人・モノ・金に加えて
情報資源の管理が必須に
かつて、経営資源は「人・モノ・金」という3要素から成り立つと言われていた。そして、ある時点からそこに4つ目の要素が加わった。それが「情報」だ。
日立ソフトウェアエンジニアリング ソリューション営業本部 営業推進部 部長 松江芳夫 氏
ほかの3要素と比べて、情報という資源の取り扱いは、これまであまりにぞんざいだったと言わざるを得ない。資金や人事、資産については、どんな企業でも適切に管理する仕組みを備えているだろう。では、情報について「適切な管理ができている」と自負できる企業がどれだけあるだろうか。大半の企業では、大規模な情報漏えい事故には発展しないまでも、情報の紛失や不適切な持ち出しといった「不適切な管理状態」、つまり情報セキュリティ上の問題が日常的に発生しているのではないだろうか。
だが、「情報を適切に管理する」という目標は非常にあいまいであり、具体的にどう取り組めばよいのかがわかりづらい。これに対し、日立ソフトウェアエンジニアリング(以下、日立ソフト)ソリューション営業本部 営業推進部 部長の松江芳夫氏は、「第一は情報に『保護』を与えること、その次は情報に『コントロール』を与えることだ」と明解に定義する。この2つを大きな目標として自社の情報セキュリティ環境を整備していくことで、情報という資源が最大限に生かされるわけだ。
情報セキュリティのPDCAサイクルで
最も重要なのは「P(プラン)」
理想的な情報セキュリティ環境は、PDCAサイクルを回す(運用する)ことで実現できると言われる。このPDCAサイクルにおいて、最も重要なのは「プラン(Plan)」だ。具体的な施策の実行(Do)、それがプラン通りに機能したかどうかのチェック(Check)、そしてその評価に基づくプランの是正(Act)と、いずれもプランに基づいて実施される。つまり、最初に明確なプランがなければ、PDCAサイクルは回らず、情報セキュリティ環境は改善されない。
だが松江氏は、「日本では『Do』の部分ばかりに注目し、『プラン』を軽視する企業が多い」と警告する。「例えば、なぜセキュリティログを取っているのかを尋ねてみると、多くの企業では『何か起きたときのためだ』という答えが返ってくる。では、その『何か起きたとき』とは一体いつのことなのか、何を判断基準とするのか。そう尋ねても、明確な答えは返ってこない」(松江氏)。これこそが、プランのない「Do」の典型だろう。
本来、ログの役割は事後の証跡収集(フォレンジック)だけではない。障害や事故の予兆を検知し、それらの発生を未然に防ぐという役割のほうが重要だ。だが、プランのないログ取得(Do)をいくら行っても、目標やルールが定まっていない以上、事故を未然に防ぐことはできない。「結局、最初にきちんとしたプランがなければ、どんな『Do』を実行してもうまくいかない。それどころか、どこがうまくいっていないのかすら判然とせず、評価や是正もできない」(松江氏)。
写真1 松江氏も執筆に参加した書籍「情報セキュリティガバナンス」(生産性出版刊)。「経営層から運用管理の現場の方まで、もう一度情報セキュリティの全体像を確認するために読んでいただければ」(松江氏)
松江氏は、「情報セキュリティはコストがかかるばかりで価値を生み出さない」という見方に対しても異論をとなえる。「正しくPDCAサイクルを回し、内部統制を実現することができれば、情報セキュリティは必ず価値を生む」(松江氏)。ここで言う価値とは、顧客や取引先、あるいは監査を行う公的機関などから寄せられる「信頼」のことだ。「最近は社会全体に不安や不信がはびこっている。経営者はもっと、『安全』や『安心』を自社の価値としてアピールするべきだ。社内外にそうしたメッセージを発信することで、従業員も含めたステークホルダーと、セキュリティに対するビジョンが共有できるようになる」(松江氏)。ビジョンが共有されてこそ、社員のセキュリティ意識も大きく向上する。したがって、こうした取り組みは情報セキュリティ対策のプランの1つに組み込んでおくべきだ、と松江氏は語る。
「安全と安心」をコンセプトに
ソリューションの幅を広げる「秘文」
日立ソフト自身も、「安全と安心」をビジョンに掲げ、セキュリティソリューション事業を展開してきた企業だ。その核となるセキュリティ製品ブランドが「秘文」だ。
秘文ブランドは、「世の中の情報インフラに対して安全と安心を提供する」というビジョンをもって立ち上げられた。ISMSやISO 27001などのセキュリティ管理基準に準拠する安全な情報インフラを、誰でも容易に利用できる形で提供するというのが一貫したコンセプトである。
