個人情報保護および情報セキュリティの強化と
業務品質の向上を実現
株式会社アイネス(以下、アイネス)は、創業以来「情報システムの設計、開発から運用、保守」という一貫したプロセス技術を常に向上させ、その経験やノウハウを独自に活用することにより、企業、団体、官公庁などのお客様に多彩なサービスを提供しています。
同社は、1983年の「情報処理サービス業情報システム安全対策実施事業所認定制度」を皮切りに、1998年プライバシーマーク、2001年ISMSなど、第三者機関の認定制度を積極的に活用しながら、情報セキュリティの改善と強化に取り組んできました。
2005年の個人情報保護法の完全施行に伴い、個人情報保護に対する社会的関心が高まる中、同社は不正操作の抑止・防止を目的とした新たな対策を検討。ESS RECを導入し、個人情報保護と情報セキュリティのさらなる強化とともに業務品質の向上を実現しています。
公共システム本部
運用統括部
第二運用部長
佐藤 宗一 氏
公共システム本部
運用統括部
第二運用部
ネットワーク管理課長
武田 慎二 氏
《施策》
情報セキュリティへの取り組み
・委員会体制と社外有識者による外部委員会の設置
・個人情報保護に対する3原則 持たない、預からない、運ばない
・セキュリティ区画の設置
■個人情報保護意識の徹底とセキュリティ区画の設置
アイネスでは社長を長とする委員会体制を整備し、個人情報保護を含む情報セキュリティの強化・改善に取り組んでいます。また、社長の諮問機関として社外有識者による外部委員会を設置。管理体制や改善策などを外部の目で評価するとともに、世の中の動きを先取りした対策を進めています。
さらに同社では、社員、パートナー社員など一緒に仕事をする全員に対して教育や啓発活動を行っています。例えば、個人情報取扱資格認定試験制度を設け、全員合格を義務づけています。また、個人情報保護を誰もが理解し判断できる簡潔な表現で、3つの原則「持たない」「預からない」「運ばない」を掲げ日々の活動の基本としています。ポスター、シール、カレンダー、イントラネット画面などあらゆる手段でその徹底を図っています。
一方、設備対策の要はセキュリティ区画です。「情報へのアクセスコントロール」「取り扱いのトレーサビリティ(追跡性)」をより強化・徹底するために、データセンターはもちろん、すべての事務所内を4段階に区分。個人情報が保管されるサーバ室等をレベル4、個人情報を実際に取り扱い運用試験や製品検査を行う部屋をレベル3としています。個人情報を物理的に隔離することで徹底した個人情報管理を実施しています。
しかし、このように徹底した対策を行うアイネスでもひとつの心配事がありました。それはシステムに対する不正操作です。
《選択》
禁止・制限ではなく記録で抑止・防止
・操作ログをとることで抑止・防止
・動画で記録するわかりやすさ
・監査時の資料はAuditor のレポートを活用
■ESS REC の検討・導入
どれだけ対策を行っても、悪意による不正操作だけは完全に防ぐことができません。アイネスは、情報処理サービス企業としてお客様により安心してサービスをご利用いただくために、新たな対策を検討しました。
「システム開発や運用時には、個人情報をはじめ多くの重要な情報を取り扱います。まずはソフトウェアを利用した特定作業の禁止・制限を行う方法を検討しました。しかし、この方法はセキュリティを高めることはできても業務効率が著しく低下してしまいます。また、技術者は、業務上許可されたアクセス権限を持っていますし、技術的な専門知識も有しています。やる気になれば対策ソフトをかいくぐることも可能です。不正操作を防ぐにはESS RECを導入し全操作を記録することで抑止・防止を行うしかないという結論に至りました。」(佐藤部長)
テキストログから操作の再現をする方法もありますが、専門的な解析スキルと推測力が必要な上、時間もかかります。ESS RECは動画で操作を再現できるため確実に操作内容を確認することができ、トレーサビリティが高まります。またレポート機能により定期的なログ解析の実施とその記録が保存できます。監査時などに特別の資料を用意する必要がなくなることもESS RECを採用する理由のひとつとなりました。
《効果》
ESS RECの導入効果
・導入が容易で記録解析の精度が格段に向上
・運用手順の問題点が分析でき、障害発生を大幅に削減
・積極的な改善提案により業務品質を向上
■さらなる情報セキュリティの強化と業務品質の向上
現在、アイネスでは特定の事業所において、レベル3以上のすべてのPCにESS RECを導入し、24時間休むことなく操作記録を取得しています。ソフトウェアに対する評価も上々です。
「ESS RECは他社製品よりも導入期間が短く、導入時の既存システムの改修も不要です。また、操作PCへの負荷もなく、パフォーマンスの問題も発生していません。操作記録が動画で確認できるため、記録解析の精度が格段に向上しました。」(佐藤部長)
「監査では、ESS REC Auditorのレポートから監査対象となる部分をチェックし、実際の操作を再生しています。従来のテキストログより操作の意図が判断しやすいと好評です。今後は、監査負荷をより軽減できるESS REC Auditorの機能拡張に期待しています。」(佐藤部長、武田課長)
さらに、アイネスではESS RECを不正操作対策だけでなく、業務品質の向上にも役立てています。
「ESS RECの導入前は、システム障害の発生につながりかねない誤操作があっても、なかなか発生原因の特定・改善までにたどり着けませんでした。 導入後は運用手順の問題点をすばやく特定することが可能となり誤操作防止に役立てています。」(武田課長)
「ESS RECは運用改善にも有効です。これまで現場の改善提案は書面で提出していました。ESS RECの特長である“可視化”を利用することで、改善内容の理解が高まり、その評価や具体的な実施がスピーディに出来るようになりました。ESS RECによって社員が改善や工夫に積極的に取り組むようになり、業務品質の向上につながっています。」(佐藤部長)
※本内容は、2007年4月時点のものです。
PROFILE:株式会社アイネス 様
| 設立年月日 | 1964/07/28 |
|---|---|
| 本店所在地 | 東京都港区赤坂6-11-1 |
| URL | https://www.ines.co.jp/ |
| 事業内容 | 情報処理・通信サービス事業、ソフトウェア開発サービス事業、システム提供サービス事業、その他システム関連サービス事業 |
| 導入製品 | ESS REC |
関連資料はこちら
製品の詳細はこちら
