情報漏洩防止ソリューション 秘文の導入事例

株式会社日立製作所様

情報漏えい対策は企業価値を守るための取り組み

情報システム事業部 e-プラットフォーム本部担当本部長 兼 セキュリティ統括部長 兼 セキュリティ対策センタ長
藤田智巳 氏

「半導体から発電施設まで製作している日立グループは、総従業員数が35万人を超えています。これだけの規模の事業体では、情報セキュリティの対策が弱い事業所や関連企業が、セキュリティホールとなってしまいます。そのため、セキュリティ対策を推進するにあたっては、全グループで一貫性を持った取り組みが必要でした」と藤田氏は切り出す。
日立製作所では、社長直属の組織であるIT戦略統括推進本部が中心となって、全グループ企業を統合するITガバナンスモデルの実現に取り組んできた。同社のITガバナンスモデルでは、IT内部統制や情報セキュリティ規則のような「ITマネジメント標準」の確立は、ITシステムを構成するハードやソフトよりも重要な基盤になると位置付けられている。

「情報セキュリティに対する脅威を考えたときに、従来からあるハード障害やウイルス感染といった問題だけではなく、個人情報に代表される情報漏えいに対する対策が、企業価値を守るためにも重要な課題でした。そこで、私たちは『事故は必ず起こる』という立場で、その事故を未然に防ぐことや、事故が起きても情報を安全に守るための対策を推進してきました」と藤田氏は取り組みの重要さについて語る。

事故は起きるかもしれない、という楽観論ではなく、事故は必ず起こる、という危機管理意識を強く持ってもらうために、情報システム事業部では、過去の事件や事例を自社のケースに置き換えて、被害の想定や企業価値の損失などをシミュレーションし、取り組みの重要性を訴えてきた。

「多くの経営者が、十分な情報セキュリティ対策は必要だと考えています。しかし、実際に取り組みを推進できるかどうかは、経営層による意思決定と、投資できる費用にかかっています。そこで、日立グループでは『インフラOne HITachi』というITの統合化によるコスト削減効果とセットで、効率的なセキュリティ対策への投資を創り出してきました」と藤田氏が話すように、日立製作所ではITインフラを全グループの共通基盤にすることで、ハードだけではなく、人的な管理コストの削減も推進していき、実現した効果を文字通り財源としてセキュリティ対策への積極的な投資を行ってきた。

今後の課題は外部に配布するドキュメントの閲覧管理や抑制

では、その積極的な投資の内容についてさらに聞いていくことにしよう。
「IT戦略統括推進本部が策定したセキュリティポリシーをもとに、情報漏えいに対する具体的な技術や製品を選定し全グループに導入していく作業が、情報システム事業部の役目でした。そこで、私たちの事業部では、数ある情報漏えい対策向け製品やソリューションの中から、「日立ソフトウェアエンジニアリング（株）」の『秘文』シリーズを選びました。その理由は、私たちが考えていたセキュリティ対策のPDCAサイクルに最も適した技術と製品ラインナップを備えていたからです」と藤田氏は、具体的な対策製品の選定理由について触れる。

情報システム事業部では、一度にすべてのセキュリティ対策を実現することは難しいと考え、一つ一つを確実に解決していくPDCAサイクルを検討していた。小規模なPDCAサイクル、つまり取り組みやすい対策からしっかりと始めて、次策に大きな課題に挑戦するというものだ。具体的には、第一段階で持ち出し可能なノートPCのハードディスクを暗号化し、次のステップで外部媒体への書き出しにおいて暗号化をする。そして最終的には、社内のPCからも記録メディアに対するコピーを抑制することで、完全な情報漏えい対策を実現する。そのためには、第一段階でPDCAサイクルをしっかりと運用し、問題点や課題などを十分に検討し解決した上で、次のステップへと発展させていく必要があった。その運用目的にとって、「秘文」シリーズではそれぞれのステップに合わせた製品を用意していた。

