FileBlog Ver.4.1で新たに実現したセーフプレビュー機能について、その背景を説明いたします。

従来の課題

FileBlogの用途の一つとして、「社内のファイルサーバに保管された文書を、社外を含めたどこからでも、Webブラウザ上でいつでも参照できるようにする」ための、リモートアクセスツールとしての利用がありました。

現在、鉄飛テクノロジーでは、社外からWebブラウザ上で接続して、社内ファイルサーバ上の文書を編集できるようにする機能の開発に取り組んでいますが、これのリリースにはもう少し時間がかかります。

まずは、参照用のリモートアクセス 用途について、お話させてください。

リモートアクセスシステムに求められる矛盾したニーズ

リモートアクセスシステムにユーザが求める機能として、下記の二つがあります

  1. 参照しやすいことーいつでもどこからでも簡単に必要な文書を参照したいというのが、第一のニーズです
  2. データの流出を抑止することー一方で、社内データの外部への流出はできるかぎり防止したいというのが、第二のニーズです

上記の二つのニーズは原理的には全く相反するものです。

従来の弊社の立場

鉄飛テクノロジーがFileBlogを世に送り出したのは2007年ですが、私たちはまず「参照しやすいこと」を最優先にFileBlogを開発しました。

当時は、WebブラウザでPDFを表示することができず、ファイルサーバ上のPDFを閲覧するには、PDFファイルをダウンロードして、ダウンロードされたファイルをクライアントPCにインストールされたAdobe Reader で開くのが、唯一の表示手段でした。

したがって、ダウンロードを禁止したら、表示もできない状態だったのです。

高度化/多様化するユーザのセキュリティ・ニーズ

しかしながら、過去10年の間に、状況は大きく変わりました。

まず、機密データや顧客データ・個人情報などのデータ流出事故によって、大きなビジネス上の損害が発生することが明らかになり、重要データの保全に対するユーザ企業の意識が高まってきました。

それによって、私たちのもとに、こんな声が届くようになったのです。

  • お客様の質問に回答できるように、ファイルの閲覧はしたい。
  • でも、データ流出を防止するために、ファイルのダウンロードや印刷は禁止したい。

あるいはまた、こんな声もそこから派生してきました

  • ファイルのダウンロードは許可できないが、印刷ぐらいは許可したい。
  • その際、情報が流出するのに歯止めをかけるため、印刷者の氏名や印刷日時などを「透かし」として挿入して印刷させたい。
  • 特定のフォルダ以下のコンテンツに限定して、ダウンロードを禁止したり、印刷を許可したりしたい
    • たとえば、経理部・人事部の書類のみダウンロード・印刷を禁止したい
    • 営業資料については印刷・ダウンロードを許可したい

こういった声が、ここ2年ほどの間に増えてきたことを私たちとしては認識していました。

セキュアプレビューを可能にした技術の進化

進化したWeb技術

とはいえ、高度化したお客様のニーズに応えることは、近年のWeb技術の進化によって初めて可能になりました。

最近のブラウザではHTML5キャンバス上に javaScriptだけでPDFを表示できるようになったため、Adobe Readerなどの外部アプリケーションを必要とせずにPDFの表示や印刷が可能になったのです。

これによって、FileBlogでは「ダウンロードを禁止して」閲覧だけ許可することが可能になりました。

実際、全くダウンロードなしに閲覧することは原理的には不可能ですが、私たちは「暗号化してダウンロードしたデータを、表示直前に復号化することで表示する」という方式を採用しました。

これにより、ネットワーク上を流れてくるデータを傍受したり、ダウンロードデータに名前をつけて保存したりするだけでは、元のファイルの内容を読み取ることが不可能になっており、実質的に「ダウンロードを禁止」した状態を実現しているのです。

また、ブラウザのHTMLキャンバスの解像度が格段に上がったため、十分な品質での印刷が可能になりました。これによって、「ダウンロードを禁止して」印刷だけ許可したり、印刷時に「透かし」を入れたりすることが可能になったのです。

十分なセキュリティレベルとは?

私たちは、セキュアプレビュー機能は「十分に安全」であると信じており、また、そのように表明していますが、100%の安全など何処にもないことは重々承知しています。ここでは、その「十分な安全」とはどのレベルなのかについて、すこし説明させてください。

セキュリティとは相対的なもの

最初に、100%の安全というものは、現実にはほとんど手に入らないということを知ってください。

私たちが家に鍵をかけて戸締りをするのは、空き巣やコソ泥から家財を守るためですが、ロケット砲や機関銃で武装したテロリストが攻め寄せてきた場合には、戸締りをしていようがいまいが、ほとんど無力です。

それでも私たちのほとんどが、普通のドアロックや普通の家屋でなんとなく安心して暮らしているのは、攻撃側がそれほど強力ではないという想定があるためです。

「十分に安全」とは、合理的なセキュリティレベルのこと

私たちは、攻撃側と守備側の両方が合理的に行動すると想定したときに十分に安全になるセキュリティレベルを達成できれば良いと考えます。

つまり、

  • 「攻撃側は、攻撃の成功によって得られるモノの利用価値の期待値以上に、コストをかけてまで攻撃することはない」という仮説に立ち、
  • 「守備側も、モノを失う損害の期待値以上に防御コストをかける必要はない」と考えるのです

世の中にはセキュリティ製品の宣伝広告があふれています。そういった宣伝は、みなさんの不安に訴えて、際限ない防御コストをかけるように訴えかけてきます。しかし、10倍100倍のコストをかける意味が本当にあるのでしょうか?

中小企業のデータセキュリティレベルは、低くても合理的?

  • まず、大企業に比べて、中小企業のデータ保有量は桁違いに小さいものです。
    • このことは、データを盗もうとする攻撃側にとって、期待利益が桁違いに小さいことを意味します
  • 中小企業では、社員・スタッフと経営者の絆が強いものです
    • そもそも家族経営の会社もありますし、不特定のスタッフが絶えず入れ替わる大組織と比較して、経営者の目が行き届いていることが多いものです

こういった環境では、性悪説に基づいて社員の行動を厳格に縛るためのシステムに、高額の投資を行うことが果たして合理的でしょうか?

出来心によるデータ流出は不可能にします

FileBlogが実現するセキュリティの目標レベルは下記のようなものです

悪意の第三者からの攻撃を困難にします
  • 正規のユーザID/パスワードを持たない悪意の第三者には、データにアクセスされないようにします(ただし、社内LANのパケット傍受に備えるには、SSL暗号化も必須です)
社内ユーザが出来心をいだいても、データ流出をさせません
  • 社内のユーザが、データを「ダウンロード」したり、「名前を付けて保存」しようとしたり、ほんの出来心で実行しようとしても、権限がなければそれが禁止されるようにすることが可能です
  • ちょっとしたWebサイトの知識がある程度では、簡単にファイルを持ち出すことはできません
社内ユーザが本職ハッカーを招き入れた場合には、あきらめてください
  • ただし、社内ユーザが悪意の第三者に、自分のユーザID/パスワードを教えるなどの、「手引き」をした場合には、データの流出は免れません。
  • これを防ぐには、社員の利害と会社の利害をできるだけ一致させるよう、制度や契約で対応するべきであり、システム投資によって何とかしようとしても限界があるでしょう。