オフィスにおいて日々大量に出力される印刷物。前回の連載では、多くの企業が抱える課題である「印刷コストの削減」について紹介した。しかし、印刷物にはもうひとつの大きな課題がある。それは印刷物からの情報漏えいのリスクだ。第2回目は、印刷物によって起こりうるセキュリティリスクについて考えてみる。
巷を賑わす情報漏えい事件の47%が「印刷物によって流出」という事実
特定非営利法人日本ネットワークセキュリティ協会(JNSA))が公開している「2016年 情報セキュリティインシデントに関する調査報告書(*1)」によると、2016年に発生した情報漏えいインシデントは、紙媒体によるものが最も多く未だ全体の47%を占めている。
情報漏えいといえば、インターネットを経由して発生するものというイメージを思い浮かべる方が多いのではないだろうか。
インターネットを経由したインシデントは、漏えいする情報件数が数百〜数千万件にも上ることがあり、センセーショナルに報道される。その影響もあり、インターネットを経由するものにおいてはセキュリティ意識も高まり、対策も進みつつあるようだ。一方で紙媒体については、メールや電子ファイル管理と異なり難しいという背景があり、具体的なセキュリティ対策は一昔前からほとんど進化していないのが現状だ。
しかし、情報は「量が多いから価値がある」ということではない。少数であっても価値ある個人情報や、芸能人のプライバシー情報などであれば、金銭を目的としたニーズが高く、高値で取引をされる対象となるだろう。あるいは、独自の技術を持つ製造業であれば、1枚の図面が流出し競合他社に渡ってしまうだけで、数億から数十億にもおよぶ損害が生じることもあるだろう。また昨今では政治活動における情報流出も多発しており、その多くは紙媒体を経由している。これらの例から見ても紙媒体の情報漏えいは 、最も対策をしなければならない対象となっている。その気になりさえすれば印刷物による情報持ち出しは容易であり、いわば“無防備同然”と、過去のインシデント結果が物語っている。
*1:2016年 情報セキュリティインシデントに関する調査報告書
~個人情報漏えい編~
(セキュリティ被害調査ワーキンググループ)
http://www.jnsa.org/result/incident/
どんな人間でも“魔が差す”瞬間はある
現在、印刷物のセキュリティ対策として、個別のカードを用いた認証システムを導入している企業をよく見かける。確かに、ログを記録することで「不正も記録される」という心理的な抑止効果はある。
しかし、この方法で情報漏えいを防ぐことは 難しい。カード認証を行えば「誰が、いつ、どこで、何枚」といったログは残る。しかし「どのような内容を印刷したか」といった情報が残るわけではなく、得られるのは「文書名」程度である。例えば社外秘の機密情報が入ったファイルであっても、ファイル名を“日報”に変更してしまえば、ログに残るのは「日報という文書名のファイルを印刷した」という事だけ。さらに言えばファイルを保存せずに一時的にアプリケーションを開き内容を貼り付け印刷を行えば、ファイルに痕跡を残さないで印刷が行われてしまう、これでは、なんの抑止効果にもならない。悪意を持った人間にとって、この程度の対策は簡単にかいくぐれてしまうのだ。
どんな人間にも、“魔が差す”瞬間はある。そんな時“不正が働けない仕組み”を講じていなければ、取り返しがつかないインシデントを招いてしまうのだ。
印刷物のセキュリティを高めるには「内容」をログとして残すべし
では、不正を働けない仕組みを講じるには、具体的にどのような対策をすべきなのか。組織を守る管理者は、メール内容の検閲や資産管理ソフトによる監査を行うのと同様に、印刷の内容を監査・検閲できる仕組みを導入するべきである。印刷するファイルの「内容」を検索が可能なテキストと、印刷イメージで残せば、ファイル名を偽造したとしても即座に検知ができ、証拠も残る。さらに「特定のキーワードが盛り込まれているファイルは印刷を強制的に停止する」などの設定ができれば、心理的な効果に加え、システムとしてのセキュリティ効果も格段に高まる。
印刷管理システムが、社員の労働効率を妨げていないか
現在、認証印刷管理を行うために利用しているソリューションと言えば、プリンターメーカーから提供される純正機能によるもの、複数のメーカーや機器が混在するのであれば、マルチベンダーに対応したサードベンダー製による運用だろう。しかし、どちらのケースも認証に留まった話であり、内容まで含めた印刷管理ではない。
印刷内容を管理できるソリューションは、いくつか製品があるが、第1回で紹介したように、「印刷品質に影響が出ないソリューション」であることが最も重要だ。印刷内容は把握できるようになったが、印刷はカタログスペックで出力できないようでは、元も子もない。印刷物を1枚出力するのに数十秒かかっていては、業務に大きな支障をきたしてしまう。
次に重要なのは、内容ログの正確性だ。印刷内容ログはイメージで取得しOCRを利用してテキストに落とすというソリューションが多い。しかし、識字率は使用しているフォントの大きさや形式、背景の色、文字の色に大きく左右され、日本語OCRによる内容監査が行えるレベルには達していないものが大半だ。
これらの2点については十分な事前調査とテストを行うべきであり、メーカー純正のプリンタードライバーを利用したままOCRに頼らない印刷内容ログを管理できるソリューションを選び、社員の労働効率を担保したまま、組織を守るのがこれからの印刷セキュリティだ。
さて、印刷管理について解説してきた本連載、その最後を飾る次回は、具体的な印刷ソリューションの運用例について、日本テクノ・ラボが提供するソリューションを例に解説する。
こちらもあわせてご覧下さい
日本テクノ・ラボ社提供 連載企画掲載中
今さら聞けない監視カメラの現状と将来像
[PR]提供:日本テクノ・ラボ