第5回ミブコーポレーションの導入事例で見る「Group-VPN」導入の必然性

文●ネットワークマガジン編集長大谷イビサ

一口にセキュリティ対策といっても、その守備範囲は広い。しかし、現在では「情報漏えいを防ぐ」という目的を満たすための対策と捉えられることが多いだろう。そして、通信経路においてセキュリティを確保するVPNは、こうした情報漏えい対策としても必須のインフラとなりつつある。

Group-VPNの活用事例はこちら >>

企業を悩ませる情報漏えいをいかに防ぐか

　今から3年前の2004年。日本の企業では情報漏えい対策がまさに大きな課題となっていた。これは2005年に全面施行される個人情報保護法への対応と、社会問題となっていたWinnyによる情報漏えいの多発が影響を及ぼした。

　個人情報保護法は、個人情報を適正に管理し、提供者等に使用用途等を明示するように定めた法律を指す。2005年の施行まで2年の準備期間が置かれ、企業にとってこれまで以上の厳密な情報管理体制が求められた。そして、今まで明るみに出なかった多くの情報漏えい事件が公表されるようになり、そのうちのいくつかの事件ではWinnyを介して引き起こされたこともわかった。Winnyのネットワークにいったん流された情報は再び回収することができないため、漏えいした企業への影響はきわめて大きかった。

　この結果、現在では実にさまざまな情報漏えい対策ソリューションが展開されるようになっている。多くの製品ではクライアントPCに専用のエージェントを導入し、サーバと連携することで、外部への不正持ち出しとなるファイル操作やUSBメモリの利用を禁止するという方法が一般的だ。また、ゲートウェイ等に通信を傍受する装置を設置し、不正な通信やソフトのインストールを検出、削除するという方法もある。その他、ネットワークに不正なPCを接続しないようにする「検疫ネットワーク」というソリューションもよく知られている。

　しかし、こうした情報漏えい対策のソリューションを導入する敷居は高い。情報漏えい対策は概して高価であり、管理のためのサーバ管理も煩雑だ。また、セキュリティを確保するためには知識も必要であり、クライアントPC毎にセキュリティ・資産情報を管理する必要もある。

　とはいえ、コンプライアンス（法令遵守）の要件も以前に比べて確実に高まっている。そのため、多くの企業では対策を怠るわけにはいかない。幅広い不動産取引のために顧客情報を扱うミブコーポレーションもその例外ではない。

顧客データベースを安全に利用するための「Group-VPN」導入

　今回のミブコーポレーションの事例でもっとも鍵となるのは、やはり個人情報の運用管理である。同社が不動産の取引等で利用するのは名前や性別、住所、電話番号に留まらず、相続関係や顧客の嗜好など、きわめてパーソナルな情報だ。こうした情報の扱いが、慎重を要するのはいうまでもない。

　従来、ミブコーポレーションでは、個人情報保護の観点から、ネットワークに顧客情報を流すことを避け、拠点ごとにネットワークにつながっていないスタンドアロンPCで個人情報を管理していた。もちろん、営業活動等で個人情報を外部に持ち出す必要もあり、その際は個人情報を出力した紙やデータを保存したメディアは利用後に破棄するというルールを徹底し、情報管理を行っていた。

　だが、セキュリティに重点を置き、個人情報が拠点ごとにあるという状態では、社員が情報をうまく共有できない。たとえば、ある店舗で賃貸マンションを借りた顧客が、次に分譲マンションを購入するといったパターンがあっても、以前の顧客情報が引き継がれないことになる。顧客は、訪れた営業所でまた自らの情報や物件の希望などをイチから話さなければならない。ミブコーポレーションは「ライフステージに合わせて、賃貸から分譲、リゾートまでを手がける」というコンセプトを掲げており、賃貸・売買・リゾートの情報が分離されていた状態では、このコンセプトの実現は難しい状況であった。

