【導入事例】 株式会社サニクリーン九州様の事例をご紹介いたします。

情報セキュリティ対策最前線 機密情報漏えい者をつきとめる

セキュリティ対策とは
企業の最重要資産を守ること!

九州地区を中心に、下関から沖縄までをテリトリーに清潔・快適環境作り事業を展開しているサニクリーン九州は、27万件の企業および一般家庭顧客を持つ。商品は、マット/モップおよびユニフォームのレンタル、サニタリーオペレーションから、植木の剪定作業サービスに至るまで実に豊富だ。当然、顧客毎の情報ベースは、同社の最重要資産である。そのセキュリティ 対応を聞いた。

ツール導入以前からセキュリティ対策

浜畑 忠裕 氏
株式会社サニクリーン九州
情報システム室
室長 浜畑 忠裕 氏 (取材当時)
株式会社サニクリーン九州
情報システム室
スーパーバイザー
内山 貴雄 氏 (取材当時)
NetEvidenceを導入するきっかけは?
私どもでは、トップ以下、全社的に顧客情報の重要性については認識し、トップダウン で、常日頃からシビアな顧客情報管理に取り組んできています。 NetEvidenceを導入したきっかけは、Pマー クを取得するためですが、その背景は、イン ターネットに代表されるオープンなネットワーク活用が始まることでのリスクを回避しておきたいということからです。
PCが55ヶ所の事業所に導入され始めたのは1999年頃からですが、導入当初からFD、CD-ROMの使用を制限しています。当時は珍しがられて、「そこまでするか?」と言われたりしました(笑)
実は、それ以前から、所長以外が活用できる情報のアクセス範囲を内容によって厳し く制限してきていましたが、同じ社内規定に従って、PCの活用にも制限をしたということです。
セキュリティ対策に向けての社内制度が確立されていたということですね。
PCは個人が自由に活用できるというのが特徴ですが、自由に活用した慣習がついた後で制限をかけるより、初めから使い勝手を制限 しておいた方がよいと判断しました。

▲ページトップへ

「監査証跡を残せる」がポイント

それが、セキュリティポリシーだった?
実態的な情報アクセス制度はあったので、それを罰則規定なども含めて、情報セキュ リティポリシーとして整理したのは、3年ほど前のことです。 現在、Pマークを取得するための安全規定策定でコンサルタントに入ってもらっていますが、社内ポリシーが高く評価されています。
対象になっている主なものは、顧客情報を含んだ営業管理資料ですが、当初はエクセルで出力されたものをそのままデータで各事業所に出すのではなく、ハードコピーに出力してから配布してきていました。しかし、もはやそういう時代でないというこ とで、データ送信の形で先方に渡すことを前提に対策を考えてきました。その結果、適切なセキュリティツールを使おうということで、 NetEvidenceの採用を決めました。
一番の期待ポイントは何でしたか?
やはり、すべての操作ログを残せるとい うことですね。誤魔化しが効きませんから。
メールサーバーなどで、すべての履歴が取れればいいのですが、Webメールなどを利 用されたら限界がありますから、すべての監査証跡を残すことができるNetEvidenceを選び ました。 もちろん、ルール(ポリシー)では、Webメー ルなどやってはならないことになっているのですが、やはり、人的教育だけでは防ぎきれないものは、こうしたツールが必要だと判断致しました。

▲ページトップへ

大きな情報漏えい防止の効果

情報漏えいが起きたことは?
これまでのところありませんが、情報漏えいが起きる前の対策こそが重要だと考えております。これまでもそうでしたが、後追いでなく、先手先手で行く姿勢が必要だと考えています。また、トップの理解も、お客様の情報だから大事だというだけでなく、私どもの事業にとっても大事な資産だという認識がありましたから、先攻めの気持ちでセキュリティ対策に十分な理解が示されてきています。ちなみにNetEvidenceなど、セキュリティ対策に投下する費用につきましても、内容の説明は求められましたが、もしも漏えい事故が起こったら企業責任が問われる事態もあり得るということで了解してもらっています。
導入後の感想は?
定期的な監査、検査に必要な検索、分析ができる形でネットワーク通信状況が正確に把握できますので、漏えい防止対策効果が高いという評価を、改めて認識しているところです。
こういう監査ができる施策をしているということを社内外に知らしめ、社員も昨今の企業環境としてセキュリティ対策が 何故必要なのかを理解してきてくれ企業環境としてセキュリティ対策が何故必要なのかを理解してきてくれています。つまり、人的教育としての社内コンセンサスとNetEvidenceという物理的なシス テム対応策とが、うまくマッチしていることにまずは安堵しています。
ところで、ログ記録はどれほどの期間保存しておくつもりですか。
10年間の保存をすることになって います。
これも、もしも情報漏えいがありましたら、例え退職後でも責任追及をすることにしましょうと、従前から全社員を対象 に皆で守ってきたルールです。それが、今回、NetEvidenceで正確な全ネットワーク情報が取得できるということで、物理的にも解りやすい形で可能となりましたね。

リスク回避を確認しながら便利さ追求

どれくらいのログ容量となりますか。
直近の8月のもので、76ギガバイトですが、ほぼ70から80ギガバイト/月で推移しています。バックアップは月に一度取って、保存しています。ログシステム全体で、16ヶ月分3.2テラバイト(16本テープ)あり、すべてオートチェンジャーで自動的に交換しますので、運用的にも至って楽をさせてもらっています。当社には約1,500名の従業員がおり、PCの数は約900台ですが、その内、インターネットへの接続が許可されているのは約30%のPCだけです。インターネットへのアクセス制御はプロキシサーバーでコン トロールされますが、そこに接続されているNetEvidenceによって、外部への通信内容すべてがログ取りの対象になっています。
電子メールも制限対象ですか。
基本的に許可されているのは、所長と限られた事務員というように、職務権限のひとつとして制限されています。
便利さの裏返しがリスクだと言われます。便利さを要求通り叶えていくこと はもちろん大事なことだと思いますが、同時に企業全体のセキュリティ確保も考えなくてはなりません。企業あっての便利さですからね。その観点から、様々な制限をしたイン ターネット活用を進めてきています。NetEvidenceで確認できた安心感、セキュ リティ確保の実現については、トップも含めて満足しているところです。
ありがとうございました。

(取材:2006年11月)

▲ページトップへ

福岡県福岡市博多区半道橋一丁目17-41
http://www.skkyu.co.jp/
設立 1967年9月
従業員数 1,565人(2009年6月末現在)
事業内容
  • 商品レンタル
    ダストコントロール商品(マット・ モップほか)・浄水器・空気清浄機・ウォーターサーバー・各種ユニフォー ムなど
  • 代理店業務
    ガン保険・損害保険および携帯電話 をはじめとした情報通信サービス
  • その他サービス
    一般家庭およびオフィス等のクリー ニング、ランプメンテナンス、カー リースなど

<カテゴリの一覧へ


事例

お問い合わせ

ホワイトペーパー

ページトップへ