Click here to visit our sponsor 


□------------------------------------------------------------------□
 部門情報システムのセキュリティ対策
□------------------------------------------------------------------□

[全 3,275字ライン]

---------------------------------------------------------------------
(設問ア)
---------------------------------------------------------------------
1.業務改善の概要
---------------------------------------------------------------------
 わたしは、プラント建設工事下請け業(社員170名)
の海外工事部(部員50名)の次長である。当社では、
4年前にライン部門の希望者全員にノートパソコンを無
償貸与した。3年前に会社WWWサイトをプロバイダの
WWW上に開設した。現在、本社のLAN化に向けて準
備中である。
 海外工事部では、2年前に海外現場を含む部内コミュ
ニケーションを統合して現場支援システムとした。それ
までは、海外クーリエによる託送、国際電話・FAX、
電子メールなどが混在していた。わたしは、工事日報
フォームの最標準化と電子データ化という業務改善を経
て、このシステムの企画・構築を主導した。わたしは、
それ以来、情報化推進も担当している。
 現場支援システムは、主に3つの機能からなる。
 a.工事日報の入力と入力支援機能
 b.入力データを蓄積・集計して予実比較表示する機能
 c.質疑応答の掲示板
それぞれWWWブラウザから表示されるページで、これ
をダイヤルアップとFTPで運用している。
 当社には、全社的な基幹システムがなく、経理システ
ムが国内の主要な支店間とオンラインバッチで運用され
ているだけである。全社的なセキュリティ対策は、した
がって、経理システムを中心としたものであった。
 3年前に、当社は大手プロバイダとインターネット接
続に関するパッケージ契約をした。パッケージ内容は、
WWWスペースが250MB、ダイヤルアップアクセス
が100アカウント、電子メールが300アカウントで、
他にCGIや全角文字の使用を含むものであった。
 わたしは、現場支援システムの企画・構築を主導する
にあたって、全社的なセキュリティ対策をそのまま流用
する事ができず、部門独自のものを設定・実施した。

[設問ア 800字ライン]

---------------------------------------------------------------------
(設問イ)
---------------------------------------------------------------------
2.セキュリティ対策
---------------------------------------------------------------------
2-1.全社セキュリティ対策
----
 対象となる経理システムは、オフコンと端末PCから
構成されていた。ノートPC配布前は、端末PCにワー
プロや表計算ソフトをインストールして利用されてもい
た。全社セキュリティ対策は次のようなものであった。
 a.オフコンのある電算室への入室制限
 b.端末PCから経理システムへのIDによるアクセス
  管理
 c.メディア(FD、MOなど)の持込制限
 d.ノートPC、メディアの持ち出し制限
 e.ウィルスチェック
 f.アカウント、メールID・パスの守秘義務
ほとんどが、文書ファイルの管理に準じたもので、詳細
なマニュアルや規定などもなかった。尚、それまで経理
システムが不正アクセスやウィルスの被害を受けたとは
聞いたいない。
----
2-2.部門セキュリティ対策の実状
----
 現場支援システムの導入前は、海外工事部も全社セ
キュリティ対策を部内に適用していた。
 当時、海外のPC販売はハード主体で、ソフトはサー
ビスとして無償で付与されていた国が多い。それらのソ
フトは不正コピーが多く、OS段階でのウィルスも蔓延
していた。従って、部員はウィルスの存在を前提として
受けとめており、ウィルスチェックには全員が留意して
いた。
 一方、価格競争の結果として、海外の各現場は1人の
部員しか派遣されておらず、部員も現場の全業務を管理、
指導しなければならない。そのような状況で、ノート
PCを現地スタッフに預けて、入力作業や編集作業など
を行わせるのは日常的でもあった。
 わたしは、現場支援システムの導入を前に、部内のセ
キュリティ対策、特に部員のセキュリティに対する意識
改革の必要性を痛感していた。
----
2-3.現場支援システムのセキュリティ対策
----
 「このシステムは、会社にとって必要不可欠であり、
大事な情報、機密データも含まれる。全員でセキュリ
ティ基準を遵守し、保護しなければならない」というの
は、正論であり、言うのはたやすい。しかし、それだけ
でセキュリティが徹底されるとは、少なくとも管理職で
ある私は、信じるわけにはいかなかった。セキュリティ
に関しては、性悪説的な視点が必須である。
 現場支援システムには、部内でのデータ共有化という
ことも要件として考えられていた。質問掲示板で蓄積さ
れるであろうノウハウの共有と、1人で赴任している部
員の精神衛生上の観点からである。
 しかし、わたしは、部員や現場の本当の実状を把握す
る為には、現場別か部員別のサイトとしての運用の方を
重視していた。質問掲示板も、限られた上司や担当者が
応答する方が、責任の所在も明確化し、ひいては部員の
システムに対する信頼感も助成されると考えていたから
である。
 わたしは、現場支援システムを部員別のサイトとする
ように指導し、徹底させた。部内の共通掲示板は別ディ
レクトリに設ける事にして、部員別のサイトには基本的
にリンクなしとした。
 システムのセキュリティ対策としては、アクセスID、
パスの設定、隠しディレクトリそれに全角文字を利用し
た。アクセスログの履歴も分析する事にした。
 ユーザは海外現場での1人での利用であり、ノート
PC内にはオフライン機能があり、またバッファなども
あって、ノートPC本体の管理も重要である。
 「このシステムは、私にとって大事であり、私にとっ
て重要な記録・データや他人に見られたくない情報もあ
る。だから私はこれを保護する」という個人の自発的な
意志が発揮され、セキュリティ対策に大きな貢献をする
事を期待した訳である。

[設問イ 1,625字ライン]

---------------------------------------------------------------------
3.更なるセキュリティ施策
---------------------------------------------------------------------
3-1.現場支援システムの評価
----
 現在のところ、不正アクセスや不審なアクセスは検知
されていない。掲示板でも、部員の本音的な意見が書か
れる様になり、わたしの施策はそれなりの効果を生んで
いると判断している。
 運用の経過に伴い、徐々に扱うデータや情報の範囲を
広げている。特に、予実比較ページでは、グラフ表示・
%表示に加えて、金額の具体値を扱うように拡張してい
る。
----
3-2.LAN化への対応
----
 本社内のLAN化に伴い、情報支援システムもLAN
内のサーバに吸収される事になる。これまでのダイヤル
アップとFTPによる運用から比べると、更新・変更・
追加などの手間が大幅に改善される。それらに対してシ
ステムの再構築が必要である。
 しかし、最も大幅に変わるのはセキュリティ対策であ
る。1つは、支援システムが、経理システムや他部門と
同じLAN上に乗る事により、システム全体の不可視化
が無意味となって、理論上はLAN上のすべてに部員の
ノートPCからアクセス可能となる事である。
 もう1つは、LAN化に伴い、他部門との連係上、部
内の重要データをLAN上に乗せざるを得ないという点
である。実は、LAN化に対する問題で、全社的にまと
まっていないのはセキュリティ対策である。重要データ
を扱うシステムとそれほどでもないシステムを、別の
LANとするのが最も効果的とされているが、コストと
保守上の問題でまだ結論とはいたっていない。
 わたしも、この全社LAN化対策会のサブリーダとし
て参画しており、VPNや無線LANの利用も含めた
LAN分立案を主に検討している。

[設問ウ 850字ライン]
[ 戻る ]