ウイルス対策セキュリティUSBメモリー ED-V 【JA安芸 様】

ウイルス対策セキュリティUSBメモリー ED-V  【JA安芸 様】

「誰がいつ何をしたか、詳細を記録していることを社内に告知することで、けん制機能を働かせるほうが効果的です」

取材日:2009年7月3日

個人情報の漏えいが大きな問題となる中、JA安芸ではパスワードロックやハードウェア自動暗号化機能を搭載したアイ・オーのセキュリティUSBメモリー 「ED-Vシリーズ」を導入することで、JA組合員の個人情報保護に力を注いでいる。同製品の導入に至るまでのいきさつと具体的な使用目的、さらにその効果について、コンプライアンス統括部主任兼務システム開発主任の浅原正博氏に聞いた。

セキュリティを強化するほど、スムーズな業務遂行の妨げになる

広島県下には現在、13のJA(農業協同組合)が存在している。2005年の個人情報保護法の施行をきっかけとして、個人情報保護方針や情報セキュリティ基本方針の策定など、県下のJAあげて組合員の個人情報保護についての取り組みがなされてきた。その中でも、広島県安芸郡などを管轄するJA安芸は、現在県下すべてのJAで利用されているグループウェアの導入にあたって旗振り役を務めるなど、県内のJAの中でもITに関して先進的な取り組みを行っている。

「(ITに)積極的に投資するというより、コスト削減のために新しい手法を考案し、それを導入するタイミングでセキュリティを強化するという考え方でやっています」と語るのは、コンプライアンス統括部主任兼務システム開発主任の浅原正博氏だ。

数多くの事業を展開するJAにおいては、セキュリティ強化の対象となる範囲もまた幅広い。例えば2006年には、通帳の不正利用対策として、印影のデジタル化を実施している。これは信用事業におけるセキュリティ対策のひとつだ。また、従来の部署単位のユーザーIDを廃止して1職員1ユーザーID制を取り入れ、個人を認証できるネットワークへの切り替えを図った。操作ログ取得ソフトも合わせて導入し、万一個人情報が漏れた場合でも流出元の特定を容易にしている。

また、業務で利用する80?90台の端末については、定められたバージョンのOS以外はネットワークへの接続が行えないよう設定されており、セキュリティホールを悪用した内部からの情報漏えいを防止するための対策がとられている。このほか、複合機の利用にあたっては、コピーやFAXにかけられた画像を PDF化してサーバに保存し、画像ベースで履歴が残る仕組みを導入する計画もあるほどだ。

しかし、セキュリティを強化すればするほど、スムーズな業務遂行の妨げになるのもまた事実。中でもJA安芸で問題となっていたのは、実際に農家に赴いて米の作り方や害虫の駆除方法などについての指導を行う「営農指導センター」における個人情報の取り扱いだ。

「米の収穫期にはノートPCを持って毎日現地に行き、検査結果を通知書としてプリントするわけですが、その際には農家の方々の個人情報や、代金の振込先データなどをノートPCに入れて持ち出す必要があります。もちろんPC自体はIDとパスワードがないとアクセスできないようセキュリティが設定されていますが、仮に盗難などに遭った場合、PCを分解してハードディスクを取り出せば、管理者権限でデータを読み取ることは不可能ではありません」(浅原氏)。

こうした場合、ハードディスク自体を暗号化することでセキュリティを確保する方法が考えられるが、全PCのハードディスクを暗号化するとなると、莫大なコストがかかりかねないため、実現には至らなかった。とはいえ、JA安芸のみハードディスクを暗号化して運用することも現実的ではなく、コンプライアンス部門の担当者である浅原氏にとっては、頭が痛い問題となっていた。

ページの先頭へ

ハードウェア暗号化USBメモリーで情報漏えい対策を実施

そんな折、浅原氏の目に留まったのが、アイ・オーのセキュリティUSBメモリー 「ED-Vシリーズ」である。これはデータの書き込み時に自動的に暗号化が行われるほか、パスワードロックもできるという製品だ。暗号化はハードウェアレベルで行われるため、たとえUSBメモリー本体を分解しようともデータを読み取られることはない。「ハードディスクを暗号化するにはコストがかかりすぎる。であれば、ハードウェア暗号化機能があるこの製品にデータを保管して持ち歩くのが最適だと判断したのです」(浅原氏)。

