ディスクレスノートPC 300台導入で
万が一の盗難、紛失等による情報漏洩問題を物理的にクリア
株式会社オーエムシーカード様 導入事例
ディスクレスノートPC 300台を導入し、万が一の盗難、紛失による情報漏洩の可能性を「ゼロ」に。システムへの不正侵入対策も内蔵式指紋認証装置とワンタイムパスワードなど4段階の認証パスで万全のセキュリティ対策を構築できました。
[ 2006年2月15日掲載 ]
| 導入事例概要 | |
|---|---|
| 業種: | クレジットサービス業 |
| ソリューション: | シンクライアントシステム |
| 製品: | モバイル・シンクライアント FMV-TC8210 PCサーバ(IAサーバ) PRIMERGY ストレージシステム ETERNUS |
「やがて行き着いたのが、データを保存するハードディスクを持たないノートPCをクライアントにするシンクライアントシステムでした。」
株式会社オーエムシーカード様は、流通系クレジットカード会社として近年めざましい成長を遂げ、業界最短の15分審査、30分発行のスピーディーな顧客対応でオンリーワンカード会社の地位を確保しています。同社はまた、データベースマーケティングを活用したワン・トゥー・ワンマーケティングを展開。お客様一人一人のライフシーンに合わせた商品に関するきめ細やかな情報をタイミング良く提供するという他社に真似のできないサービスで高い顧客満足度を実現、約65パーセントの利用率で業界ナンバーワンを誇っています。こうした高度な顧客データの管理・分析、そして活用に欠かせないのが徹底した情報漏洩対策です。シンクライアント導入により営業担当者が携行するPCからの情報漏洩を根本的に解決した同社は、業界随一の信頼性をブランドに成長を続けています。
| 課題と効果 | ||||
|---|---|---|---|---|
| 1 | モバイルPCを紛失しても顧客に不安を与えないシステムを構築したい |  |
モバイルPC側がデータを持たないシンクライアント導入で情報漏洩の可能性はゼロ | |
| 2 | 社外業務においても社員が安心して端末を利用できる環境を整えたい | |
携行時のモバイルPCはディスクレスでデータを保存できないので万一紛失してもトラブルフリー | |
| 3 | 300台に上る営業担当者用ノートPCのウイルスチェックなど管理業務を一元化し徹底したい | |
サーバ・ベース・コンピューティングソフトウェアでメンテナンス作業を一元管理 | |
導入の背景
クレジットカード会社の生命線ともいえるセキュリティ対策
中山 和雄氏
株式会社オーエムシーカード 情報システム部 部長
2005年4月より個人情報保護法が施行されたことにより、各業界企業の情報漏洩に対する意識は高まっています。その中でも、とりわけ個人情報漏洩防止に神経をとがらせているのがクレジットカード業界です。
クレジットカードは「プラスチックマネー」とも言われるように一般ショッピングにおいて現金とほぼ同格に扱われ、インターネット上ではネット決済に欠かせない支払い手段の一つとなりつつあります。そのためカード属性に関するデータはもっとも秘匿性を求められる個人情報の一つ。お客様一人一人の買い物情報などを細かく分析し、それぞれの生活シーンにマッチした商品やサービスの情報をいち早く提供するワン・トゥー・ワンマーケティングにより他社との差別化をはかる同社の場合、個人情報漏洩対策はつねに万全を期すべき重要な取り組み課題となっています。2003年1月、業界に先駆けてプライバシーマークを取得、社員の96パーセントが社団法人クレジット産業協会の認定資格である「個人情報取扱主任者」を取得、さらにパートタイマーを対象とした同社独自の「個人情報保護取扱者認定制度」導入など、きわだったリスクマネジメント力の高さをクリアしてきたのも、顧客データの高度利用で先端を行く企業にふさわしい万全の対策といえるでしょう。
「とはいえ、情報セキュリティ対策に終わりはないし、万全はあり得ないと考えています」と語るのは株式会社オーエムシーカード 情報システム部 部長 中山和雄氏。
「たとえば、過去のお客様買い物履歴情報を特殊な技術で詳しく分析し、年齢や趣向に応じて、次はこのような商品をお求めになるだろうとの情報をきめ細かく提供させていただき、ダイレクトメールと比較しても、かなり高いレスポンスを得ていますが、お客様の情報を活用しサービス性を高めていくほど、究極の個人情報保護対策で信頼に応えていかなければならないと考えています」と、情報を武器に会員を獲得していくクレジットカード会社の社会的責任を強調しています。
