対外的に証明できるセキュリティ環境:ICカード認証ツールでアクセスを可視化

1937年に工業用計測記録紙の製造を目的として創業し、現在ではビジネスフォーム印刷からITソリューションまで幅広い製品・サービスを提供している小林クリエイトでは、顧客企業の個人情報を扱う機会も多いため、情報セキュリティへの取り組みに力を入れている。2008年4月には、クライアントPCからの情報漏えい対策強化の一環として、カシオのICカード認証セキュリティツール「SECUREGATE CD」を導入した。


意図的な情報漏えいに対する対策を付加

photo  小林クリエイト 本社

 ビジネスフォーム印刷のリーディングカンパニーとして知られる小林クリエイト。同社は、印刷業としては初となるプライバシーマーク(Pマーク)の認証を1999年に取得するなど、情報セキュリティにも積極的な取り組みを見せている。社員に対する情報セキュリティ教育はもちろんのこと、例えば社内PCでの外部記憶媒体利用制限、ログイン時の個人認証、さらには操作ログの取得や管理といった面でも、強固な対策を取っている。定期的にマネジメントレビューを行って脅威ごとのリスク値を見直しつつ、優先順位を決めて導入を進めてきたという。

 これまで実施してきたのは、基本的に「従業員の過失」に備える内容であった。うっかり紛失したり、盗難にあったりするケースに備え、情報の持ち出しを最小限に留めるというわけだ。しかし、従業員が意図的に情報を持ち出そうとしたらどうなるのか。小林クリエイトでは、意図的な情報漏えいを防ぐべく社員教育にも力を入れるとともに、情報の持ち出し行為に備える対策も検討してきたが、どの方法を採ってもリスクが残るため、なかなか決定に踏み切れなかったという。

photo 小林クリエイト ITソリューション
事業部 事業部長 石原孝氏

 2007年、ある大手企業において発生した大規模な情報漏えい事件が、同社のリスク判断に大きな影響を与えた。その事件は、まさに内部の人間による意図的な情報流出だったのである。

 「内部スタッフの意図的な犯行というリスクは、これまで想定していた以上に大きいものだと考えるようになりました。そして、同じような事件が当社で発生したとすれば、企業の存続の危機に立たされます」と、ITソリューション事業部 事業部長の石原孝氏は話す。

 「もちろん、社員教育をはじめとするこれまでのセキュリティ対策が重要であることに変わりはありません。しかし、意図的な情報漏えいに対する対策も施す必要があると判断し、具体的な対策を検討することにしました」(石原氏)

共有PCの使い勝手は損なわない

 小林クリエイトでは、まず情報処理センターの電算室に対し、対策を施すことにした。情報処理センターでは、主に顧客の情報処理業務を受託する事業を行っている。電算室には共有PCが並んでおり、複数のスタッフが出入りして、さまざまな顧客の業務に関連したジョブを走らせている。

 この情報処理センターに関わっているのは、石原氏率いるITソリューション事業部と、小林クリエイトの子会社であるコスメックだ。

photo コスメック 代表取締役社長
帯屋愼太郎氏

 コスメックの帯屋愼太郎社長は、「セキュリティ強化には、使い勝手の悪化という問題が付きまといます。実際のオペレーション効率を損なうことなく効果的なセキュリティを、という考えでソリューションの選定を開始しました」と話す。

 これまでも電算室は顧客のデータを預かって処理するため、社内でも最高レベルのセキュリティゾーンに指定されており、社員証を兼ねた非接触ICカードによる入退室制限が施されていた。実際の作業に関わるスタッフ以外には、たとえ事業部長や社長であっても入室権限を与えないという。さらに、スタッフの制服も特定の色としているため、もし部外者が入ってきても監視カメラで特定できる。すでに何重にも及ぶセキュリティが施されており、外部の人間が侵入して情報を持ち出すようなリスクは非常に低く抑えられていると言える。

