PRESS RELEASE (技術)
2009年3月13日
株式会社富士通研究所
~宛先ミスから機密情報流出までレベルに応じた対策が可能に~
宛先ミスや添付ファイルの誤りなどメールからの情報漏洩は増加中であり、個人情報や企業の機密情報を守るために効果的な対策が求められています。株式会社富士通研究所(注1)(以下、富士通研究所)は、メールからの情報漏洩対策として、宛先ミスから機密情報の流出防止まで対応するメール誤送信対策技術を開発しました。利用者に合わせて宛先チェックやルールによる警告を効率的に行うメールフィルターおよび、機密メールのテキスト特徴を記憶し、それを部分的に流用したメールでも検出する技術の組み合わせで、導入コストに応じたメールからの情報漏洩対策が可能になります。
2008年上半期に報道された個人情報漏洩件数は683件と、これまで最も多かった2005年の年間1,032件を上回るペースで増加しており、その最も大きい原因は誤操作です(注2)。
なかでも、誤操作の代表例であるメール誤送信は業種を問わず問題になっており、誤送信の影響で取引停止や従業員が解雇されるといったケースも起こっています。個人情報漏洩防止だけでなく、企業の信用低下を防ぐためにも、メール誤送信に対する効果的な対策が求められています。
表1 メール情報漏洩に対する対策レベルと内容 |
メールからの情報漏洩は、宛先ミスや、添付ファイルの取り違えなど多くは過失により起こりますが、その対策は一筋縄では行きません。そこで、富士通研究所は各種事例を分析し、表1のように対策手段をレベル別に独自に整理しました。高いレベルまで対応するとカバーされる範囲は広がりますが、導入にあたって業務プロセスの変更が必要などハードルは高くなります。
L1の暗号化やL2のサーバ経由での配信は、導入は容易なものの、誤送信自体は止められないため、たとえ内容が読めなくても送ってしまった事実により、信用低下につながることがあります。L3の確認やL4の共通ルール(社外に30件以上は同時に送らないなど)、L5の業務内容に応じたルール(お客様に応じた添付ファイルの命名規約など)による警告の効果は大きいものの、毎回同じような警告ばかりが続くとユーザーは慣れてしまい、確認そのものがおろそかになるおそれがあります。機密文書を過失または故意に添付してしまうケースは、L6やLMの文書管理システムとの連携や機密文書との類似性チェックが有効ですが、機密文書を人手で登録するなどの手間があると実際にはなかなか徹底できません。
今回、L3-L5、L6・LMに対応したメール誤送信対策技術を開発しました。特徴は以下のとおりです。
図1 開発したメールフィルターの警告画面例 |
利用中のメーラーを変えずに、送信メールをポリシーに基づいてチェックし、危険度が高い場合には警告することにより過失による誤送信を水際で防ぐメールフィルターを開発しました(図1)。部門や業務に合わせて、管理者がポリシーに基づきメールの送信許可・不許可・注意条件をXML形式で柔軟に設定でき、RSS(注3)により最新のポリシーを利用者に配信・徹底させることが可能です。
警告の表示ではメーリングリストや個人メールなど誤送信の危険度の高いアドレスは、社内外別に赤や黄色の背景で注意を喚起し、再確認を済ませないと送信できません。また、ユーザーの送信履歴の時間的経過を見て、頻繁に送っている宛先を統計的に判断し、安全と思われる宛先はユーザーが確認しなくても送信できたり、しばらく送信していない宛先は再び確認が必要になるなど、ユーザーに合わせた動作を行います。
機密メールなどのテキストの特徴(コンテンツシグネチャ)を抽出し、類似性を比較する技術を開発しました。コンテンツシグネチャは、テキスト検索技術を拡張したもので、テキスト中の単語の出現位置をもとに計算して得られるデータです。メール内容の任意の部分を流用し、挿入・削除など編集して別メールの一部に埋め込んでも、コンテンツシグネチャ同士を比べることで類似表現を検出することが可能です(特許出願中)。これにより、たとえば機密を扱う社内メーリングリストに流れるメールのコンテンツシグネチャをサーバで自動的に記録しておくことで、関係者が機密メールの一部を誤ってお客様向けメールに編集・流用してしまうなどの事故を防ぐことができます。また、コンテンツシグネチャ自体には単語や個人情報は含まれないため、コンテンツシグネチャが万一漏洩しても問題にはなりません。
今回開発した技術を組み合わせることにより、メール誤送信対策レベルのL3からL6、LMまで、過失だけでなく悪意のある流出にも対応した、導入コストとの費用対効果に応じたメール誤送信対策が可能となります。
たとえば社内宛メールのつもりがタイプミスなどで社外に誤って送ってしまう(L3)、CcとBccを取り違え誤って大量の社外宛先に送ってしまう(L4)、あるお客様向けの情報を別のお客様宛に誤送信(L5)、機密ファイルを誤って社外メールに添付(L6)、社外秘メールの内容を部分的に社外に送信(LM)、といったようなメール誤送信を抑止することが可能になります。
本技術の一部はすでに富士通グループの一部で利用されており、今後は製品化を進めていきます。また、今後は富士通研究所の開発している、PCの紛失盗難対策や、委託先での情報流出対策などのセキュリティ技術と連携して、実用的かつ包括的な情報漏洩対策技術に拡張していく予定です。
株式会社富士通研究所
ソフトウェア&ソリューション研究所 ナレッジテクノロジ研究部
電話: 044-754-2652(直通)
E-mail: fomc-query@ml.labs.fujitsu.com
プレスリリースに記載された製品の価格、仕様、サービス内容、お問い合わせ先などは、発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。