こうして導入された ED-Vシリーズは、先の営農指導センターでの個人情報のやりとりを目的に、連日のように現場で利用されている。難しいオペレーションなしで利用できる同製品は、これまでデータの安全な取り扱いに苦心していた現場の担当者からの評価も上々とのことだ。またJA安芸本店においては、システム管理者への開示が不適当な情報、具体的には役職者のみが利用する人事データなどの管理にも、 ED-Vシリーズが持つパスワードロック機能が重宝されているという。

また、 ED-Vシリーズには、パスワードロックとハードウェア暗号化のほか、書き込まれたデータがウィルスに感染していないかをチェックするアンチウィルス機能も内蔵している。浅原氏は、 ED-Vシリーズの性能および使い勝手について高く評価する。

「使い勝手は非常によいですね。書き込み速度もチェックしたのですが、普通のUSBメモリーと比べても違和感なく、あれっ、もうコピーが終わっちゃったの、本当に暗号化されてるの、というくらい速いです。アンチウィルス機能も、本当にウィルスチェックしているのかなと思うくらい速く動いたのでびっくりしましたね。不満と言えば、いま使っているのが1GBなので、もうすこし容量の大きなタイプが欲しいというくらいでしょうか」

ページの先頭へ

利用に規制をかけるのではなく、牽制機能を働かせるべき

ところで、セキュリティポリシーを策定して運用している企業や団体には、USBメモリーなどの外部記憶媒体そのものを使用禁止にしている例も多い。この点について、JA安芸としてはどのように考えているのだろうか。浅原氏は、USBメモリー自体を禁止することはむしろ業務の円滑な遂行を阻害してしまうとしたうえで、次のように語る。

「規制をかけ過ぎてしまうと、仕事ができなくなってしまいます。規制は実務に影響のない程度にとどめ、かわりにアクセスログや操作ログを取得し、誰がいつ何をしたか詳細を記録していることを社内に告知することで、牽制機能を働かせるほうが効果的です」(浅原氏)。

パスワードロックとハードウェア暗号化が可能な ED-Vシリーズであれば、パスワードそのものが漏えいしない限り、保存されたデータが第三者によって読み取られることは考えにくい。このようにしてハードウェアレベルでの抜け道をなくした上で、セキュリティポリシーの範囲内で職員には自由に利用させる。ただし、外部媒体への書き込み履歴が記録されていることは職員にも告知されているため、ポリシーに反した運用は自然となされなくなっていく、という仕組みである。

強固なセキュリティポリシーを設定したことで運用プロセスが煩雑になり、業務の効率を落としてしまっている例は少なくない。それ自体がセキュリティ機能を持つ ED-Vシリーズを効果的に利用すれば、業務の効率を落とすことなくデータのやりとりが行えるほか、導入にあたっては既存システムと共存しつつ最小限のコストで導入できる。

また、暗号化やパスワードロック機能を備えることで、個人情報保護法の安全管理措置義務に十分に配慮していたとみなされる可能性も高い。 ED-Vシリーズを利用することで、セキュリティを維持しつつスムーズな業務の遂行を実現しているJA安芸の取り組みは、多くの企業団体にとってお手本となることだろう。

ページの先頭へ

導入企業概要

安芸農業協同組合 | 外観トップ

安芸農業協同組合(JA安芸)は、広島県安芸郡を中心としたエリアに本店および16の店舗をもち、約28000人の組合員をサポートするための各種事業を展開している。その内容は、貯金や融資などの総合金融サービスをはじめ、保障や貯蓄などの共済事業、農業生産資材や生活用品を安価に提供する購買事業、地域に対する営農指導事業など多岐に渡っている。
[商号] 安芸農業協同組合
(JA安芸)
[創立] 1975年4月
[出資金] 23億9,348万円
[代表理事組合長] 永山 洋介
[職員数] 258名
http://www.ja-aki.jp/

JA安芸 コンプライアンス統括部主任 兼務 システム開発主任 浅原 正博 氏

JA安芸 コンプライアンス統括部主任
兼務 システム開発主任
浅原 正博 様

「通常のUSBメモリーとスピードも変わらない、操作性も変わらない、パスワードをかけて暗号化される。本当にデータの盗みようがないなと感心しました」

ページの先頭へ

このページのトップへ
PC版を表示