Part5-2 インベントリツールなどを導入しクライアント管理を徹底する：「社内ブラックリスト」の作り方（2/2 ページ）

[熊崎裕一郎（ITサービス），N+I NETWORK Guide]

　インターネット経由の情報漏えいに対する防御策が完了したので、次に、クライアントPCからの情報漏えい対策へ進んだ。しかし、クライアントPCは台数が多いうえに、操作する社員のレベル、つまりセキュリティ意識やコンピュータの知識に大きな開きがある。さらに、A信販は大規模な組織再編を行ったばかりで、クライアント管理はさらに複雑になっていた。そのため、いろいろな対策案を提案しても、全社員が操作可能か、コンピュータに詳しい一部の社員が迂回できてしまうのではないかなど、課題となる点が浮上し、なかなか決定的な対策に行き着かなかった。

　長期間にわたって提案と調整が繰り返されていたが、そのうち周囲が「内部情報漏えい対策待ったなし」という時代に突入してしまい、多少の生産性低下も止むなしという判断になっていった。

　その結果、A信販が現在までに実施したクライアントセキュリティ対策は、次のようなものである。

図2■第2段階の情報漏えい対策

インベントリツールの導入

　社内で利用されているクライアントPCの総数、OSの種別、パッチレベルの確認といった、現状把握を主目的としてインベントリツールを導入した。実際のところ、すべての出先営業所のPCの状況の把握ができておらず、どのような対策を進めるにしても必要だと判断し導入に踏み切った。

　最近のインベントリツールは、オプション機能も充実してきている。今後、アプリケーションの起動制限、不審操作を発見した場合のスクリーンショット生成などの対策を立てる際の基礎環境を作るという狙いもあった。

パッチ配布システム

　続いて、クライアント向けパッチ配布システムを導入した。A信販は出先営業所を多数抱えており、営業所間のネットワーク帯域幅の制約から、本社1カ所に配布サーバを設置しただけでは末端の営業所まで正常に配布できないことが想定された。そのため、営業所間のネットワークの見直しや、全国8カ所の集約営業所に2次配布サーバを配置するなどの処置を施したうえで運用を開始した。

共用アカウントの廃止

　A信販では、アルバイトなどの非正規社員は、共用アカウントを使用する規定になっていた。また、一部のアプリケーションシステムでも、共用アカウントが使用されていた。しかし、このままでは行動履歴が管理できず危険なので、アカウント情報の一元管理とともに、共用アカウントの廃止、全ユーザーの個別アカウント利用へと全システムの見直しを図ることとした。

クライアントPCの動作状況ログの取得へ

　今後の対策として、記録メディアやPCの盗難に備えるため、暗号技術を活用するシステムについて検討を進めている。また、暗号応用システムの導入によって、情報のレベル分けと権限に応じた情報へのアクセス、つまり重要な情報は権限のある人間しか見られないという環境が整えられる。さらに、復号処理時のログを管理することで、情報の取り扱い履歴が確認でき、万一の事故発生時に状況を把握することもできる。

　また、一部の重要な個人情報を扱う部門に関しては、クライアントPCの動作状況ログを取得するシステムの提案を進めている。