事例概要
ちばぎんコンピューターサービスは情報流出事故を防ぐため、インターネット分離製品を導入することにした。環境分離、Web無害化、画面転送の3つの代表的な構成の製品を比較検討した結果、ジェイズ・コミュニケーションのインターネット分離ソリューション「RevoWorks SCVX」を選定。2019年初め、システムは本稼働を開始し、順調に運用されている。
情報流出事故防止のため、インターネット分離製品の導入を検討
ちばぎんコンピューターサービス株式会社(以下、同社)はデジタルトランスフォーメーションや働き方改革が叫ばれる中で、業務改善や効率化に取り組もうとしている。そのために様々なソリューションをまずは社内に導入、その経験をもとに顧客に対する積極的な提案を行っていく考えだ。
この間、同社が力を入れてきたのがサイバー攻撃など高まるインターネット上の脅威に対応するためのセキュリティの強化だ。「当初考えていたのは、ファイルサーバーの暗号化やエンドポイント対策でした。今まで情報流出事故はなかったものの、高度なセキュリティ対策を実施している企業でも情報漏えいが起きる状況の中で、万全の備えをしておこうと計画しました」と、同社イノベーション推進部部長平戸雅博氏(以下、平戸氏)は振り返る。
ファイルサーバーの暗号化は運用負荷が大きすぎることから見送り、エンドポイント対策は大幅に増強できたとしてもマルウェアが社内に侵入してしまうリスクを軽減することはできない。そこで検討したのがインターネット分離製品の導入だった。「理想はインターネットに接続するネットワークと、社内ファイルを取り扱うネットワークとを別々に構築して完全に分断してしまうことですが、私たちの業務環境と、そのような環境を構築するための費用を鑑みると不可能です。お客様からメールも来ますし、ベンダーとのやり取りもあり、インターネットが業務に密接に関わっています。そのため、インターネット分離製品導入を検討することにしたのです」と同社法人事業部法人システム部第2システムグループ課長朝本宜史氏(以下、朝本氏)は語る。
違和感なくブラウザが使える画面転送方式の「RevoWorks SCVX」を選定
同社では、社員のほぼ全員がWebメールを利用している。そこで、インターネット及びメールの脅威から社内にあるPCを守るべく、インターネット分離の代表的な構成である環境分離方式、Web無害化方式、画面転送方式の3タイプをすべて検証することにした。まず、インターネットはネットワークの外で処理させたいと考えていたことから、ローカル端末と直接接触するWeb無害化方式は除外。続いて、画面転送方式、環境分離方式の複数製品を検討した。そして、2018年春、最終的にジェイズ・コミュニケーションのインターネット分離ソリューション「RevoWorks SCVX」(以下、SCVX)の導入を決定した。「SCVXは、安全性はもちろんですが、オリジナルブラウザがFirefoxベースなので違和感なく使えること、ウィンドウサイズの可変が自在であること、当社で利用しているWebメールも使えること、端末に依存しないため、運用が楽なことが決め手となりました」(朝本氏)。
オリジナルブラウザの動きも良好で、満足度は高い
同社では2018年夏にSCVXの構築を開始、秋にテスト運用を行い、2019年初めに本稼働させることができた。システムはインターネット接続セグメントにSCVXサーバーを置き、ファイアウォールを使って隔離。これにより外部との接触をなくし、脅威の侵入や情報の漏えいを阻止する。さらにコンテナ技術を利用、画面を転送することで、感染リスクと漏えいリスクが極小化する。
導入にあたっては役員への説明から始め、部長、各部署へと時間をかけ、全社的な理解を得ることができた。その結果、大きな問題や混乱もなく導入が完了し、現在、250名弱の社員がSCVXによるインターネット分離を実現した環境でインターネットを利用している。グループウェアなど社内システムはIEを使用しているため、ブラウザを2つ使いこなすまである程度の慣れが必要だが、オリジナルブラウザの動きはよく、社内での満足度は高い。また、万が一、社内のPCが感染してC&Cサーバーへの接続を試みようとしても、インターネットへの出口はSCVXに限定しているので、C&Cサーバーにたどり着くことができない。さらに、ポリシーにより単一環境を配信できるため、運用も容易だ。
顧客ニーズが高いセキュリティ分野の商材として、「RevoWorks SCVX」を提案
インターネット分離製品の導入は大変だろうと考えていたが、社内からは不満の声も出ず、スムーズにSCVXを利用する環境に移行することができた。さらに、社内プラットフォームの脆弱性を可視化・数値化して継続的にリスクを管理する製品や、EDRの導入検討などにも取り組んでいく計画だ。また、自社での製品導入経験を基に同社のホームページに商材を掲載、顧客に訴求するページを作り、営業活動に活かしていく。「その際、特に力を入れようと考えている分野のひとつがセキュリティです。セキュリティは顧客のニーズも高いので、インターネット分離、標的型メール攻撃対策などを取り上げ、SCVXの特設ページも作りたいと考えています。直近の問題だけではなく、お客様の課題を深掘りして提案を行い、当社としての付加価値を追求していきたい」と平戸氏は抱負を語る。働き方改革が求められる中、自動化による工数削減が重要なポイントになってくるが、情報漏えいなどの事故が発生し、企業としての信頼を失っては事業存続の危機になりかねない。自社で導入したSCVXを顧客にも提案し、実際の事故が起きる前に対策を行うことの重要性を伝えていく予定だ。
社名
ちばぎんコンピューターサービス株式会社
所在地
千葉県千葉市美浜区中瀬1-10-2ちばぎん幕張ビル9階
設立
1980年4月
資本金
1億5千万円
代表者
代表取締役社長 佐立 成信
従業員数
246名(2019年3月現在)
事業概要
千葉銀行の情報処理関連会社として設立され、企業、地方公共団体、医療機関・介護施設など様々な業種向けにソフトウェア開発、コンピュータ機器販売・導入サービス、IDCサービス、アウトソーシングサービスなど、幅広いサービスを提供している。