確実なデータ保護と高速なリストアにより
ランサムウェア感染時も迅速な復旧を実現
自社の業務継続性向上とともに
国内大手自動車メーカーとの信頼関係を強化
杉浦製作所
山田 佳弘 氏
- HOME
- セキュリティ/ネットワーク
- JA長野中央会
IT環境最大の課題、セキュリティの確立にデファクトスタンダードで応えるソリューションが『MSOLOCK』です。USB認証キーiKeyと自社開発専用認識ソフトウェアにより、iKeyをUSBポートに挿すだけの簡単な操作で認証を実行。PCやサーバ、ネットワークへのログイン認証からファイルの暗号化など、スタンドアローンからエンタープライズまでをカバーする高度なセキュリティ環境の構築にスケーラブルに低コストで対応。確実に導入できるオールインワンパッケージでMSOLが提供します。
1984年4月 JA長野中央会入会。経営監査業務に従事
1993年4月 JA全中勤務。JAシステム開発業務に従事
2001年4月 JA信州うえだ勤務。内部監査業務に従事
2004年3月 JA長野中央会 総合情報システム室勤務
まさに巨船である。
20組織ある単位JA(各地域の農協)だけで約1万人。民間企業なら県内でも有数の大企業である。
JA長野中央会。
長野県内のJAグループをとりまとめ、経営指導と監査業務を主な事業としている組織だ。
JA長野中央会は数年前より長野県内のJAグループの内部統制を構築し、すでにセキュリティシステムの導入も済ませている。
1万人という巨大組織を動かすタイムリミットが一ヶ月しかなかったら。
巨船を動かしたのは、セキュリティ対策への強い意志だった
「残り1ヶ月」という危機
「もう時間がありません」
「──」
「あと1ヶ月です」
2004年4月、男たちは迷いの中にいた。導入を図っていたのはセキュリティシステム。権限をもった者しかセンターの情報にアクセスできないようにするシステムだ。
動き出したのは半年前の2003年11月。「有力」と踏んだあるセキュリティシステムの検討を重ねていたが、問題があることがわかり、土壇場でふり出しに戻ってしまっていた。
5月にはWEB技術を使った新システムが始動する。それまでに新しいセキュリティシステムを何としても導入しなければならない。もし導入できなければ、権限をもっていない者が容易にセンターの情報にアクセスできるようになってしまう。それはできない。だが、残された時間はわずか1ヶ月。
これまでJA長野中央会では長年に渡ってセキュリティ対策を施してきた。その築いてきたものが今、危機に面していた。
きっかけは7年前だった。
1999年、貯金元帳の電子帳簿化に伴ってデータのコピーが容易になったことから、JA長野中央会では「利用者情報保護規程」として、廃棄方法などの取り扱いルールを定めたA4数枚の管理規定を基に指導した。その3年後には内部統制の構築にも取り組み、民間企業のコンサルタントの指導のもと、管理規定の詳細な整備をおこない、20組織ある長野県内のJAの理事会での討議にかけながら、意識の徹底を図っていった。
そもそもJA長野中央会は、県内にある20組織のJAの経営指導と監査業務をおこなっている。民間の関連会社のような「親会社・子会社」の関係とは違い、JA長野中央会は各JAの出資により成っており、代表者である会長も20組織あるJAの中から選ばれている。あくまでも「協同組合」である。そのため、内部統制の規定などはすべて理事会に諮って決められることになる。
そして、そうした流れの中でJA長野中央会が満を持して取り組んだものがセキュリティシステムの構築だった。そのプロジェクトの事務局を担ったのが総合情報システム室の清水課長代理である。
指紋認証システムを断念した訳
2003年11月、JA長野中央会は各JAの情報企画担当者を集めて、新しいセキュリティシステムを導入するにあたり、会議を開いた。そこでまず、重要視されたものが「指紋認証システム」であった。
「指紋は1人ひとり違うものなので、コピーされる不安もない。これならうまくいくのではないかと考えたのです」
さっそく複数の企業担当者から話を聞き、実際にシステムの一部を取り寄せるなどして検討に入った。ところが検討を重ねるにつれて当初の自信が揺らいでいった。
「1つが誤認証です。本人でないのにアクセスできてしまったり、逆に本人なのにアクセスできないといったことが起こってしまう。そして、指紋認証がうまくいったとしても、『指紋』を採取するということに抵抗感がありました。さらに、もう1つやっかいなことがあったのです」
JAでは、端末機の管理方法として、カードリーダーにカードを挿し込むことで端末機にアクセスできるようにしていたが、指紋認証となると、そのスタイルが大きく変わることになる。
「端末機はすべて管理者が管理していました。端末機で重要な取引をおこなうときに作業者に管理者カードを渡し、使い終わったらカードを返してもらう。これにより管理者がいないときは端末機にアクセスできないようになっていたのです。ところが指紋認証となると、管理者がいないときでも本人がいればアクセスできてしまう。ID・パスワードで管理したとしてもその状況は同じです。つまり管理者が端末機を管理できない。これでは端末機のアクセス制御の管理が混乱します」
こうした議論の末、「指紋認証システム」の導入は見送られる。だが、そのときすでにパソコンを使った新システムの稼動は1ヶ月後に迫っていた。わずか1ヶ月で迅速に導入できるセキュリティシステムを探さなければならない。JA長野中央会と株式会社長野県協同電算のプロジェクトメンバーは焦った。
そのとき、1人の営業マンがやってくる。
「USB認証キー、エムソロックといいまして──」
プロジェクトメンバーたちは、膝を打った。
管理者が管理できるMSOLOCK(エムソロック)
営業マンがもってきたもの、それはUSB認証キーによってパソコンのログイン認証ができる『MSOLOCK』だった。
