事前通知機能を活用し、混乱を来さず
スムーズにセキュリティ強化を実現
パナソニック システムソリューションズ ジャパン株式会社
河田 光央 氏
基本情報 |
|
---|
「なかなか社員に伝わらない? 未然防止策と潜在事象の可視化」と題するセッションでは、パナソニック システムソリューションズ ジャパン株式会社(以下、PSSJ)の河田 光央氏が、LanScope Catを活用しながらどのようにセキュリティを強化し、さらにはグループ内で最も早くBYODを導入するに至った経緯を説明した。
自治体や公共事業、企業向けにさまざまなシステムの開発・保守サービスを展開するPSSJでは、国内約50の拠点をベースに約4700名の社員が、関係会社も含めると約70拠点で5500名余りの従業員が働いている。「パナソニックというと、セキュリティのしっかりした作業場にいると思われるかもしれないが、実際にはさまざまな異なる環境で、お客様の情報を扱いながら社員が業務に携わっているため、非常にリスクが高い」(河田氏)
仕事は必ずしもオフィス内で完結するものばかりではない。防災無線やETCのように社会インフラを支えるシステムの場合、文字通り道も通わぬ山中などに機材を運び、作業することもあり、その際、業務に不可欠な情報をUSBメモリに保存し、取り替えながら使っている状態だった。こうした要因もあってか、これまでパナソニックグループの中で「最もセキュリティ事故の多かった事業所」という不名誉な称号を与えられていた同社。それがどうやって変わったのだろうか。
多角的なセキュリティ強化の取り組みの一環として
LanScope Catを導入
PSSJではセキュリティ強化策として、ITはもちろん、組織、人、物理の各側面から取り組みを進め、PCセキュリティもその一環として強化してきた。
具体的には、「Let’s Note」が搭載する「自己防衛機能」を活用。BIOSパスワードを数回間違えて入力すると自動的にデータを消去するもので、万一、紛失や盗難によってPCが第三者の手に渡ってもデータの流出を防ぐ仕組みを採用した。また「放っておくと、PCというものはどんどん増えてしまうため、どの事業所に何台PCがあるかをWebベースのシステムで見える化した」(河田氏)。この結果、セキュリティ面はもちろん、1人1台体制で保有を最適化し、管理費の大幅な削減につなげたという。
さらに、USBメモリのような電子媒体はもちろん、機密情報を印刷した紙媒体も含め、全ての情報資産の持ち出しを登録・管理する「持出しくん」というシステムを開発したり、現場で撮影した写真などのデータを端末に残さずアップロードするアプリを独自開発するなど、技術力を生かしながらさまざまな取り組みを進めた。
ただ、その中で頭を悩ませていたのが、社員への周知徹底だったという。「メールで注意喚起しても読んでくれないし、社内Web上で告知しても見てくれない。この問題をLanScope Catで解決し、組織のセキュリティ教育にも活用している」(河田氏)
ログから得られた状況を元に、従業員への周知・教育を確実に実現
PSSJがLanScope Catを導入したのは2012年9月だ。「それ以前は他社製品を使っていたが、インストールすら難しくトラブル続きだった。LanScope Catに切り替えた際、問題なくインストールできて驚いた」と河田氏は振り返った。
LanScope Catでまず実施したのは「媒体制御」だ。全ての電子記憶媒体は基本的に読み取り専用とし、LanScope Catに登録したもの以外は書き込みができないようにした。70余りの拠点で確実に設定作業が行えるかを懸念したが、「きちんとツールが用意されており、リモートで申請を行い、本社側で確認して登録することで、800本のUSBメモリの登録を1ヶ月で済ませることができた」(河田氏)。こうして、内部監査だけではなかなか把握できなかったUSBメモリの管理を徹底できたという。
加えて、LanScope Catの事前通知機能が、従業員に対する周知徹底を支援してくれた。「媒体制御を始めることをメールやWebで告知しても、見てほしい人になかなか伝わらない。そのまま制御をスタートすると職場が混乱するのではないかと懸念していたが、LanScope Catの事前通知機能を活用することで解決した。制御を実際に始める前に、USBメモリをPCに刺した人に対し、リアルタイムに『今度から制御が始まるので、登録をお願いします』と告知することで、職場の混乱なく制御モードに切り替えることができた」(河田氏)
メールについてもLanScope Catでログをチェックし、業務情報を個人のメールアドレスや携帯メール宛に転送していないかを確認するようにしたところ、これもすぐに効果が現れ、転送が激減した。実際に転送を行っていた人物に確認したところ、ルールが周知されていなかったことが分かってきたため、今は中途採用で加わった社員はもちろん、派遣社員のメンバーにもきちんと情報の扱いが伝わっているという。
さらに、操作ログを元に、飲み会などの予定がある従業員には「PC・カバンの紛失に気をつけてください」とメッセージを出すようにしたところ、3年連続で紛失事故がゼロになったという。そこで2018年、一度試しにメッセージ表示をやめてみたところ、案の定紛失が起こってしまったそうだ。ただ、それまでの情報セキュリティ教育の成果もあって、端末には顧客情報などの重要な情報は保存していなかったため、一安心だったという。
他にも、添付ファイルの誤送信が発生した場合には、ログを元に、そのユーザーがどのような操作をしているかを解析し、「デスクトップにファイルを保存しておくと長いファイル名が隠れてしまい、誤送信につながりがち」と原因を論理的に詰め、本質的な防止策につなげた。さらに、注意が必要なアプリがインストールされていないかどうかの確認やインストール制御、リアルタイム警告なども実施している。
LanScope Catも活用しながらこうした取り組みを進め、「パナソニックグループではじめてBYODが許可された事業所になった。情報セキュリティの強度を高め、インシデントの件数を減らし、担当者の人数も減らすことができた」と河田氏。その効果を実感しているようだ。