セキュリティ確保のため、日次チェックだけでも数時間

いちたかガスワンは、1958年に創業した燃料小売業者だ。「エネルギーを通してお客様へのお役立ち」を経営理念としており、ガス・電気・灯油の販売のほか、ガスコンロや給湯・暖房器具などの設備交換はもちろん、住まいに関するあらゆるニーズに応えている。

同社は、職業柄、多くの顧客(個人)情報を管理する必要がある。そのため、2002年には、業界に先駆けて事業者の認定制度として知られるプライバシーマークを取得。個人情報保護の体制を整備した。また、個人情報保護体制に必要不可欠とされている「安全管理措置」を実施するために、ITによる仕組みも構築。具体的には、クライアントPCの稼働状況の確認や、必要なOS/ソフトウェアのアップデートの告知などを行っている。業務に関係ないサイトの閲覧禁止や、ダウンロードする際のワークフローも取り決め、そのフローに沿った運用を行ってきた。

「クライアントPCやサーバーなども多いため、日次のチェックだけでも数時間かかります。しかし、それだけ対策をとっているにもかかわらず、ウイルス検知などのトラブルが発生し、その対策に追われることも少なくありません」と管理本部システム室・室長/監査室・室長の伊藤敬一氏は当時を振り返る。

マルウェアを検知した後もすぐに対策をとったので、幸い、情報漏えいといったセキュリティインシデントは起きなかった。しかし、このことによって、より徹底した対策が必要とされていることを自覚したという。「さらに、マイナンバーへの対応が求められる状況になりました。マイナンバーは非常にセンシティブな情報となるため、これまで以上に安全管理措置を徹底する必要があります。そこで、“外部からの攻撃や脅威に対する対策”と“内部からの情報漏えい対策”を実施することになりました」と伊藤氏。

マイナンバーへの対応にクオリティソフトのソリューションを選定

「外部からの攻撃や脅威に対する対策」は、ゲートウェイ+エンドポイントの対策が必要だ。具体的にはセキュリティホールやメンテナンス項目の自動抽出を行い、それらに対して適宜対応することで実現できる。また、「内部からの情報漏えい対策」は、エンドポイントの機密情報や個人情報ファイルの把握と監視、さらに暗号化を利用し、ファイルが漏えいしても情報が漏えいしない体制を整えることで実施可能だ。このように「外部」と「内部」の対策を実施することで、セキュリティの統制管理を実現しようと考えたのだ。

「統制管理を実現するためには、統制基盤を構築するツールを利用するのが一般的。複数のツールを組み合わせて統制管理体制を整える方法もありますが、複数のツールを導入すると、その運用管理に手が取られるほか、障害時の窓口が複数になってしまうため、工数増となる可能性があります。そこで、必要な機能を備えつつ、運用管理や保守の工数を削減できるツールを探していたところ、クオリティソフトの“ISM CloudOne”と“QGG”の紹介を受けました」とシステム室の武田勝典氏は説明する。

ISM CloudOneはクラウド型のエンドポイントセキュリティ管理ツールで、クライアントPCやスマートデバイス、プリンター、VDIなど、あらゆる機器を一元管理することができるソリューションだ。ウイルス定義最新ファイルや各アプリケーションの最新ファイル情報を記述したセキュリティ辞書と、収集したインベントリとを比較することで、脆弱性が存在しているクライアントPCをリストアップしたり、セキュリティレベルを診断したりすることができる。これらの機能は外部からの脅威への対策」としても使われる。

「ダッシュボードを確認するだけで、脆弱なデバイスを把握することができるようになりました。問題があるデバイスがあれば、WSUS(Windows Server Update Services)やISM CloudOneのソフトウェア配布機能をつかって、アップデートやパッチを強制適用することもできます。これまでのように最新のセキュリティ情報を把握したり、社員に通知したりする必要がなくなり、セキュリティを高めつつ、業務プロセスを大幅に改善することに成功しています」と武田氏。ISM CloudOneの本格稼働はこれからだが、大きな手応えを感じているという。

今後は、内部管理と漏えい対策を実施へ

同社では、次のステップとしてゲートウェイの対策強化と内部管理と漏えい対策を施していく予定だ。具体的には、導入予定のQGGを使って、情報漏えいの起因となるファイルの暗号化とデータの集約を行っていく。この体制が整えば、万が一ファイルが漏えいしても情報が拡散することはなくなることになる。

「QGGは、クライアントPC上のファイルを検索し、機密情報や個人情報を見つけたら暗号化し、サーバーに集約できます。クライアントPCから機密情報や個人情報は削除されますが、サーバー上にある情報にアクセスするためのショートカットが残るので、これまでとほとんど変わらない使い勝手で作業できます。使い勝手も良く、必要な機能が内包されているソリューションです。実際にデモを見たときに“これだっ!”と感じ、すぐに検討を開始しました」と伊藤氏は語る。
なお、QGGで暗号化されたファイルは、印刷やコピー、メール添付などができないように制限することも可能。ノートPCの盗難・紛失やメールの誤送信といった管理漏れを防ぐという目的でも使えるソリューションと言えよう。

「個人情報の探索・整理やユーザーからの報告書の提出といったステップを踏み、個人情報の集約・暗号化による運用に移行していく予定。情報漏えいの原因となるファイルに焦点を当てているため、管理もれのない仕組みを構築することができるはず」と武田氏。

ISM CloudOneとQGGを使うことによって、同社のように「外部からの攻撃や脅威に対する対策」と「内部からの情報漏えい対策」の双方をシンプルな形で実現し、統制管理を実現することができるのだ。セキュリティ統制やマイナンバー対策に課題を持つ企業にとって、参考になる事例といえるだろう。

※「QGG」は現在販売を終了しております。