大阪府守口市では、平成19年10月からの内部情報系システムの刷新に伴い、情報漏洩対策として庁内と出先機関を含めたPC800台のアクセス制御に「DeviceLock」を導入した。その経緯について企画財政部情報システム課主任の太田義晃氏に詳しく聞いた。
守口市情報システム課の概要について
―― 守口市情報システム課の概要について教えてください。
情報システム課では、守口市庁内と出先機関(市民保険センター・公民館など)の情報システムの維持・管理・運営の業務をしています。
2つのグールプがあり、汎用機グループ(基幹業務を担当している汎用機の担当)と中小型機グループ(パソコンやオープン系システムを中心とした内部系のシステムを担当)です。全員で8名です。
昨年は、5~6年に1度の機器やシステムの刷新があり、現在はそれらの維持管理が業務の中心となっています。
情報漏洩に対する危機感と対策
―― 情報漏洩対策強化のきっかけは何でしょうか?
平成19年10月からの内部情報系システム(機器とパッケージ)の刷新に伴い、情報セキュリティポリシー(情報保護体系)を運用面で具体化するために検討したのがきっかけです。しかし情報漏洩に対する危機感については、それより以前から真摯に受け止めておりました。
―― 情報漏洩対策検討の以前より危機感を持たれていたのは、なぜでしょうか?
民間の大企業における個人情報漏洩事件等が大きく取上げられたことと、ちょうどその頃、私は住基ネット担当で市民課に3年おりまして、セキリティ問題や個人情報の管理など情報漏洩に対する危機感を身近に感じていたのも要因だと思います。
情報漏洩対策の検討について
―― 情報漏洩対策としてどのようなことを検討されましたか?
以下のシステム面からの対策三点について検討しました。
- フロッピーディスクドライブの無効化
- 大容量外部記憶装置(特にUSBメモリ)
- デバイス制御ソフトウェアの導入
このほか、上記のようなシステム面からの対策以外に人的な側面からの対策についても意識しており、検討していきたいと考えています。
システム面からの対策(1)~(3)
―― では、順番にうかがいます。(1)フロッピーディスクドライブの無効化とは?
新規に導入されるパソコンでは、フロッピーディスクドライブ(以下FDD)を使用できないようにしました。しかし、平成19年10月以前にFDDで保存されている情報資源もありますので、平成19年12月末まで移行期間を設け、平成20年1月よりデスクトップのFDDを無効にしました。
―― 次の、(2)大容量外部記憶装置(特にUSBメモリ)とは?
大容量外部記憶装置(特にUSBメモリ)に対する情報漏洩(持出し)防止対策の実施、紛失や盗難時に無効化なるよういたしました。所属ごとに庁内で使用できる登録済みのUSBメモリを配布し、所属内での利用管理を徹底する。配布するUSBメモリは、強制的に暗号化するタイプのものを採用しました。
―― 最後に、(3)デバイス制御ソフトウェアの導入とは?
パソコンに登録済みのUSBメモリだけを有効にするソフトウェアを導入して、課単位でUSBメモリを利用・管理する。導入ソフトウェアにはラネクシー社の「DeviceLock」を採用しました。これにより、庁内において上記(2)で配布されるUSBメモリを使用できるパソコンを制御し、自宅や他のパソコンでは使用できないようにしました。
制御デバイス | 庁内パソコン(ネットワーク参加) | インターネット端末 | |||
---|---|---|---|---|---|
以前 | 現在 | 以前 | 現在 | ||
フロッピーディスク | ○ | × | ○ | × | |
守口市専用USB | ○ | ○ | ○ | ○ | |
一般のUSBメモリ | ○ | 読込み可能 (書込み禁止) |
○ | 読込み可能 (書込み禁止) |
一時的なアクセス禁止解除について
―― 上記表ではFDDは使えないようになっていますが、実際に使用はゼロなのでしょうか?
いいえ、財務関係など定期的(銀行引落)にFDDでしか行えない業務があり、使用申請が出されたものについては、一時的にアクセス禁止を解除する方法で対応しています。ただし、解除する前には相手のパソコンへリモートで入り、作業内容を確認してから許可しています。
―― そのような一時アクセス禁止解除は、大変でしょうか?
頻度としては週1回程度ですので、システム管理担当者への負担はありません。
「DeviceLock」を知ったきっかけ
―― 「DeviceLock」については何で知りましたか?
取引先業者より「DeviceLock」という製品名を聞き、ラネクシー社のホームページを見たのがきっかけです。サイト内の導入事例に、他の市役所(袖ヶ浦市と日野市)があり、興味を持ちまして、実際に市役所の担当者へ直接、電話をして「DeviceLock」について話をうかがいました。
他社製品との比較検討
―― 他社製品との比較検討は、されましたか?
はい、Aをはじめ数社からの提案がありましたので、それぞれの製品を比較検討しました。中でも、A社のPCにはデバイス制御ソフトがバンドルされていたのですが、要望を満たしていない部分があり、最終的に「DeviceLock」と強制暗号化USBメモリの組み合わせに決まりました。
「DeviceLock」を選んだ理由
―― 「DeviceLock」を選んだ理由は何でしようか?
以下の理由により、「DeviceLock」を採用しました。
- 限られた予算内で、先ほど述べました情報漏洩対策の要件(1)~(3)を満たしていた。
- 「DeviceLock」は、集中管理や細かな設定機能があり一元的な管理ができる。
- 一時的な解除などがリモート操作でも可能なため管理担当者の負担が少ない。
「DeviceLock」と強制暗号化USBメモリの組み合わせはバランスが良い
―― 「DeviceLock」と強制暗号化USBメモリについて、どのように思われますか?
「DeviceLock」と強制暗号化USBメモリの組み合わせは、多大な費用や時間をかけずにできる、優れた情報漏洩対策だと思います。
現在、個人情報問題はどのようなところにおいても課題ではありますが、特に住民の情報をお預かりしている公的機関では限られた予算内での対策は必須でした。
―― 住民の情報をお預かりしている市の管理責任とは具体的にはどのような場合ですか?
例えば、市の職員が専用USBメモリを持出して落とした場合、USBメモリ中に個人情報のあるなしにかかわらず、落としたことに対して市には管理責任があります。このような場合も考慮しての予算内での早急な情報漏洩対策には「DeviceLock」と強制暗号化USBメモリの組み合わせは、ソフトとハードの面でバランスがとれ良いと思います。
「DeviceLock」の使用感や今後の要望・期待
―― PC800台への「DeviceLock」の導入はどのように行いましたか?
管理ツールを使い一斉展開し、フロアごとに5人で確認作業し2日ほどで終えられました。また、ネットワークにつながっておらずリモート展開できないインターネット端末出先機関(公民館や消防署)などへは直接、現地へ行ってインストール作業を行ない動作確認作業しました。
―― 「DeviceLock」の現在の使用感はいかがですか?
いいですよ。こちらの要望をほぼ満たしている上に、どのようなものが接続されたかなどの、履歴が確認できる機能など、使ってみてからわかった良い点もあるくらいです。
―― 「DeviceLock」またはラネクシー社への今後の要望はございますか?
海外の製品なので、一部マニュアルに解りづらい部分もありました。次回のバージョンアップでは改善していただけると有り難いです。実は、最初、あまりわからなくて闇雲(やみくも)にさわってしまいましたが、上手く運用できています。今後も情報システム課では、情報資産の管理運用を強化していきたいと思っていますので、ラネクシー社へは優れた技術や製品をご提供いただくことを期待します。よろしくお願いします。
概要
大阪府守口市
http://www.city.moriguchi.osaka.jp/contents/index.html