（後編） PC操作の記録や運用体制の整備に注力

日経コンピュータ

2006.07.05

社員が利用するクライアントPCの操作記録に重点を置いたセンチュリー21・ジャパン、記録した情報の運用体制を整えて取り組んでいる東京工業品取引所の取り組みを紹介する。システム利用記録を保存することが、新たなリスクにつながりかねないことにも留意する必要がある。

　社員が利用するクライアントPCの操作記録に重点を置いたのは、住宅販売を手掛けるセンチュリー21・ジャパンだ。昨年8月に、東京、大阪、名古屋、札幌の4拠点にある約150台のクライアントPCにケイディティエスの操作記録ツール「イリーガルビュー」を導入。操作履歴とともに5秒に1回の割合で画面のスクリーン・ショットをキャプチャしている。毎日、東京にあるサーバーに集約しており、そのデータ量は半年間で約200Mバイトになった。抜き打ちで社員の操作内容をチェックすることを公表し、抑止効果を上げている。

　ぷららネットワークスは、守るべきは顧客の個人情報であるとして、データベースへのアクセス情報をすべて記録する方法を選択した。データベース上の処理を記録するインサイトテクノロジー製「PISO」を導入し、すべてのSQL文を記録している。データベース管理者が毎日、前日分を見て、不正なアクセスがないかを確認している。

　企業戦略や業務の全容まで記録することから、運用体制を整えて取り組んでいる企業もある。東京工業品取引所は、記録した情報の閲覧権限を総務部が管理。システムを運用する情報システム部門であっても、総務部の許可なく記録を閲覧することはできない。同社が昨年末に選んだのは、パケット記録ツールと、クライアント操作記録ツールの併用策だ。ソレラネットワークスの製品を導入し、クライアントPC　130台によるメール送受信やWebアクセスの内容を保存。各クライアントPCにはソリトンシステムズの「InfoTrace」をインストールして、ファイル操作の履歴を記録している。

図3　利用記録の狙いは「調査力の向上」と「内部不正の抑止」
[画像のクリックで拡大表示]

調査力向上が抑止力を生む

　ストレージ装置が安価になったとはいえ、システム利用実態のすべてを記録するための費用はばかにならない。再発防止が命題のアイネスやソフトバンクBBは別格としても、KDDI（旧パワードコム）は初期費用3500万円と運用費として月額100万円をかけている。大企業でなくとも、東京工業品取引所は2200万円、ぷららネットワークスは1500万～2000万円、センチュリー21は300万円を投じた。

　各社がそれだけの費用をかけてまでシステム利用の実態を記録するのはなぜか。狙いは、調査力の向上と、内部不正の抑止にある（図3）。

　自社で記録を取っていれば、万が一法律違反や内部不正が起きても、自らの手で原因や経緯を調べることができる。必要な記録が取られており、いつでも調査できるとなれば、内部不正への強い抑止力となる。「完ぺきなセキュリティ対策というのは、技術的にもコスト的にも実現が難しい。そこを補うのが抑止力」（日立製作所セキュリティソリューション推進本部の森田光技師）というわけだ。

図4　司法の場で記録の保存が求められるケースが増えている
[画像のクリックで拡大表示]

　背景には、企業による不法行為に対する社会の見方がいっそう厳しくなっている現実がある。個人情報保護法の各ガイドラインは、個人情報の利用履歴を記録することを推奨している（図4）。2008年4月に金融商品取引法が適用されると、業務が規定通りのプロセスで進められていることを証明する必要が出てくる。不正競争防止法、公益通報者保護法など、企業が守るべき法律が次々と施行され、「順守していることを示す記録の一つとして、システムを介してやり取りした情報や利用記録に、企業が着目している」（伊藤忠テクノサイエンス金融システムソリューション推進部の磯野哲部長補佐）。

製品の特徴を知り、運用体制を確立

　留意したいのは、詳細なシステム利用記録を保存することが、新たなリスクにつながりかねないという点。JA全農向けのシステム開発を手掛けるタイネットは昨年、パケット記録ツールの導入を検討したが、断念した。社内ネットに試験導入したところ、社長から営業部長への指示メールや、顧客への見積もり、人事評価など、「あまりにもいろいろな情報が入手できてしまった」（技術本部の齋藤直樹担当部長）ためだ。記録した情報は企業の実態そのものであり、それが漏洩した時の被害の大きさは計り知れない。

　システム利用実態の詳細を記録する製品/サービスにはどのようなものがあり、どう実現しているのかを知ることで、最適な製品を選択し、記録のための体制を確立できる。一方、そうした製品やサービスを導入しても、意図的な不正行為を完全になくすことは難しい。そのような場合に有効な手段として、サーバーやクライアントPCのハードディスク内に潜むデータの痕跡を調べ上げる手法「コンピュータ・フォレンジック」がある。これまでは主に捜査機関が使う手法だったが、一部の大手企業が採用し始めた。導入まではいかずとも、何ができるかを知り、社内に周知するだけでも、内部不正に対する抑止力の、さらなる向上が見込める。