　個人情報が拠点ごとに分散した状態を改善するために、三瓶社長は「店舗ごとの個人情報をデータベースに統合化し、各営業マンの力量や情報に依存しないで、顧客に最適な提案を行なえるようにしたい」と考えていたという。こうしたビジネス的な要件とセキュリティの両方を満たすためのソリューションが、今回導入した「Group-VPN＋VPNセキュリティ」というわけだ。

　ミブコーポレーションは、子会社であったスペースコア、ミブ・トータル・サービスなどを吸収合併し、2006年に総合的な不動産の総合企業として生まれ変わった。そして、この統合直前からこうしたデータベースの統合を見越して、VPNサービスの導入検討を開始。その結果、多くの導入事例を持つNTTコミュニケーションズの実績や安心感から「Group-VPN」を導入し、全拠点からデータセンターにある顧客データベースを参照できるようにしている。

　インターネットを介さない「Group-VPN」のバックボーンは閉域網であり、情報は各拠点のVPNルータでIPsecによるパケット暗号化を行なっているため、盗聴や改ざん、なりすまし等の脅威から守られる。また、営業活動のためにデータベースから顧客情報を持ち出す場合は上司の許可を得てから利用するという仕組みになっている。顧客情報と持ち出す担当者をきちんと関連づけて管理しているため、情報漏えい対策としてはかなり強固といえるだろう。

　さらにVPNのアクセス回線は、主要拠点でBフレッツに加え、アッカ・ネットワークスのADSLをバックアップ回線として採用。障害対策も怠りない。

VPNセキュリティで端末レベルでのセキュリティを確保

　同社は「Group-VPN」のオプションサービスである「VPNセキュリティ」も導入した。VPNセキュリティは、検疫ネットワーク機能やPCパトロール（資産管理）を提供する、セキュリティのアウトソーシングサービスである。

「検疫ネットワーク」は、Group-VPN利用が許可されていない、また、ウイルス対策ソフトの最新パターンファイルを持っていないなど、あらかじめ決められたセキュリティポリシーにそぐわないPCのVPNへの接続を拒否するサービス。Winnyを強制排除することもできる。


検疫ネットワーク（画像クリックで拡大）

一方の「PCパトロール」は、専用のエージェントを各クライアントにインストールすることで、ウイルスやスパイウェアの検知だけではなく、パターンファイルやパッチの更新、不正ソフトのインストール状況など、各PC端末のセキュリティ・資産情報を一元管理することが可能だ。また、オプションメニューでウイルスバスターのライセンスを提供しており、ウイルスバスターのライセンス管理の手間を省くことができる。


PCパトロール（画像クリックで拡大）

　両サービスともASP型で提供されるので、セキュリティ対策に必要な機器（セキュリティBOX）はレンタル提供され、機器の管理はNTTコミュニケーションズ側で実施している。そのため、情報漏えい対策で悩みの種であった導入・運用のコストを大幅に抑えることができる。クライアントのソフトウェアや煩雑なサーバの管理を、スキルを持ったプロフェッショナルに任せることが可能だ。

　もちろん、保守に関してもNTTコミュニケーションズに任せられるので、管理者の負担ははるかに軽減する。実際、ミブコーポレーションでは閉域VPNとPC端末のセキュリティサービスを合わせて導入することで、情報漏えいが難しい環境を構築したうえ、社員のセキュリティ意識も合わせて高めていったという。

まとめ

　メディアに騒がれる回数が減ったため、注目度は落ちつつも、情報漏えい事件はいまだに減る気配を見せていない。しかし、情報漏えい対策をきちんと施している企業が、それなりの効果を上げているのも事実だ。ミブコーポレーションも導入したばかりではあるが、こうしたセキュリティ対策への真摯な姿勢が顧客に安心感を与えるのは間違いない。今まで敷居の高かった企業でも、「VPNセキュリティ」のようなASPサービスなどであれば、コスト的にも敷居が低く、専門の社内システム管理者も不要になる。ぜひ導入を検討したい。