全NUAユーザー事例論文:論文パル2005
 < トップ < 入選/要旨
情報セキュリティ対策システム構築事例
〜情報漏えい対策および企業情報ポータルの活用〜
PDF(1,859KB)
 
【1】 システム導入の背景と必要性
 


熊本信用金庫(以下当金庫という)は、大正12年創業の地域金融機関である。当金庫は重点経営課題に取り組むため、早くからITをフルに活用してきた。平成7年(1995年)にはパソコンの本格的導入と金庫内ネットワーク構築が整い、翌年8月よりクライアント・サーバシステムおよびグループウェアとしてStarOfficeを導入した。また、顧客サービスの向上、本部・営業店の事務効率化および勘定系補完システムとして昭和63年11月より情報系システムのメイン機器としてACOSシステム(汎用機)を利用してきたが、平成15年10月より半年のプロジェクトにより汎用機利用の情報系システムから、組織やシステムの変化に柔軟に対応可能なオープンシステムへ更新した。同時に、グループウェアについても、StarOffice21へとバージョンアップし、金庫情報ポータルを構築した。
このように情報化が進展するのに伴い、ネットワークで情報を扱う職員も増え、必然的にどのように情報資産を守るか、情報管理におけるセキュリティ対策は、まさに経営上の最重要課題の一つとなった。
当金庫は、情報セキュリティ対策についても早くから対応してきたが、平成17年4月より全面施行の個人情報保護法に伴う「金融分野における個人情報保護に関するガイドライン」(以下ガイドラインという)における技術的安全管理措置に沿った、より強固な情報セキュリティ対策として、新たに情報漏えい対策システムを導入した。

   
【2】 システムの目的
 


情報漏えい対策システムの導入により、さらなる強固なセキュリティを実現し、セキュアなコンピューティングシステムの実現を目的とした。
ガイドラインにおける技術的安全管理措置のポイントは、

(1)職務分掌と権限、
(2)本人確認(利用者の特定)、
(3)Need To Know(必要性に応じたアクセス)とLeast Privilege(最小特権)、
(4)脆弱性の管理、
(5)記録の採取と監視・監査の5点に絞られる。

より強固な情報セキュリティ対策は、

(1)ネットワークセキュリティ基盤の強化、
(2)さらに個人厳密認証とファイルの暗号化、
(3)金庫情報ポータルの活用による職務権限に応じた業務システムの運用と情報共有化の実現、

これら3つを基本方針として、更なる事務の合理化・効率化の向上を図った。これらに対して以下のとおりシステム対応を行った。

   
【3】 システムの概要
 
情報セキュリティ対策システムについて、想定される課題への具体的な対策は、

(1)個人厳密認証、
(2)デスクトップ制限、
(3)デバイス制限、
(4)不審操作管理/通知、
(5)ファイル暗号化、
(6)ウイルス対策、
(7)セキュリティ更新プログラム対策、
(8)情報機器管理などである。

当金庫の対策としては、平成15年よりLanScopeCat3で不審操作管理/通知と情報機器管理を、McAfee AutoUpdate Architect(MAA)でコンピュータウイルス対策を、Software Update Services(SUS)でセキュリティ更新プログラム対策を講じ、Windows 2000 Server Active Directory環境で情報セキュリティ対策システムは稼動していた。
そして、今般、複数のベンダーよりの個人情報漏えい対策ソリューションを考える中で、NECの「個人情報保護ソリューション」で解決すべき課題へ取り組んだ。
具体的には、7つの対策(平成17年の対策を含む)で総合的にセキュリティを強化した。その対策と、これを実現するソリューションは次のとおりである。

(1)セキュリティ管理サーバ(Express5800サーバ)をWindows 2000 Server Active Directory環境から、Windows Server 2003 Active Directory環境へ更新(ユーザの権限情報を一元管理)
(2)個人厳密認証としてSmartOn NEO(ICカードによる認証)の導入
(3)ファイル暗号化ツールとしてInfoCage/ファイル暗号(暗号化/復号)の導入
(4)Active Directoryを基本に複数の製品(SmartOn NEO、LanScopeCat3、etc.)の組み合わせによるデスクトップ環境保護(デスクトップ制限、デバイス制限)
(5)金庫情報ポータルStarOffice21の活用による職務権限(アクセス制御・権限の管理)に応じた業務システムの運用と情報共有化の実現(プッシュ型の情報提供)とファイルサーバ(iStorageサーバ)の導入
(6)職務権限に応じたWEB情報検索システム(RETRIEEM)の活用によるドキュメント管理の見直し(ペーパーレス化)および運用
(7)イントラネット環境でWindowsUpdateを実現するセキュリティ更新プログラム管理SUSと、監査ツールとしてMicrosoft Baseline Security Analyzer(MBSA)を導入していたが、SUSの後継バージョンであるWindows Server Update Services(WSUS)への更新(2005年第2四半期予定)
   
