日本ワムネットが提供するサービスの導入をユーザー企業が検討する際、自社のポリシーが反映された「セキュリティチェックシート」の確認対応を求められることが増えているという。セキュリティチェックシートの内容は業界、業種に限らずさまざまだ。講演では、石澤幸信社長が、大手企業のセキュリティチェックシートから読み解ける、企業が求めるセキュリティ基準の最新トレンドについて、導入事例を交えて紹介した。

五つの規格でチェックシートを作成

石澤幸信
代表取締役社長

 日本ワムネットは1999年の設立以来、一貫してデジタルファイルの伝送・保管サービスを核とするネットワークサービスを提供している。現在は、主にGBクラスの超大容量コンテンツをネットワークで転送する「WAM!NETサービス」と、各種のデジタルデータをセキュアかつ容易に送信・保管・共有できるオンラインストレージサービス「GigaCC」を柱に据えている、「この数年、当社のサービスをユーザー企業が導入を検討する際、セキュリティチェックシートを渡されて確認を求められることが増えてきた。大企業、金融系が中心だが、件数は年々、増加傾向にあり要求レベルも上がっている。大きな転換点は、14年の大規模な情報流出事故だった」と語る。

 セキュリティチェックシートには、ベンダーのサービスを導入する際、自社のセキュリティポリシーに適応するかどうか確認するためのチェック事項が示されている。最近の傾向としては、以前は個人情報関連が中心だったが、加えて最近はインフラ・設備に関する項目が増えているという。インフラ関係の主な項目には、データ持ち出しへの対策、関係者以外がデータセンター(DC)に入館できない仕組み、ぜい弱性検査の定期的な実施、DCの地震対策、停電対策などがある。

 企業のチェックシートの多くは「規格」などをもとに作成されており、大きくは次の五つが参照されているという。

 日本情報経済社会推進協会(JIPDEC)の「プライバシーマーク」、「ISMS」(情報セキュリティマネジメントシステム)、IPA発行の「安全なウェブサイトの作り方」、そして、「ISMSクラウドセキュリティ認証」。これはISMSを取得していることが前提で、ISMSの114項目+44項目の詳細管理策で構成され、クラウドサービス固有の情報セキュリティ脅威やリスクに対処するための管理策を提供する。最後の五つ目が「FISC」(金融機関等コンピュータシステムの安全対策基準)で、公益財団法人金融情報システムセンター(FISC)が発行している。設備基準、運用基準、技術基準の合計311項目で構成する。ISMSとの比較では、FISCの基準は具体的な要求を含むため厳しいという。

3年連続シェアNo.1製品で実現できること

 ユーザーからのセキュリティシートによる確認は、SIerや販社がサービスを導入するうえでの「第一関門」。これを突破すると、具体的な機能要件との合致が求められる。石澤社長は、そうした際に、GigaCC選定のポイントとなる機能をピックアップして紹介した。
 「GigaCC ASP/OFFICE」は、純国産の企業向けオンラインストレージで、ASP版とオンプレ版がある。主な機能はファイル送信とファイル共有だ。

 「他社の同様なサービスと比較しても、セキュリティシートの細かな要件までをほぼ満たしており、管理、運用の機能が充実している。オンラインファイル共有市場で、13年度から3年連続ベンダー別売上金額およびシェアNo.1の実績がある(出典:ITR「ITR Market View:ファイル共有・転送市場2015/2016」)」とアピールする。

 続いて、GigaCCの導入事例をあげて解説。ある大学病院では、症例や研究内容、医療プロジェクトでの情報共有は俗人的にファイル共有ツールを利用しており、共通のセキュアなファイル共有ツールがなかった。トレース対策もなく、誰が、いつ、どんなファイルをやり取りしたかがわからなかった。そこで、導入したのがGigaCCである。

 GigaCCはアクセス権設定が柔軟で、フォルダやアカウントごとの読み書き、閲覧、削除を設定でき、CSVファイルでの一括登録も可能だ。アクセス権設定はISMSやFISCにも準拠している。また、履歴ログ管理でもGigaCCはすべてのアクションのログ管理ができる。GigaCCの導入で、柔軟なアクセス権の設定と変更の自動化が可能となり、内部統制対応が強化され、全トランザクションデータのアーカイブも実現した。

 もう一つは、大手人材会社の事例だ。セキュリティ強化の一環でVDI環境を構築してネットワークを分離したが、異なるネットワーク環境でのセキュアなファイルの受け渡しや2段階承認の機能がないこと、履歴ログ管理が課題となっていた。

 そこで、ファイル送付における承認ワークフロー、分離されたネットワーク間でのセキュアな受け渡しが可能なツールとして、GigaCCを導入した。これにより、ファイル送付における安心のセキュリティと不正アクセス対策、内部統制対応を実現し、全ユーザー、全アクションのログ履歴取得で監査対策も可能になった。

 最後に、石澤社長は「セキュリティチェックシートは、前述した五つの規定がベースとなっているが、GigaCCは、これらのセキュリティ規定に準拠した国産オンラインストレージだ。販売パートナーを募集しているので、ぜひ、取り扱ってほしい」と呼びかけた。