Secure Protection 導入事例 「株式会社ジュピターテレコム」

同社にとって重要なのは一括管理できることだった。というのも、同社の組織は北海道から九州まで200近くにおよび、PCだけでも23,000台が稼働している。
一人ひとりに検索作業を任せることは困難であり、クレジットカード番号を検知するための辞書を配布するだけでも大変な作業となる。プロジェクトチームが一括管理できないと非保持化は困難だ。

「試験運用で、これはと思ったツールが『すみずみ君』でした。当初は『すみずみ君』を採用しようと思いましたが、管理機能の面で私たちの要件とは一致しませんでした。そこで、『すみずみ君』をエンジンとして用い、さまざまな管理機能を備えた東芝情報システムの『Secure Protection』に行き着きました。管理という意味では一番統制が取りやすかったことと、メンテナンスも比較的簡単だったこと、一定程度の自動化が期待できることから、継続利用していくにあたって必ずしもシステムに精通していない業務側のメンバーでも運用できそうと判断し、『Secure Protection』を採用しました。」（神保氏）。

非保持化を円滑に進めるために、プロジェクトチームでは200あまりの組織に責任者クラスの代表者の選出を依頼した。トップダウン的な判断が求められることもあると考えたからだ。

「クレジットカード番号が検出された場合には、その代表者に対して対応依頼をしました。検索対象には、パスワードロックしたファイルや圧縮ファイル、Accessのデータベースも含めました。こうした設定で検索をしたため、クレジットカード番号に類似した数字の羅列も多く検出されましたが、徹底した洗い出しのためには必要な作業でした。」（川村氏）。

クレジットカード情報らしきものが検知されたファイルへの対応は、いくつかパターン化した。基本的にはファイルを削除する。必要なファイルであれば、非保持化の条件に適合するようクレジットカード番号の一部をアスタリスクに置き換える。そして、そのファイルが業務上どうしても必要なものであれば、クレジットカード番号を扱わない方式へと業務の仕組みを変更する。

「『Secure Protection』からは、検知したクレジットカード番号がサーバーやPCの、どの場所にあるかファイルパスを記載したリストが上がってきます。このリストも、部署ごとに分けて出力できるなど『Secure Protection』ならではの機能で管理しやすい形で提供されたので、こちらとしても作業がスムーズでした。そのリストをもとに、各組織の代表者に対応を依頼することで、あとは現場側でファイルの削除あるいは修正等の対応をしてもらうことができたので、作業は順調に進みました。」（神保氏）。

非保持化プロジェクトを終えた同社は、次のステップとして個人情報の安全な取り扱いのための対策を推進する計画だ。

「『すみずみ君』の辞書を一般の顧客個人情報も検知するよう変更してスキャンを継続します。内部不正対策として、顧客個人情報を不正に持ち出していたり、不適切な取扱をしていないかというモニタリングのためです。」（神保氏）。

同社は個人情報の漏えい対策としてAIP（Azure Information Protection）を活用しているが、今後はこの対策を強化する計画だ。

「お客様の個人情報は、クレジット情報と違って非保持化ということはあり得ません。これまで以上に適正な使用や顧客情報の漏えい防止には力を入れていきます。顧客の個人情報などの重要ファイルは、サーバーに特定の保存領域を決め個別にAIPで保護してきましたが、AIP導入前から保管されているファイルや、特定領域外に保存された重要ファイルを保護することはできませんでした。そのため Secure Protection の Azure RMS（AIP）サポートオプションを併用して、特定領域の既存ファイルや新規に保管されたファイルを自動的に暗号化する仕組みを作り、2020年度に運用を開始します。」（神保氏）。

これまでも原則として、重要な情報を社外に持ち出す際にはAIPで保護することをルール化してきたが、Secure Protection のオプション活用によって重要ファイルの暗号化を自動化することで徹底する。運用開始後は、仮にファイルサーバーから持ち出されたとしても、権限を持っていない人は開くことも見ることもできないセキュアな環境が実現する。