「これは便利だなと思ったのが『シングルサインオン』という機能でした。県内JAでは複数のアプリケーションを使っており、その数は10以上もあります。ID・パスワードを入力する方式だと、アプリケーションごとにID・パスワードをすべて覚えなくてはいけない。ところが『MSOLOCK』はID・パスワードを格納し、『MSOLOCK』をパソコンに挿すだけで個別のアプリケーションすべてにアクセスできます。そして何より、私たちが求めていた『管理者が端末機を管理できる』システムだったことが大きな魅力でした」
『MSOLOCK』にはログイン機能とロック機能があり、パソコンのUSBポートに挿せばログインし、抜けば自動的にロックがかかる。そのため、従来のカードと同じように管理者が『MSOLOCK』を持っていれば、管理者の不在時でもアクセスされる心配がないのだ。
「そして問題は導入期間の短縮でした。1ヶ月後には新システムの稼動が決まっていましたから、それまでに間に合うことが絶対条件でした。営業マンに聞いたところ『できます』と。そこで『MSOLOCK』の導入が決まったのです」
2004年5月、長野県内の20あるJAすべてに『MSOLOCK』3,000本が導入され、セキュリティシステムが稼動する。そしてJA長野中央会は休む間もなく次の手を打ち始める。ログ管理である。
「『MSOLOCK』によってアクセス権限のある者だけがパソコンを操作することができるようになりましたが、アクセス権限をもった者がどんな作業をしているかまでは把握できません。場合によってファイルを不正コピーしていることだってあり得るわけです。それを防ぐにはログを取得するしかありません。ログの取得を内部に公表すれば抑止力になり、制御機能をつければ不正にコピーすることも防げるだろうと考えたわけです」
JA長野中央会と長野県協同電算のプロジェクトはソフトの情報を収集し、その中から最終的に採用したのが『Log Fighter(ログ・ファイター)』だった。
「私たちがやりたかったのは、“パソコン単位”ではなく“ユーザ単位”の制御でした。JAでは業務系のパソコン1台を複数の人間が操作しますが、パソコン単位の制御だと、たとえば経理部が使っているパソコンを他の部署の者がそっと操作することもできてしまう。しかしユーザ単位であれば、操作を経理部の者だけに制限できる。このほうがより安全だろうと考えたのです。当時、他社製品の制御はすべてパソコン単位でしたが、『Log Fighter』はユーザ単位の制御ができました。我々が求めているものと合致したわけです」
2006年1月、『Log Fighter』のインストールと『MSOLOCK』に制御機能を設定する作業が終わり、ログの取得もスタートした。
巨船の背骨
現在、『Log Fighter』を使った制御は、主に「プリントスクリーン」「外部記憶媒体への書き込み」「ダイアルアップ」などで、どのユーザにその制御をかけるかは各JAに任されている。
「ログは長野県協同電算にあるサーバに格納され、あらかじめ登録された閲覧権限のあるJAの管理者が閲覧することができます。情報漏えいの危険が高いのは外部記憶媒体への書き込みですから、ログを必ず閲覧するように伝えてあります。またログインとログアウトの時間を見れば、就業状態も確認できるので、そのチェックも欠かせません。変わった使い方としては、プリンタの出力状況も把握しています。プリンタの稼働状況から、端末機の繁閑が推測されますので、それを参考に端末機配置の効率化が図れるわけです」
『MSOLOCK』を使い出してすでに2年以上になるが、清水課長代理たちが「省力化したい」と期待したのは引継ぎ時のことだ。
「MSOLOCKの制御は『職務権限』とか『業務分掌』につけていますから、人事異動のときも『MSOLOCK』を次の担当者に渡すだけで済みました。IDパスワードだとその都度メンテナンスが必要ですが、それがまったくないのです。また『MSOLOCK』にID・パスワードが格納されているので、担当職員は自分のID・パスワードを知らないわけです。このことこそ、実はセキュリティになっていました。」
JA長野中央会は「個人情報保護法」施行にあわせて、内部統制の大幅な見直しを図り、情報の洗い出しを継続的におこなっている。
「情報の中には守るべきものとそうでないものがあります。そこで守るべき情報を各JAで洗い出し、その中から重要な情報は文書であれば施錠をして管理し、データであれば暗号化するわけです」
『MSOLOCK』はその後JA長野信連にも導入され、現在、長野県のJAグループで3,754本の『MSOLOCK』が稼働している(2006年6月現在)。今回セキュリティシステムを導入したのは業務系のシステムだが、今後はもう1つのシステムであるイントラネットへのセキュリティ対策も視野に入れ、ハードディスクの暗号化といったことも考えている。
「業務系のシステムはメールができないようにしています。もちろん外部に情報が流れないようにするためにです」
それにしてもなぜ、JA長野中央会はここまで徹底的にセキュリティ対策を指導しているのだろうか。
「農林水産省や金融庁など、実務指針や事務ガイドラインがいろいろ出てくるのでそれに合わせて、長野県協同電算に物理的な対応をお願いしているわけです」
だが、話が別の話題に移った際、清水課長代理はこう言葉に力を込めた。
「JAは地域の金融機関でもあるのです。お客様の大切な財産を預かっていますから、情報漏えいなどの事故が起きてしまったら、お客様と地域への影響は計り知れない。それだけは絶対にあってはならないことなのです」
この、セキュリティ対策への強い意志こそ、JA長野中央会という巨船の背骨だった。
197法人
丸紅情報システムズ公式Facebookページはこちら。
ライターズコラムでは外部ライターに登場いただき、製品について素直なコメントをいただきます。
