 |
クライアント PC のセキュリティ状況を一元管理。
セキュリティ対策、運用の低コスト化と省力化を実現。
|
 |
企業のインターネット利用と社員 1 人 1 台のパソコン利用が当たり前になった今日、さまざまな IT 利用によるメリットが享受できるようになる一方で、甚大な損害に結びつく「脅威」にも直面するようになりました。代表的な「脅威」は、システムへの攻撃や情報の盗み出しを図るウィルスや不正侵入、そして個人情報をはじめとする機密情報の漏洩です。
これらに関する事件が頻繁に報道されるようになったいま、社会のセキュリティへの関心は高く、セキュリティ対策のレベルが企業の信用度を左右するものになってきました。多くの人材スタッフを抱え、顧客企業の機密情報に関わることも多い人材派遣事業者にとって、セキュリティ対策は特に重要です。株式会社イマジンプラスは、クライアント PC のレベルでさまざまな「脅威」を防ぐ新しいセキュリティ システムを導入し、顧客とスタッフがともに安心できる環境づくりを進めています。
<導入の背景と狙い>
セキュリティ情報の一元管理とユーザーの意識向上
株式会社イマジンプラス
代表取締役社長
笹川 祐子 氏
|
|
|
株式会社イマジンプラスは、全国に 5 つの拠点を展開し、IT 技術者やオペレータを中心に大手 IT 企業への人材派遣を行っている会社です。1997 年の創業から約 8 年、現在登録スタッフは約 6 万人、社員は約 50 名を数えます。
「顧客の皆さんにも、スタッフの皆さんにも、安心してもらえる会社であることがコンセプトです」と語るのは同社代表取締役の笹川裕子氏。「企業の情報セキュリティに関する社会の目がますます厳しくなるなかで、顧客の皆さんにも弊社の取り組みをご理解いただきながら、個人情報保護を含めたセキュリティ教育や啓蒙、社内のシステムづくり、体制づくりに動いていきたいと思っています」。
笹川氏は「スタッフを大切に」「クライアントの信用を大切に」「社員を大切に」を 3 つの基本ポリシーとして掲げ、コンプライアンス (法令順守) を同社の基本理念として打ち出しています。社会的信用が事業に直結する業種でもあり、同社は社員や登録スタッフへの教育や啓蒙活動を通し、セキュリティに関する意識を高めてきました。
問題発生情報の管理者への集中と管理手法確立が課題
同社では、スタッフや顧客との連絡にはインターネットによる電子メールなどが用いられ、当然ながら社内ではパソコンの利用やインターネットの利用は業務遂行上なくてはならないものになっています。従来からファイアウォールやウィルス対策ツールの個々のパソコンへの導入などのセキュリティ対策はとられていました。
しかし、現在の情報システムに対する「脅威」は社内ネットワーク外部からやってくるばかりでなく、内部にも情報持ち出しや送信をはじめとする「脅威」が潜在していることが広く認識されています。
「3 年前にはファイアウォールとウィルス対策ソフトを使いながらセキュリティ ポリシー運用を行っていました」と語るのは、同社の教育研修事業部係長の池田憲一氏。「それでも情報漏洩などは一切なかったのですが、社内で例えばウィルス メールが届いたといった問題が起こっても、その情報が担当者のレベルで止まってしまい、管理者がそれを知らないといった状況がありました。それでは次に問題が起こったときの対策が取れないんですね。実際の被害はこれまでないのですが、情報が管理できないのが 1 番の問題点でした」。
万が一の被害を避け、また社会的責任を果たすためには、セキュリティを脅かす出来事を逐一把握し、再度の発生がないように対策を施すことが現在の常識となっています。また、ファイアウォールとウィルス対策ツールだけでは、現在多くの新種が発生しているネットワーク感染型ウィルスに十分な対策とはなりません。また、情報漏洩対策としても弱点があります。
そのことを肌で感じていたのが、セキュリティに造詣の深い池田氏でした。「1 番先に気を付けなければいけないのは、機器の体制よりも、人間を教育して、何か問題が発生したときに、すぐに担当者に情報が伝わってくる体制です。この教育を徹底しながら、1 年前くらいから私が管理担当として集中的に管理するようにしています」。池田氏が求めていたのは、社員やスタッフ 1 人 1 人がセキュリティ意識を高めることと、セキュリティにまつわる情報を一元管理することでした。それにはもちろん道具も必要です。顧客の IT 企業との交際が多い池田氏は、さまざまなセキュリティ対策のしくみを研究し、自社に最適なシステムを探しました。そして出会ったのが、シマンテック社のSymantec Client Security 2.0 でした。
