情報漏えい対策ソフト Portshutter
導入事例
「疑わしきは事故と思え」の意識を徹底
企業や官公庁における情報流出事故が後を絶たないが、情報産業の最先端を走る企業では、どのようなセキュリティ対策がなされているのか。国内有数のエンジニアリング企業である株式会社シーイーシーに、情報管理体制と昨今のセキュリティ対策におけるトレンドを聞いた。
1. 情報管理の具体的な対策は?
 |
顧客の機密情報に触れることも多いシステムインテグレータとして、御社には厳しい情報管理体制が求められることと思いますが、具体的にどのような対策をとっていらっしゃるのでしょうか。 |
上妻:
CSR(Corporate Social Responsibility:企業の社会的責任)やコンプライアンスに対する社会的要請を受けとめ、当社でも3年前からCSR教育に本格的に乗り出しました。その専任部門が直轄するワーキンググループを中心に、情報セキュリティ対策に積極的に取り組んでいます。具体的には、情報セキュリティに関する業務マニュアルの作成や配布はもちろん、月に1度は各セクション単位でCSR教育を実施するなど、社員の意識向上に努めています。どれだけ高度なセキュリティシステムを導入しても、実際に運用するのは人間ですから、まずは社員に規範意識を徹底させることが重要です。また、情報セキュリティマネジメントに関する認証制度である「ISMS適合性評価制度」や、「プライバシーマーク」などの導入・取得も行っています。
2. 情報流出事故を防ぐための対策
|
昨今では、winny(ウィニー)などのP2Pツールによる情報流出事故がクローズアップされていますが。 |
上妻:
情報流出のルートとしては、大きく分けてwinnyのようにネットワーク経由のケースと、情報が収められたノートパソコンやUSBメモリの紛失などによるケースの2つが考えられます。
当社では前者に関しては、「検疫ネットワーク」とよばれるシステムを導入することで、安全なパソコンだけが社内ネットワークに接続できる仕組みとなっています。原則としてインターネットを経由したリモートアクセスが禁止されていますし、アクセスを許可されている場合でもワンタイムパスワード(注)を採用しているためパスワード流出のリスクも低いでしょう。また接続のたびに、ウイルス対策ソフトの定義ファイルやWindowsの最新パッチが適用されているかどうか、あるいはwinnyをはじめ危険なツールが組み込まれていないかどうかが自動的にチェックされるため、セキュリティ対策が不十分なパソコンが外部に接続される心配もありません。
後者の問題に関しては、すべてのノートパソコンのハードディスクやUSBメモリのデータを暗号化することで、万が一紛失により第三者の手に渡ってもデータの不正利用ができない体制となっています。以前は、各社員が所有するノートパソコンやUSBメモリの使用も許可していたのですが、現在では会社で貸与した機材のみ利用できるように、ネットワークやUSBポートに制限をかけています。
3. 情報の持ち出しを制限
|
つまり、会社から配布されたノートパソコンやUSBメモリでなければ、データの持ち出しができないということですか? |
上妻:
検疫ネットワークがそれぞれのパソコンを識別し、あらかじめ登録されたものでなければ接続を拒否します。また、各パソコンに専用のツールを組み込むことで、特定のUSBメモリ以外は認識しない仕様になっているんです(下図参照)。同じツールでPCカードやフロッピーディスクの利用にも制限をかけているので、暗号化されていないメディアでの不用意なデータの持ち出しもできないようになっています。
ちなみに、このツールを使えばパソコン上のすべてのポートやドライブの使用を制御できるのですが、「システム部門のマシンでは、納品物を作成できるようにDVD-Rの書き込みを許可する」「リモートアクセス用に会社が配布するPHSカードだけは認識できるようにする」といった細かな設定ができる点が便利ですね。
4. セキュリティシステムの採用にあたり、社員の反応は?
