Part5-1 端末ログの収集を公表 不正抑止力とセキュリティ意識の向上を狙う：「社内ブラックリスト」の作り方（1/2 ページ）

一般消費者向け日用品製造のD社は、個人情報保護法の対策を進めるため、日立ソフトの「秘文」を導入することにした。同製品の導入を例に、セキュリティ対策のスムーズな実現方法を解説する。

[中澤浩二（アシスト），N+I NETWORK Guide]

N+I NETWORK Guide 10月号（2004年）より転載しています

POINT 1 対策前は、セキュリティ問題が山積 対策前の調査では、営業担当者が携行するノートPCからの情報漏えいや重要情報の持ち出しなどで、大きな危険性を抱えていた。 2 秘文の導入により問題を解決 秘文が特徴とする、スピーディな導入や業務の状況に応じたきめ細かい機能設定、今後の拡張を考慮して導入。懸案の問題を解決した。 3 クライアントPCのログ取得と公表 クライアントPCのログ取得を社員に公表することにより、個人データの取り扱いに関する意識の向上と、不正抑止効果を狙っている。

現状確認で明らかになった危険性と問題点

　一般消費者向け日用品の製造を行っているD社（社員900名、全国8拠点）は、約4万件の顧客情報と、製品開発に関する機密情報を多数保有している。ところが、2005年4月に完全施行される「個人情報保護法」に対する策を講じていなかったので、急ぎ進めることにした。

　最初に、状況の確認を行ったところ、次のような問題が明らかになった。

1.営業社員用モバイルPCからのデータ漏えい

　営業社員は、顧客情報の入ったモバイルPCを常時携行している。このうちの数台が毎年、「紛失」していた。

2.取引先とのデータ受け渡しに利用するメディアからのデータの漏えい

　D社では取引先に対し、メディアでデータを提供している。搬送時におけるメディア紛失や盗難に備えた対策が、まったく立てられていなかった。

3.顧客情報や機密情報の不正な持ち出し

　本社では、顧客情報をメディアに書き出すことが禁止されていなかった。研究所では入退出管理を厳しく実施し、データの持ち出しを禁止していたが、社員がUSBメモリなどを使って、研究データを持ち帰ることもあった。

4.監査のためのログを取得していない

　システムの利用状況を把握するためのログを取っていなかったため、問題発生時に原因追究を行えない状況にあった。

「秘文」導入による問題解決

　そこでD社では、1〜4を解決するための検討を行った結果、すぐに実装でき効果が期待できる「秘文」を導入することにした。その具体的な内容は、次のとおりだ。

1の対策

　モバイルPCに秘文を導入し、ハードディスクのデータを暗号化することにより、PCの盗難や紛失に備える。

2の対策

　メディアに格納するデータを暗号化し、搬送時の紛失や盗難に備える。メディアへの書き出しは、平文で行うことをシステム的に禁止したため、オペレーションミスによる情報漏えいも防止できる（図1）。

図1■取引先と社内でのメディアの取り扱い

3の対策

　当初、取引先との間で定期的にデータの受け渡しを行っている部門を除いて、メディアへの書き出しを全面禁止する方針を立てていた。しかし、一部の部門で部門間連絡用にメディアを使っていたので、運用ルールを2つに分け、業務上、メディアの利用が必須でない部門については全面禁止、メディアへの書き出し業務が発生する部門に関しては、暗号化メディアを利用することにした（図2）。

図2■メディアへの書き出しは上長の許可が必要になる

4の対策

　システム監査の際に必要になるものとして、ファイルサーバへのアクセスとメディアへの書き出し操作をログとして取得することにした。

　メディアへのデータの書き出しについては、禁止されている部署においても、業務上、必要になるケースが想定される。そのようなときは、ユーザーは部門長に申請し、部門長から「許可証」（フロッピーディスク）を受けることによって、マシンに設定されたメディアの使用制限を解除できる仕組みとした。

　従来、このような設定を変更するときは、システム管理者に依頼するのが一般的だったが、秘文ではシステム管理者を介在させることなく使用制限の解除が可能になった。

　また、この運用では、システム管理者の負荷の軽減はもちろん、部門長がデータの重要度を直接判断できるというメリットもある。さらに、部門長による許可はフロッピーディスクを与えるだけなので、部門長のITスキルにとらわれない運用が可能となっている。

ツール導入のポイントとその効果