「具体的には、第一段階のハードディスク暗号化に関しては、秘文AE Information Cypherのドライブ暗号化機能を使いました。次のメディア対策では、やはり秘文AE Information Cypherのメディア暗号化機能を、そして持ち出し抑制では、秘文AE Information Fortressの持ち出し制御機能を使っています。それぞれのPDCAサイクルに合致した製品が用意されていたことで、段階的な導入と円滑な運用サイクルを確立できました」と藤田氏は導入の経緯について説明する。
情報システム事業部では、秘文AEシリーズを一括して採用し、セキュリティの導入サイクルに合わせて、それぞれの機能を適用していく方法をとった。

PCと外部媒体の徹底した暗号化で情報漏えい対策を推進

日立製作所では、グループ企業全社における「秘文」シリーズの採用を見越して、25万ライセンスを取得している。大量のライセンスをまとめて取得することによって、二つの大きなメリットが得られたという。また、08年度までに海外向けに10万ライセンスの追加導入を予定している。
海外で事業を展開する日本のグローバル企業の中には、現地でのセキュリティ対策を現地に任せる例も多いが、日立製作所では情報セキュリティ本部の立案したセキュリティロードマップに従った対策を全世界で展開していく考えだ。

「個々の事業部がばらばらに導入するケースと比べて、大量のライセンスを一括で取得すると、導入コストを大幅に削減できます。このメリットに加え、大口顧客という優位性から、製品に対する改善提案や希望も受け入れてもらい易くなる、という大きな利点があります。今後もこの製品を使い続けていく上で、当社のセキュリティポリシーやシステムに適合した改善を希望するケースも出てくると思います」と藤田氏は話す。

現在では、秘文AE Information Fortressに加えて、秘文AE Serverによるログ管理を徹底し、誰がどのファイルを持ち出したのかを自動的に記録するシステムを構築している。　更に、「情報を持たなければ漏えいしない」のコンセプトで開発された、ハードディスクを搭載しないセキュリティPCも既に4万台強を導入して、抜本的な情報漏えい対策を進めている。セキュリティPCは、2008年3月までに７万台を導入して、情報セキュリティ対策だけでなく、ユビキタス利用の環境をも拡大して行く予定である。

通常PCからの外部媒体利用禁止・ログ管理
秘文IF+サーバー(秘文パック内製品)利用による外部記録媒体への書出し抑止強化
―情報漏えい防止３原則：上長承認の元、情報の持ち出しの管理を徹底

また、テクノロジーによる制御だけではなく、社員教育やパスワード更新時に、情報セキュリティへの同意画面を表示するなど、社員の意識向上に対する取り組みも積極的に推進している。「今後の課題としては、見積書や提案書のような外部に公開するドキュメントに対する保護とコントロールによるセキュリティ対策が残っています。例えば、変更履歴を持ったドキュメントのまま、外部に見積書などを提出してしまうと、変更前の情報などを見られてしまう心配があります。また、何よりも外部に出たデータが消えないまま残っていることが問題です。そこで、現在は『活文』シリーズの導入を推進しています。この製品を導入すると、PDFに変換したドキュメントにパスワードを設定し、認証サーバーと組み合わせた閲覧制御が可能になり、もし外部に出たデータであっても、後で閲覧できなくする仕組みが可能なのです」と藤田氏は今後の取り組みについて語った。
すでに、試験的な検証を完了し、日立製作所内で利用している日立のコラボレーションシステムであるGroupmaxを連動させた実際の運用フローを念頭に置いたテストを推進している。最終的には、メールに添付できるファイルは、すべて「活文」によってコントロールされたPDFドキュメントだけに限定し、より安全で確実な公開文書の閲覧管理と保護を実現していく計画だ。

この記事はアイティメディア株式会社発行「月刊アイティセレクト」2007年11月号掲載の編集記事を転載したものです。

※本文中に記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。