事件は存亡に関わる問題 根本から見直した：ソフトバンクBBの事例に学ぶ（2/2 ページ）

[堀哲也，ITmedia]

　同時に、アクセス権だけでなく、USBメモリをはじめとする外部記憶装置の利用禁止、PCやPDAなどの持ち込み／持ち出しも禁じた。特に、エンドユーザーとの直接の接点となるコールセンターでは、USBポートはOSレベルでも、物理的にも利用できないようにし、PCはすべてワイヤーで固定。従業員にはポケットのない制服の着用も義務付け、入退室用にフラッパーゲートを設置するなど物理的な対策を進めた。

　その後、顧客情報へのアクセス権の申請は、2、3カ月間をかけてWebベースの申請システムへと落とし込んでいく作業を行った。第一に問題をふさいで、ルール（ポリシー）を見直す。そして、運用効率を上げるためにシステム化する。この順序でソフトバンクBBは重きを置いて対策を進めた。

　また技術面では、全社のクライアントPCにログ管理ソフトを導入した。今では操作ログのすべてが保管されている。また、電子メールに関してもすべての履歴を保管し、万が一の際のトレーサビリティを確保した。高セキュリティエリアから導入を開始した指紋認証デバイスも、従業員すべてのPCに取り付けられている。

社員にできる、「これだけ」の8項目

　阿多氏の執務室には、従業員が守らなければならない8項目のポスターが張られている。ポスターには、（1）社員証の常時携帯、（2）各フロアの共有エリアの管理、（3）デスクの整理、（4）書類の保管、（5）貸与外パソコンの持ち込み禁止、（6）ノートパソコンの保管、（7）パソコン画面の保護、（8）パスワードの管理――といった文字が並ぶ。7月から開始している自主監査の点検項目である。会議室など社員の目に着きやすいところに張られており、社員の意識向上に一役買っている。

　「みんなにできるのはこの8項目。これだけは守れというもの。月初めの自主監査で点検される。おかげで、社内でスクリーンロックをかけていないなど、お互いが普通に指摘できるようになってきた」

　また、社内業務マニュアルも見直しを行い、不審なPC操作を行えば、厳格に処罰を適用できるような就業規則も付加し、社員に周知した。

　7月から開始している業務監査ではあるが、これからの課題としているところでもある。「これら対策の運用が決められた通りに行われているか、確認していかなければならない。また、もっと便利かつセキュアに行える方法があると思っている。そのためにも監査を強めていかなければ」

CISOとしての苦労

　CISOとして情報セキュリティ対策の陣頭指揮をとってきた阿多氏だが、最も頭を悩ませたのは、社内に乱立していた部門サーバだった。管理外のサーバが社内に存在していれば、そこがセキュリティホールになりかねない。同氏が直接出向いて、不退転の決意で管理権限を引き剥がしたという。

　自分で責任を持って管理をしたいという要望を持つ社員もいたが、「あなたの責任問題ではない。問題はあなたのグループの生産性ではなく、会社全体に関わることなんだ」と有無を言わさず強権を振るって排除した。現在では、情報システム部で管理していない部門サーバは存在していない。

　また、ソフトバンクBBは電子メールのドメインも、事件を機に、グループのものから独自のものへと変更している。運用が変わったため、グループ内の出向者やグループ役員から「不便になった」とのクレームが噴出。しかし、これも2週間の猶予期間をとることで移行を完了した。この新ドメインでやり取りされるメールは、すべて保存されているだけでなく、送られるメールに住所の羅列などがないか、システムが検疫してから送信する仕組みが取られている。もしこの検疫に引っかかれば、担当者と上司が確認するフローが採用されている。

火急な対策を可能にしたのは、今までの取り組み

　ソフトバンクBBでは、全体で649項目ともいわれる対策や見直しが行われた。これらは決して場当たり的に行われたものではない。あまり知られていないことだが、ソフトバンクBBが個人情報保護に関する動きを開始したのは、2003年の9月。プライバシーマークの取得を目指して、個人情報保護管理委員会を発足。情報資産の棚卸しを行っており、Pマーク取得過程の一つであるギャップ分析を済ませていた。事件が発覚したのはその後だった。

　「ここまで取り組んでいたものがあったからこそ、当初予定していた予算の吟味を抜いて、2週間で一気に計画を進めることができた。また、もし3月の時点で事件の漏洩ルートが分かっていれば、その部分の対策だけに注力しすぎて、ほかの対策は十分に行えなかったかもしれない」（阿多氏）。

阿多CISOからのメッセージ

CISOは、業務の情報システム依存が高まる中で必要になってくる。CIO（最高情報責任者）は、予算とビジネスニーズに基づいて効率を重視して情報システムを構築すればいい。一方、CSOは情報システムのことを分かっていなくもできる。しかし、CISOは情報システムを効率よくセキュアにしていかないといけない。システムと人の問題が絡む。社内のルールを作る総務部・人事部との上手に連携できないといけない。また、顧客情報という意味では満足度を高めるためコンタクトセンターのシステムが重要になるだろう。