<導入システムの特徴と導入の経緯>
クライアント PC 個々に複数のセキュリティ機能を持つツールを導入
|
株式会社イマジンプラス
教育研修事業部
係長
チーフインストラクター
池田 憲一 氏
|
|
Symantec Client Security 2.0 (以下、SCS) は、クライアント PC 1 台 1 台を個別に保護する、新しい形のセキュリティ ツールです。クライアント PC それぞれにインストールされた SCS は、クライアント ファイアウォール機能、ウィルス検知、駆除機能、侵入検知機能のそれぞれを持ちます。これにより、社外からはもちろん社内に持ち込まれたウィルスや社内ネットワーク内のトロイの木馬などによる不正アクセス、機密情報の漏洩などさまざまな危険を避けることができます。
一元的な管理が可能で、ユーザーの意識向上に役立つものを
池田氏が着目したのは、これら機能もさることながら、全国各地に分散している拠点の個々のクライアント PC 全部について、1 つの管理コンソールで一元的に管理できることです。ログを取り、不審な出来事がないか監視することはもちろん、クライアント側の SCS の設定を変更したり、ウィルス定義ファイルの一括アップデートを行ったりすることができ、緊急対応時にも迅速に全拠点を対象にアクションを取ることが可能になります。同社では全体で 10 台のサーバーが拠点に分散しており、クライアント数は約 60 台に及びます。同社がクライアント PC の一元管理体制を考えるとき、幸いしたのがサーバーとクライアントのほぼすべてが Windows® ベースの OS で構成されていたことです。SCS は同社が保有するサーバー OS (Windows Server™ 2000 と 2003、Exchange Server 2003) と、クライアント OS の Windows 2000 Professional、Windows XP Professional のすべてに対応します。
同社はではこれらのサーバー間を VPN で結び、遠隔地の拠点間で情報のやり取りを行うネットワークもすでに構築済みでした。この有利な環境を活用しない手はありません。
「当時 SCS は新製品であり実績もあまりなかったのですが、もともとシマンテック社のウィルス対策ソフトを利用していたこともあり、導入を考えたのです。もちろん他社の製品との比較も行いました」(池田氏)。
導入にあたって池田氏はコスト面での検討もしました。初期導入コストの面ではこれまでどおりの製品を利用するほうが低く抑えられる計算でしたが、池田氏は「管理コストと将来の対策コストとを考えるべき」として、トータルでコストバランスのよい SCS にしたのだといいます。「新規に個々の PC 用のパッケージを買うより、エンタープライズ製品で必要台数分のライセンスを購入したほうが合理的だし、管理コストを考えれば間違いなくそのほうが『お得』です。初期コストだけでなく、来年、再来年のコストを計算して一緒に提案書にして納得してもらいました」。
また、サーバー用製品を利用するのではなくクライアント PC 個々へのツール導入を行ったのにはもう 1 つの理由もありました。「使っている人間に意識づけをする意味があります。何かがあったときに、こういう脅威があるということを的確に認識できるようにすることが 1 番大きなポイントです」(池田氏)。一般に、自分の PC のログが取られているという事実を知るだけでもセキュリティ意識は向上するといわれます。また SCS では、ウィルス等ばかりでなくポリシーに沿わない Java アプレット等のダウンロード禁止などさまざまな通信上の制限が行えるので、使用しながらセキュリティ教育にもなるというわけです。
<導入結果と効果>
管理負荷が低減し、ユーザーのセキュリティ意識が向上
セキュリティ対策は、いわば「保険」。事業利益に直接反映されるわけではないので本当の効果のほどは、どの企業でもほとんど計測はできません。1 度のウィルス感染で数億円レベルの損失を蒙った例や、情報漏洩の後始末に莫大なコストがかかった例などが報告されるなかで、これまでに被害といえるような被害を経験していないことが同社が得た最大の効果なのでしょう。しかし目に見えてコスト削減効果はあったようです。
