機密情報の漏洩経路の一つして、真っ先に浮かぶのが電子メールだろう。社内外を結ぶコミュニケーション・ツールとして定着しているだけに、使い勝手と高いセキュリティを両立できる対策の確立は難しい。本稿では、その実現に近づくために、独自のリスク対策基盤を開発・運用する日立キャピタルの取り組みについて、同社の情報システム部門長である平田信哉氏自らが解説する。同社は、電子メール同様に漏洩リスクを抱えるFAXにおいても、同基盤を活用し多大な効果を上げている。
日立キャピタルは、リテール部門を得意とする日立クレジットと法人部門に強みを持つ日立リースが2000年に合併して誕生した。旧日立クレジットは、テレビや冷蔵庫など、日立製作所製家電製品の月賦販売を提供するために設立された。こつこつと地道に信用と実績を積上げていくというDNAを守り続けることで、日立キャピタルは現在、日立グループの中核金融会社になっている。
上記の意味で、日立キャピタルの情報システム部門の基本コンセプトも、既製品を買ってきて使うというよりも、自分たちで考えて作り活用していくところにある。作ったら終わりではなく、構築したインフラを最大限に活用するという考え方だ。セキュリティにおいても、リスク対策インフラを自分たちで開発し、それらを業務効率を高めるための基盤として活用できるように手を加えてきた。以下では、一連の取り組みの中から、電子メールおよびFAXのセキュリティ対策について紹介していく。
対策の基盤はシンクライアント
取引先や協力会社との情報のやり取りには、リスクを伴う。なぜ、そのリスクをヘッジする施策の中心が、電子メールとFAXなのか。その理由は当社が協力会社に委託している開発業務の作業環境にある。
情報システム部門が協力会社に委託する開発業務では、米シトリックス・システムズ製のサーバーサイド・コンピューティング・ソフト(サーバー側で処理を実行し、クライアントには画面情報だけを見せる、シンクライアント・システムを実現するためのソフト)「Presentation Server(旧MetaFrame)」を使っている。当社の業務部門も通常は、Presentation Serverを利用したシンクライアント環境を利用している。それい加えて開発業務には、業務部門用とは別に、専用のPresentation Serverを用意した。
シンクライアント・システムのデスクトップ環境はすべて、神奈川県の山奥にあるデータセンターのPresentation Server上にある。社内にはシンクライアントしかない、という前提だ。協力会社の担当者は、専用の環境にアクセスして、設計やプログラム作成、制動テストなどの作業を行っている。結果、メールやFAXによって、情報が飛び交う機会が多い。
当社のセキュリティに関するコンセプトは、「お客様からお預かりしている情報を絶対に外に漏らさない」ということだ(図1)。これは2003年から取り組んでいる。同じ金融機関とはいえ、銀行などは違い、当社は法律に守られている会社ではない。機密情報が漏れたらすぐに事業が立ちゆかなくなるという危機感のもと、2005年の個人情報保護法の本格施行前からセキュリティ対策には力を入れてきた。
実はPresentation Serverを使ったシンクライアント・システムを導入した2003年時点では、通信の高速化が目的だった。ただその頃から、「これはセキュリティ対策のプラットフォームになり得る」と考え、このシステムを核にいろいろな施策を打ってきている。
例えば、情報システム部門の委託先企業の管理については、以下のような取り組みを行っている。システムの開発・運用、データ入力や印刷、書類などの配送といった業務に関しては、顧客企業はもちろん協力会社など約40社と協力関係にある。業務を円滑に進めるために、各企業の責任者と業務担当者、一人ひとりを当社の取引業者台帳に登録している。登録者数は合計で約400人に上る。
登録内容は、毎年見直している。登録している責任者、担当者のそれぞれに入場の届けと誓約書を提出してもらっているが、いつの間にか担当を外れているということがないように、年に1回、期ごとに更新している。