万全の上にも万全を期すために同社が取り組んだのが、営業担当者が常時携行するノートPCのセキュリティ向上対策でした。大型スーパー店頭などの同社のカウンターでOMCカード会員の獲得にあたる営業担当者は、ほとんど毎日のように現場に直行直帰する勤務形態。そのため、拠点の営業所、営業社員同士の連絡用として全営業担当者300名はノートPCを常時携帯し、PHSデータ通信カードを使って電子メールの送受信、成績優秀なカウンターのレイアウトをデジカメに撮影してアップロードし、社員間で共有するなどのコミュニケーションをとっていました。もちろん、本社と業務連絡をとるためのノートPCとカード申し込みシステムはまったく別系統で、営業担当者のノートPCには顧客情報は保持されていません。しかし、万が一ノートPCを紛失した場合の対策は万全なのか。中山氏は、徹底したセキュリティへのこだわりを込めてこう語ります。「たとえそこに一片の顧客情報がなくとも、クレジットカード会社の社員がノートPCを紛失したとしたら会社の信用は大きく損なわれます。万一紛失してもお客様に不安を与えない対策が必要だと考えていました。また、新聞等でPC紛失による個人情報漏洩事故が取りざたされていますが、自宅へ持ち帰って仕事をしようという熱心な社員が、端末を紛失したことで犯罪人扱いされる不合理を何とか解決したいとの思いもありました」
導入の経緯
ハードディスクを搭載しなければ漏洩する情報そのものが存在しない
同社は、個人情報保護法施行の3年前から、社内組織横断的な対策委員会を立ち上げて各種のセキュリティ対策を講じてきています。営業担当者用のノートPCセキュリティ対策も同委員会によって進められました。しかし、個々のノートPCに2重、3重の暗証式認証システムを設けても、あるいはハードディスク内のデータを暗号化するなどの対策を講じても、紛失した場合「内蔵データを解読される可能性はゼロ」とは言い切れず、同社が求める万全の漏洩対策としては満足ゆくものはありませんでした。
「やがて行き着いたのが、データを保存するハードディスクを持たないノートPCをクライアントにするシンクライアントシステムでした。すべてのデータ、アプリケーションもサーバ上に存在するため、たとえノートPCを紛失しても原理的に情報漏洩はあり得ない。誰がみても安全と分かるセキュリティ対策で、これこそ求めていたシステムでした」(中山氏)
こうしてシンクライアントシステムの導入検討がスタート。対策委員会がイメージした仕様は、営業担当者が容易に持ち運ぶことができるB5サイズで、デジタルカメラの画像を閲覧できる十分な画面サイズを持ち、指紋認証システムを内蔵というものでした。
「要求に応えてくれるハードを探してみたのですが、タブレット型やPDA端末ではキーボードが小さく、頻繁に行うメール操作や、営業情報としてアップロードされる成績優秀店の店頭写真閲覧には無理があります。結局、従来から使っていたPHSパケット通信を利用でき、実用に耐えられる液晶を装備した軽量のノートPCを共同開発してくれるという富士通に、トータルソリューションとしてお願いすることにしました。後々、追加購入する場合や補修を考えると特注品でなく製品化されていることが必要条件でした」と中山氏は導入の経緯を語ります。こうして2005年11月、12.1インチの液晶を搭載、重量1.22キログラムの指紋認証装置を搭載した国内初のモバイル版シンクライアントシステムが導入されました。
システムの概要
4段階の認証で不正侵入への万全のセキュリティを確保
導入されたシンクライアント端末B5ファイルサイズの「FMV-TC8210」は合計300台。各機は組み込み製品用OSのWindows XP Embeddedを搭載、ハードディスクやCD-R/DVD-Rなどの外部記憶装置をもたないシンプルなハードウェアとなっています。したがってPCそのものを紛失しても、データを保持する装置を持たず、情報を他メディアに移送する装置も持たないためデータ流失の心配は全くありません。また、ユーザーごとに印刷権を持たせないなどの制御や、テキストレベルでのコピー・ペースト機能を制限できるので、さまざまな形で情報漏洩を防ぐことも可能です。
[図] システム構成図
通信にはPHSパケット定額料金制通信サービスを利用し、最大128kbit/毎秒で通信を行います。オーエムシーカード社センターのサーバ間とは、通信キャリア網の同認証サーバを介してアクセスします。サーバ・ベース・コンピューティングソフトウェアなので、サーバ上でクライアントアプリケーションが動作し、クライアント側には画面情報のみが転送表示され、実データは送られない仕組みになっています。