【4】 システムのポイント
 
1. 環境の変化に柔軟に対応可能なパッケージ製品を導入

新規システム導入や情報系システム更新時の基本方針でもあったが、環境の変化に対応しやすいという観点からパッケージ製品を前提に導入した。豊富な機能と保守のしやすさはもちろんであるが、さらにユーザの要望に沿ったバージョンアップが可能であることが、選択の絶対条件である。今回も、NECのソリューションはそれらを柔軟に解決してくれた。

2. 限られた資源の中で、最大の効果を上げるシステムの実現

当金庫は、パート職員を含む約260名の役職員に対して、本部と営業店に合計130台のクライアントPCがあり、10台のサーバでネットワークを構築している。当金庫で「やれること」、つまり持っている経営資源(ヒト、モノ、カネ、情報、時間)、投資できる資源は有限である。そのため、セキュリティ強化のツールとして無償ツールやOS(サーバおよびクライアント)の機能をフルに活用した。限られた予算で実現するには無償であることの意義は大きく、やらないよりできることから確実に対策を実施していくことを重視した。具体的には、MicrosoftのSUS(後継バージョンのWSUSを含む)、MBSA、さらにActive Directoryの活用である。

3. 情報セキュリティの強化、情報共有の促進を実現

セキュリティ対策と利便性は相反する。そのため、ドキュメント管理の見直し(ペーパーレス化)をする際に職務権限に応じた情報検索ツールの活用や電子帳票を活用した。もちろん、必須の帳票はある。しかし、帳票そのものが必要ではなく、その中のデータ(数字)が判ればよいものもある。
当金庫は金庫情報ポータルStarOffice21の活用により、「業務処理の迅速化」と「コミュニケーションの円滑化」という課題へ取り組んだ。具体的には、平成16年にオリジナル帳票174帳表から3分の1をカットし117帳表について、紙帳票、電子帳票、電子データ検索へ移行した。平成17年2月末現在で、電子帳票は月次:12、日次:3、電子データ(月次・日次)検索で約150種類(旧帳票より11種類移行)、残りは紙帳票で出力している。なお、電子データ検索はStarOffice21からログインし、ブラウザを利用したWEB情報検索システムであり、職務権限に応じて検索データの種類やCSV出力等を制限している。
   
【5】 評価と今後の課題
 
平成15年より内部情報漏えい対策を開始し、セキュリティ対策は「禁止」から「抑止」へと、抑止効果が有効な防止策となり、業務の可能性を損なわずに漏えいを防止する環境を構築でき、ICカードによる個人厳密認証やファイル暗号化ツールの導入により、さらに強固なセキュリティ対策を講じることができた。また、職務権限によりデータへのアクセス制限や業務システムの利用制限で組織やシステムの変化に柔軟なシステムとして高いセキュリティに維持できたが、セキュリティを強化すれば利便性は低下する。しかも、IT化が進めば進むほどセキュリティに対策が必要である。今後もIT化の現状と課題を考え、バイオメトリクス認証の導入なども検討したい。
しかし、テクノロジーは万能ではなく、それだけでは機能しない。人、プロセス、テクノロジーのバランスが重要である。常に半歩先に何をしたらよいかを考え、「やりたいこと」を見える形にしなければならない。
先にも述べたが、セキュリティ対策は、往々にして職員の利便性を損ないがちで、金庫の方針や考え方がきちんと伝わっていないと、不満だけがたまりやすい。なぜセキュリティ対策が必要なのか、それによってどういう金庫になろうとしているか、職員の責務とメリットは何かということを、繰返しの研修などを通じて周知徹底、訓練、更なる教育に務めていきたい。
当金庫の情報セキュリティ対策は、「情報を守る」ことへの全職員の意識改革こそが最大効果を生み、当金庫の永続的な課題の一つとも言える。
   

 < トップ < 入選/要旨

Copyright(c)NEC C&C Systems Users AssociationAll Right Reserved.