ICカード認証ツールでアクセスを可視化：対外的に証明できるセキュリティ環境

1937年に工業用計測記録紙の製造を目的として創業し、現在ではビジネスフォーム印刷からITソリューションまで幅広い製品・サービスを提供している小林クリエイトでは、顧客企業の個人情報を扱う機会も多いため、情報セキュリティへの取り組みに力を入れている。2008年4月には、クライアントPCからの情報漏えい対策強化の一環として、カシオのICカード認証セキュリティツール「SECUREGATE CD」を導入した。

[PR／ITmedia]

PR

意図的な情報漏えいに対する対策を付加

　小林クリエイト　本社

　ビジネスフォーム印刷のリーディングカンパニーとして知られる小林クリエイト。同社は、印刷業としては初となるプライバシーマーク（Pマーク）の認証を1999年に取得するなど、情報セキュリティにも積極的な取り組みを見せている。社員に対する情報セキュリティ教育はもちろんのこと、例えば社内PCでの外部記憶媒体利用制限、ログイン時の個人認証、さらには操作ログの取得や管理といった面でも、強固な対策を取っている。定期的にマネジメントレビューを行って脅威ごとのリスク値を見直しつつ、優先順位を決めて導入を進めてきたという。

　これまで実施してきたのは、基本的に「従業員の過失」に備える内容であった。うっかり紛失したり、盗難にあったりするケースに備え、情報の持ち出しを最小限に留めるというわけだ。しかし、従業員が意図的に情報を持ち出そうとしたらどうなるのか。小林クリエイトでは、意図的な情報漏えいを防ぐべく社員教育にも力を入れるとともに、情報の持ち出し行為に備える対策も検討してきたが、どの方法を採ってもリスクが残るため、なかなか決定に踏み切れなかったという。

小林クリエイト ITソリューション
事業部 事業部長 石原孝氏

　2007年、ある大手企業において発生した大規模な情報漏えい事件が、同社のリスク判断に大きな影響を与えた。その事件は、まさに内部の人間による意図的な情報流出だったのである。

　「内部スタッフの意図的な犯行というリスクは、これまで想定していた以上に大きいものだと考えるようになりました。そして、同じような事件が当社で発生したとすれば、企業の存続の危機に立たされます」と、ITソリューション事業部　事業部長の石原孝氏は話す。

　「もちろん、社員教育をはじめとするこれまでのセキュリティ対策が重要であることに変わりはありません。しかし、意図的な情報漏えいに対する対策も施す必要があると判断し、具体的な対策を検討することにしました」（石原氏）

共有PCの使い勝手は損なわない

　小林クリエイトでは、まず情報処理センターの電算室に対し、対策を施すことにした。情報処理センターでは、主に顧客の情報処理業務を受託する事業を行っている。電算室には共有PCが並んでおり、複数のスタッフが出入りして、さまざまな顧客の業務に関連したジョブを走らせている。

　この情報処理センターに関わっているのは、石原氏率いるITソリューション事業部と、小林クリエイトの子会社であるコスメックだ。

コスメック 代表取締役社長
帯屋愼太郎氏

　コスメックの帯屋愼太郎社長は、「セキュリティ強化には、使い勝手の悪化という問題が付きまといます。実際のオペレーション効率を損なうことなく効果的なセキュリティを、という考えでソリューションの選定を開始しました」と話す。

　これまでも電算室は顧客のデータを預かって処理するため、社内でも最高レベルのセキュリティゾーンに指定されており、社員証を兼ねた非接触ICカードによる入退室制限が施されていた。実際の作業に関わるスタッフ以外には、たとえ事業部長や社長であっても入室権限を与えないという。さらに、スタッフの制服も特定の色としているため、もし部外者が入ってきても監視カメラで特定できる。すでに何重にも及ぶセキュリティが施されており、外部の人間が侵入して情報を持ち出すようなリスクは非常に低く抑えられていると言える。

　「しかし、従来は電算室に入ってしまえば、室内の共有PCを制限なく操作することができました。内部の人間によるセキュリティリスクを低減するためには、そこを改める必要がありました」と、コスメック　設計開発部の加藤峰男部長は話す。

　「そこで、今回は共有PCの使用者制限を行うこととし、そのPCを操作した人物を特定できる仕組みを検討したのです」（加藤氏）

電算室のニーズに対応した「SECUREGATE CD」の新バーションに決定

コスメック 設計開発部 部長
加藤峰男氏

　加藤氏らは、セキュリティ関連展示会などを通じて、ソリューションを探すことにした。その際、数社からのオファーがあったという。

　「提案があったのは、いずれもユーザーの特定を可能にするシステムではありました。しかし、当社のニーズを満たしてくれる製品はありませんでした」（加藤氏）

　電算室内の共有PCでは業務処理のジョブが実行されている。その動作状況を確認するため、ログインしていない状態でも画面だけは見られるようにしたいというのだ。使い勝手や導入コストなどの条件も考えると、社員証ICカードを認証キーとして利用し、ICカードリーダにカードを置いている間だけ入力を受け付けるような仕組みが欲しかったという。

　「こうした要望にも前向きに検討すると回答してくれたのはカシオだけでした。そして後日、われわれのニーズに対応した新バージョンの『SECUREGATE CD』をデモしてもらい、その結果、採用を決定したのです」（加藤氏）

証跡確保による抑止力として運用開始

　小林クリエイトの情報処理センターは東京、中部、関西の3つ。SECUREGATE CDは、2008年4月に中部情報処理センター、5月に関西情報処理センターで導入を終え、続いて東京での導入に向けて準備が進められている段階だ。

　「SECUREGATE CDは、管理用のサーバを用意する必要がなく、クライアントに導入するだけで使えるため、すぐに運用を開始できます。認証用のカードとしては社員証そのものを流用したため、カードインフラの追加コストは不要でした。追加で必要となったハードウェアは各PCのICカードリーダだけです」と、石原氏は導入が迅速に進んだ理由を説明する。

ICカードリーダに社員証をかざして認証する

　SECUREGATE CDによる認証ログは、以前から導入されているPC操作ログと組み合わせ、ユーザーを特定できる証跡として管理されている。万が一不正が行われれば、迅速に把握できるよう、ログは自動的に分析しているという。こうした仕組みは、不正の抑止力としての効果も期待できる。

　「これで、セキュリティ上の抜け道が1つ消えたと言えるでしょう。しかも、オペレーション効率をほとんど落とさずにセキュリティを向上できたのです。カシオのスピーディーな対応にも、非常に満足できました」と帯屋氏は振り返る。

　石原氏によると、セキュリティ強化が顧客の信頼度向上にも役立っているという。

　「金融系企業などを中心に業務委託先への監査の一環として、わが社の情報セキュリティ体制について、しばしば顧客から問い合わせを受けます。それに対し『社員教育を熱心に行っています』と回答するだけでは、説得力がありません。顧客からすると、それだけでは安心して業務を委託できる相手とは言えないのです。その意味で、今回のSECUREGATE CDの導入は適切な対応と言えるでしょう。しかし、当社としては、まだまだセキュリティリスクを低減する余地があると考えています。今回の取り組みを端緒に、より予防に重点を置いた対策も打っていきます」（石原氏）