内部情報漏えい対策システムの導入、評判はいい――KDDI

KDDIは2006年3月を目標に内部情報漏えい対策システムを全社導入する。既にカスタマサポート部門のコミュニケーター端末6000台への導入は終えており、評判も上々のようだ。

[堀哲也，ITmedia]

　KDDIは2006年3月を目標に内部情報漏えい対策システムを全社導入する。9月8日都内ホテルで行われたインテリジェント ウェイブ（IWI）のセミナーで、KDDI情報システム本部コーポレートシステム部の料崎和夫氏が話した。

　同社は2005年の4月中旬〜7月末にかけて、カスタマサポート部門のコミュニケーター端末6000台に内部からの情報漏えいを防止するシステムを導入した。外部記憶装置への書き出し制御や、ユーザーのPC操作のチェックを行うのが目的。全面禁止というポリシーを適用できるため、まずはカスタマサポート部門からの導入を開始した。

　「導入部門からはフロッピードライブやUSBのインタフェースに1つずつテープを張る“泥臭い”作業から解放され、管理が容易になった。この評判を聞きつけた他部門からも、前倒しで導入してほしいと言われ、うれしい悲鳴をあげている」と料崎氏。

　同氏によると、KDDIでは、最近国内で情報漏えい事件が相次いでいること、個人情報保護法の施行などを背景に、内部の人間による情報漏えいを防止するシステムの検討を開始した。同社では、電子証明書などを利用したPC認証などの「水際防御」、IDS／IPSなどによる「チェック／パトロール」、ウイルス対策ソフトやパッチ適用システムなどの「端末防御」の3段階に分けたセキュリティ対策を実施しており、特に今回のPCの操作監視や外部記憶メディアの制御を行う情報漏えい対策システムは、チェック／パトロールと端末防御の2面を強化するものと位置付ける。

　同社は、複数ベンダーの製品を比較して、IWIの内部情報漏えい対策システム「CWAT」を選定している。事前動作検証の後、2005年2月からのフィールドテストの結果、既存の業務システムに影響がないことが確認でき導入に踏み切った。しかし、人事異動などによるユーザー情報／ノード情報の登録・変更がその都度手作業になったり、固定IPアドレスの環境では運用負荷が高いことから、独自にツールを作成して対応。ログの解析・レポートには三菱電機インフォメーションテクノロジーの「LogAuditor」を活用しているという。

　また、監視ログから前営業日に起こった禁止操作をレポート化して、事業部門の所属長にフィードバックする運用体制をとることで、単に禁止するシステムとしての利用にとどまらないような工夫もしている。「システム的に禁止されている行為はさせない、そしてログの解析をフィードバックすることで人的対策の両面からのセキュリティ対策を行っている」（料崎氏）。

　今後は、2006年3月を目指して全社2万台への展開を行うほか、所属長へのフィードバック項目を追加するなどの改善をしていきたいという。