 「しかし、従来は電算室に入ってしまえば、室内の共有PCを制限なく操作することができました。内部の人間によるセキュリティリスクを低減するためには、そこを改める必要がありました」と、コスメック 設計開発部の加藤峰男部長は話す。

 「そこで、今回は共有PCの使用者制限を行うこととし、そのPCを操作した人物を特定できる仕組みを検討したのです」(加藤氏)

電算室のニーズに対応した「SECUREGATE CD」の新バーションに決定

photo コスメック 設計開発部 部長
加藤峰男氏

 加藤氏らは、セキュリティ関連展示会などを通じて、ソリューションを探すことにした。その際、数社からのオファーがあったという。

 「提案があったのは、いずれもユーザーの特定を可能にするシステムではありました。しかし、当社のニーズを満たしてくれる製品はありませんでした」(加藤氏)

 電算室内の共有PCでは業務処理のジョブが実行されている。その動作状況を確認するため、ログインしていない状態でも画面だけは見られるようにしたいというのだ。使い勝手や導入コストなどの条件も考えると、社員証ICカードを認証キーとして利用し、ICカードリーダにカードを置いている間だけ入力を受け付けるような仕組みが欲しかったという。

 「こうした要望にも前向きに検討すると回答してくれたのはカシオだけでした。そして後日、われわれのニーズに対応した新バージョンの『SECUREGATE CD』をデモしてもらい、その結果、採用を決定したのです」(加藤氏)

証跡確保による抑止力として運用開始

 小林クリエイトの情報処理センターは東京、中部、関西の3つ。SECUREGATE CDは、2008年4月に中部情報処理センター、5月に関西情報処理センターで導入を終え、続いて東京での導入に向けて準備が進められている段階だ。

 「SECUREGATE CDは、管理用のサーバを用意する必要がなく、クライアントに導入するだけで使えるため、すぐに運用を開始できます。認証用のカードとしては社員証そのものを流用したため、カードインフラの追加コストは不要でした。追加で必要となったハードウェアは各PCのICカードリーダだけです」と、石原氏は導入が迅速に進んだ理由を説明する。

photo ICカードリーダに社員証をかざして認証する

 SECUREGATE CDによる認証ログは、以前から導入されているPC操作ログと組み合わせ、ユーザーを特定できる証跡として管理されている。万が一不正が行われれば、迅速に把握できるよう、ログは自動的に分析しているという。こうした仕組みは、不正の抑止力としての効果も期待できる。

 「これで、セキュリティ上の抜け道が1つ消えたと言えるでしょう。しかも、オペレーション効率をほとんど落とさずにセキュリティを向上できたのです。カシオのスピーディーな対応にも、非常に満足できました」と帯屋氏は振り返る。

 石原氏によると、セキュリティ強化が顧客の信頼度向上にも役立っているという。

 「金融系企業などを中心に業務委託先への監査の一環として、わが社の情報セキュリティ体制について、しばしば顧客から問い合わせを受けます。それに対し『社員教育を熱心に行っています』と回答するだけでは、説得力がありません。顧客からすると、それだけでは安心して業務を委託できる相手とは言えないのです。その意味で、今回のSECUREGATE CDの導入は適切な対応と言えるでしょう。しかし、当社としては、まだまだセキュリティリスクを低減する余地があると考えています。今回の取り組みを端緒に、より予防に重点を置いた対策も打っていきます」(石原氏)



