財団法人 研究学園都市コミュニティケーブルサービス

掲載日: 2005 年 10 月 20 日
組織内の機密データ、個人情報保護に最適なセキュリティ対策を構築
〜Microsoft® Windows® Rights Management Services と
  Information Rights Management による情報保護とアクセス マイグレーション〜
Logo Image
*
*
ダウンロード
Download File 9837-DW1.pdf
*
PDFファイル 1,172 KB
Adobe Reader を利用してPDFファイルを閲覧・印刷することができます。ダウンロードはこちらleave-msからできます。


ソリューション概要

Summary
*
*
*
マイクロソフトの最新の情報保護テクノロジ、RMS (Microsoft Windows Rights Management Services)、IRM (Information Rights Management) の導入と、Microsoft Access から SQL Server へのアップサイジングにより、組織内の機密情報や個人情報の漏洩のリスクを低減させる最適なセキュリティを実現。

取り組みの背景・課題
*
*
*
相次ぐ情報漏洩事件や個人情報保護に対する意識の高まりを背景として、組織内の機密情報、個人情報管理方法の高度化の必要性。

導入目的
*
*
*
RMS & IRM 〜文書ファイルの改ざん、複製、印刷、メール送信などに対する利用制限を通じた機密情報の漏洩を防御。
Access → SQL Server アップサイジング〜顧客データの統合・一元管理と高度なセキュリティ設定を通じた個人情報の保護と効率的管理の実現。

導入プロセス
*
*
*
内部スタッフのみによる、ソフトウェアの導入と展開。ソフトウェアの配布、パッチ管理については、Active Directory の機能を活用して効率化。

導入効果
*
*
*
導入コスト、運営コストを低く抑えながら、スタッフ各人の情報セキュリティに対する意識・行動だけに依存しない、高度な機密情報・個人情報保護対策を徹底できるようになった。

* *PHOTO
*
財団法人 研究学園都市コミュニティケーブルサービス (通称 ACCS :Academic Newtown Community Cable Service、以下 ACCS) は、1981 年からつくば地域でケーブル テレビ事業を開始、近年はインターネット接続サービス、IP 電話サービスなどを展開しており、地元住民から高い信頼を獲得している財団法人です。

現在、ACCS では約 5 万件の個人情報を保有しており、2005 年 4 月の個人情報保護法の施行に備え、同財団内の機密データ、個人情報保護のための最適なセキュリティ対策を、Microsoft Windows Rights Management Services (RMS)、Information Rights Management (IRM) の導入と、Microsoft Office Access から Microsoft SQL Server へのデータベース アップサイジングにより実現しました。


<導入の背景>

PHOTO
*
ACCS
理事長
田中 實 氏

 *
毎日のようにメディアをにぎわす、企業や組織・団体からの機密情報や個人情報の流出事件。内部関係者による意図的なデータ持ち出しや、メールの誤送信など不注意・ミスが原因となっているものが多数を占めます。しかし、コンピュータ ウイルスなど、外部からの不正アクセスも増えており、企業・組織の情報漏洩の危機は、ますます高まっています。

こうした状況の中、ACCS は、2004 年 6 月から同法人内の情報管理・セキュリティ体制の高度化のためのプロジェクトを開始しました。CIO (情報統括責任者) として、プロジェクト全体の指揮に当たった ACCS 理事長 田中實氏にその背景についてうかがいました。

「セキュリティ対策、特に個人情報の保護に積極的に取り組むことにした理由には、2 つの側面があります。1 つは、個人の情報保護に対する意識の高まりです。個人の情報も、身体や生命、財産と同様、守られるべき大切な私有物であるという認識が広がってきたこと。2 つ目は、IT の進展により、容易にこれらの個人情報が入手できるようになったことです」。


<導入プロセス>

田中理事長の指揮の下、3 つのプロジェクト チーム (管理者プロジェクト チーム、内部流出防止プロジェクト チーム、不正アクセス防止プロジェクト チーム) が編成されました。

* 図
*
プロジェクト チーム構成図


PHOTO
*
ACCS
業務部
営業課 主任
日下部 義知 氏

 *
「プロジェクト立ち上げに当たり、研修やミーティングを何度も行い、個人情報保護の重要性に対するスタッフの意識改革を最初に進めました」 (田中氏)。

当チームのリーダーとして、内部流出対策の企画立案および導入・展開を行った、ACCS 業務部 営業課 主任 日下部義知氏によると、

「組織内に存在する情報を、『課金関連情報』、『お客さま個人の基本属性情報』、『内部資料』の 3 階層のセキュリティ レベルに分けると、最もプライバシー度の高い『課金情報』については、当初より、個人情報管理室という物理的に隔離された場所のサーバーに置かれ、特定の人間しか入室できないよう管理されていました。しかし、『お客さま個人の基本属性情報』については、組織各部署に分散して存在しており、一元的・効率的な顧客情報管理が難しくなっていました。また、「内部資料」についても、機密情報についての漏洩対策が十分ではありませんでした」。