高度な情報セキュリティを実現しようとすると、面倒なルールが増えたり、日常的な作業が煩雑になったりしがちである。だが、面倒なルールはやがて守られなくなるし、作業が煩雑になればなるほど、セキュリティ事故原因の大部分を占める「人的ミス」が多発することになる。「従業員の誰もが簡単に使えるようなシンプルなものでなければ、安全と安心は実現できない」(松江氏)。そのため秘文ブランドの製品群は、システムで自動化できる部分を増やしてエンドユーザーの負担を軽減し、ユーザーが意識しないうちに情報の「保護」や「コントロール」が実現されているというITインフラ環境づくりを目指している。
秘文ブランドの中で、PDCAサイクルの「Do」を実施するソフトウェア群が「秘文AEシリーズ」だ(図1)。現在ではファイルやディスク、電子メールの暗号化から、情報の持ち出し制御、認証、データの完全消去まで、幅広い機能をラインアップする。
図1 秘文AEシリーズの概要。情報資源に「保護」と「コントロール」を与えるための豊富なツール群がラインアップされている
ただし、これらはあくまでも「Do」のためのツールでしかない。前述したとおり、まずはプランをしっかりと定めなければ、具体的にどのツールを採用するのかも決まらない。
プランを決定する作業は人間でなければできないが、プラン策定のために必要な現状把握の作業は、ソフトウェアの力を借りて大幅に自動化/省力化することができる。それを実現するのが、セキュリティマネジメントツールの「秘文MEシリーズ」だ。
秘文MEシリーズは、社内ITインフラの現状把握のために、社内にある管理漏れPCの洗い出しや保護するべき情報の明確化、ユーザーの操作ログ取得といった機能を提供する。これによって、経営者やシステム管理者は、より的確な情報セキュリティプランが決定できるようになるわけだ。さらに、セキュリティポリシーの順守状況を自動的に点検し、違反を管理者に通知したり、ユーザーに警告メッセージを送ったりする機能を備える。人為的な情報持ち出しなどに対しては、ログ追跡機能により持ち出し経路を特定することも可能だ。
このように、日立ソフトは秘文ブランドのソフトウェアで「安全と安心」を実現してきた。しかし、企業の多種多様なニーズを日立ソフト1社でまかなうのは困難だ。そこで、Webサイト「秘文 Square」では、パートナー企業の開発する秘文連携ソリューションも含め、情報を提供している。
松江氏は、秘文 Squareの将来像について“ショッピングセンター”をイメージしていると言う。「さまざまな業種のテナントが入ったショッピングセンターのように、『秘文 Square』に行けばセキュリティソリューションが何でもそろうというのが理想。ソフトウェアだけでなく、ハードウェアやファシリティ(設備)、コンサルティングまで、秘文ブランドをハブとして幅広く『安全と安心』を提供していきたい」(松江氏)。
低コストでシンクライアントを実現
「WriteShield」
秘文以外にも、日立ソフトはドキュメント統制ツールの「活文NAVIstaff」、指静脈認証ソリューション「静紋」といったセキュリティ製品を提供している。そうした中で、情報漏えい対策製品として2007年に発売したのが、擬似シンクライアントソフト「WriteShield」だ。
情報漏えい対策にはすでにさまざまな手法があり、シンクライアントはその1つである。PC上のディスクに機密データを保存しないため、PCの紛失や盗難が発生した場合でも情報漏えいが発生しない。ただし、ハードディスクを搭載しないシンクライアント専用機を導入したり、センター側にサーバの導入やシステム変更が発生したりするため、シンクライアント環境の実現には大きなコストがかかるのが一般的だ。また、実装方式によっては、利用時に常時接続の高速回線を必要とするものもあり、必ずしも使い勝手のよいものではなかった。
そこで、既存のPCをそのまま利用し、ソフトウェア的にローカルディスクへのファイル書き込みを禁止してしまうのが、このWriteShieldだ。社内にあるファイルサーバから文書ファイルを取得し、書き換えたあと再びファイルサーバに保存する。したがって、ネットワーク接続はファイル取得/保存のときだけでよく、OSやアプリケーションはローカルディスク上のものを起動するため動作が軽快だ。実際に日立ソフトでも、外出先や取引先で業務を行う機会の多い社員や在宅勤務の社員が、この製品を利用しているという。
問い合わせ先
- 日立ソフトウェアエンジニアリング株式会社
〒140-0002 東京都品川区東品川4-12-7
TEL:03-5479-8831 FAX:03-5780-1056
URL:http://hitachisoft.jp/
E-mail:sales24@hitachisoft.jp
