エスアイアイ・データサービス(SDS)は、セイコーインスツル株式会社(SII)の100%子会社である。1985年に国内で初めてレストランオーダリングシステムを開発し。1998年からCREPiCO®(クレピコ)ブランドによる業界初の無線決済サービスを開始。業務用携帯端末の開発・製造・販売と情報処理センター運営を行っている。タクシー、訪問販売、宅配等のモバイル需要に強みを持ち、電子タクシーチケット等の付加価値サービスも提供している。
TotalSecurityFortでは、従来から存在する私どもの社内規定に合わせた運用を容易に行えました。これは非常に重要なことです。
| 導入の背景 |
御社はどんな事業を展開しておられますか?
松尾氏:主にクレジットカードの決済端末(業務用携帯端末)に代表されるハードウェアを製造、販売し、その端末を応用したサービスも提供しています。ハードウェア製造からサービスの提供に至るまで、ワンストップでお客様のニーズに応えられる点が最大の強みです。現在レストラン業界やタクシー業界がメインのマーケットになっていますが、そのほとんどでCREPiCOⓇ(クレピコ)という弊社製品が使用されています。
なぜTotalSecurityFortの導入が必要だったのでしょうか?
松尾氏:前述のように私共は、クレジットカードや個人情報を扱っていて、それに関連したサービスどんどん拡大しようとしています。ですから必然的に機密情報を管理する量も増えセキュリティ対策の重要性が日増しに高まりました。また昨年4月から個人情報保護法が施行され、その対応も必要でした。従来より内部的には社内規定を作り社内教育を行い、使用するPCにおいても外部に持ち出すファイルに対しては適切な暗号化をさせていましたが、技術的な側面での情報漏洩対策は今一歩という感じでした。ですから会社としてのコンプライアンスを確実なものにするためにも何らかのセキュリティ商品が必要でした。例えば私共の社内規定には「外部に情報を持ち出す場合は暗号化したものに限る」というものがありますが、誰かが故意にではなく、ついうっかり暗号化せずに持ち出してしまうことがあるかもしれません。それによって間違いでは済まされない事態が起こる可能性があります。
やはり今までのように社内規定だけで管理するには限界があるので、技術的の面での対策も実施しなければと考えていました。また今までは個人情報をはじめとする様々な機密情報に対して、そのアクセスログを取得していなかった為、抑止や事故後の調査の為にも各種のログを取得する必要がありました。
導入することにより、総合的セキュリティ対策が可能になるという点は重要なポイントでした。
| 導入の経緯 |
TotalSecurityFortの導入の経緯をお聞かせ下さい。
松尾氏:この一年を見ると、情報漏洩事件・事故が非常に多かったと思います。自社で万が一そういうことが起きてしまうと大変な騒ぎになるだけでなく、企業の信頼を失い窮地に追い込まれるという危機感から何らかのセキュリティ商品の導入が検討されていました。そうした時期にNTTデータがTotalSecurityFortの全社導入を決めたという話を聞きましたので、もっと詳しい話を聞いて見ようということになりました。
TotalSecurityFortを選んだ決め手は何ですか?
松尾氏:実際にTotalSecurityFortを見せていただいたところ、すでに存在する社内規定に適用しての運用を容易に行えると思いました。例えば部門ごとの情報管理の体系に対しても、TotalSecurityFort簡単に適用できました。こういうツールはいくら機能が優れていても、自分たちの運用に合わなければただ使いづらいだけです。一般的にセキュリティと利便性は相反するものだ思いますので、仕方のないことかも知れませんが、TotalSecurityFortは現在の運用にほとんど影響を与えないという印象を持ちました。
TotalSecurityFortは書き出し禁止などの単なる禁止制御機能だけでなく、ソフトウェア・ハードウェアの資産管理、ネットワークの制御、ソフトウェア制御、ログの取得など網羅性が非常に高いので、他のニーズが生じたときに新たな投資をしなくても運用できます。この総合セキュリティ対策が可能になるという点は重要なポイントでした。またTotalSecurityFortは技術力が高いだけでなく、製品のコンセプトがしっかりしています。これは現状をよく分析し、目的を明確にしているからだと思います。
| 導入の概要 |
TotalSecurityFortを導入された施設、ネットワーク規模を教えてください。
松尾氏:ネットワークにつながっているすべてのPCにTotalSecurityFortを導入しています。幕張を中心に大阪、福岡の支店を合わせて全部で200台です(拠点間はIP VPNで接続)。
TotalSecurityFortの優れていると思った点は何ですか?
