Dell on Dell Security デルの社内システムから学ぶセキュリティ対策の強化ポイント情報システムを導入しているあらゆる企業にとって、セキュリティ対策はまさに「待ったなし」の状況にある。しかし、どこから手をつければよいのか、どんなことを目指せばよいのか、漠然としすぎて困惑している企業は少なくない。独自のダイレクト販売をビジネス・モデルとするデルは、そこで蓄積してきた顧客情報を保護するためにさまざまなシステムを確立し、発展させてきた。その取り組みは、強固なセキュリティを実現するためのいくつかのノウハウから構成される。して、急成長を遂げる過程で次々に顕在化してくるセキュリセキュリティ対策の効果は「運用」で決まるティのあらゆる問題を早急に解決することも求められる。社内ITの運用にあたって息を抜く暇はない。上記の高野の言葉 ITの導入により、企業は大量の顧客情報をデータベースに蓄積し、さまざまなビジネスで活用することが可能となっは、そうした自らの経験から投げかけられた本音なのである。た。また、インターネットをはじめとするネットワークの普セキュリティ対策のベースとなるのは、その企業としての行動指針（ポリシー）である。デルの場合、及にともない、企業には顧客の購買履歴や、住所「や電話番号などの個人情報がリアルタイムで集ま Global Information Security Services）」と呼ばれる全世界レベルの組織の下、るようになった。しかし、その一方で個人情報の漏洩事件が後を次に示すData Clas sification（一部抜粋）のよ絶たず、その取り扱いに対する社会的な不安が日うなさまざまなポリシーをワールドワイドで策ごとに増大しているのが実情だ。デジタル化され定／適用している。た個人情報は、紙媒体と比べて大量コピーや遠隔 ●機密性…アクセス権を持つ者だけが情報にアクセスできることを確実にする地への転送が容易であるため、いったん流出して ●完全性…情報および処理方法が正確、かつ完全しまうと完全に回収するのはきわめて困難なことであることを保護するになる。そうした中、2005年4月からは、いよいよ「個人情報保護法」が全面施行される。個人情報を保有し、取り扱う企業には、今まで以上に厳重なセキュリティ対策や管理プロセスを確立することが義務づけられるのである。デルのインフォメーションテクノロジー本部エンジニアリングサービスの部長としてデル社内のITインフラ導入を統括する高野篤典は、次のように語る。「セキュリティ対策のためのさまざまなツールが各社から提供されていますが、どんなに優秀で高機能なツールであろＩＴインフラのエンジニアリングを統括する高野篤典エンジニアリングサービスの部長としてデル社内のデルインフォメーションテクノロジー本部 ● 可用性 … 認可された利用者が、必要なときに、情報および関連する資産にアクセスできるようにする当然のことながら、こうしたポリシーは実際に守られていなければ意味がない。そこでデルは、ポリシーを形骸化させないためにさまざまな取り組みを行っている。ネットワークやデータベースなどの主要なITインフラに対し、社内監査部門とともに四半期ごとに担当管理者が自己監査を行っていることもその一例だと高野は言う。「ITの主要インフラや分野について全世界共通のチェッうとも、それを導入しさえすればすべてが解決するというほク・リストを用意し、決められたセキュリティ要件を満たしど問題は単純ではありません。重要なのは、むしろその後のているかどうか、システム管理者1人1人が監査を行うので運用とプロセスにあります。導入したツールが効果を発揮すす。ここで不十分とされた項目については、いつまでに、誰るかどうかは、その運用とプロセスの確立にかかっており、がオーナーシップをとり、どのような対策を施すのかというまたそれがセキュリティ対策が成功するかしないかの分かれアクション・プランを取り決めます。こうして徹底してセキ道になるのです」ュリティの課題を解消していくのです。この自己監査はIT ダイレクト販売をビジネスの基本とするデルにとって、顧客情報の保護はまさに生命線といえる最重要課題である。そ以外の全部門でも実施され、この取り組みにより、少なくとも年1回行われる外部監査にもスムーズに対応できます」（高野） 26 GISS（ DELL INSIGHT_ FEBRUARY 2005 Dell on Dell Security アント運用／管理のために、デルは具体的にどのようなツー上記のようにデルは、全部門が一丸となって取り組むことルを利用しているのか触れておく必要があるだろう。をセキュリティ対策の大前提としている。