「ノート・パソコンを持ち出し禁止にするなど、極端に効率性を犠牲にするセキュリティ強化には意味がない」。竹中工務店グループで建物の総合管理を手がける、アサヒ ファシリティズの河野雅英IT管理室長はこう語る。「セキュリティ対策にルールの作成や順守は欠かせないが、業務効率が大きく下がるルールを作ってしまうと、必ず隠れて違反する社員が出てくる。守られないルールなら、作らなくても同じ」(同)。
こうした考えのもと、アサヒ ファシリティズは現在、営業担当者などが持ち歩くノート・パソコンと社内のデスクトップ・パソコンのセキュリティ対策を進めている。「業務の効率性を保ちつつ、想定できるあらゆる事態に対処できるよう心がけた。表玄関にカギをかけても、裏口が開いていたらダメ。セキュリティは、全方位で考える必要がある」(河野室長)。
同社はまず、社内にウイルスを持ち込めないようにする仕組みを作った。最新パッチを適用していないなど、セキュリティ対策が不十分なパソコンや、個人認証ができないパソコンを社内LANに接続不可にする「検疫システム」がそれだ。すべてのパソコンにインストールされた「エージェント・ソフト」が監視サーバーに問い合わせることで、パソコンのセキュリティ状態を常に一定に保つ。同時に、エージェントを搭載していないパソコンを社内LANに接続させない役割を果たす。
パソコンが盗難されたり、紛失した場合の情報漏えい対策も実施した。パソコン単体で個人認証できるように、指紋認証機能を備えた機種に買い換えたり、従来機に指紋認証デバイスを追加したりした。加えて、パソコン上で作成したすべてのファイルを暗号化する機能をエージェントに持たせた。エージェントが動作するパソコンだけが解読できるようにして、ファイルを記録媒体に出力して持ち出せないようにしている。
エージェントには、パソコンの操作を制限する機能も付加した。電子メールにファイルを添付して持ち出す場合などを想定している。セキュリティ・ルールに基づき、ファイルのアクセスや作成、読み込み、書き込み、移動、削除、印刷を制限している。それでも情報が漏れた場合に備えて、指定された操作のログを記録する。これにより、犯人の特定を容易にすることを狙った。
同社は全国200拠点以上の事業所に対し、システムと新パソコンを順次導入している最中。ノート機とデスクトップ機を合わせて約1000台が対象。10月31日をメドに完了する予定。システム構築は日本IBMが担当した。