CyberCrypt導入事例
【業種】システムインテグレーター
CyberCrypt活用事例(1)
顧客から受領した機密情報の暗号化
顧客から預かった機密情報をファイル単位で暗号化
情報セキュリティマネジメントシステム(ISMS)のセキュリティポリシーにも対応
- 解決すべき課題
-
- 不正アクセスの手口が巧妙化していく中、顧客から預かった機密情報をいかにして情報漏えいから守っていくか
- 解決方法
-
万一不正アクセスがあっても情報漏えいを起こさないようにする
→すべての機密情報をファイル単位で暗号化
導入イメージ
導入の背景
顧客から預かった機密情報を厳密に管理していくためISMSを導入
すべての機密情報を暗号化するようルールづけ
システムインテグレーターのA社は、長年取引のある大口顧客から、システム開発や運用保守などに関する業務を数多く受託しています。業務の特性上、機密データを受領する場合も多く、その取り扱いには厳密な管理が要求されてきました。
A社では、こうした経緯を踏まえ、自社の情報セキュリティレベルを常に高い状態に維持しておくために、情報セキュリティマネジメントシステム(ISMS)の導入に踏み切りました。A社のISMSでは、『機密情報は全て暗号化する』ことを、情報セキュリティポリシーとして明確に定めています。この『機密情報は全て暗号化する』というルールを守るために採用されたのがCyberCryptです。
課題解決のためのポイント
「不正アクセスをさせない」という視点だけでは不十分
これからは「不正アクセスされても情報漏えいを起こさない」ための取り組みが必要
A社では、情報の一元管理を行うため、業務上共有すべきデータについて、すべて自社のサーバに保管するという運用を行っています。
もともとA社では、サーバ内にある共有フォルダのアクセス管理をしっかり行うことで、当事者以外の人間が機密情報にアクセスすることを排除してきました。いわば『関係者以外には機密情報に触れることができない』仕組みを重要視してきたわけです。
しかし、サイバー攻撃の手口が巧妙になり、情報漏えいにまつわる社会問題が深刻化していく中で、今後は次の視点に基づく対策が必要不可欠であるという結論に至りました。すなわち、『もし機密情報にアクセスされてしまったらどう守るか』という点への取り組みです。
もし関係者以外の者が社内の機密情報へ不正にアクセスし、特定のファイルが持ち出されるようなことになったとしても、持ち出されたファイルの中味は分からないようにする。そうした仕組みを構築していくため、機密情報に関するファイルはすべて暗号化することにしたのです。
選定の理由
ファイル単位で暗号化できること
暗号化や復号が簡単に行えること
共有サーバの中のアクセス権限は実にさまざまですので、すべてのフォルダを丸ごと暗号化するような仕組みを採用するわけにはいきません。また、日々の業務で頻繁に読み書きするファイルを取り扱うのですから、暗号化や復号に関する行為は簡単でなければならないということも大切です。
A社では、数ある暗号化製品の中から、次の点を容易に実現する製品に絞り込みを行った結果、CyberCryptを採用するという結論に至りました。
- ポイント
-
- 顧客から預かった機密情報はファイル単位で暗号化しておくことが必要
- 暗号化・復号の操作を簡単に行えることが望まれる