|
「セキュリティ対策の充実」と「業務のやりやすさ」は、ある意味トレードオフの関係にあると思うのですが、セキュリティシステムの採用にあたって社員の方からの不満はありませんでしたか? |
上妻:
情報流出事故が発生すれば会社の存続にも関わりますから、多少の不便さは仕方のないことだと考えています。特に当社の場合、受託開発に加えて客先に常駐して開発を行うケースも多いですから、情報流出のリスクが社内だけに留まりません。そのため大規模なプロジェクトでは、クライアントや関連会社を含め、いかにセキュリティ対策を徹底させるかがポイントといえます。なお客先でエンジニアが作業する際には、原則としてクライアント側の情報セキュリティポリシーに合わせて開発業務を行いますが、情報セキュリティ対策が必ずしも十分とはいえない場合は、当社から新たなセキュリティポリシーをご提案させていただくこともあります。
5. 新たに導入を進めているセキュリティシステムは?
|
企業における情報セキュリティ対策は、次から次に新たな対策が求められる側面があると思いますが、現在、御社で導入を進められているシステムはありますか? |
上妻:
2008年度中に完了予定の対策としては、ファイル管理の局所化が挙げられます。これまでは各部署でファイルサーバを運用していたのですが、集中管理することでコピーの分散を最小限に留めることができますし、より徹底したセキュリティポリシーの適用が可能になります。つまり、誰がどういう目的でどの機密情報にアクセスしているのか、正確に把握できるということです。
また最近では、メールの添付ファイルを経由した情報流出のリスクを無視できませんが、社内的なメール運用ポリシーを確立させるだけでなく、ドメイン単位でのメール送信先の制限や、フィルタリングをより強化していく予定です。具体的には、フィルタリングによってメールに添付された個人情報データを自動的に検知し、管理者に警告を出すといったことを検討しています。「持ち出した情報を流出させない」ではなく、「そもそも情報を持ち出させない」を、より徹底させるということです。
6. 情報の持ち出しに対する対策は必要?
|
今後は、情報の持ち出しに対する厳重な対策も必要になってくると? |
上妻:
幸いにして当社でそのような事態は発生していませんが、これからは不注意による情報流出事故だけでなく「故意による情報漏えい」にも十分に注意すべきだと考えています。とはいえ、システム面の対策だけで情報の持ち出しを完全にブロックすることはきわめて困難ですから、全社的な教育によるセキュリティ意識の浸透が欠かせないでしょう。
7. これからの情報セキュリティに対する取り組み
|
では最後に、これからの情報セキュリティに対する、御社の取り組みをお聞かせ願えますか。 |
上妻:
特定のエリアに入室するためのIDカードの紛失や、業務と無関係のサイトを閲覧するなどの行為は、たとえ実害がなくてもセキュリティ上のリスクといえます。当社では「疑わしきは事故だと思え」を合言葉に報告や対策を徹底させていますが、こういったトラブルの芽をひとつひとつ摘んでいくことが、情報セキュリティを高めるうえで欠かせないのではないでしょうか。
|
ありがとうございました。 |
【注釈】
| (注) ワンタイムパスワード : | ネットワークへ接続するごとに、「1回限り」のパスワードを発行して認証する方式。第三者にパスワードを盗み見られても、同じパスワードで侵入することはできない。 |
株式会社シーイーシー プロフィール
独立系のシステムインテグレータとして1968年に創業。2001年には東証一部上場。開発センターとしての機能を持つさがみ野システムラボラトリをはじめ、宮崎から仙台まで全国16拠点を展開。情報システムの企画・設計から、サーバ運用のアウトソーシングまでワンストップで手がける。
関連リンク
- 情報漏洩対策ソフト「Portshutter」
株式会社シーイーシー様の情報漏えい防止システムは、当社商品「portshutter」で実現しています。 - 株式会社シーイーシー様サイト
本事例中に記載の肩書きや数値、固有名詞等は掲載日現在のものであり、このページの閲覧時には変更されている可能性があることをご了承ください。
本ページは、導入事例パンフレット(お客様へのインタビュー形式)をWeb化したものです。
導入事例パンフレットをご希望の方は、資料請求フォームよりお申し込みください。