様々な製品の組み合わせでソニーグループにあった社内運用システムを構築

ソニーは、ビジュアル家電や最近では、家庭用ゲーム機の「PLAY STATION3」の発売で話題になっている世界的規模のヒット商品を生み出す総合電機メーカーです。 グループ企業合わせて、15万人以上の従業員規模を誇り、日本で屈指の巨大企業グループとして成長し続けています。

ソニーグループの人事業務サポート会社であるソニー・ヒューマンキャピタル（株）（以下ソニーヒューマンキャピタル）が、情報セキュリティ対策の一つとして、PC操作ログ管理システムを中核としたクライアントセキュリティ対策ツールを選定し始めたのが2004年。 その頃にはLAMをはじめ、各社から情報漏洩対策ツールが既に発売され販売競争が激化し始めました。

ソニーヒューマンキャピタルは、様々なツールの比較検討をした末に、LAMの導入を決定しました。 ソニー・ヒューマンキャピタルが情報漏洩対策のテーマをどのように捉え、今後どのような点を重視して対策強化策を考えているかについて、LAM導入までの経緯と活用ポイントをお訊きしました。

小森谷：当社の設立は1974年5月30日です。 ソニーグループの給与計算業務をはじめとしてグループの人事業務のシェアードサービス化を目指した人事業務サポート会社です。 2005年にはグループ内にあった旅行業および保険代理店業を加え、人事業務サポートといいつつもバラエティに富んだ業務内容になっています。

――昨今の個人情報保護法はじめとした情報漏洩対策に対して、どのような施策をとろうと考えられましたか？
小森谷：2004年に遡りますと、不正アクセスや改ざん、インターネットアタックといったサーバーに対する脅威が出始めており、その面でのセキュリティは、データセンターやインフラ運用側が対策を施して収束していた頃です。 一方ではウイルスや個人情報漏洩が世間を賑わせており、1年後に施行される個人情報保護法対策と合わせてさらなるセキュリティ強化が急務となりました。 ソニーグループとして、セキュリティマネジメントシステムを構築するなどの体制をしっかり整えるだけではなく、もっと踏み込んだ活動を目指しました。

当社は、多くの「人の情報」を扱う会社としてセキュリティ強化の必要性が高くグループ方針に従って強い体制を作り、様々な施策を計画し実行してきました。 そうは言っても、パソコンやソフトがどの位あるのかさえ十分に把握できていない状況でしたので、最初は資産管理のソフトを導入しました。情報漏洩に対しては、最初は"不注意による漏洩ミス"など、どちらかというと"悪意のない漏洩"を未然に防ぐところから始まりました。 その後は悪意のある行為に対してもそれをプロテクトできたり、漏洩が起こったときに発見や追跡がすぐにできるような目的も徐々に加わってきて、最近では防止策も考えています。

――まず資産管理があり、次に操作ログ、そして初めて防止系のソリューションというこの順番でしょうか？
小森谷：そうですね。

――意外と防止策を先にとられるお客様もいて、実際の運用に合わずに四苦八苦されているというお客様も耳にしますが。
小森谷：まずは自分たちがどのような状況なのかを把握して、それからできることは何かを考えます。 様々な機能を備えたセキュリティツールが出回ってきていますが、例えその中に何か面白い機能があるからといって、それらに飛びついたとしてもうまくいくとは限らないですね。 地固めをしないで新しい機能を選択するのは健全ではないと思っているので、我々は2年3年かけて徐々に対策を強化してきています。

川成：LAM-SECを選んだのは、当時の製品選定時期にLAM-SECのログ収集機能が他社製品よりも一歩リードしていたと言えるからです。 まだ当時は様々な製品が手探り状態で全部の機能が揃っているという製品はなかったですね。
例えばあるソフトは、サーバーに対してのアクセスログが採れていてもソフトウェアの起動ログの取得については劣る、 などです。またあるソフトは、MS-DOSプロンプトからのコマンド入力のログが採れない等、一長一短な部分がありました。

また、ソニーではVAIOをよく利用しているため、メモリースティックの対応は必須であるなか、メモリースティック未対応な他社製品もありました。 これらの要件に対して、LAMではすでに対応済みであったのも選定基準となりました。 確かにLAM-SECも当時はまだ出来ていない部分もありましたが、サーバーへのファイルアクセスは確実にログが採れていました。
一番評価した点は、ライトウェルという会社が他社よりも「聴く耳」をもっていたという点です。 「足りないところは作っていきます」とおっしゃっていただいたことが、LAMに決定した最大の理由です。 そういう姿勢がとれる会社なのであれば、ソニーグループのルールの中でフィットしたものを導入できるのではないかと思ったのです。

――LAMは販売したお客様1社1社のご要望をお訊きしながら、製品改良に取り組んでお客様の満足いくソフトに仕上げたいと思っております。 導入後のご評価は如何がですか？
川成：仕方がない部分ではあると思いますが、ログがしっかりと採れすぎてしまう点が運用上困っているところです（笑）。 気がつけばディスクの容量がなくなっているという位にログが採れていくので、もう少し採れる量を考えてコントロールできるといいですね。 3年間分のログは保持したい希望もありますので、その辺りの運用提案も期待しています。 また最近は、如何にログを分析していくかということも課題になっています。 このログを使ってどうするか、また場面を絞り込んでいった時にログを有効活用できるかどうかという点です。

