が必要な画像を見つけたら、画像を画像エディターで編集し、編集が済んだ画像を文章内に挿入することを勧めている。

Microsoft Officeのドキュメント検査を使おう

これまで、画像の漏洩を防ぐ方法を紹介したが、デジタル文書には、ヘッダーとフッター、変更履歴、コメント、隠しテキスト、レポート内に埋め込まれたグラフの元のExcelファイルのようなリンクされたファイルなどからも情報が漏洩するリスクがある。

そこで、Microsoft Officeでは「ドキュメント検査」という機能を利用することで、情報を漏洩するリスクがある情報を探し出すことができるという。この機能は、メタデータ(ドキュメント作成者の名前など)、ヘッダーとフッター、隠しテキスト、埋め込みオブジェクトなど、先ほど触れたような情報がないかどうか、ファイルをスキャンする。

Office 365でドキュメント検査を行うには、[ファイル]タブをクリックし、[情報]を選択し、[問題のチェック]-[ドキュメント検査]の順にクリックすればよい。機密性を保つ必要のある情報が見つかると、情報の削除または別の推奨安全策が提示される。

  • Microsoft Wordの[ドキュメント検査]の場所

  • Microsoft Wordの[ドキュメント検査]の結果

Googleドキュメントの変更履歴に注意

1つのドキュメントを複数の人間で一緒に編集できるクラウドサービスは便利であり、テレワークが普及した現在、多くの企業で使われているのではないだろうか。

しかし、ラウドのオフィススイートはファイルに対するアクションをすべて記録していること、ファイルの編集権限を持つ人は変更履歴を全部見られることを、念頭に置いておく必要があるという。

クラウド上のドキュメントに、外に出してはいけない情報を含む画像やテキストを間違えて入れてしまったとしよう。その場合、すぐにアクションを取り消しても変更履歴には残るので、見ようと思えば、他の人も閲覧できてしまうのだ。

カスペルスキーは、この問題の解決策として、機密情報を含むドキュメントを複数名でオンラインで編集する場合は、新規ファイルを作成し、元のファイルから他の人に見てもらいたい部分だけをコピーして貼り付け、それをクラウド上に上げることを紹介している。

あわせて、共有ドキュメントにうっかり情報を貼り付けてしまう事故を避けるために、ローカルのファイルに一度貼り付けてみてクリップボードに何がコピーされているのかを確認した上で、共有ドキュメントに貼り付けることも勧めている。