提供:カシオ計算機株式会社
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2008年8月11日


バックナンバー

イベントレポート:自動認識総合展
“使える”ハンディターミナル「DT-X7」の業務ソリューションを多数公開

イベントレポート:リテールテックJAPAN 2009
「操作性」「省エネ」「セキュリティ」重視のソリューションが集結

キーマンインタビュー:CXDネクスト 尾平氏(Part1)
レジ市場に新風を吹き込むネット対応型レジスター

キーマンインタビュー:CXDネクスト 尾平氏(Part2)
中小の店舗経営改善をネットレジで強力支援

キーマンインタビュー:カシオ PA企画室 牧氏
日本の流通・小売業界を支えるモバイルソリューション

キーマンインタビュー:きもと 北口氏
「ムービー立て看」に道行く人が必ず足を止めるワケ

開発者インタビュー:プロジェクター編
“モバイルプロジェクター”の開発にカシオエンジニアの魂を見た

開発者インタビュー:プリンタ編(Part3)
“グローバル・エコ”に込められたカシオ「SPEEDIA GE5000」のメッセージ

開発者インタビュー:プリンタ編(Part2)
ユーザー満足の飽くなき追求――常に進化するカシオのページプリンタ

開発者インタビュー:プリンタ編
「使いやすさあってこそのセキュリティ」という思いを込めたプリンタ開発

開発者インタビュー:ハンディターミナル編
客観的な手法で「使いやすさ」を追求したハンディターミナル

導入事例連載Part1:伊藤園
人事・給与一元管理システムにアドプスを採用し、社内制度に沿ったシステムを構築

導入事例連載Part2:3S書房
書店向けPOSレジスター導入により、業務効率化を実現

導入事例連載Part3:SSSスポーツプラザ
業務用PDAと非接触ICタグ内蔵リストバンドで顧客に便利なフィットネスシステムを実現

導入事例連載Part4:ダンロップスポーツ エンタープライズ
スコアラーの入力用端末に業務用PDAを採用し迅速かつ正確なスコア速報を実現

導入事例連載Part5:澁澤倉庫
Webベースで開発したWMSに、Windows CE .NET搭載の無線ハンディターミナルを採用

導入事例連載Part6:三菱重工
パッケージソフトを活用した帳票FAXソリューションで発注作業支援システムを低コストに構築

導入事例連載Part7:オートウェーブ
多機能なハンディターミナルの活用でカーショップの接客対応を迅速に

導入事例連載Part8:イオンモール
大型ショッピングモールのテナントで多機能端末として活躍するタッチパネルPC

導入事例連載Part9:東武ストア
高機能なPDA型ハンディターミナルでスーパーマーケットの店舗業務を効率化

導入事例連載Part10:専修大学
総合大学として質の高い教育業務を実現すべく、アドプスで人事・給与システムを統合

導入事例連載Part11:スポーツプレックス・ジャパン
非接触ICタグと小型端末を組み合わせ運動履歴を把握

導入事例連載Part12:青山フラワーマーケット
ネットレジと売上集計管理サービスの連動で販売・仕入分析につなげる

導入事例連載Part13:プラザスタイル
高機能ハンディターミナルを採用し店での商品管理を効率化

導入事例連載Part14:旭食品
ハンディターミナルを活用し商品管理と物流システムを効率化

導入事例連載Part15:TIS
プリンタからの情報漏えいを防ぐセキュア印刷ソリューション

導入事例連載Part16:ルネサス テクノロジ
世界トップクラスの半導体産業を支えるカシオの業務用PDA

導入事例連載Part17:エクシム
高い操作性とネットワーク対応で工場の生産ラインを効率化

導入事例連載Part18:小林クリエイト
ICカード認証ツールでアクセスを可視化

導入事例連載Part19:日本食研
食品鮮度管理の最前線で活躍する新鋭ハンディターミナル

導入事例連載Part20:立川相互病院
「白衣の天使」の不安をムービー立て看が払拭

導入事例連載Part21:花王カスタマーマーケティング
花王が販売店支援スタッフのワークスタイル革新に成功した理由

導入事例連載Part22:メディアファクトリー
ランプ交換手間いらず! スリムなプロジェクターでメンテナンスの手間とコストを削減

導入事例連載Part23:岩手県予防医学協会
健診データをPDAで入力、データの正確性を上げコスト削減につなげる

導入事例連載Part24:建設経営サービス
驚くほどスリムなプロジェクターが、モバイルワークをサポート