東芝ソリューションが考える個人情報保護法への具体的な取り組み
4月1日に施行される個人情報保護法への対応策に関して、東芝ソリューションは、コンサルテーションからセキュリティ基盤までをトータルに支援している
4月1日に施行される個人情報保護法への対応策に関して、東芝ソリューションは、コンサルテーションからセキュリティ基盤までをトータルに支援している。
前回は、ベストプラクティスとしての「情報セキュリティマネジメントシステム(ISMS)」を取得することによるセキュリティ基盤の強化をはじめ、企業が個人情報保護法に対応する際の同社の考え方を紹介した。今回は、コンサルテーション後に必要とされる実際の対応策に触れる。
東芝ソリューションの情報セキュリティソリューションイメージ図ツールによる情報漏えい対策
コンサルティングサービスにより、企業は自社のセキュリティ対策の問題点や課題を浮き彫りにする。その上での、セキュリティ基盤の作り込みが必要になる。次に行う具体的な取り組みの1つが、IT資産管理システムソリューションだ。ここでIT資産とは、経営・営業情報や、顧客や社員の連絡先や担当者名、電子メールなどを指す。そして、アプローチは、個々のクライアントPCの管理、物理的な持ち出し管理、ネットワークによるアクセスの管理の3つに分かれる。
こうした問題を具体的に解決する際には、ツールをうまく活用することが効果的だ。従来のようなファイアウォールなどの外部からの攻撃に対応するものだけでなく、近年では、電子メールやWebサイトの管理上のミスや、モバイル端末やメディアの盗難など、内部からの情報漏えいも増えており、対策が求められている。
たとえば、電子メールからの情報漏えいを防ぐためには、通信路上で送受信される電子メールを監視するツールを導入すると有効という。電子メール管理ツールにより、電子メールの利用状況を可視化するとともに、アナウンスによる情報漏えいの抑止効果を見込むこともできる。同様に、Webサイトからの情報漏えいを防ぐのがWeb監視ツールだ。これには、URLフィルタリングや送信情報の記録、監視、遮断機能が含まれる。これにより、たとえば、掲示板への不注意な書き込みによるトラブルなどの発生を防ぐことが可能になる。
また、東芝ソリューションでは、ファイルアクセス制御や操作記録、データの暗号化による情報漏えい防止策ツールを用意している。あるコールセンターでは、この仕組みを導入し、正社員とアルバイトや派遣などの非正社員の間で顧客情報にアクセスする権限を分けた。非正社員は、システムの権限制御により、ネットワーク経由の情報のダウンロードを禁止されるため、ファイルを外部に持ち出すことができない。これにより、情報漏えいを防止することが可能になる。
認証でユーザーを特定
一方、情報システムにおいては、「ユーザーがだれか分からない」ことにより、いわゆる、なりすましなどにより情報漏えいの危険が高まるケースがある。これに対応するために、同社は「ID管理/認証システムソリューション」を展開している。「だれが」に当たる部分が認証であり、「何を」管理するのがアクセス制御となる。
東芝ソリューションのプラットフォームソリューション事業部、セキュリティソリューションチームで参事を務める北折昌司氏は、良い認証の条件として、「他人への成りすましができない」「ユーザーにとって簡単」「さまざまなアプリケーションで使える基盤システムであること」の3つを挙げる。
そして、具体的なツールとして、同社は独自の製品としてPKI/ICカード「TARGUSYS」を提供している。企業は、TARGUSYS統合管理サーバに蓄積したデータを認証局と連携させ、TARGUSYSカードへの証明書発行を要求する。そして、証明書が発行されたTARGUSYSカードだけが各ユーザーに配布される。ユーザーは、TARGUSYSをカードスロットに差し込み、認証を完了させることで、初めてPCを利用することができる。カードを物理的に盗難されない限り、ほかのユーザーによる成りすましはできなくなる。
北折氏は、「盗難された場合も、ユーザーがカードを盗まれたことをはっきり認識できるため、実際には被害を未然に防止できる可能性が高くなる」と話している。あるユーザーは、認証に関する同社のソリューションを導入した。約4000台の限られた台数のPCを、その倍の数の社員全員で利用しなくてはならない状況においても、8000枚のTARGUSYSカードを活用することにより、どのPCでもユーザー固有のデスクトップとして利用できる環境を構築した。
ネットワークセキュリティ
個人情報保護法対応に東芝ソリューションが提供する柱の3つ目は、「ネットワーク上で何が起きているか」を把握するためのネットワークセキュリティソリューションだ。
ネットワーク上の記録をトラックするネットワークフォレンジックシステム、監視を担当するのが侵入検知システム(IDS)、遮断するのがファイアウォールやVPNだ。これらの製品を上手に組み合わせることで、効率的なセキュリティ管理環境を構築していく。
特定ベンダーにとらわれない設計を行うことが同社の基本的な考え方だが、シスコシステムズやチェック・ポイント・ソフトウェア・テクノロジーズといった主要ベンダーとは強い協力関係を築いている。また、前述のTARGUSYSや「セキュリティアプライアンスサーバAntiHacker-Pro」といった独自製品も併せて提供する。企業は、東芝ソリューションとともに個人情報保護法対策を図ることで、さまざまな製品から最適なツールを選択し、設計、構築、具体的な運用アドバイスまでのトータルなサービスを受けることができることがメリットとなる。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- 爆売れだった「ノートPC」が早くも旧世代の現実
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
- そのインシデントは“重大”か? 判断の指標となる定量的/定性的な要素
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 日清食品はなぜ「生成AIを20日で導入」できたか? セキュリティ視点で考える
ITmediaはアイティメディア株式会社の登録商標です。