Special Issue

<セキュリティソリューション特集>相次ぐ情報漏えい――いかに防ぐか

2009/10/22 19:56

週刊BCN 2009年10月19日vol.1305掲載

Sky
USBデバイスの管理機能を強化 ユーザーの声に応えた機能改善

 Skyが提供しているクライアント運用管理ソフト「SKYSEA Client View」は、これまでユーザーの声に応えながら、機能強化を続けてきた。最新バージョンであるVer.4にも、随所にその工夫が見られる。

 例えば、Ver.4は次期Windows OSであるWindows 7に対応しているが、Windows 7のみならずWindows XPモードの情報も追加ライセンスなしで管理できるようになっている。

 また、USBにかかわるリスクを低減するための機能強化も図られている。まず、USBデバイスの管理機能を実装し、USBデバイスをPCに接続するだけで管理対象USBデバイスとして登録できるようにした。また、登録したUSBデバイスに対して、使用の許可・不許可などの権限設定ができるようになった。

 これまでの「SKYSEA Client View」は、PC単位でUSBデバイスの管理や権限の設定を行っていたが、この場合、共有PCの管理が困難だった。しかし今回のバージョンでは、ユーザーごとにUSBデバイスを管理したり、使用権限を設定できるようになり(オプション)、この問題を解決している。

SKYSEA Client Viewのトップ画面

 USBデバイスの棚卸しも可能だ。例えば、企業にある大量のUSBメモリも、作業を自動化して一括棚卸しができる。定期的な棚卸しを実施することで、現状を容易に把握でき、USBデバイスの管理強化を図れるのだ。棚卸しのメッセージは、管理者に加えて最終使用者にも表示されるため、所有者の管理意識の向上にも役立つ。

 このようにUSBデバイスの登録から管理までをトータルにサポートすることで、情報漏えいのリスクは大幅に低減される。さらに、メーカー各社(アイ・オー・データ機器、イーディーコントライブ、エレコム、グリーンハウス、バッファロー)と連携して動作検証を行い、多様なUSBデバイスに対応している。

 また、私物PCの持ち込みに関しては、持ち込みPCのネットワーク接続を遮断するアプライアンス製品「不許可端末遮断ユニット」を用意した。これまでは、PCを利用していない休日や深夜にも不許可端末を検知するために、PCの電源を入れておかなければならず、無駄なコストが発生していた。しかし、「不許可端末遮断ユニット」を導入すれば、PCの起動状態にかかわらず、常時監視を行えるようになる。PCを常時起動時に比べて消費電力を押さえ、CO2排出量が削減できる上、リスクを防ぐこともできる。

不許可端末遮断ユニット

 このように、今回のバージョンアップでは、USBデバイス管理の強化など特にユーザーからの要望が高かった機能がフォーカスされている。ユーザーの声を聞きながら迅速に機能を強化していく同商品が、非常に付加価値の高い情報セキュリティ商材として多くの支持を集めるのは、当然のことと言えるだろう。


Sky=http://www.skygroup.jp/

クオリティ
ツールの導入だけでは、セキュリティ統制は実現しない
情報漏えい事故は、70億円もの損害に

 三菱UFJ証券から約149万人分の顧客情報が漏えいした事件で、不正アクセス禁止法違反と窃盗の罪に問われた元社員に対する初公判が、9月9日に東京地方裁判所で開かれた。公判の中で、この事件の影響と見られる損失額として70億円以上の損失が生じていることが明らかとなった。この中には、5万人に対して発送した1万円相当のギフト券や、事件調査、顧客からの問い合わせ対応、業者と交渉するための費用などが含まれている。このように、大きな情報漏えい事件を引き起こしてしまった三菱UFJ証券だが、実はIT資産管理ツールやロギングツールなどを導入し、情報セキュリティ対策は施してあった。しかし、それにも関わらず、事件は起こってしまったのである。

 では、なにが問題だったのだろうか。たとえば同社の場合、「事務リスク・情報セキュリティ委員会」は設置されているが、情報システムの管理はシステム管理部に委託し、システム部が情報セキュリティ管理室の監査を受けるという体制にはなっていなかった。つまり、情報セキュリティツールは導入しているものの、監査を含めた運用の体制は構築できていなかったということになる。

 クオリティでは、各種セキュリティ対策製品を提供することに加え、「サービス」を付加した「セキュリティ統制支援サービス」を提供している。「セキュリティ統制支援サービス」では、セキュリティポリシの策定から監査運用計画、セキュリティリスクの調査、監査などを行い、セキュリティツールを運用し、セキュリティレポートを出力、セキュリティ統制を運用していく体制の構築を支援する。

 また、前出のセキュリティ対策製品ラインナップとして「セキュリティ監査シリーズ」があり、企業のリスクから対策までを効果的に実施するソリューションを提供している。セット内容は、IT資産管理ツール「QAW/QND Plus」とクライアント操作ログ取得ツール「QOH」、データの持ち出し禁止する外部記憶媒体利用制限ツール「eX WP」、監査レポートの出力を行うレポーティングツール「eX Report」からなる。

 さらに、セットには含まれていないが、機密情報や個人情報を探査し、隔離する「eX PDS」も用意されている。これは、企業内にある漏えいしてはいけない情報を隔離して一元管理するものだ。企業内に散在しているリスクを一カ所に集約することで、管理運用工数を大幅に減らすことができる。

 情報セキュリティツールを導入し、セキュリティ統制を実現する環境を構築するには、「運用」がキーワードとなる。情報セキュリティツールを導入しただけでは、三菱UFJ証券のような情報漏えい事故がいつ起きてもおかしくない。それを防止するためには、ツールの導入に加え、運用面まで構築する必要がある。



クオリティ=http://www.quality.co.jp/

[次のページ]