失敗から学ぶ
情報セキュリティ強化
アッカ・ネットワークスは、日本全国に提供エリアを持つブロードバンドアクセス事業者であり、DSL(Digital Subscriber Line:デジタル加入者線)および光アクセス回線を中心に個人および法人向けに提供している。法人向けDSLにおいては、設立時より法人ユーザーの高い要求レベルに応えられるネットワークやオペレーションを構築してきたこともあり、圧倒的なシェアを獲得している。個人向けADSLサービスはOCN、@nifty、DION、BIGLOBE、So-netなどの大手プロバイダーを通じ、法人向けサービスはNTTコミュニケーションズ、KDDI、日本テレコム、パワードコムといった大手キャリアへ主にホールセールの形態で提供している。
さらに今後は、今までの事業基盤であった個人、法人向けサービスに次ぐ新規ビジネス領域として、M2M(Machine-to-Machine)市場への積極的参入を進めており、2005年夏より本格的にサービス提供を開始し、さらなる成長を目指している。
しかし、アッカ・ネットワークスは成長著しい中の2004年3月、顧客の個人情報が流出するという事件で世間の耳目を集めることになってしまった。ホールセールビジネスであることから顧客の信用情報は取得しておらず、クレジットカード情報などの流出はありえなかったが、情報管理について問題があったことは否定できない事実だ。同社では速やかに記者会見を行うなどの対応のほか、抜本的なセキュリティ対応策を迅速に行った。この情報漏えい事件の教訓と、同社の取り組んでいる対策は、すべての企業の参考となるだろう。
情報セキュリティ対策の
6つの柱をバランスよく
情報セキュリティにおいて、これさえ導入すれば完ぺきというソリューションなどないことは、読者はすでによくわかっていることだろう。アッカ・ネットワークスの結論も、「“これだけやれば”はない」というものだった。セキュリティは、何枚かの板をタガではめたオケに例えられることが多い。ある板がどんなに大きくても、水はいちばん低い板の高さまでしか入れることはできない。セキュリティは幾つかの要素によって成り立っているが、その中のいちばん低いレベルに収束してしまうのである。
アッカ・ネットワークスでは、情報セキュリティ対策について次のような6つの柱を想定した。
@情報セキュリティ管理体制の構築
A情報セキュリティに関する内部規定の整備
B情報セキュリティを確保するシステムの実現
C情報セキュリティ教育の実施
D業務委託先の管理体制の強化
E監査の実施
まず@の体制作りだが、情報セキュリティは情報システム部だけの仕事ではないということが重要な点だ。情報システム部に任せっきりでは効果が上がらず、経営層の強い意志がないと進まない。また、CSO(セキュリティ最高責任者)やそれ相当の地位および役職の社員がいて、さらに実働部隊として推進する事務局とセキュリティ技術に通じたスタッフが必要だ。
そしてアッカ・ネットワークスが採ったもう1つの体制は、業務の各部門を含めた委員会の設置である。同社では、コンシューマー向けサービスの部門、法人向けサービスの部門、情報システムの部門、その他社内の一般業務の部門も含めた社内のすべての部署でセキュリティの責任者を選任し、20人ほどのメンバーを集めた委員会を定期的に開催するようにしたという。これは、セキュリティ施策決定の際に、現場の意見を聞き、決定までの経過をわかってもらうためだ。多少無理を強いることでも、結果だけを伝えられるのと、なぜそのような判断になったかのプロセスを理解できるのとでは不満の出方が違うということは、容易に想像できるだろう。
Aのルール作りでは、セキュリティのレイヤーを定めて細かく作り込み、ものによってはマニュアルにまで落とし込むという作業を行った。さらに、ルールはいつでも見られるように社内イントラで公開している。Cの教育は、講習会や研修を行うとともに、2005年3月からはeラーニングによる教育も開始した。これには、チェックを行うテストのようなものがついていて、何度でも挑戦できるようになっている。回答を誤ったものは記憶に残るので、さらにセキュリティに対する意識の向上が期待できる。また、eラーニングでは、だれがどこまで課題をこなしたか確認することができるため、修了できていない従業員がいれば指導を行うことができる点も便利だという。
顧客情報データベースに
アクセスできる人および場所を制限
システム面で重要なことは、セキュリティレベルに差をつけた幾つかのセグメントに分けるということである。2004年に情報を流出させてしまった原因は、調査の結果、次のようなものが考えられた。
