Dell on Dell Security デルの社内システムから学ぶ セキュリティ対策の強化ポイント 情報システムを導入しているあらゆる企業にとって、 セキュリティ対策はまさに「待ったなし」の状況にある。 しかし、 どこから手をつければよいのか、 どんなことを目指せばよいのか、漠然としすぎて困惑している企業は少なくない。 独自のダイレクト販売をビジネス・モデルとするデルは、 そこで蓄積してきた顧客情報を保護するために さまざまなシステムを確立し、発展させてきた。 その取り組みは、強固なセキュリティを実現するためのいくつかのノウハウから構成される。 して、急成長を遂げる過程で次々に顕在化してくるセキュリ セキュリティ対策の効果は「運用」で決まる ティのあらゆる問題を早急に解決することも求められる。社 内ITの運用にあたって息を抜く暇はない。上記の高野の言葉 ITの導入により、企業は大量の顧客情報をデータベース に蓄積し、さまざまなビジネスで活用することが可能となっ は、そうした自らの経験から投げかけられた本音なのである。 た。また、インターネットをはじめとするネットワークの普 セキュリティ対策のベースとなるのは、その企業としての 行動指針(ポリシー)である。デルの場合、 及にともない、企業には顧客の購買履歴や、住所 「 や電話番号などの個人情報がリアルタイムで集ま Global Information Security Services) 」と呼ばれる全世界レベルの組織の下、 るようになった。 しかし、その一方で個人情報の漏洩事件が後を 次に示すData Clas sification(一部抜粋)のよ 絶たず、その取り扱いに対する社会的な不安が日 うなさまざまなポリシーをワールドワイドで策 ごとに増大しているのが実情だ。デジタル化され 定/適用している。 た個人情報は、紙媒体と比べて大量コピーや遠隔 ●機密性…アクセス権を持つ者だけが情報にアク セスできることを確実にする 地への転送が容易であるため、いったん流出して ●完全性…情報および処理方法が正確、かつ完全 しまうと完全に回収するのはきわめて困難なこと であることを保護する になる。 そうした中、2005年4月からは、いよいよ「個人情報保 護法」が全面施行される。個人情報を保有し、取り扱う企業 には、今まで以上に厳重なセキュリティ対策や管理プロセス を確立することが義務づけられるのである。 デルのインフォメーションテクノロジー本部エンジニアリ ングサービスの部長としてデル社内のITインフラ導入を統 括する高野篤典は、次のように語る。 「セキュリティ対策のためのさまざまなツールが各社から 提供されていますが、どんなに優秀で高機能なツールであろ I T イ ン フ ラ の エ ン ジ ニ ア リ ン グ を 統 括 す る 高 野 篤 典 エ ン ジ ニ ア リ ン グ サ ー ビ ス の 部 長 と し て デ ル 社 内 の デ ル イ ン フ ォ メ ー シ ョ ン テ ク ノ ロ ジ ー 本 部 ● 可 用 性 … 認 可された 利 用 者 が 、必 要 なときに 、情 報および関連する資産にアクセスできるようにする 当然のことながら、こうしたポリシーは実際に守られてい なければ意味がない。そこでデルは、ポリシーを形骸化させ ないためにさまざまな取り組みを行っている。ネットワーク やデータベースなどの主要なITインフラに対し、社内監査 部門とともに四半期ごとに担当管理者が自己監査を行ってい ることもその一例だと高野は言う。 「ITの主要インフラや分野について全世界共通のチェッ うとも、それを導入しさえすればすべてが解決するというほ ク・リストを用意し、決められたセキュリティ要件を満たし ど問題は単純ではありません。重要なのは、むしろその後の ているかどうか、システム管理者1人1人が監査を行うので 運用とプロセスにあります。導入したツールが効果を発揮す す。ここで不十分とされた項目については、いつまでに、誰 るかどうかは、その運用とプロセスの確立にかかっており、 がオーナーシップをとり、どのような対策を施すのかという またそれがセキュリティ対策が成功するかしないかの分かれ アクション・プランを取り決めます。こうして徹底してセキ 道になるのです」 ュリティの課題を解消していくのです。この自己監査はIT ダイレクト販売をビジネスの基本とするデルにとって、顧 客情報の保護はまさに生命線といえる最重要課題である。そ 以外の全部門でも実施され、この取り組みにより、少なくと も年1回行われる外部監査にもスムーズに対応できます」 (高野) 26 GISS( DELL INSIGHT_ FEBRUARY 2005 Dell on Dell Security アント運用/管理のために、デルは具体的にどのようなツー 上記のようにデルは、全部門が一丸となって取り組むこと ルを利用しているのか触れておく必要があるだろう。 をセキュリティ対策の大前提としている。