松尾氏:TotalSecurityFortの運用性の高さというのが一番のポイントです。私としては機能と運用性を比較した場合、運用性を重視します。とかくこういったツールは、ツールに仕事をあわせないと使えないということがよくあります。しかしTotalSecurityFortでは、従来から存在する私共の社内規定に合わせた運用を容易に行えました。これは非常に重要なことです。また一律すべての社員のPCに導入する場合、運用がスムーズに行かないと不平不満が起こって結局は使われないまま時が過ぎるという事態になりかねませんが、今回の導入でそういうことは全くありませんでした。その点もとても助かっています。さらにログの取得やWinnyの実行抑止もTotalSecurityFortで行っていますが、セキュリティ対策の網羅性もすごくあると思います。
実際の使い心地はいかがですか?
松尾氏:使う立場に立っても全く違和感がありません。実際にインストールされていることがわからないくらい、何も意識せずにPCを使用しています。今ではもうログを取得されていることも気にならないですね。でもそれが理想的な状況ではないでしょうか。監視されているとか制限されているということを常に意識した状況で業務に当たるよりも、はるかに好ましいと思います。自然な状態の中でセキュリティが保たれればこれ以上よいことはないですね。
現場にセキュリティの運用を任せているようですが、実情を教えてください。
松尾氏:情報管理は部門ごとに行われていて、それぞれの部門でリスクにあったセキュリティポリシーが設定できるようになっています。セキュリティの管理とログの取得を部門ごとに行えるようになりました。言い換えれば、部門長は各種業務を社内規定に沿って確実に遂行できるようになった、ということでしょうね。
「全体的なセキュリティ」という考え方がしっかりしていて、網羅性があるので様々なケースに対応可能なのですね。
| 導入後の効果 |
どんな効果がありましたか?
松尾氏:まずは監視と抑止の強化ですね。今まではログを取得することができなかったので、何かがあった時にも調べようがなかったのですが、現在は確実に取得できているので詳細なログの追跡ができるようになっています。またログを取得しているという事実は、不正に対する抑止効果も非常に大きいと思います。
次に社内規定に沿った業務体系を具現化できたという点です。社内規定に「機密情報を識別、管理し、それを扱うときは責任者に確認を取る」というものがあり、これはTotalSecurityFortにより規定どおりに運営できるようになっています。また。「機密情報が入ったをノートPCを持ち出す必要がある場合、必ず事前に許可を取り、対象となる情報を必ず暗号化する」という社内規定もありますが、忙しい営業の場合、いちいちその許可を取るのは大きな手間となってしまいます。それを無理にやらせようとすると業務に支障が出て、本末転倒になってしまいます。その点もTotalSecurityFortによって解決でき、業務に支障を来たさずに社内規定を遵守することが可能になりました。
そしてこれは基本的なことですが、PCから外部デバイスへのファイル書き出しに於けるリスクも低減しました。各種外部記憶デバイスの使用制限やファイルの暗号化などを自動的にやってくれるので、手間が省けて仕事に集中できるようになると同時に、うっかり暗号化し忘れるという事態も防げるようになりました。他にもTotalSecurityFortはISO27001規格における監査ログの証明に役立つログ機能や、クライアントPCの状態の把握に非常に便利な資産管理機能等があり、様々な面でその機能を発揮してくれています。TotalSecurityFort を導入することにより、私共の望む運用の形が容易に実現できるようになったと言えますね。
話は変わりますが、こうしたセキュリティに対する私共の取り組みを日経新聞にも敢えて発表しました。それは個人・機密情報の保護に対する私共企業としての姿勢をアピールし、サービスや、商品に対する信頼感の向上も図りたかったからです。このような業界でやっていくには信頼というものが非常に重要なので、今回のTotalSecurityFortの導入は私共のセキュリティへの取り組みの対外的なアピールにもなったと思います。
| 将来の展望 |
今後TotalSecurityFortをどのように使って行きたいですか?
松尾氏:TotalSecurityFortの持つ機能に対する私共の現在の使用方法にはまだ改善の余地があると思いますので、今後はTotalSecurityFortの機能を最大限に生かした運用を目指していきたいですね。そしてそういう運用を定着させていきたいと思います。