「情報漏えい事故を防ぐには,ITの資産管理を徹底し,不正接続を自動検知する仕組みが不可欠」──。2008年8月21日,東京ビッグサイトで開催中の「エンタープライズ・リスク・マネジメント2008」において,ダイキン工業の北西宏章氏(電子システム事業部 課長,写真)が登壇し,IT資産の棚卸しや不正検知を自動化する重要性を訴えた。
情報セキュリティ対策が重要な課題となっているにもかかわらず,情報漏えい事故は後を絶たない。それはなぜか。「IT資産管理ツールを導入しても,時間の経過とともに把握できていないIT資産が増えていく。これが大きなリスクになっている」と,北西氏は理由を説明する。
例えば,ユーザー部署が直接業者からPCを購入したり,リース会社に返却されたはずのPCが社内に残っていたりする。こうしたずさんな資産管理が情報漏えいを招き,企業に致命的な損害を与えることにつながる。
それでは,企業ネットワークへのIT機器の不正接続を防止するにはどうすればよいか。講演の中で北西氏は,あるメーカーの対策事例をもとに具体的に説明した。この企業は社内で情報漏えいが発覚したため,不正接続を防止するシステムの導入を決めたという。
まず,IT資産の管理データベースを整備し,実態を常に把握できる仕組みを作った。ダイキン工業の資産管理ソリューション「PNDDA」を導入し,社内のネットワークに接続されているすべてのPCについて,「どこに」「何が」「何台」接続されているかという情報を自動的に収集できるようにした。
次に,資産情報データ管理システム「EQWAC」と不正接続防止センサーとを連携し,許可なく接続された機器を自動的に検知・遮断する仕組みを構築した。「資産台帳とのつき合わせを人手で行う従来のやり方に比べて,システム担当者の運用負荷を大きく低減することができた」と北西氏は評価する。
さらにPCの利用申請を紙からWebベースの電子申請に切り替えた。これによってPCの登録,移動,廃棄という一連のワークフローを見える化するとともに,管理工数を大幅に低減した。申請のないPCの接続も一掃できたという。
この事例ではPCの接続台数が2万台という大規模なネットワークだったが,ほぼ3カ月で運用開始にこぎつけた。「企業のセキュリティ管理に終わりはない。PDCAサイクルをきちんと継続的に回すことではじめて安全なITインフラが維持できる」と北西氏は語り,講演を締めくくった。