●すべての顧客データに常時アクセスできるという
権限が比較的容易に付与されていた
●外部記録メディアの使用が制限されていなかった
アッカ・ネットワークスでは、まず顧客データベースにアクセスできる権限と場所を限定した。物理的に部屋に入るためには権限が付与されていなければならず、それ以外の人のカードキーでは入室できないという高セキュリティルームからしか、データベースにはアクセスできない。
もちろん、開通処理など通常の業務を行うのに、そのすべてを高セキュリティルームからしか作業できないのでは効率が悪い。そこで、高セキュリティルームからデータベースにアクセスした担当者(Aさん)は、その日作業するぶんのデータを本日作業用のフォルダに展開する(図1)。実際の業務は、1ランク下のセキュリティルームでBさんが取り出して行う。ポイントは、高セキュリティルームでサーバからデータを取り出す人と、そのデータを受け取って作業を行うのが別の人だという点だ。1つのデータの処遇について最低でも2人の人間が知っており、ある意味で相互監視の関係を築いている。
物理的には入退室のログの監視を行うとともに、室内への私物の持ち込みを制限している。今時は携帯電話のカメラ機能も高度化しており、画面に表示した情報を撮影して持ち出すなどの方法も可能だからだ。
また、顧客サービスの部署でのインターネットの使用を制限した。顧客からの問い合わせにより情報を検索しなければならないこともあるため、検索・閲覧のみを許可。情報を発信するような通信は遮断している。
情報システム部門も、顧客データベースにアクセスする可能性のある部署である。こちらも入室権限を情報システム部員のみに限定し、さらに情報システム開発者のアクセス権限の有効期限を1日のみに限定するという体制にした。顧客データベースにアクセスする必要がある日は、そのつど申請するというわけだ。
さらに、厳重に管理されている端末を除き、社内のすべてのコンピュータの外部記録メディアの使用を不可とした。フロッピーディスク、MOなどのドライバ類を取り除き、USBメモリなどを使えないように封印をした(写真1)。さらに、PC自体を持ち出せないように鎖で固定している。
変化するリスクのトレンドを考慮し
各社に固有の事情に応じた対策を
以上のようなシステム上の改善を行ったほかに、アッカ・ネットワークスでは、社外向け電子メールをすべて保存して監督者が常時閲覧できる体制を整え、システムにログインするためのパスワードを定期的に変更するなどの対策も講じた。
リスクのトレンドは常に変化している。かつてDoS攻撃によるサーバダウンがニュースとなり、その後、社内からの情報漏えい事件に注目が集まった。同社のCSOである中木正司氏によれば、現在最もリスクが高いのは、外部に持ち出すノートブックPCであろうということだ。そこで同社では、PCの社外持ち出しについても制限をかけている。持ち出し専用のノートブックPCを用意し、プレゼン資料など出先で必要なデータ以外はいっさい記録させないという。さらに、社外からのリモートアクセスの制限も行うようにした。電子メールの閲覧のみを職種によって許可し、それもデバイスに記録の残らない携帯電話で行うシステムを構築中だ。
また、手軽でそれなりの効果が期待できるものに、ストラップの色分けがある。社員証などを首から下げて、入退室管理のキーとしても利用している企業は多い。この社員証を下げるためのストラップを、許可されているセキュリティレベルに応じて色分けするというものである。高セキュリティルームに許可されていない人がいれば一目でわかるため、セキュリティ意識の向上に有効だという。
セキュリティ対策に万能薬がないのは、各企業・組織によって所有しているデータの性質や事業の目的が異なるためでもある。つまり、A社で最善の策がB社でもそうだとはかぎらない。出来合いものを買ってきて導入できないのはもちろん、コンサルテーションを受ける場合でも「実際にその企業の業務内容やフローを熟知した人が関わることが、採りうる最善の策だ」と中木氏は語った。
 |
| 図1● 顧客情報のデータベースに直接アクセスできる高セキュリティルームには、限られたスタッフしか入ることはできない。通常業務のオペレーターは、セキュリティルームからその日の作業ぶんのデータがコピーされたフォルダにのみアクセスできる |
|
 |
| 写真1● OSからドライバは除いているが、端子やスロットをシールで封印した。セキュリティに対する意識向上も期待しているのだろう |
|
|