システムへの不正侵入を防ぐため、ノートPC操作時には次のような4段階の認証パスの仕組みを設けています。
- 電源投入時のBIOSパスワード。パスしないと端末のシステムは起動しません。
- 通信キャリアの認証サーバでワンタイム・パスワード(注1)認証。
- 1度目の指紋認証。本社センターの生体認証サーバによる認証。
- 2度目の指紋認証。社内ネットワークへのアクセス権を確認しサーバ(Citrix Presentation Server)にアクセス。
以上4つの認証操作は、クライアントノートPC画面上に表示されたアイコンを順にクリックしながら行いますが、ユーザーが覚えるユーザーID、パスワードは最初のBIOS認証時用のものだけです。ワンタイム・パスワードは携帯式小型キー型のパスワード生成機に1分ごとに表示される暗証番号を入力。その後2度の生体認証は本体上の指紋センサーを指でタッチするだけで済みます。
導入の効果
最新技術導入でさらに高まった社員のセキュリティ意識
システム導入の社内説明に際し、4段階の認証を経てアクセスする厳重さについて、一部にとまどいもあったものの、実際に運用を始めてみると評価は良好だったそうです。営業担当者への説明会を振り返りながら中山氏はこう語ります。
「認証は、いわば4つの関所を通る厳重なものなので、当初は『そこまでやるのか』と受けとめた社員もいたようですが、お客様に対しても胸を張って安全をアピールできるシステムであることが理解されスムーズに受け入れられました。『これなら万が一紛失しても心配ない。ずいぶんと気が楽になった』との声も聞かれました」
さらに最新のセキュリティ対策技術の導入は、社員の意識面にも変化を与えたといいます。
「導入して3ヵ月ほど経ちますと、厳重な認証がむしろ当たり前のことのように思えてくるのでしょう。1度の認証だけでアクセスできる端末に『大丈夫かな』と違和感を覚えるようです。シンクライアントの導入によって、社員の個人情報保護に対する意識がさらに高まったとの印象を得ています」
このほかにも、ディスクレスの分だけノートPCが軽量化され持ち運びがいっそう楽になった、可動部品が少なくなって信頼性が高まった、あるいはアプリケーションソフトの管理やウイルス対策などがサーバ上で一元管理できるなど、導入してわかったメリットも数々報告されています。
将来の展望
セキュリティの高さがカード会社選択の条件になる時代に求められる技術
モバイル用ノートPC300台をシンクライアント方式に一新し、外回り営業担当者のセキュリティ対策を強化した同社は、社内で使われていた端末についても安全性を高めようと、約1200台のノートPC端末を持ち運びされにくいデスクトップPC端末に入れ替えています。2006年5月からは、これらデスクトップPCに非接触型手のひら静脈認証装置をアドオンし、手のひらをかざすだけで認証できるスピーディーな情報セキュリティ態勢が整うことになります。
「情報セキュリティ対策に、これで十分というゴールはないのです。これからのカード会社選択の第一の条件として、お客様が個人情報に対するセキュリティをランキングする時代に入ったと認識しています。お客様からみてもたいへん分かりやすいセキュリティ技術であるシンクライアントシステムは、決して高くない保険と考えています」(中山氏)。
データの暗号化など、高度で複雑な手法によって情報漏洩に対抗する技術とまったく発想を異にする、シンプルで分かりやすく確かな安全性を保障するシンクライアントシステムによる情報保護システムに、いま高い関心が集まり始めています。
【株式会社オーエムシーカード様 会社概要】
| 所在地 | 東京都中央区銀座 6-2-1 |
|---|---|
| 代表取締役社長 | 舟橋裕道 |
| 設立 | 1950年9月 |
| 資本金 | 433億4300万円(2005年8月現在) |
| 売上 | 1兆5877億円(2004年度実績) |
| 従業員数 | 1004人(2005年8月現在) |
| 事業内容 | クレジットカード業務を主に、保険業務などを手がける。即時発行システムと顧客のショッピングデータ分析を武器に成長。会員は800万人を超える。即時発行を応用し、高速道路サービスエリアでのETCカードスピード発行など独自サービスを展開中。 |
| ホームページ | 株式会社オーエムシーカード ホームページ |
【ご紹介した製品】
【お問い合わせ】
本事例中に記載の肩書きや数値、固有名詞等は掲載日現在のものであり、このページの閲覧時には変更されている可能性があることをご了承ください。
