NAV ESと運用の工夫,全社的な理解が鍵――セイコーエプソンに見るウイルス対策(2)
| 【国内記事】 | 2001.11.07 |
その運用にも注目すべき点がある。むしろ,運用にこそ鍵があったといえるかもしれない。
NAV ESの導入に当たっては,各事業所ごとにサーバやクライアントの設定がばらばらにならないよう,各種手順をマニュアル化した。さらに,各PCにインストールされるNAVクライアントは,あらかじめ設定の一部がロックされ,社員が勝手に変更できないようにしている。
社員への情報提供と教育,ガイドラインの策定
単にウイルス対策システムを強制するだけでは,スムーズな運用は望めない。社員の理解が必要だ。そこで同社は,社員に対する情報提供や教育を積極的に行っている。
まず,ウイルス検知集計情報をWebで公開し,日々どのくらいの数のウイルスが発見されているかを社員一人ひとりが把握できるようにした。こうして日頃から,社員がウイルスへの関心を高め,「警戒心を持ってシステムを使ってもらうように意識した」(塚本氏)という。
ウイルスの侵入が判明した場合には,Webやメール,館内放送,果てはビラまで,あらゆる手段を使ってそれを告知し,速やかに最新定義ファイルを適用するよう呼びかけている。これには,各部署に配置された「PCリーダー」も一役買う仕組みだ。
このPCリーダーは,1995年から導入されている制度だ。各部署においてIT関連の情報伝達,教育管理を行うとともに,簡単なトラブル対応も行う役目を担っており,今では1000人近くがその任に当たっている。
また,全社員には年1回のWindows Based Terminal(WBT)によるセキュリティに関するオンライン研修が義務付けられている。最後に理解度を試すテストが用意されており,これをクリアしないとアカウントの更新が認められない仕組みだ。
ユニークなところでは,「セキュリティ強化月間」を設けての各種活動や,緊急連絡先や重要事項を表面に印刷した「セキュリティ・マウスシート」の配布が挙げられる。
このように同社は,あらゆる工夫を凝らし,社員に向けたセキュリティに関する説明と情報提供,意識の向上に心がけてきた。「セキュリティというものは,何度も繰り返して言っていかなければ意識が薄れてしまうもの」(塚本氏)だからだ。
それらの根底には,同社が定めた「グループ電子情報管理規定」がある。巷で言われる「セキュリティポリシー」に相当するものだ。それをベースに,3種類の詳細規定が定められ,さらにその下に各種ガイドラインが用意されている。ウイルス対策ガイドラインも,その一部である。
特徴は,ガイドラインの中で,ウイルスに感染してしまった場合も含めて,きちんと事後の対応手順についても規定している点だ。一般に,セキュリティ予防対策は取っても,事後の対応まで想定しているケースはまだ少ない。そうした意味で,貴重な取り組みといえるだろう。
経営層の固い意志も支援
同社のウイルス対策が成功を収めている理由としては,
- ただウイルス対策製品を導入したわけではなく,さまざまなガイドラインとその元になる規約をベースに,導入・運用を行っていること
- 社員一人ひとりにセキュリティ対策の必要性を呼びかけ,各種規約やシステムの役割を理解してもらうよう努力したこと
- 何よりも,「信頼を失うことになるため,絶対にウイルスメールを外に出してはならない」という,CIOをはじめ経営層の固い意志があったこと
が挙げられるだろう。
こうして見れば,同社は情報セキュリティ対策の基本をそのまま実践した例といえそうだ。
一連の取り組みが実を結んで,「実を言えば,LoveLetterのときにはかなり大きな被害が出て,一部の海外現地法人ではメールサーバを停止する事態にまで追い込まれた」(塚本氏)という同社が,最近のSirCamやNimdaなどのケースでは,被害ゼロとまではいかないまでも,かなりウイルスの発生を抑えられたという。
100%のウイルス防御はあり得ない。だが,こうした取り組みによって,被害をかなりの程度抑えることは可能だ。セイコーエプソンの例は,そのことを証明しているといえるだろう。同社は今後も,「新しい攻撃,新しいウイルスに対して一つひとつ対策を加えていく」(塚本氏)という。
関連リンク
[高橋睦美 ,ITmedia]