そして、このワールそこでの主軸となっているのは、「Windows Server ドワイドで一貫した体制の下、アカウント管理やアクセス権 2003」ベースで稼働するディレクトリ・サービスである管理をはじめとする個別の施策を展開しているのである。「 Active Directory」と、システム運用管理ツールの「Systems Management Server（SMS）2003」である。アカウントとアクセス権を確実に管理する Active Directoryは、クライアント環境に対してグループ・アカウント管理やアクセス権管理は、セキュリティ対策のポリシーを適用するとともに、オペレータへのセキュリティ基本中の基本と言えるが、いざ行ってみると、予想以上に管対策を提供する。そして、SMS 2003は、配下のクライア理者を悩ます問題となる。これは、事業の成長や市場の変化ント環境からインベントリ情報を収集し、IT資産管理を行などにより、従業員の入退社や他国への転籍、ジョブ・ローう。「OSやアプリケーションなどのセキュリティ・パッチをテーションによる部署異動などが日常的に発生するからだ。含めたソフトウェアを配布するうえで、SMS 2003はなくまた、業務のアウトソーシングも進んでいる。そうした中でてはならないツールになっています」と、與那覇は言う。システムの利用者を漏れなく確実に管理しようとしても、一さらにデルは、この基盤の下で次のようなセキュリティ管筋縄ではいかないのだ。こうした実情を踏まえ、デルは現在理を一例とする「Get Secure」と呼ばれるプログラムを運どのような運用を行っているのだろうか。用している。まずアカウント管理に関しては、定期的なパス ①ネットワークにつながっている各サーバおよびクワードの変更を義務づけている。社内で取り決めライアンたパスワードの変更期間が過ぎても変更されなかトPCが、ドメインに登録されていることを確った場合、数日間の猶予期間後にそのアカウント認する。はロックされる。さらに、ロックされたままのア ②各サーバ／クライアントPCにSMS 2003クラカウントは一定期間後に削除されるのである。こイアントがインストールされていることを確認する。の削除に関しては、ユーザー・アカウントのみな ③各サーバ／クライアントPCのウイルス対策ソらず、コンピュータ・アカウントにおいても同様だ。フトに最新の定義ファイルが適用されているこ一方、アクセス権管理については、利用者の退とを確認する。職や異動が発生したとき、所管部署がWeb経由で速やかにステータス変更リクエストを提出しなければならない。これを受け取ったIT部門が、ポリシーに基づいてアカウントやアクセス権の変更を実施する体制を敷いている。もっとも、これだけで完全に“漏れ”が防げるとは言い切れない。デルのインフォメーションテクノロジー本部インフラストラクチャーサービスにおいて高野とともにセキュリティ対策に携わっているオペレーションサービスのシニアマネジャー、與那覇充は次のように語る。「オーダー管理システムやファイル・サーバ、イントラネこれらの項目は毎日ツールで自動的にチェック與那覇充は、本番システムの運用を統括するオペレーションサービスのシニアマネジャーであるデルインフォメーションテクノロジー本部され、いずれか1つの項目でも満たしていないクライアント PCの利用者を抱える上司には、警告メールが送られる。そして、その後、48時間以内に適切な対策を実施し、警告を解除しなければ、その利用者のメール・アカウントは強制的に停止させられ、メールの送受信が一切できなくなるのである。複雑で手間を要するセキュリティの管理作業を容易かつ確実なものにするために、自動化のアプローチがとられている。デルが長期にわたって積み上げてきたこうしたセキュリテットのセキュア・サイトなど、特に重要なシステムに関してィ対策の体制を、一般企業が一足飛びに確立することは困難は四半期ごとにレビューを実施し、漏れがないかどうかを各かもしれない。しかし、そうした中でも第一歩として始めら部門に確認しています。また、データベースのアカウントにれることはあるはずだ。「セキュリティ対策には、終わりが関しても毎月アクセス権限を更新し、利用者に定期的に内容ありません。当社にしてもまだやるべきことは、数多くありを確認してもらっています」ます。1つずつ着実にこなしていくことです。また、セキュリティ対策は、最終的には、利用者に委ねられます。利用者 Active DirectoryとSMS 2003を活用に対するセキュリティの啓蒙活動や教育も非常に大切です」と、高野と與那覇はアドバイスする。以上、述べてきたようなセキュリティ対策において、クライ IT利用者1人1人の「情報を保護する」という意識を高 DELL INSIGHT_ FEBRUARY 2005 27