不動産オーナー様の個人情報を守るために情報の抜け道をできる限り減らしたい

不動産管理業を営む当社では、社員が不動産オーナー様の個人情報を取り扱うことになるため、個人情報を適切に管理する必要があります。これまでも外部からの不正アクセスについてはさまざまな対策をしてきましたが、内部からの不適切な持ち出しを防ぐという観点では、対策が十分とは言えませんでした。個人情報を保存しているフォルダへのアクセスに制限を設けることも考えましたが、当社の業務の特性上、営業担当者はもちろん、経理や出納の業務に携わる社員なども個人情報を確認しなければならないため、アクセス可能な社員を絞り込むことが難しく、対策としては有効ではありませんでした。まずは、個人情報を含むすべてのファイルにパスワードを設定することで、万が一ファイルを紛失した場合でも容易に中身を見られることがないように対策を施しました。しかし、ファイルの紛失や不適切な持ち出しに対しては別途対策が必要だと考え、情報漏洩対策ができるソフトウェアの導入を検討することになりました。

他社製品も含めて比較した中で、「SKYSEA Client View」を選んだのは、当社のセキュリティポリシーに反する操作をできる限り制御して、情報が漏洩する抜け道をなくしたいという私どもの考えに、比較的近い運用が可能だと感じたからです。導入後は不適切な操作に対してアラート通知を表示させたり、クライアントPCの画面が表示されている「SKYSEA Client View」の管理コンソールを社内で公開したりして、社員のセキュリティ意識を向上させる取り組みを行ったことで、これまで以上にセキュリティポリシーが正しく守られるようになったと感じています。

会社支給のスマートフォンを読み取り専用にし
抜き打ちで端末に保存されたファイルも点検

当社では、USBメモリの使用を禁止しています。しかし、不動産を管理する上で物件の写真を撮影する必要があるため、デジタルカメラの使用は許可して会社から支給していました。最近は、手軽に撮影したいという社員の要望もあり、スマートフォンも支給しています。これらで撮影した写真データを取り込むためには、社内のクライアントPCに端末を接続しなければなりませんが、データを持ち出せないように「読み取り専用」に設定しています。当然、私物のスマートフォンは使用禁止にしていますが、会社支給のスマートフォンであっても、月に数回は操作ログなどから、保存されたファイルを確認するなどして抜き打ち検査を行っています。もし不要なデータが見つかれば、その場で削除してもらうように要請しています。

「見られている」という意識が、不適切な操作の抑止や業務の改善に

「SKYSEA Client View」の導入後は、ファイル操作ログによって、ファイルをコピーしたり移動したりすれば、管理者がすぐに確認できることを社内に告知しています。こうした周知は一度のアナウンスで浸透するわけではないので、ファイルコピーやファイル名の変更に対してアラート設定をしており、このような操作が行われた場合にはクライアントPC側でもアラート通知を表示させ、注意喚起しています。こうした取り組みによりPC操作は「見られている」ということが社内に浸透。結果として、社員の情報セキュリティに対する意識が向上し、高い抑止効果を実感しています。

また、情報漏洩などの重大な問題への対策だけではなく、日常的な業務における改善も見受けられます。以前は、業務に関係のないWebサイトを閲覧している社員もいたようですが、操作ログをもとに注意を促すことで、そういった例もなくなりました。

操作ログを継続的に観察することで、業務とは考えにくい操作にも気付けるように

セキュリティポリシーの順守を徹底するためだけではなく、実際に情報漏洩が発生していないことを確認するためにも、定期的に操作ログをチェックしています。当社の業務フロー上、個人情報の漏洩が発生する可能性が高い操作はファイルの持ち出しですので、個人情報を含むファイルはサーバー上の特定フォルダに保存場所を限定し、フォルダ名にほかでは使用しない固有名称を付けています。こうすることで操作ログを確認する際に、フォルダ名の文字列をキーワードに設定して検索を行い、操作ログを絞り込めます。フォルダとその配下のファイルに対して行われた操作をログで確認し、大量のファイルを自分のPCにコピーしたり、印刷したりしていないかを確認しています。業務の中で、1つや2つならコピーや印刷をすることもありますが、100以上のファイルを一度に操作しているようなことがあれば、何のためにその操作を行ったのかを確認する必要があります。これまで、実際にそうした事例があったわけではありませんが、操作ログを収集しているから安心ということではなく、継続的に確認することで、通常の業務からは想定できない操作に気付く視点を養うことも大切だと思います。

また、サーバー内でファイルを共有していると、サーバーに保存されているファイルが消失してしまうこともあります。「SKYSEA Client View」の導入前は、消失したファイルの行方や操作したユーザーを確認する手段がありませんでしたが、導入後は「ファイル追跡」機能で、誰が、どんな操作をしていたのかが、すぐに確認できるようになりました。操作した本人に聞いてみると、意図的に削除や移動をしたのではなく、不注意や誤操作によって発生していたことがわかりました。これまでは推測するしかなかったトラブルの原因が、操作ログをもとに詳しい調査ができるので問題の本質がつかめ、再発防止策がより具体的に考えられるようになったことも一つの効果だと感じています。

2015年10月取材