今井氏：私どもは従業員数40名程度という規模の会社ですが、創業以来、JRグループ様や日本航空グループ様などの大手企業グループをはじめとする70を超える顧客に各種のITサービスを提供しており、わずかな停止や不具合が許されない重要システムの構築や運用も任せていただいています。その理由は、営業と開発部門を一体化し、開発担当者が直接お客様のニーズをくみ取り、最適なソリューションの提案や構築を堅実にやってきたからだと自負しています。

　特に近年では、お客様からますます堅牢なセキュリティが要望されています。業務受託業者としては、求められるセキュリティレベルをクリアすることは最低条件です。そのためには、より高い安全を担保できる社内環境を構築することが不可欠であり、その環境構築が急務です。

以前からセキュリティには注力してきており、2010年にはプライバシーマークを取得、2014年にはクレジット決済システムの構築・運用にあたりPCI DSS（クレジット業界の国際セキュリティ標準）に準拠した体制も作りました。それに加え、ここ最近頻発している情報漏洩事件などに鑑み、2014年には従来の社内セキュリティを見直し、新しく包括的なセキュリティポリシーを策定しています。これは「お客様の情報資産保護は、社内業務効率化よりも優先すべき事項である」という、経営トップの大方針によるものです。その大方針のもとで、最適なセキュリティ製品を選定して次々に導入してきました。

今井氏：これまでのところ、ウイルス対策ツールの利用徹底はもとより、入退室とシステムログインをICカードで認証するシングルサインオンシステム、全LANセグメントを監視可能な不正端末接続防止システム、外部への不適切な情報送信を防ぐWebフィルタリングシステム、メールからの情報漏洩を防止する誤送信対策・添付ファイル自動暗号化システムなどを導入・構築してきました。業務端末ではローカルに業務情報を保管することを禁じ、自動暗号化によりファイルサーバーにすべての業務情報を保管するようにしています。端末の持ち出しは原則として禁止ですが、グループウェアに備わる申請・承認ワークフローにより、必要があると承認されれば持ち出せるようにはしています。その場合でも社内のファイルサーバーには接続できず、データ流出の出口にはなりません。スマートフォンなど私物端末は机のあるところでの使用は禁止し、カメラ撮影も許可していません。

今井氏：業務端末と通信に関するセキュリティは確保できましたが、お客様からは紙の書類や電子媒体の形での成果物の提出・納品が求められることがあります。その際のセキュリティをどう担保するかが課題でした。USBメモリや光ディスクに記録された情報が外部に漏洩すると取り返しがつかない事態になります。これには周到な管理が必要です。情報書き出し時の暗号化は当然ですが、それを漏れなく実行し、その証跡が管理できる必要があります。また、書き出しの目的に応じて、担当者だけでなく上長やその上級の管理職が可否を検討できる仕組みも必要です。さらにその申請・承認のプロセスも、証跡が確保できるようにしなければなりません。また、紙からの情報漏洩に備えるのは難しいのですが、プリンタの利用制御と、出力可否の申請・承認のプロセスを入れることで、一定のセキュリティは担保できます。これも要件の1つです。 このようなセキュリティ対策は、お客様側からの要請でもありました。必要な要件をすべてクリアできる製品として選定したのが「InterSafe ILP」です。

今井氏：「InterSafe ILP」は4つのセキュリティ製品群の総称です。中でも「InterSafe DeviceControl」と「InterSafe WorkFlow」に注目しました。「InterSafe DeviceControl」のデバイス制御機能および暗号化書き出し機能と、「InterSafe WorkFlow」の申請・承認ワークフロー機能とを組み合わせると、まさに私たちが求めていた情報持ち出しポリシーに合致します。またどちらの製品でも利用ログが記録されるため、監査の際には証跡として利用可能です。こうした機能を実際の業務に適用した場合に問題がないかどうか、社内で検討を重ねた結果、社内でのポリシー遵守徹底のために最適であり、多くのお客様に納得していただける安全性が担保できると判断しました。 　書き出しの強制暗号化だけなら既存のツールや他社製品でも可能ではありましたが、「InterSafe DeviceControl」ではそれらと違ってデバイスの利用に制約がなく、柔軟に業務に利用できる点を評価しました。

申請・承認のワークフローは、まずグループウェアのワークフロー機能を用いて外部デバイスの利用可否を管理者が判断し、承認されたデバイスについて暗号化書き出しを「InterSafe ILP」側のワークフローで承認する段取りをとっています。暗号化の手法そのものについては、お客様の環境に合わせる必要がありますから、必ずしも1つの製品で全てカバーできるわけではありませんが、そのような場合でも柔軟に運用できるのも「InterSafe ILP」の利点ですね。外部デバイスばかりでなく、プリンタなどについても利用制御ができる上、ポリシーによる利用可否の自動判断もできます。またワークフローを使い、利用者本人以外の利用可否判断を取り入れられるところも優れていました。 　もっと多数のセキュリティ機能を包括したツールもありますが、各個別機能が業務に即して最適だとは限りません。「InterSafe ILP」は私どものニーズにぴったりフィットする製品でした

今井氏：今後もさらなるセキュリティ対策を講じていくことは、経営層の方針でもあります。災害時のDR対策やBCP対策、バックアップシステムの合理化、ディレクトリシステムの整備など、追加したい対策はまだまだあります。ところが担当しているのは私たち2人だけです。ツールの導入による自動化で省力化しているとはいえ、管理負荷はこれからも増大していきそうです。これに備えるためには、一部マネージドサービスを導入するなど、負荷軽減策が必要だと感じています。一度、必要なセキュリティ対策をフルラインナップした状態で検討することにはなると思いますが、あまりコストをかけずにアウトソースできる部分は、そうしていきたいと考えています。

じつは既存対策のうち、WebフィルタリングについてはALSIの「InterSafe WebFilter」を以前から利用しており、最近になって同等機能をクラウドサービスとして利用できる「InterSafe CATS」に切り替えました。その際、ALSIのサポートが非常に頼りになりました。今もヘルプデスクに電話やメールをすると、いつでも丁寧に素早く対応してもらえ、こちらが理解できる言葉で解決するまでずっと手伝ってくれるので助かっています。その信頼感も今回の導入における理由になっています。

私どものセキュリティ対策は、まずトップダウンで大枠のセキュリティポリシーを決め、それに沿ってツールを選定していくのが基本です。そのため、現在は各種対策を別々の製品が担当しており、ALSIの製品は複数の対策で十分な機能を果たしてくれています。従業員側から機能面でのクレームはありませんが、管理側として欲を言えば、もっと包括的に私どものニーズをカバーする機能が揃っていて欲しいですね。ALSI製品のラインナップですべてのニーズに対応できたら嬉しいです。またマネージドサービスも含めた提案にも期待したいところです。