そして、このワール そこでの主軸となっているのは、「Windows Server ドワイドで一貫した体制の下、アカウント管理やアクセス権 2003」ベースで稼働するディレクトリ・サービスである 管理をはじめとする個別の施策を展開しているのである。 「 Active Directory」 と 、 シ ス テ ム 運 用 管 理 ツ ー ル の 「Systems Management Server(SMS)2003」である。 アカウントとアクセス権を確実に管理する Active Directoryは、クライアント環境に対してグループ・ アカウント管理やアクセス権管理は、セキュリティ対策の ポリシーを適用するとともに、オペレータへのセキュリティ 基本中の基本と言えるが、いざ行ってみると、予想以上に管 対策を提供する。そして、SMS 2003は、配下のクライア 理者を悩ます問題となる。これは、事業の成長や市場の変化 ント環境からインベントリ情報を収集し、IT資産管理を行 などにより、従業員の入退社や他国への転籍、ジョブ・ロー う。 「OSやアプリケーションなどのセキュリティ・パッチを テーションによる部署異動などが日常的に発生するからだ。 含めたソフトウェアを配布するうえで、SMS 2003はなく また、業務のアウトソーシングも進んでいる。そうした中で てはならないツールになっています」と、與那覇は言う。 システムの利用者を漏れなく確実に管理しようとしても、一 さらにデルは、この基盤の下で次のようなセキュリティ管 筋縄ではいかないのだ。こうした実情を踏まえ、デルは現在 理を一例とする「Get Secure」と呼ばれるプログラムを運 どのような運用を行っているのだろうか。 用している。 まずアカウント管理に関しては、定期的なパス ①ネットワークにつながっている各サーバおよび ク ワードの変更を義務づけている。社内で取り決め ラ イ ア ン たパスワードの変更期間が過ぎても変更されなか トPCが、ドメインに登録されていることを確 った場合、数日間の猶予期間後にそのアカウント 認する。 はロックされる。さらに、ロックされたままのア ②各サーバ/クライアントPCにSMS 2003クラ カウントは一定期間後に削除されるのである。こ イアントがインストールされていることを確認する。 の削除に関しては、ユーザー・アカウントのみな ③各サーバ/クライアントPCのウイルス対策ソ らず、コンピュータ・アカウントにおいても同様だ。 フトに最新の定義ファイルが適用されているこ 一方、アクセス権管理については、利用者の退 とを確認する。 職や異動が発生したとき、所管部署がWeb経由 で速やかにステータス変更リクエストを提出しなければなら ない。これを受け取ったIT部門が、ポリシーに基づいてアカ ウントやアクセス権の変更を実施する体制を敷いている。 もっとも、これだけで完全に“漏れ”が防げるとは言い切 れない。デルのインフォメーションテクノロジー本部インフ ラストラクチャーサービスにおいて高野とともにセキュリテ ィ対策に携わっているオペレーションサービスのシニアマネ ジャー、與那覇充は次のように語る。 「オーダー管理システムやファイル・サーバ、イントラネ これらの項目は毎日ツールで自動的にチェック 與 那 覇 充 は 、 本 番 シ ス テ ム の 運 用 を 統 括 す る オ ペ レ ー シ ョ ン サ ー ビ ス の シ ニ ア マ ネ ジ ャ ー で あ る デ ル イ ン フ ォ メ ー シ ョ ン テ ク ノ ロ ジ ー 本 部 され、いずれか1つの項目でも満たしていないクライアント PCの利用者を抱える上司には、警告メールが送られる。そ して、その後、48時間以内に適切な対策を実施し、警告を 解除しなければ、その利用者のメール・アカウントは強制的 に停止させられ、メールの送受信が一切できなくなるのであ る。複雑で手間を要するセキュリティの管理作業を容易かつ 確実なものにするために、自動化のアプローチがとられてい る。 デルが長期にわたって積み上げてきたこうしたセキュリテ ットのセキュア・サイトなど、特に重要なシステムに関して ィ対策の体制を、一般企業が一足飛びに確立することは困難 は四半期ごとにレビューを実施し、漏れがないかどうかを各 かもしれない。しかし、そうした中でも第一歩として始めら 部門に確認しています。また、データベースのアカウントに れることはあるはずだ。 「セキュリティ対策には、終わりが 関しても毎月アクセス権限を更新し、利用者に定期的に内容 ありません。当社にしてもまだやるべきことは、数多くあり を確認してもらっています」 ます。1つずつ着実にこなしていくことです。また、セキュ リティ対策は、最終的には、利用者に委ねられます。利用者 Active DirectoryとSMS 2003を活用 に対するセキュリティの啓蒙活動や教育も非常に大切です」 と、高野と與那覇はアドバイスする。 以上、述べてきたようなセキュリティ対策において、クライ IT利用者1人1人の「情報を保護する」という意識を高 DELL INSIGHT_ FEBRUARY 2005 27
© Copyright 2024 ExpyDoc