川成：今後は運用にも工夫していきたいと思っています。社員もログを採られているということに段々慣れてしまって、「牽制力」が薄れていってしまう可能性があります。 慣れた状態を作らないためにも、「ログはいつも採られているんだよ」という意識を社員に持たせるための工夫が必要です。

――LAM-HSは、まさしくそのように膨大なデータから管理者に負荷をかけずに、日々牽制に必要なデータを割り出すという点に主眼をおいて開発しています。 外部デバイスの制御(LAM-SEC option+D)についてもご検討いただいていますね。
川成：現在はまず先にLAM-FEを導入し外部デバイス出力への自動暗号化機能を活用していますが、次には制御機能を適用して、柔軟にポリシーを変更させながら運用できたらいいと考えています。

――ライトウェルのセキュリティ製品全体として、「柔軟さ」を持ち合わせている製品とのご評価を頂いています。
川成：そうですね。こういった製品は、制約が厳し過ぎてスムーズな導入が困難な場合が多いのですが、その点LAMの方は制約をだんだん厳しくしていけるような柔軟性があるので導入しやすいという利点があります。

小森谷：セキュリティ委員会や全社員への教育などを定期的に開催して、運用を推進しています。ソフトウェアを駆使して情報セキュリティを高めるといった対策は、予定通りに進んでいると思います。 それでも一番大切なのは、PCを使う人の「意識」ですね。何もやらないと意識は絶対に下がっていきます。災害や地震と同じように起こらないと段々と意識は薄まっていきます。 その意識の維持向上が最大の施策課題で、今後とも工夫をこらして施策を考えていきます。

――2008年施行の日本版SOX法対策については如何がですか？
小森谷：日本版SOX法以前にソニーは、アメリカのSOX法の対象会社になっていて、既に様々な施策やドキュメントの整理を進めています。 「人」の問題が重要なので、教育や訓練が大切だと思っています。
e-ラーニングの定期開催や、災害に対しては防災訓練があるように、セキュリティ事故に対する「情報セキュリティ訓練」を定期的に実施しています。 既に2回実施して好評を得ています。「情報セキュリティ訓練」は、社員のセキュリティ意識を高めるためにも大変役に立っていると思います。 その訓練の中でもLAM-SECを「いつ」「どこで」「だれが」という詳細情報をログ分析をして見つけだすのに活用しています。 このような訓練を実施することは、情報システム部のセキュリティ活動を広くアピールしていくという点でも、大いに役に立ちます。
そのような本来のセキュリティ対策以外にも、例えばドキュメントの印刷が多い組織を割り出すなどということで、ISO14001の環境対策などにも使えるのではないかと考えています。 ログの取得や牽制から、ログを分析し傾向を割り出して、何かの対策をするという分野に、LAMの活用範囲もこれから広がっていくでしょう。

ソニー・ヒューマンキャピタル情報セキュリティに関する施策（情報システム部）

川成：社内のPCには機能別にデザインを施したシールを貼り付けるようにしています。 例えばLAM-SECが入っていたら、「アクセスログ」というシールを貼るなどして、PCの内部の状態を外から見て管理できるように、「見える化」について随時工夫をしています。 社内にワークフローソフトがあるので、PCの購入申請時からセキュリティ対象になるのはどのPCかを登録し、それらにソフトウェアが導入されるまでの作業をワークフローで管理するようにしています。 PCを持ち出す際にも、ワークフロー申請を必要としています。
さらに工夫という点では、LAM-FEの暗号化鍵の配布などは配布ソフトを使って配ったり、ユーザーが変わった際の暗号鍵の再配布なども半自動化するようにプログラムを社内で作ったりしています。

――今後の製品へのご期待や、ご要望などがございましたらお願い致します。
小森谷：セキュリティのソフトウェアによる対策面では、今後もLAM-SECを前面に押し出していきたいと思っています。 膨大なログを使い勝手を犠牲にせず、コンパクトに維持ができれば良いなと思います。
川成：セキュリティ事故が起こったときには素早い対応が求められるので、少しでも早く発見できるように、ログ検索速度の更なる高速性ということにも期待したいです。

ありがとうございました。

• 「LAM」はライトウェルの登録商標です。
• この文章に記載のある会社名及び製品名は、各社の登録商標または商標です。
• 記載内容の全部あるいは一部でも、許可無く複製することを禁じます。

設立：1974年CDI（株式会社キャリア・デベロップメント・インタナショナルとして設立）
所在地：東京都港区港南2-15-2品川インターシティB棟11F
事業内容：人事サービス、コンサルティング、トラベルサービス、保険代理店の4つを軸に、人材にかかわるビジネスを幅広く展開
URL：http://www.sonyhumancapital.co.jp/