 |
≫ |
|
|
|
|
|
|
|
|
|
人と情報の間に「IT」が存在するのが当たり前の時代。「情報の活用を妨げずに、守るべき情報をどう守るか」という「情報セキュリティ」問題に、企業は、どう対処しているのでしょう。スタッフの「本人認証」をセキュリティの軸と考え、ICカードをログイン用に導入した「日本テレビ」の例をご紹介します。 |
|
|
|
|
|
|
|
|
日本テレビ放送網株式会社
民放視聴率トップを常に争うなど、民放でもとりわけ好調な業績を誇るテレビ局。社員数は約1300人。2003年8月に、麹町から汐留の新社屋へ移転。 その際、社内の「IT推進室」が中心となり、新しいITインフラの構築とともに、新たなセキュリティシステムの開発にも取り組み、現在ICカードによる認証システムをセキュリティ対策として活用している。
|
|
|
 |
|
日本テレビ放送網株式会社
IT推進室チーフ・インフォメーション・ディレクター
城信行 氏 |
|
|
|
|
|
|
|
|
|
|
|
マスコミは「情報」が核となる仕事。なかでもテレビ局は、人の出入りが非常に激しい上に、社員以上の数の社外スタッフがビル内で働くなど特殊な状況があり、ITの使い勝手のよさを保ちながら、いかにセキュリティを高めるかは、クリアすべき大きな課題となっています。
日本テレビの場合、そうした取り組みを行う格好の契機になったのは、昨年行われた社屋の「引っ越し」。新たに建造されるビルに拠点を移すことによって、社内の情報インフラも必然的に一新されることになり、セキュリティ・プランもその一環として新たに構築しようと、3年ほど前から基本設計が始められました。
「社員はもちろん、社員以外にも多くのスタッフが社内の情報インフラを使うという会社の状況と報道記者のモバイルPC運用で社外からのアクセスに対するセキュリティ強化を考えると、“誰がどう使っているかきちんと把握できるシステムを作り上げることが必要”ということになりました。そこで浮上してきたのが、本人認証が確実にできる「ICカード」を使い、ログインのための物理的な「カギ」にするという方法。つまり、端末ごとに社内外のアクセスを制限するのではなく、どの端末でも社内外に自由にアクセスできるようにし、「誰」が使っているかを制御するセキュリティが組み込んであるということです。汐留新社屋では「どこでもオフィス」というコンセプトでオフィスの殆どの場所に情報コンセント(UTPポート)が設置されています。カードにはユーザーIDとパスワード暗号鍵が付加され、それを端末に差し込めば、ユーザーは社内のどの場所にいても端末にログインして情報にアクセスすることができます」と、日本テレビ「IT推進室」のディレクターである城信行氏。この会社では、まず社屋の入り口で社員証による認証が行われ、さらに社内の端末を使おうとするとICカードによる認証が必要‥‥と二重のセキュリティを実現しているのが特徴的です。
「従来は一つのIDを複数の人が使い回すケースも多かったのですが、ICカードをカギにすることで、同時に一人しかアクセスできなくなり、何かがあった時も、責任の所在がはっきりしますので、基本的には使い回しができにくくなりました。また、インターネットにアクセスしたログも記録されるので、不要なサイトへのアクセスを続けるなど不適切な行動があれば、きちんとアナウンスもできます。このあたりは利便性とのバランスで、自由に端末を使っていいかわりに、会社側でコンテンツチェックはさせてもらう、ということです」と城さん。使い勝手のよさを向上させながら、その代償としてセキュリティ対策を推進。セキュリティの機能を“カード”という物理的なものに担わせることで、サーバー側に特別な仕組みを付加せずに済んでいるのも大きなメリットだと語ります。 |
|
|
|
|
|
|
|
|
ICカードをログイン用に導入することになり、課題となったのは、既存のカードでは、パスワードを忘れてしまった時や、カードを物理的に忘れてしまった時の運用などがあまり考慮されていないということでした。
