経路と認証方法で権限を切り替え

図2●クライアントからのアクセス制御情報を利用者情報データベースで一元管理
ハードウエア・トークンを利用してアクセスする場合に用いるPINと,ハードウエア・トークンを利用せずにアクセスする場合に用いるLDAP認証のパスワードは,システム上は別のもの。しかし,社員に両者を使い分けてもらうことは現実的に難しいので,同じものを「パスワード」として利用可能にした。具体的には,PIN,LDAP認証用パスワード,アクセス制御情報を,利用者情報データベースで一元管理。1日1回,各サーバーと設定情報を同期している。

 社員がSecurIDカードの携帯を忘れた場合に,社内情報システムからいっさい閉め出されると,実務上困ったことになる。また,SecurIDカードにより本人認証を強化しても,インターネット経由のアクセスによるリスクが皆無になるわけではない。

 大成建設は,これらの事情を考慮。認証方法やアクセス経路によって,ポータル・サイトへのアクセス権限を自動的に切り替えることにした。具体的には,同じ社員がアクセスした場合でも,次の3つのケースでは参照できる情報や実行できる操作が違ってくる。(1)LANからSecurIDカードによるワンタイム・パスワード認証で接続する場合,(2)LANからSecurIDカードを使わずユーザー名とパスワードによるLDAP(簡易ディレクトリ・アクセス・プロトコル)認証で接続する場合,(3)インターネットからSecurIDカードによるワンタイム・パスワード認証で接続する場合――である。例えば,会社として重要性の高い承認や決済などの処理は,最も安全性の高い(1)の場合だけ許可することにした。(2)や(3)の場合は,権限を制限した。

 こうした複雑なアクセス制御を一元管理できるようにするため,大成建設はアクセス制御に必要な情報を利用者情報データベースに集約している(図2[拡大表示])。具体的には,ユーザー名,SecurID認証時に使用するPIN,LDAP認証時に使用するパスワード,アクセス権限情報などを,RDBに一元化。その情報に基づき,SecurIDによる認証機能を提供するサーバー「RSA ACE/Server」や,LDAPによる認証機能を提供するサーバー「Tivoli Access Manager for e-Business」(旧名「Policy Director」)の設定情報を更新できるような構成を採った。

 この仕組みは,運用面でも生きている。システム上は別物であるSecurID認証時のPINと,LDAP認証時のパスワードを,共通化するのに利用したのである。大成建設は,PINとパスワードの違いを社員に理解してもらい,使い分けてもらうことは困難だと考えた。そこで,両者を同じ文字列にすることで,「利便性を高めた」(SIに参加したテクマトリックス ネットワークセキュリティ営業部 部長の大須賀 浩氏)。社員それぞれが指定した4文字以上8文字以内の英数記号列を利用者情報データベースで管理。それを,ACE/ServerのPIN情報や,Access ManagerのLDAPパスワード情報と同期させている。

運用の仕組みを徹底

図3●ハードウエア・トークンの配布時に個人への帰属意識を徹底させる
ハードウエア・トークンが社員個人と結び付けられた重要なものであることを周知徹底するための工夫をした。まず,トークンと利用ガイドを社員ごと別々の封筒に入れ,各拠点の総務担当者から手渡しで配布するようにした。配布時には,トークンの識別番号を記入した受領書に記名捺印させた。

 システムの作り込みと並行して進めたのが,運用の仕組みづくり。せっかくSecurIDカードを導入しても,社員が机の上に放置したり,ほかの社員に貸したりしては,セキュリティ・レベルが下がってしまう。カードの取り扱いを含めて,セキュリティの意識を全社員に植え付ける必要があった。大成建設は,基本的なルールの見直しに半年を費やし,社員への普及/啓もうにさらに1カ月をかけた。

 まず着手したのは,社内ルールの見直しである。大成建設は数年前から,情報セキュリティを確保するための仕組みづくりを進めていた。具体的には,情報セキュリティに対する基本方針を定めた「情報セキュリティ・ポリシー」,役員などが最低限知っておかなければならない内容を定めた「情報セキュリティ対策基準」,実務担当者が守るべき詳細を規定した「情報セキュリティ・スタンダード」などを明文化。現実化するための組織や役割体系も整えていた。それらを,SecurIDカードの導入に沿うように改訂した。

 改訂した内容が2002年3月の取締役会で承認されると,ただちに社員に告知。社長の訓辞,副社長のメール,社告,社内報など,折に触れて何度も通達することで,社員に周知徹底した。SecurIDカードを紛失した社員や,故意に破損した社員には,再交付時にペナルティとして5000円の実費を課すことも決めた。

 SecurIDカードを社員に配布する際,「カードの重要性を社員1人ひとりに強く認識してもらえるような方法を採った」(社長室 情報企画部 課長の北村 達也氏)(図3[拡大表示])。具体的には,SecurIDカードと利用の手引書を,各社員の氏名を印刷した封筒に入れて配った。カードを受け取った社員には,カードの識別番号を明記した受領書を提出させた。このような細かな積み重ねが,「カードは個人に関連付けられた重要なものである」という意識を社員に定着させた。

 こうして2002年4月,SecurIDカードでアクセス制御したポータル・サイトの正式運用が始まった。開設から3日間で,約9000人の社員が実際にSecurIDカードを利用してポータル・サイトにアクセスした。

 同社は今後,顧客の機密情報を扱う機会が多い部門を中心に,さらに厳格なセキュリティ管理体制を整えていく。すでに設計部門は2002年6月,BSI(英国規格協会)が制定した情報セキュリティ管理基準「BS7799」の認定を受けた。