商社・卸・小売

大丸株式会社 様

Standard Edition
950 CL
Option
申請・承認ワークフローシステム

各部門の上長に承認権限を付与しUSBデバイスを分散管理 デバイスの使用申請をシステム化しセキュリティ対策を強化

所在地
北海道札幌市
大丸株式会社様 外観

大丸株式会社は、1892年に創業し、和紙の販売から始まった事業は、文具、印刷、雑貨へと発展。IT化が進むなかでお客様のニーズの変化を敏感にとらえ、OA機器、情報システム分野など取扱商品と商領域を広げてきました。常に変化するお客様の要望に応え続けるため、総合力だけでなく、専門性を高める努力と新たな取り組みを続けています。

ポイント
USBデバイスの使用申請・承認システムで、記録されたログを監査にも使用
情報セキュリティの新たな脅威への対応にバージョンアップで追加された機能を活用
鎌田 崇之 様
  • ※ 再生ボタンを押すと動画が始まります。この動画は音声を含みます。

自社の情報セキュリティポリシーに適応するかを事前に検証した上で導入

当社は以前、情報漏洩事故を起こしてしまうという苦い経験をしました。情報の持ち出しに関するルールは設定していたものの、ルールがきちんと守られているかを確認する仕組みや、ツールによる制御ができていなかったことが問題でした。

二度と情報漏洩を起こさないために、情報セキュリティポリシーを見直し、情報管理のルールが順守される仕組みを作り、さらにツールによる制御を実施しました。その後も、情報セキュリティへの脅威やIT環境の変化に合わせて、ポリシーをたびたび見直してきました。

もともと導入していた情報セキュリティ対策用のツールから「SKYSEA Client View」に切り替えたもっとも大きな理由は、販売会社として「SKYSEA Client View」を扱っていく上で、自社の運用をノウハウも含めてご紹介することがお客様の安心につながると考えたからです。しかし、そのことで情報システム部門として、情報セキュリティ対策のレベルを落とすことはできません。そこで、USBデバイスの使用申請が行われた際、権限を持った者が正しく承認したことがログに記録されるなど、当社の情報セキュリティポリシーを確実に運用するために欠かせない要件を満たしているかを社内で検証し、問題ないことを確認した上で導入しました。

管理機とは別の申請・承認システムを活用し、セキュリティを確保したデバイスの分散管理

当社では、私物のUSBデバイスの使用は一切認めていません。使用が必要な際は、申請の上、認可を受けた本人に限定して、暗号化に対応したUSBデバイスを貸与しています。USBデバイスの管理でもっとも重視したのが、許可していないUSBデバイスの使用制御です。USBデバイスが不正な承認によって使用されることがないよう、書面ではなくシステム上で使用申請と承認が行えること、さらに、その使用申請、承認フローが正しく運用されているかを確認できるログが記録され、監査が行えることが重要だと考えています。

そこで、当社では「SKYSEA Client View」のオプション機能である「申請・承認ワークフローシステム」を導入しました。各部門の課長職以上に承認の権限を付与し、自部門の社員から使用申請が行われた際には、本当に「その業務にUSBデバイスが必要なのか」を判断してもらっています。業務内容に従ってUSBデバイスの使用可否を適切に判断するには、業務の中身を詳細に把握しているその部門の上長に権限を付与することが最適だと考えており、当社のセキュリティポリシーでもそのように規定しています。

しかし、情報システム部門以外の社員がUSBデバイスの申請・承認以外の管理機能を使用できてしまうと、ほかの社員のクライアントPC情報が閲覧できたり、誤って重要な情報を削除してしまう恐れもあり、情報セキュリティの観点でも問題があります。そのため、「SKYSEA Client View」の管理機とは別に、Webシステムを使った「申請・承認ワークフローシステム」が用意されていることが、承認・申請の効率化と情報セキュリティ対策を両立する体制づくりにとって重要なポイントになりました。

管理者が把握していない新しいサービスを、社員が使用していないかログでチェック

社員に情報セキュリティポリシーを順守してもらうためには、ルールの規定だけではなく定期的な状況のチェックやツールによる制御が必須だと考えています。今後、外部とのデータのやり取りに関しては、USBデバイス以外にオンラインストレージが主流になっていくと考えられるため、「Webアップロード」をアラート対象に設定し、アラートログで使用状況を確認しています。現在は、ログによる使用状況の把握のみですが、使用頻度や環境の変化次第で、オンラインストレージについても申請しなければ使用できないように制御することも検討が必要だと考えています。

情報漏洩を未然に防ぐためには、ログのチェックが欠かせません。マイナンバー制度が施行され、特定個人情報を管理していくことになるため、ログのチェックはますます重要になります。当社では、情報漏洩のリスクが疑われる操作が行われたときだけでなく、私どもが把握していない新しいサービスが社内で使用されているのを発見したり、そのサービスをどれだけの社員が使用しているのかを把握したりという調査のためにもログを活用しています。情報漏洩のリスクがあると判断した場合には、PC使用者に注意を促すとともに、アプリケーションの場合には即座にアンインストールを要請し、必ず「アプリケーション一覧」で削除が実行されたかを確認します。「SKYSEA Client View」はさまざまな条件でログを絞り込めますし、検索速度が速いので、早急に結果を得たい場合に全台を対象にして検索を実行しても、特にストレスを感じることはありません。

定期的なバージョンアップで、新たな情報漏洩の脅威に対応

情報セキュリティ対策だけでなく、ヘルプデスク業務でも「SKYSEA Client View」は欠かせない存在です。以前は、Windows OSのリモート・アシスタンス機能を使用していましたが、あらかじめ招待状を送らなければならないなど、ヘルプする側、される側の双方で準備が必要となるため、わずらわしさがありました。「SKYSEA Client View」の「リモート操作」機能は、事前準備する必要がなく、困っている社員のPCに対してすぐにリモート操作を開始できるので、対応時間の短縮にもつながっています。

今後、新しいサービスや仕組みが急激に増え、情報セキュリティ対策を取り巻く環境もどんどん変化していくと予想されます。それに伴って情報セキュリティ対策ツールも進化してくれなければ対策の強化は図れません。そのため、ツールの選定時にも定期的にバージョンアップが行われることが評価ポイントの一つになりました。実際に、Google ChromeやGoogle Drive、Media Transfer Protocol(MTP)への対応など、当社が求める機能追加や改善があった際にはすぐにバージョンアップを行って、情報漏洩対策の強化に役立てています。

2015年7月取材

導入事例一覧へ

注目コンテンツ

ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら