ソフトバンクBBのCISOが語る、情報セキュリティへの取り組み（2/2 ページ）

[堀哲也，ITmedia]

　現在、ソフトバンクBBでは、情報セキュリティ対策に下記のような基本方針を立てて取り組んでいる。

ソフトバンクBBの情報セキュリティ対策の基本方針

　人的対策においては、まずはリテラシーと考え、店舗のアルバイトまで含めてすべての社員がeラーニングを受けなければならなくした。「3月の時点ではeラーニングがなかったため、講義ばかりだった」と言い、苦労したようだ。

　また、業務委託契約を全面的に見直し、個人から誓約書を取れるようにもした。「個人と契約するのは、派遣法違反でないかという話も多くあったが、納得いただいた企業のみと契約した」。

　技術面では、24時間365日の監視体制を備えるセキュリティオペレーションセンターを設置。「現在ではすべてのクライアントPCのログが取れ、何をやっているかを監視できる。当社ではファイル共有ソフトは立ち上げるだけで、USBを利用するだけでアラートがでる。また、業務に関係ないURLへの接続も監視している。当社のすべてのPCは会社の資産、業務に関係ないことは自宅のPCでやればよいという考えだ」

　物理面では、レベル1からレベル5までに区分けしてセキュリティレベルを決めている。そのうち、顧客情報を扱えるレベル3の業務セキュリティ業務エリアには、料金センターは事件後完全にリニューアル。カード認証と警備員により、入退室は一人ずつしか行えないように管理している。

　ポケットのまったく付いていない制服を着用してからでないと入室できなく、スーパーバイザーからはすべてが目視できるレイアウトになっているという。

　そのほか、システム開発と運用を完全に分離し、10月には全社のPCに対する指紋認証の採用を完了する予定だ。

こんなところにも個人情報が……

　また阿多氏は「顧客データベースを守る一方で、ほかにもセキュリティホールが存在していることに気が付いた」と話した。人事情報だ。

　正社員比率を高めるため、数千名の採用を行うソフトバンクBBだが、その採用プロセスでは40倍もの人間が応募することになる。履歴書には、住所・氏名などの基本情報のほかにも、出身校や家族構成といったさまざまな個人情報が記載されている。にもかかわらず、簡単にコピーされ、人材会社からは添付メールで送られてきてしまったりする。

　採用のプロセスでも不採用者の履歴書は、「重複して応募していないかなどのチェックのために自社で保管していたりする。本当に、持っていてもいいものか？　」

　そこで、現在、履歴書を完全に電子化して、許可された人しか閲覧できない「セキュア・レジュメ・システム」（SRS）を開発しているところだと紹介している。

セキュア・レジュメ・システム

　同氏の考えでは、個人情報保護法の完全施行後は、採用情報の取り扱いも選考方法や期間を明示せず、履歴書を返却しなかったり、破棄を明記しない「企業側の論理」は通用しなくなるという。

定期的な情報資産の棚卸しが必要

　最後に阿多氏は、共通の課題としていつくかのアドバイスしている。情報セキュリティ対策の責任者を置くこと、定期的な情報資産の棚卸し、従業員の監視だ。

　特に定期的な情報資産の棚卸しは必須。同氏は、対策に当たってまずオフィスを回るところから始めたという。すると、管理されていないサーバをよく見つけた。

　「管理者が誰かも分からないというから、電源を落とさせると、突然ある業務が突然止まったりする。だから、部門サーバは全部情報システム部門で巻き取ってしまった。現時点では対策に自信をもてるが、それでも来年は、と言われると自信を持てない。半年に1度の棚卸しは必要だろう」

　また、従業員の管理も必要だという。だが、ソフトバンクBBでは週に1億もの監視ログがたまる。そのため、「大半のチェックはロボットに行わせて、本当に不審なものだけを人が見ることが必要」とのことだ。