【導入事例】 株式会社ガスター様の事例をご紹介いたします。
情報セキュリティ対策最前線 機密情報漏えい者をつきとめる
ログ機能でも、ユーザーインターフェイスでも、
運用段階の完成度を高く評価!
関東地区を主な事業拠点としてガス機器を専門に給湯事業、TES(床暖房)事業、住設事業、空調事業などを手掛けるガスター社。従業員数は930名、昨年度の売上は274億円。主要株主であり、取引先でもある東京ガス/INAX/リンナイなどに向けたサービスを展開している。そのサービスを実施していく上で所持している顧客情報及び従業員情報は慎重に管理運営されている。そのセキュリティ対策を聞いた。
コントロールでの留意点
- 株式会社ガスター 経営管理部
情報システムグループ マネージャー
菊池 俊哉 氏 
- 株式会社ガスター 経営管理部
情報システムグループ
吉田 岳弘 氏 
- 株式会社ガスター 経営管理部
情報システムグループ
降旗 唯弘 氏
- 現在、どのようなセキュリティ対策に直面されていますか。
- 親会社の東京ガスからグループ企業として整備しておくべき課題、一般的なコンプライアンスの問題としての個人情報保護を目的とした対応などが、セキュリティ対策のトリガーとなっています。私どもは、ガス機器をコアとした事業展開をしておりますが、「社会インフラとしてのガス事業の一部」だと捉え、顧客の個人情報を保有していますので、情報漏えい事故などは私どものセキュリティリスクだと認識しています。
- 具体的には、eメール/Webメール等インターネットを利用した外部とのコミュニケーション段階でのセキュリティ対策を講じる必要があると考えています。
- 具体的には、どのようなコントロールを考えていますか。
- メールを使うということ自体はとても便利なことですが、見方を変えますと、メールという手段を使って自由自在に情報発信ができるということだと捉え、考え直してみたのです。善意に解釈して、自宅に帰ってやり残した仕事の続きをしようと考えた社員が、社内文書を自宅のPCにメールでファイル転送するといったこともあるでしょうが、こうした状況を放置しておくと、悪意を持って外部へ情報を漏えいしていても、コントロールが出来ていない環境では、まったく対処できません。
- OA系で約550台ほどのPCがありますが、私どもでは、インターネットを積極的に使ってもらいたいという考え方を一方で持っていますので「始めに取り締まりありき」にはならないように留意しています。かといって、野放し状態でも良くないということで対策をしてきています。
- そこでNetEvidence導入だったと思いますが、導入に当たりどのようなことが検討されましたか。
- 結果、NetEvidence導入でしたが、それ以前に私どもでは足掛け3年ほど前から情報セキュリティマネジメント体制の構築を目指したプロジェクトを推進してきており、内部監査体制のあり方を含めて全社的な見直しを進めてきていました。目指すべき監査体制を固めていくには、そのためのセキュリティツールの導入も必要だということで探していたところNetEvidenceの存在を知り、導入に踏み切りました。
- 実は初めてNetEvidenceの存在を知ったのは、導入の2年ほど前のことでした。様々な機能チェックをし、また要望もさせていただき、満足のいくレベルが確保できていることを確認した上での導入でした。
- ですから、使い始めて日が浅いのですが、存在を知ってトライアルユースをして、要望を出して、それが叶えられたことを確認して導入しましたから、NetEvidenceの機能については隅々まで知っています(笑)。
ユーザーインターフェイス重視
- 情報セキュリティ対策プロジェクトには、どういう立場で関与されていますか。
- 担当役員をトップとして7名のスタッフからなるプロジェクトですが、私はその一員として関与しています。その他のスタッフは企画部門、情報システム部門、品質保証部門、総務部門などから構成されています。仕事としましては、情報セキュリティポリシーの策定から、様々なセキュリティ対策プロシジャーの設定、NetEvidenceなどセキュリティ対策ツールの導入までです。
- NetEvidenceのどのような点に注目しましたか。
- 導入したNetEvidenceの前に、他の様々な製品もみてきましたが、監査証跡として活用できる操作ログを残す機能のみを強調する製品が多いと思いました。しかし、この種の製品で最も重要なポイントは、導入後の運用面での配慮です。つまり、セキュリティ対策ツールの導入に携わった担当者に、その後の運用段階での負荷が掛かり過ぎるようなツールは採用すべきではないと確信しました。この種の製品では、ユーザーインターフェイスが一番のポイントになると私どもは考えています。NetEvidenceが他のキャプチャー製品に抜きん出ている点だと思います。
- セキュリティ製品に限らず、ITシステム関連のツールや製品の性能をチェックしたり、導入を決定したりするのは情報システム部門かもしれませんが、実際に活用するのは別部門のユーザーである場合が多いと思います。そこで、ユーザー部門が日常の業務遂行の中で使いやすいもの、同時に、情報システム部門がいつまでもサポートをしないで済むものを選択し、導入していくべきだと思います。その観点でNetEvidenceは、実際のセキュリティ対策の実行現場での使用に耐えられる完成度を持ったものだと考えました。
ジャストアプライドな製品
- 導入後、本番稼働したのはいつからですか。
- その場、その時点から、導入即本番稼働でした。
- 完成度が高い製品だというのは、そういう意味です。情報セキュリティ対策製品は、完成度が低かったり、バグがあったりでは話になりません。その点家電製品レベルでの完成度を持ったNetEvidenceは、真のアプライド製品だと言えるレベルに達していると思います。
オーク情報システム社の頑固さも評価
- 実際のNetEvidenceの働き具合、導入効果はどうですか。
- 基本的に十分満足しています。しかし、開発元のオーク情報システム社には良い意味で頑固な処があり、NetEvidenceの基本的性能に影響が出てくる可能性がある部分の改良要求には、まったく応じてくれません。直ちに却下されます。しかし、筋は通っているので、まあいいかと思っています(笑)。つまり、基本機能には満足しているのですが、気になったのはユーザーインターフェイスの部分でした。NetEvidenceという製品は、基本機能サーバーから、データを採取し記録するメディア装置システムまでのハードウェア/ソフトウェアのすべてのリソースが最適化され、コンパクトな形で統合された製品として提供されています。それだけに、下手にある部分を強調して改良すると、システム全体の最適化が崩れたり、他の部分に悪影響を与えたり、基本のパケットログ収集機能に支障が出てくる場合もあり得ます。
- やはりユーザーインターフェイスなどは、NetEvidenceの基本機能から見れば周辺機能ということになります。オーク情報システム社の頑固さは、基本機能の堅牢さに影響を及ぼす恐れのある改良は頑なに(笑)拒否するということです。しかし、これはこれで製品の完成度や信頼性を高めようとする姿勢だと理解しています。
- アプライアンス製品として完成度が高められているだけに安直な改良要求には応じられない部分があるということですね。
- そのように考えていいと思います。
- しかし、基本機能については問題ないわけですから、今後はもっと運用管理上での使いやすさを向上させていってもらいたいと、さらに期待しています。
- ありがとうございました。
(取材:2006年12月)
 |
|
|---|---|
| 神奈川県大和市深見台3-4 | |
| http://www.gastar.co.jp/ | |
| 設立 | 1959年8月17日 |
| 従業員数 | 967人 (2009年7月現在) |
| 事業内容 | ガスふろ釡・給湯機器 空調機器、住宅設備機器、TES事業 |