そこで、日下部氏が着手した対策の第 1 弾が、RMS および IRM の導入による機密情報の保護です。

ACCS の情報システムは、サーバー約 10 台、クライアント PC が約 50 台で構成されており、2004 年にサーバー群は、Microsoft Windows 2000 Server から Microsoft Windows Server 2003 へ、また、各クライアント PC にインストールされている Microsoft Office も Microsoft Office 2000 から Microsoft Office 2003 にバージョン アップされていました。このため、Windows Server 2003 のアドオン ソフトである RMS を新たにセットアップすることによって、Office 2003 Editions に装備されている情報保護機能、すなわち、IRM が利用可能となりました。

現在、ACCS 内のスタッフは、外部への流出を避けるべき機密書類やメールに対して次のような設定が可能です。

・印刷禁止
・プログラミング アクセスの禁止
・スクリーン ショットの禁止
・コピー & ペーストの禁止
・参照可能な有効期限の設定
・文書内容変更の禁止
・メール転送の禁止

* 図
*
システム構成図 [拡大図]



<低コストで実現>

日下部氏は、マイクロソフトの情報保護テクノロジ、RMS と IRM の導入について、次のように評価しています。

「ACCS 内には情報システムの構築・運営管理のための専任部署がなく、各部署の担当者が兼任でやっていることもあり、なんといっても運営コストの低さ、手間がかからないことが重要でした。もちろん、マイクロソフト製品は、導入コストも他社と比較して圧倒的に低コストでした」。

ACCS では、既に Active Directory® が導入されていたことも作業工数の軽減に役立ちました。Active Directory のグループ ポリシー機能を活用すれば、新たなソフトウェアの配布、パッチの自動更新といったことが可能であるため、RMS や IRM など新規のソフトウェアの導入についても新たな運用負荷がほとんど増加しません。

これまで、ACCS では、社内システムの構築・運営管理を、ほとんど同財団内で行ってきましたが、今回の RMS や IRM、以前の Active Directory においても、マイクロソフトが Web サイトや e メールなどで提供する各種技術情報やセミナー (mstep、MSDN サブスクリプション) で必要な知識・スキルを学ぶだけで、スムーズに導入が行えました。

一方、お客さま個人の基本情報は、ACCS 内部の各部署にて Microsoft Access に散在する形で管理されていました。しかし、ACCS 内の個人情報の増大に伴い、情報セキュリティの高度化の必要性に加えて、処理速度の向上や一元的な情報管理体制に対応するため、SQL Server にアップサイジングし、組織内に分散していた個人情報を統合することを決定、実行に移しました。

「SQL Server を導入した決め手は、高度なセキュリティ設定を行うことが可能であったことでしたが、加えて、処理速度が向上して業務の効率化が実現する、信頼性が高く、データの効率的な利用が可能、レコード ロックによる競合の発生防止、データベースの完全な復旧が可能、といった、さまざまなメリットへの期待もありました」(日下部氏)。


<導入効果>

RMS と IRM の導入により、意図的、あるいは不注意やミスによる機密情報の内部流出に対する高度なセキュリティが実現しました。また、個人情報においても、SQL Server での一元管理と高度なセキュリティ対策によって、情報漏洩に対する多層的な防御が低い導入・運用コストで実現しています。

ACCS では、他の企業や団体・組織と同様、正社員以外に、契約社員、派遣社員などの非正規社員も数多く働いており、セキュリティ方針の徹底など、スタッフ各人の意識・行動に頼る対策だけでは限界がありました。しかし今回のマイクロソフトの最新の情報保護テクノロジ、RMS、IRM の導入と、SQL Server へのアップサイジングを行うことにより、社員個々人のモラルや行動規範だけに依存するのではなく、システム レベル、つまり水際での防御が可能となりました。


<今後の展望>

日下部氏は今後の展望について、「現在、『Microsoft Systems Management Server』の導入を検討しています。アプリケーションの配布やパッチ管理がさらに容易になり、一段深いレベルでの運用管理の手間・コストの軽減とセキュリティ向上が期待できます」と語ってくれました。 ACCS は決して大規模な組織ではなく、以前であれば、大変な手間とコストを要する高度な情報セキュリティ対策には二の足を踏んでいたところでしょう。しかし、高度なセキュリティ設定が可能でありながら、極めて導入が容易で低コストのマイクロソフトの情報保護テクノロジにより、ACCS の最適なセキュリティ対策が実現しました。



※ mstep、MSDN とは
「mstep」
Microsoft Office System とそれに関連するマイクロソフト製品、およびソリューションを最大限にご理解いただくために、全国で各種トレーニング コースをご提供。実践的なスキルや現場での活用方法を習得することのできるプログラムです。

「MSDN サブスクリプション」
設計、開発、構築に携わる技術者が、必要な各種ソフトウェアや、業務に効果的に活用できるさまざまなサービスをまとめて提供するプログラムです。個々に買い揃えていたソフトウェアやテクニカル サポートにかかるコストを大幅に削減することができ、開発に必要な環境を容易に低コストで整備することが可能になります。



本ケーススタディに記載された情報は初掲載時のものであり、閲覧される時点では変更されている可能性があることをご了承ください。
本ケーススタディは情報提供のみを目的としています。Microsoftは、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
ページのトップへ