1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. オフィスセキュリティをトータルに高めるための取り組み

オフィスセキュリティをトータルに高めるための取り組み

不正アクセスやウイルス感染、相次ぐ情報漏えいなど、企業活動における情報セキュリティの重要性が強く意識される時代です。今年4月には個人情報保護も施行され、セキュアな情報インフラを構築する必要性はますます高まっています。

今回は、トータルにオフィスのセキュリティを高めていくための、日立システムの取り組みについて対談形式でインタビューしました。

河合 均竹内成明
日立システム
セキュリティソリューション
推進センタ長
河合 均
日立システム
企画本部部長
竹内成明

「機密性」「完全性」「可用性」この3つが揃ってこそほんとうのセキュリティ

-オフィスセキュリティの確保について着目されたのはいつ頃のことでしょうか。
河合
「最初に意識したのは1998年ですね。NetScreenというファイアウォール製品の販売からスタートしたんです。」

竹内
「一般的には1995年ぐらいからインターネットが広まり始めたと思うんですが、1998年ごろになるとそれがかなり普及してきて、外部からの不正侵入に対処することがテーマになり始めていました。そこで出てきた解決策がファイアウォールだったんです。」

河合
「それまでファイアウォールというと、ソフトウェア的に解決するのが主流だったんですが、それだとサーバやPCごとにインストールしなくてはならず、コスト的にデメリットが大きかった。そこで、ハードウェアタイプの方がいいのではないかということで、弊社でもいい取り扱い製品を探していました。そのように取り扱い製品を増やしながら、2001年にはソリューションビジネスを開始しました。」

-では、ソリューションの4つの柱=「組織的安全管理措置」「人的安全管理措置」「物理的安全措置」「技術的安全措置」について聞かせてください。
河合
「「組織的安全管理措置」は、セキュリティマネジメントシステムの構築、つまり、セキュリティを管理する上での会社の規則をきちんと作りましょうという社内憲法の制定です。これがすべての基本ですが、一度作れば終わりということではなくて、定期的に監査も行います。現実に実践しにくいところがあれば見直しをかけて、また実践。PDCAサイクルでずっと続けていくものなんです。」

-セキュリティを管理する仕掛けづくりをお手伝いするわけですね。
竹内
「従来のシステム・インテグレーションは、どちらかというと設計・開発が中心になるのですが、この分野は本番稼動したあとの管理が非常に重要になってくるんですね。セキュリティマネジメントシステムを作り上げることですから、PDCAのマネジメントサイクルを回すことがキーになります。」

-なるほど。次の「人的安全管理措置」というのは何ですか。
河合
「平たくいえば、社員教育です。いくらしくみを作っても、社員がそれを守ってくれなくてはまったく意味がありません。こうした教育を繰り返し、組織的にやろうとするとかなりの体力が必要です。そこを支援しようというものです。」

竹内
「具体的には、実践的な行動指針を説いていくことが多いですね。例えば、今までは、「仕事が終わらないから家にノートPCを持ち帰って仕上げる」というのは善意の行動でした。しかし、新しい会社規則では、リスクを想定して情報を持ち出してはいけないことになりました。そうなると情報の入ったノートPCの持ち帰りは規則違反行為です。そういった一般般常識の範囲で判断するのは難しいことを、一つ一つきめ細かく指導していかないと事故や事件は防げません。」

-では、「物理的安全措置」はどうでしょう。
河合
「暗号やICカードを使った入退室管理といったようなものですね。これは、お客様の持っておられる情報の価値によってどこまでやるかを決めます。営業部門などで人が容易に出入りできないようにすると仕事ができなくなってしまいますから、職場の特性、つまり部門ごとに対策を講じることが重要ですね。」

-「技術的安全管理措置」というのは?
竹内
「弊社は、このソリューションを、個人認証、ネットワーク対策、クライアント対策、サーバ対策の4つに分類して、特に個人認証、クライアント対策に特に力を入れています。」

河合
「個人認証には、ユーザーID・パスワードで行うベーシックなもの、ICカードのような電子証明書を使ったもの、人間の生体を使ったものがあります。クライアント対策というのは、PCそのものに施される安全対策で、アクセスの許されていないデータをフロッピーディスクやCD-ROMに保存をさせない、プリントアウトさせない、個人が作成したドキュメントを暗号化するといった方策のほかに、PCの利用履歴を取るといったものがあります。ただ、PCにどれほど対策を施しても、うまく別人になりすまされたらどうにも対応できないので、それ以前の個人認証をしっかりするというのが大前提ですね。」

竹内
「セキュリティというと、どうしても機密性ばかりがクローズアップされますが、ほんとうはあと2つ要素があるんです。完全性と可用性です。これを実現するには、製品だけの問題ではなくて、たとえば、データベースの中のデータがきちんと守られているといったことのほかに、それがちゃんとOSの上に載って動いているとか、ネットワークがつながっているとか、それらがすべて正常に動いてセキュリティが確保されているということだと思うんです。そうなると、セキュリティに対するきちんとした取り組みができるベンダーというのは、インフラの構築であるとか、データベースの設計であるとか、そういう経験のあるところでないとできないんです。そこがまさにわれわれの強みです。」

セキュリティ関連の投資は経営者の意識が問題

-これらのオフィスセキュリティを確保するための4分野の施策は、全部を一度にやろうとしたら、予算がかなり必要ですね。
河合
「対象範囲が幅広いですからね。まず考えるべきことは、セキュリティポリシーを明確に立てるということ。後はそれにしたがって、優劣をつけながら対策を施すことですね。」

竹内
「ある米国の調査によりますと、米国企業のCIOがセキュリティ確保にかけるコストは情報システム投資予算の10%ぐらいだそうです。現実的には5〜10%ぐらいの範囲なのではないでしょうか。これだけ費用をかけたから、こういう効果が得られるだろうという考え方は現実にはなかなか難しいのではないでしょうか。」

河合
「十分予算をかけたからといって、この分野は完璧ということはないです。想定もしなかった過失というものもありますし。現時点で完璧と思っても次々新しいリスクが登場しますから。」

竹内
「ですから、スタンスとしては、「世の中ではこれぐらいのコストをかけているようですね」「御社のビジネスの社会的重要性を考えると、この部分のリスク管理は必須ですね」と、個々の企業の事情を考えながら取り組むことになりますね。」

河合
「セキュリティ関連の投資に関しては、経営者の考え方が非常に大きく反映されますね。利益を生まない、効果も定量的に掴みにくいというわけで、昔は後回しにされる企業が多かったことも確かです。しかし、情報漏洩が発生した場合の損害賠償やイメージダウンなど経営に対するインパクトは非常に大きいですし、また、個人情報保護法や日本版SOX法など内部統制の強化が義務付けられる時代になって、セキュリティ対策は企業の社会的責任として認識されるようになってきています。ですから、今は積極的に取り組む企業が増えてきています。」

関連キーワード:

オフィスセキュリティ

セキュリティポリシー

ファイアウォール

不正アクセス、ITスペシャリスト

個人情報保護

  • 日本版SOX法とは
  • カテゴリートップへ
  • ワンクリック詐欺に注意−IPAによる10月の届出状況−