 |
| 写真1●アルプス電気 情報システム部の谷村敏一部長(右)と筥崎智グループマネージャー(左) |
大手電子部品メーカーのアルプス電気は,2007年2月から国内拠点間を流通するデータの暗号化に踏み切った。万一,社内から外部に文書ファイルなどが流出しても,情報が漏えいしないようにするのが狙いだ。2007年6月以降は,世界中の拠点間でのやり取りも暗号化する体制に移行する。
アルプス電気はこれまで,社内規定を整備することを情報漏えいの抑止策としてきた。例えば,「上長の許可がなければノート・パソコンを持ち出してはいけない」とか,「仕事に必要のないソフトをインストールしてはいけない」といった規定だ。ただし,「管理は現場に任されていたので,実際に守っているかは厳密に調べられなかった」(情報システム部の谷村敏一部長,写真1)。
取引先から対策が求められる
ところが2006年ころになると,この情報漏えい対策に見直しを迫る機運が高まってきた。きっかけは,2005年末から2006年初めにかけて相次いだWinny経由の情報漏えい事件である。アルプス電気が直接被害を受けることはなかったが,「自社でもいつ起こってもおかしくない問題」(谷村部長)という認識が広がり,早急な対策を求める声が挙がり始めた。
社内で危機感が高まる一方で,取引先のメーカーからも「Winnyが社員のパソコンに入っていないことを宣言してほしい」といった要請が寄せられたり,「取引先の情報漏えい対策調査」という名目でアンケートの記入を求められるケースが増えてきた。
良識だけでは守れない
そこで決断したのが“人の良識”に頼らない情報漏えい対策の実施である(図1)。2006年4月に設置したCSR(企業の社会的責任)委員会の中で議論し,10月に製品導入を決めた。
 |
| 図1●情報セキュリティへの取り組みの変遷 [画像のクリックで拡大表示] |
この議論の中で見えてきた要件は二つある。一つは社内で流通するファイルをすべて暗号化すること。「ファイルを暗号化しておけば,社員のパソコンがウイルスに感染したり,操作ミスによって社内文書が外部に流出してしまった場合でも,情報が漏えいする危険はなくなる」と考えたからだ。
もう一つは社員の操作を監視し,社内規定から外れた行動を見付けた場合,ブロックすると同時に警告すること。警告するのは監視していることを社員に知らせ,出来心やうっかりミスによる情報漏えいを防ぐためだ(図2)。
 |
| 図2●情報漏えい防止のためにまとめた要件 社内データの暗号化とパソコン操作の監視という二つの方針を挙げてシステム構築に取り組んだ。 [画像のクリックで拡大表示] |
アルプス電気はこうした一連の対策を“性弱説”による情報漏えい対策と名付けた。聞き慣れない言葉だが,谷村部長は「性悪説に立つと故意に情報を漏えいさせる人間にも対策をしなければならない。そこまでやると利便性や生産性が下がってしまう。ミスやちょっとした出来心による情報漏えいを防ぐという意味で“性弱説”という言葉を使った」と説明する。
多言語対応が決め手に
こうした要件を満たす対策製品として選定したのが,子会社のアルプス システム インテグレーション(ALSI)の「Document Security」とハンモックの「AssetView」だ。前者はファイルの暗号化,後者は操作ログの収集や不正操作,禁止アプリケーションのインストールの防止/警告に使う。
導入に当たっては情報漏えい対策機能を持つ5社の製品を評価した。Document Securityを選んだのは「海外拠点での導入に必須の中国語など多言語に対応していたから」。子会社の製品だから選んだわけではないという。「Document Securityには不正操作をブロックできないなど物足りない点もあったが,唯一多言語に対応していた」。また,選定作業を進める中で,Document Securityで足りない操作ログ収集と不正操作ブロックはAssetViewで補完できることが分かった。