「人間が使うのですから、どんなに注意深くあっても、家にカードを忘れたり、破損したりということもあります。そうした場合に、期限付きの仮パスワードを発行したり、無効になったICカードをユーザーの手で初期化できたりといった救済措置ができないと、実際には困ってしまうわけです。こうした機能をフォローするために、弊社ではspica(スピカ)というセキュリティソフトウェアを、日本HPや、日本HPのセキュリティソリューション・パートナーであるネットタイム社と共同開発することなりました。ですから、実際の運用は、一般的なICカード、プラス、オリジナルのソフトウェアによって成り立っています。現在このソフトウェアはNSAS(エヌサス)という名で製品として販売されています」と城さん。
セキュリティを実現するためには、その目的の到達点を描くだけでなく、実際にどう運用されるかも含めた綿密なプランニングを立てることが肝要で、予算が許すなら「足りない機能は作って補う」ことも可能だということです。 |
|
|
|
|
|
|
|
|
では実際に導入して、ユーザーからはどんな声があったのでしょうか。日本テレビの場合、ICカード導入前に社員に対して新社屋におけるIT環境の説明が行われたため「時代を考えれば、セキュリティへの協力はやむなし」ということでシステムの浸透は比較的スムーズに進んだようです。ただ一つ問題として浮上したのは、このシステムは「数ヶ月に一度は会社に来てLANにつなぐ」のが前提となるため、報道などで会社にはほとんどいない社員や、海外にいる社員など、遠隔地のユーザーからは使いづらいという意見が寄せられたことでした。
「基本的に社内のユーザーを基準にしてシステムを作っているので、モバイルユーザーには少々不便なものになってしまったようです。ならば逆に、モバイルの中心に機能を考えてそこだけにICカードを採用してもよかったのかもしれないとも考えましたが、そうすると社内で使い回しの問題が出てきてしまいます。総合的に考ええると、とりあえず今はICカードのままでいくのが最良の選択だと思っています」と城さん。最近「指紋」や「指先の毛細血管のパターン」によって本人認証するテクノロジーが注目を集めていますが、まだ性能的にもコスト的にも導入できるレベルにはないのが現状です。「カードの場合、紛失・破損すれば、再発行の手間やコストはどうしてもかかってしまうし、ユーザー側にも、無くせば始末書を書いたり、弁償したりという負荷が生じてしまいます。将来的には、よりシンプルで負荷の少ない技術が発達してくれば、そちらに切り替えていく方が望ましいでしょう」。
当然のことながら、セキュリティはなるべく簡単で確実なものが最良のかたちなのです。 |
|
|
|
|
|
|
|
|
「個人情報保護対策法」の施行などを受け、今、早急なセキュリティ対策を迫られている企業も多い状況ですが、セキュリティ対策を進めるにあたって、何が一番のポイントになるのでしょう。城さんはこうアドバイスします。
「セキュリティをがちがちに固めただけでは、ユーザーの手間が増え、運用しづらいシステムになってしまいますので、“強固に守りながらも柔軟に”という視点で、ユーザーの利便性を十分に考慮することが、まず大事ですね。と同時に、要件をきちんと分析し、どこまでのセキュリティレベルを要求して、それを実現するには運用上どんなことをやらなければならないのか、業務や運用の面で現実的に回るものなのかどうかをよく考えてから導入することも重要です。そこがしっかりしないままツールだけを入れても、現場に受け入れてもらえなければ、有効なセキュリティ対策にはならないということです。あとは“コスト”ですね。セキュリティはコストパフォーマンスが定量的に計れるわけではありませんが、何のためにどこまで必要か、そしてその費用はどうするのかということから実行の可否が判断されますので、ITをマネージメントの視点から見ること、つまりインフラ構築も含めた設計のプランニングがとても大切です。幸い弊社の場合は、新社屋移転という事情の中で、ゼロからのITインフラの開発だったため、セキュリティ費用としてよりは、設備費ということである程度予算をとることができました」。
その企業の実情にあったプランニングと、ユーザーに受け入れられる柔軟性のある運用の形、そして適切なコストの捻出‥‥それらが、セキュリティを成功させる重要なカギとなるようです。 |
|
|
|
印刷用画面へ
