一般財団法人
化学物質評価研究機構 様
既存の情報セキュリティ対策システムに
重ね合わせるかたちでCWATを導入。
より包括的で、隙のない情報漏洩対策を実現
CWATの導入効果
- ●法改正に即応し、求められる適切な情報漏洩対策を実現
- ●全PCにおいて、ログ取得、外部記憶メディアへの書き込み制限が可能に
- ●PCや職員の異動にも即時対応可能。また未登録端末の検知・対応を実現
- ●悪意を持った権限者の情報漏洩を未然に防止可能に
化学物質評価研究機構(以下CERI)は、化学物質等に関する試験・検査、評価、研究・開発等を行うことで、それらの品質向上および安全性を確保すると同時に、環境保全および衛生保持に配慮し、産業の健全な発展と国民生活の向上に寄与することを目的とする一般財団法人です。その業務は、化学物質の開発から製造、消費、廃棄に至るまでの全ライフサイクルにおいて、化学物質の総合的な評価を行うこと。企業の委託を受け、こうした業務を公正で中立な第三者機関として行うCERIでは、依頼先の企業名から依頼内容、調査結果まで、守秘義務の対象となる情報を常時大量に抱えています。これらを確実に守るため、内部情報漏洩対策として選択されたのがCWATでした。
導入の経緯
既存の情報セキュリティ対策システムを、法改正に合わせてより堅固にするために
2005年の個人情報保護法施行に先立ち、前年6月に、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が公表されました。CERIではそれ以前より、職員の教育、機密情報のセキュリティ対策など、人とシステムの両面において先進的な対策を行ってきていましたが、当該ガイドラインに照らし合わせて唯一導入を進めるべき側面、すなわちPC操作ログの取得をはじめとした「内部情報漏洩対策」を包括的に実現できるシステムの導入について検討を始めたのです。「サーバ構成の工夫や、既に導入済みだった各種ソフトウェアにより、個人情報や試験報告書の保護についてはかなりの段階まで実現できていました。そのシステムに組み込むことができ、情報セキュリティの体制をさらに強化できるソフトウェアを求めていたのです。ログの取得、外部メディアへの書き込み制限、未登録端末のネットワーク接続の禁止、さらには、万一誰かが悪意を持った時に未然に情報漏洩を防げるかといった点が検討事項でした」と、企画部長は語ります。当時はUSBメモリ等、大容量の記憶メディアが出回り始めた時期に当たっていました。「内部からの情報漏洩について、それまで以上に注意が必要な時期となっていたのです」(企画部長)。
選定のポイント
求められるすべての仕様を満たしながら、運用性においても他に抜きん出た評価を獲得
選定時には4種の製品が検討されました。「求めている仕様および現在のシステム構成をお伝えし、各製品のプレゼンテーションを行っていただきました。その結果、すべての仕様を満たしながら、現状のシステムに組み込んでもっとも容易に運用できるという判断から、CWATを選択したのです」(企画部長)。
CWATでは、定められた監視基準にPC端末の操作または状態が違反した場合、あらかじめ設定した動作(警報、禁止など)を行い、その操作記録がログとして集約されます。ログが記録されることからユーザへの抑止効果が期待できるとともに、万一の情報漏洩の際にも原因究明に繋がると考えられました。さらに、外部からPCを持ち込んでネットワークに接続されたり、組織内のPCが盗まれた際にも、CWATなら検知・対応が可能です。これらのポイントが選定の決め手となりました。
システム概要
CERIならではの方法論で構築された既存システムにスムーズに馴染み、より優れた情報セキュリティ対策を実現
システムの構成としては、核としてOM(オーガナイゼーションモニタ)、それからネットワーク上のすべての端末約500台にOPDC(オペレーションディフェンスコントローラ)が導入されています。さらに未登録端末の検知用として、各事業所のすべてのセグメントにEUDC(未登録端末検知オプション)が配置されました。
CERIのシステムでは、例えばWeb閲覧の制限用には専用のソフトウェアを、メールのやりとりにおけるセキュリティチェックには別のソフトウェアをと、特定の機能に特化した複数の製品が用いられており、それらの長所を組み合せて堅固な情報セキュリティを実現する方法が取られていました。ここに導入されたCWATは、その柔軟性によって既存のシステムに馴染むとともに、CERIの情報セキュリティ対策の質を多いに高めることに貢献しました。特筆すべきは管理の容易性です。新規PCの導入、あるいは職員の増員といった事態に対しても、ノード情報や職員情報の追加といったわずか数分の作業で対応することができるため、極めて容易かつ即時的に、ポリシーをシステム全体に反映させることが可能なのです。
導入効果
最大の懸案事項であった外部メディアへの書き込み制限に威力を発揮。抑止効果も含め、十全なセキュリティ体制を構築
CWAT導入直後には「データをメディアにコピーするにはどうすればいいのか」という問合せが相次いだと、当時を回想して企画部長は笑います。これは、USBに書き込みが許可されている職員でも、従来のドラッグ&ドロップではなく、CWATのメディアコピー機能を使うという正規の手続きが必要となったため。すなわち、外部記憶メディアによる情報漏洩の可能性が抑えられたことを如実に示すエピソードであり、「USBメモリ等の外部記憶メディアによる事故は一件も発生していません」(企画部長)。またCERIでは、導入時に社内にしっかりとアナウンスを行い、新入職員にもCWATについて説明するなど、職員教育も徹底。ポリシー違反操作時に表示される警告画面と併せ、十分な抑止効果が発揮されているといいます。「私たちの考える情報セキュリティ体制は、CWATの導入によってほぼ満足いくレベルにまで到達した、と現時点では考えています」と企画部長は総括しました。
NTT-ATの支援により、滞りない運用を実現。V4へのバージョンアップも視野に
CWATの運用に当たっては、NTTアドバンステクノロジ(NTT-AT)がパートナーとして支援に当たっています。「運用上困った点が出てきても、メールに対して素早くレスポンスをいただけますし、実際に顔を合わせての打合せにおいても、分かりやすく懇切丁寧な対応で大変助かっています」(主任研究員)。
またCERIでは、今後CWAT V4へのバージョンアップを予定しています。現状ではWindows端末のOSはXPとなっていますが、Windows7のリリース時にOSの入れ替えを検討しており、その際CWATも同時にバージョンアップすることで、拡充されたCWAT V4のさまざまな機能を活用していくことが狙いです。「V4の新機能には期待しています。またその際、NTT-ATという一流の技術力を持ったパートナーに依頼できるということで、移行についても全面的な安心感を持っています。今後も私たちのシステムに、客観的視点から有益な提案をしていただけるのではないかと期待しています」(システム管理室長)。