「例えば、従来はコンピューターの状況を把握するために、大阪や札幌に出張することなどもあったのですが、今では東京で全体の状況が把握でき、その手間や交通費も全部抑えられています。また通常はツールまかせで、必要なときだけ人間が対応する体制にできたことも大きいですね。それまでは『何かあったかもしれない』という前提で動いていましたが、今は何か起きた時点で対処が行われており、あとはその情報を把握して適切な処置をするという形になり、管理コスト、管理負荷は十分に削減できています」(池田氏) 。実際、池田氏は毎朝管理コンソールを立ち上げて、問題があったかどうかの一覧を調べるのが日課です。問題がなければそのままで、あとは定期的に月 1 〜 2 度、細かい状況をチェックするだけで完璧に管理できるといいます。ウィルス対策でのネックの 1 つが、頻繁に更新されるウィルス パターン ファイルを、全クライアントに配布し確実に更新を行うことの難しさです。しかし同社では、Windows Server の特長の 1 つである Active Directory® を上手に活用することにより、Active Directory に参加する全クライアントに対して、ユーザーに操作を強いることなくパターン ファイルを自動的に更新することが可能にしています。また新規のクライアントへの SCS インストールについても、直接現地まで管理者が出向くことなく、ソフトウェアをパッケージにして配信してインストールすることが可能になっています。
全拠点の VPN による接続と、Active Directory によるクライアントの集中管理体制、そして SCS の各種自動化機能により、同社のセキュリティ体制はより強固で徹底したものとなりました。しかも、管理者の負荷は大幅に削減することに成功したのです。
SCS は管理負荷軽減をもたらしましたが、実は対策できることは対策しているという事実がもたらす「安心」が最大の貢献といえるでしょう。さらに池田氏は、導入以前と現在とで 1 番変わったことは「内部の体制」だといいます。「全員の意識がずいぶん高くなりました。その点は他社に負けないと自負してよいと思います」。
<今後の展望>
教育とセキュリティ ツールのさらなる高度化をめざす
セキュリティ確保に必要なのは「教育とツール」だと池田氏は言います。「お金をかければできることと、そうでないことがあります。悪いことをしようと思えばさまざまな方法でセキュリティを破ることができてしまいます。セキュリティ ツールで防御できるところは防御し、それを超えるところは教育でカバーするしかない。お金をかけるべきところにはかけて信頼できるツールを使うことと、教育体制を整えて教育を行うことの 2 つを、同時に行っていくことが肝心です」。
教育や社員の意識向上が重要であることは笹川氏も強調するところです。「セキュリティ面でこれから実践していきたいのは、なにより個人情報保護法にかかわるスタッフの個人情報保護をはじめとした、セキュリティ教育、啓蒙です」と笹川氏は言います。「年初からプライバシー マークの取得に向けて体制づくりをしている最中で、全社員に取り扱っている個人情報の一覧を提出させて、それがどの部署からどの部署へ流れるのか、どこに保管するのかというようなことを把握できるようにする活動などを行っており、だいぶセキュリティ意識は高まっていると思います」。
また、セキュリティのアウトソーシングという選択肢もあることについて笹川氏は、「事業部門でもそうなんですが、社内にいろんなノウハウを蓄積していくことが大事です」と言います。池田氏も「内部で管理しているほうが、実際に情報を得て、教育に生かしていくことができる」といいます。
教育とツールにより、同社は今後ともより高度なセキュリティ実現をめざしていく方針です。「日々技術は進化していますし、攻撃の手法もどんどん新しくなっています。守るべき情報の量も通信する量もどんどん増えています。やらなければいけないことはいっぱいありますね」(池田氏)。
システム構成図 |
|
| |
本ケーススタディに記載された情報は初掲載時のものであり、閲覧される時点では変更されている可能性があることをご了承ください。
本ケーススタディは情報提供のみを目的としています。Microsoftは、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
|
|
 |
|
|
|
からできます。