当社はPMSやISMSの認証を取得しており、その監査項目の1つに、USBやCD-Rなどの外部記録媒体によるデータ持ち出しの管理がありました。PMS・ISMSの審査では管理手法は問われなかったため、外部記憶媒体の貸出・返却時にエクセルの管理表で記録管理していましたが、NTTデータグループ内での監査で、人的管理による脆弱性を指摘され、既存の管理策の他にシステム的な制御を行うよう改善の指示を受けました。
また、当社ではOSの標準ツールを利用してログを取得していましたが、取得期間は7日分と短く、インシデント発生時に追跡調査することが困難な状況でした。この点についても、NTTデータグループのセキュリティ基準に基づく監査を受けた際に、ログ取得期間が短いことの問題点を指摘されました。

そこで、情報の外部持ち出しが管理でき、長期にわたってログを保管できるIT資産管理ツールを導入することにしました。

前述の問題を解決できる製品で、システム管理者の負担にならず、経営層も納得できるコストの製品を選びたいと考えていました。また、社員の大半を占めるSEの業務を妨げないことも重要で、具体的には以下の要件で8製品を比較検討しました。

1．最低でも1年間のログを保存できること。

2．事故発生時に迅速に対応するため、膨大なログを簡単に解析できること。

3．人的負荷なくデバイスの制御・管理ができること。

4．出退勤管理を社内のポータルサイトで行っており
出勤後迅速にPCを立ち上げて出勤時刻を入力する必要があるため、動作が軽快であること。

5．システム開発にもサーバーを利用しているため、
本来の業務に支障を及ぼさないようサーバーに負荷がかからないこと。

6．設定した条件が発生した場合にアラートを出してくれ、常時監視する必要がないこと。

7．低コストであること。

上記条件で絞り込み、2製品について実環境で検証し、最終的に AssetView PLATINUM を採用することにしました。

AssetView PLATINUM はWindowsに似たGUIが採用されているので、簡単に操作できました。管理画面も見やすく、マニュアルを見なくても困ることはありません。日々利用するものなので、操作性が良い点を高く評価しました。

また、データベースでマイクロソフト社のSQLサーバーを使っていた点も評価しました。ログを長期保存するとログファイルのサイズが大きくなってしまいますが、SQLサーバーであれば自分たちで手を加えられるので柔軟な対応が可能です。

さらに、ハンモックは解析サービスを提供しており、ログ解析が社内でできないような事態が発生しても対応が可能という点も評価しました。

AssetView PLATINUM を導入することにより、情報セキュリティ上の脆弱性に対するリスクを大幅に軽減することができました。 具体的には、外部デバイスをシステム制御することにより、外部デバイスの利用を会社貸与に限定することができ、不正利用を未然に防止することができる等、より厳格な管理ができるようになりました。その他、紛失等による事故発生時には外部デバイスに保管したデータを特定することが可能となり、二次災害のリスクについても軽減することができるようになりました。

また、各PCのシステム情報を取得・分析することにより、不調を来たす可能性があるPCに対し事前に対策をたてることができるようになりました。さらに、アプリケーションのアップデートを管理できる機能により、Windows、Adobe系ソフト、javaのランタイムなど、ウイルス対策上定期的なアップデートが必要な処理について、各PCにセキュリティパッチが適用されているかを常時確認でき、アップデートの更新漏れを事前に防ぐことができるようになったことも評価しています。

PMS、ISMSの監査では、これらの取り組みが評価され、指摘事項なく更新の認定をいただきました。

手作業での管理はできるだけ排除し、効率化を図るつもりです。そのためにも AssetView PLATINUM を使いこなせるようにしたいと考えています。ハンモックは機能ごとの講習会を行っているので、受講する予定です。運用に慣れ管理の効率化が図れたら、子会社にも展開していきたいと考えています。