----------------------------------------------------------------------
レンタルビデオ店のPOSシステムにおける
個人情報のセキュリティ侵害への対応策
----------------------------------------------------------------------
----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1.私が携わったネットワークシステムの概要
----------------------------------------------------------------------
A社は、近県を含め約30店舗でチェーン展開するレ
ンタルビデオ店である。A社のシステムは、本部と各店
舗を地域網を利用したVPNで接続するネットワーク構
成となっている。店舗と本部の業務は、以下の通りであ
る。
----
1.1.店舗
----
・レンタル業務を、店頭に設置したパソコンベースの
POSで行っている。POSにて全データの管理を行
い、バックオフィスのサーバは,有していない。
・店頭にてレンタル会員の入会登録を行っている。
・営業終了後の日締めによりデータを本部へ送信する。
----
1.2.本部
----
・レンタル会員へのクーポンメール配信や、キャンペー
ンの広告を行っている。
・売上データの集計やマスタのメンテナンス、店舗への
配信を行っている。
A社では、レンタル会員の個人情報が、重要度の最も
高い情報資産であると認識し、外部からのセキュリティ
侵害への対策を実施することになった。本部では、イン
ターネット接続、店舗では、店頭のPOSが外部との接
点であり、脆弱性がある。私は、A社の本部に勤めるシ
ステム管理技術者であり、セキュリティ対策を実施した。
----------------------------------------------------------------------
2.セキュリティ侵害へのシステム面での対応策
----------------------------------------------------------------------
2.1.店舗
----
・各POSへウィルス対策ソフトのインストールの実施。
・POSシステム操作時に、店員が一人一枚持っている
認証カードを利用し、認証を行う。
----
2.2.本部
----
・ファイアフォールの設置。各サーバのDMZへの配置。
・ウィルス対策ソフトの全サーバ、端末へのインストー
ルの実施。
----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
1.ウィルス対策ソフトのパターンファイル適用やOS
のセキュリティパッチの適用における工夫
----------------------------------------------------------------------
昨今では、毎日のように、セキュリティホールや新種
のウィルスが発見される。これに伴いウィルス対策ソフ
トのパターンファイルやOSのセキュリティパッチも毎
日のように更新される.システム管理技術者は,これら
をチェックし,システムに適用しなければならない。し
かし、時には、こういった変更が、システムを不安定に
し,可用性を損なう危険がある。そこで私は、以下の工
夫を行っている。
----
1.1.テスト系での事前確認
----
A社の本部システムは、本番系及びテスト系を有して
いる。私は、まず、テスト系へ更新作業を行い、システ
ムの動作確認後、本番系へ適用している。店舗のPOS
は、本部に評価用POSが設置されている。まず、この
評価用POSにてシステムの動作確認後、本部から各店
舗へ配信を行っている。
----
1.2.システムの動作確認範囲の限定
----
毎日のように更新される各種ファイル適用時の動作確
認は、時間的、コスト的な面から、システム全体をチェ
ックすることができない。このような場合、業務に大き
な影響のある機能に限定し、優先順位をつけ、システム
の動作確認を行わなければならない。
私は、本システムについて、以下のように範囲を限定
した。
a.本部は、レンタルビデオのタイトルのマスタ登録、配
信機能をチェックする。最新作のタイトルが、予定通
りにレンタル開始できなくなる事は、避けなければな
らない。
b.店舗は、店頭のレンタル及び返却業務をチェックする。
店頭での業務ができなくなることは、避けなければな
らない。
----------------------------------------------------------------------
2.店頭POSからの個人情報削除
----------------------------------------------------------------------
従来、レンタル会員の個人情報は、店頭でマスタ登録
し、本部へ日締の時に送信していた。POS内に個人情
報を保持しており、POSの盗難という脅威に対し、対
策がなされていなかった。そこで私は、POS内のレン
タル会員の個人情報削除を行い、リスク回避を実施した。
----
2.1.レンタル会員のマスタ登録
----
今まで店頭で行っていたレンタル会員のマスタ登録を
本部で行う事にした。店頭では、会員番号の採番を行い、
入会票へ記入する。入会票は、店舗から本部へ郵送し、
本部でマスタの登録を行う。
----
2.2.延滞客フォロー用のリスト印刷
----
レンタルビデオ店の業務の一つに、延滞客への電話で
のフォローがある。従来は、リストを店頭で印字し、電
話を行っていたが、レンタル会員の個人情報を店頭PO
Sに持たないと印字ができない。そこで私は、本業務を
ターミナルサービスを利用した画面照会で行うように変
更した。各店舗のPOSから、本部のターミナルサービ
スを持つサーバに接続し、あたかも本部の端末を操作し
ているような利用ができる。コスト的にも、本部のサー
バ追加と、クライアントライセンスの購入のみで対応で
き、安価に済ませることが可能であった。
----------------------------------------------------------------------
3.セキュリティ意識の向上の取り組み
----------------------------------------------------------------------
各店舗の店員は、多くがパート、アルバイトであり、
入れ替わりが激しい職場である。採用時にセキュリティ
研修も行うが、セキュリティ意識は向上せず、大きな問
題であった。そこで私は、レジカウンターの周辺に、
「当店では、個人情報を保持しておりません。お客様の
個人情報は、本部で集中管理し、安全に守られておりま
す。」と明記したテプラを貼りだすことにした。
さらに店員には、これらをレンタル会員に対し、説明
可能となるように教育した。店員から見た場合、セキュ
リティ教育を受ける立場から、レンタル会員へ説明する
という逆の立場になる。これにより、店員のセキュリ
ティ意識の向上を行った。
----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
1.セキュリティ対策実施結果の評価
----------------------------------------------------------------------
私が行ったセキュリティ対策の実施結果は、おおむね
成功であったと評価している。
特にウィルス対策ソフトのパターンファイルの事前評
価においては、更新によりシステムが起動しなくなる問
題が発生したが、テスト系のみに影響を止めることがで
きた。
----------------------------------------------------------------------
2.今後の改善策
----------------------------------------------------------------------
セキュリティ対策においては、PDCAサイクルによ
り見直しが重要である。今回の私のセキュリティ対策に
より、新たな脅威が発生したことが、見直し作業により
判明した。新たな脅威とは、レンタル会員の入会票を店
舗から本部へ郵送する際の盗難である。今後、機密保持
契約を行った、配送業者を手配するか、店舗で入会票を
スキャンし、暗号化の上、本部に送信するなどの改善を
検討する。
(以上)
[ 戻る ]