長年セキュリティ対策に取り組んできた
プロフェッショナルサービスカンパニーが選択した
情報漏洩対策の要：CWAT

情報保護の重要性が叫ばれる中、システム構築や運用、そして保守などのサービスを提供するシステムインテグレータやサービスプロバイダ企業においても、安全な情報管理に向けた取組みが推進されています。
「グローバルに通用するプロフェッショナルサービスカンパニー」というビジョンを掲げる株式会社アルゴ 21（以下、アルゴ 21）では、既に2001年の段階で「情報セキュリティ委員会」を設けるなど、早くから全社的な施策を打ってきました。2005年4月の個人情報保護法全面施行を機に、さらなる情報保護対策を考えた同社が、情報セキュリティマネジメントプラットフォームとして選択したのはCWAT（シーワット）でした。

導入の経緯

多くのお客様情報を扱う企業の責任として確実な情報保護対策を目指す

「自社の情報だけでなく、多くのお客様情報を取り扱う企業として、社内の情報を安易に持ち出すことができない仕組みの実現が急務と考えました」 －アルゴ 21 情報システム部 部長の沢田治氏は、情報漏洩対策システムの構築に至った経緯についてこう語りました。

情報保護に関する社会的な問題意識が現在ほど高くなかった2001年、アルゴ 21では、既に全社的な組織として情報セキュリティ委員会を設け、情報保護への取り組みを開始しました。「情報漏洩が発生し得る経路をすべて挙げ、それぞれに対する対策を考えました」（沢田氏）。これらの対策の中で、特にPCについては、USBに代表される外部記憶媒体への書き出し、印刷、ファイルサーバからの情報持ち出しなどが情報漏洩対策の対象となりました。2005年4月の個人情報保護法の全面施行により、アクセスログの取得が必須となったこともあり、確実なセキュリティ管理を実現するためのプラットフォーム選定が急務となりました。

選定のポイント

PC操作の監視と違反行為の禁止、抑制、そして特異挙動の検出機能

選定にあたっては、CWATを含め5種類におよぶ情報漏洩対策ツールが候補として挙げられました。「12項目の選定ポイントを挙げ、各製品について入念な評価を実施しました。この結果、最も高い得点を獲得したのがCWATだったのです」－情報システム部の菊池裕輔氏はこう振り返ります。

選定のポイントとなったのは、クライアントにおける操作内容の監視と抑止機能でした。ファイルへのアクセスログ取得に加え、印刷、クライアントへの情報コピー、USBメモリへの書き込みに関わるログ取得の可否について評価が実施され、CWATがすべてを満たすことが確認されました。これらのきめ細かなログ取得機能に加え、CWATには、他社製品には存在しない幾つかの優位点がありました。「ポリシーに違反した社員に対し、その場で違反行為を認識させる抑止機能、また、ユーザが通常と異なる行動をした際、これを発見できる特異挙動の検出機能は、他のツールには無い魅力と感じました」（菊池氏）。その他、ユーザごとの個別の対応、たとえば、「この担当者だけについては、USBメモリへのデータ書き込みを許す」といった微調整ができることも評価のポイントとなりました。
このようなCWATの優位性について沢田氏は、「当社のようなSI企業が悩むポイントについて、十分考慮している点が他社ツールとの差別化になっています」と語ります。

2005年6月から約2ヶ月の評価期間を経て、9月にCWAT選定が決定。10月にはシステム構築がスタートしました。そして、2005年12月、CWATによる情報漏洩対策システムが稼動を開始しました。

システム概要

1500台のクライアントPCで操作監視とポリシー違反行為の抑止を実現

新システムでは、アルゴ 21の社員および、本社内 LAN に接続できる環境で働くパートナー企業も含めた約1,500台に及ぶクライアントPCにCWATのOPDC（オペレーションディフェンスコントローラ）が搭載されました。ここでは、通常のファイルサーバにおけるアクセス権の設定では実現できない各種の操作規制が実現され、利用者が、機密ファイルのコピーや印刷、さらにUSBなどへの書き出しを試みると、リアルタイムでポリシーに違反している旨が表示されます。ファイルサーバでのアクセスログ取得に加え、クライアントPC上での操作が逐一監視されていることを認識させることで、不正行為に対する抑止効果を高めています。
取得ログは、他の情報セキュリティ対策ツールで収集したログと共に管理され、アルゴ 21が開発した統合閲覧の仕組みによってレポート化されます。事業部長以上は、毎朝メールでこのセキュリティレポートを参照し、情報保護の状況を把握することができます。

導入効果

「情報漏洩の完全防止」を証明、情報保護に対する利用者の意識を向上

CWATの導入効果について沢田氏は、「情報漏洩の完全防止を検証できた点、そして不正行為そのものの抑止効果が得られた点が大きな効果だと思います」と語ります。日々、管理者の手元に届くレポートは、情報管理に対する脅威が「皆無であること」を証明するものとなっています。一方、ITコーディネータ情報システム部マネージャの下原隆徳氏は、「使用者の意識レベルを向上させるという面で大きく役立っています」と強調します。
以前から、文書管理や機密性の高い情報の扱いをルール化し、運用してきた同社ですが、ツールによって操作の最中に、それが不適切なものと分かることが重要であると指摘します。「アラートにより、明確な形で不正操作に気付き、使用者の情報保護に関する意識がさらに高まるという効果が得られました」（下原氏）。

今後の展望

内部統制対応でもCWATを活用。情報セキュリティ対策のPDCAを推進

今後、必須となる内部統制、特にITに関連した全般統制への対応について沢田氏は、履歴（ログ）管理の重要性を指摘します。
コンプライアンス経営を充実させるためには正確な履歴の保全が求められています。「クライアントPCからの操作履歴取得、管理という面でも、CWATの提供機能を活用していこうと考えています」（沢田氏）。

終わりがないと言われるセキュリティ対策。その「PDCA サイクル」において、「Do（実行）」から「Check（確認）」の段階にさしかかろうとしているアルゴ 21。情報保護に対する姿勢は、2001年の情報セキュリティ委員会設立から5年が経過した今も変ることなく継続されています。システムサービスを提供する立場であるアルゴ 21は、自身がユーザーでもあるCWATを、自信をもってお客様にも提供しています。そして、世の中の動向を踏まえながら、お客様の考えるセキュリティポリシーに沿った対策を段階的かつ継続的に講じて行くお手伝いを行っています。より高いレベルのセキュリティ対策を追求し続ける同社の情報セキュリティマネジメントプラットフォームとして、CWATは今後も最大限に活用されていきます。

協力パートナー：サンテレホン株式会社