Top Story（7）
着実かつ効率的に内部統制整備を進めていただくために
内部統制構築を支援する富士通のITソリューション

情報セキュリティガバナンスの実践
富士通社内におけるPCセキュリティ対策

富士通では、営業、SEに対し「情報セキュリティ対策診断ツール」の適用を2006年12月より開始しました。同ツールは富士通社内ルールに基づいて、各自のPC上でとらなければならないとしているセキュリティチェック項目を、PC起動時に診断し、その結果をサーバに自動収集して不備のあるPCについては利用者自身に対し警告画面を表示することで対処を促すというものです。
チェック項目はセキュリティパッチの適用具合や各種パスワードの設定、必須としている暗号化対策やWinny等禁止ソフトの導入有無等で、項目やチェック条件の追加・変更等が容易なため、小回りのきいた運用が可能です。部門によって異なるポリシーへの対応も可能です。
収集された診断結果の情報は、社内のPC資産管理システムと連携し、各部門のセキュリティ管理者に開示しています。管理者は自部門の保有PC台数、同ツールの適用台数、同ツールの警告台数等の集計情報や問題のあるPCの一覧を容易に把握できるようになっています。
一方、診断時に1項目でも不適合が出たPCについては、デスクトップ上に警告画面を表示します。利用者がこの画面をクリックすることで項目別詳細が表示され、対処方法へと誘導されます。この警告画面は対処が完了するまで消去できません。つまりこのツールは不備のあるPCを管理者に通報することよりも、利用者に対し警告と対処方法を通知することにより、利用者自身のセキュリティ意識を高め、問題発生のリスクを軽減することに重きをおいています。
またこのツールは、社内のネットワーク環境で通常利用するオンライン版のほかに、USBメモリで動作するオフライン版の2種が用意されています。オフライン版はソフトウェアのインストールが規制されているシステム開発等の特殊な環境でのセキュリティチェックや、持ち込み・持ち出し用PCに対する適用を想定しています。
富士通では毎月1回セキュリティチェックデーというものを設けております。各自のPCのセキュリティ対策の状況を各部門のセキュリティ管理者に報告していますが、本ツールの適用により管理者の集計作業が大幅に軽減されただけでなく、利用者自身の自己申告に依存しない客観的なデータが取得できるようになりました。その結果、対策徹底の精度も大幅に向上したという評価を得ています。
この社内実践から生まれたツールは、「DOEXPRESS Security」として商品化し、株式会社富士通四国システムズよりご提供しています。

[図9]情報セキュリティ対策診断ツールのしくみ