メルトピア

経営基盤を強化するIT戦略

三菱電機メルトピア。様々な事例がご覧いただけます。

  • 巻頭特集

  • 経営基盤を強化するIT戦略
  • 2013年 6月号(No.187)
  • 企業・社会を守り、安全・快適を実現する三菱電機のセキュリティーソリューション
    〜安全性・利便性向上を実現する統合ID管理と企業を守る標的型サイバー攻撃対策ソリューション〜

顧客情報や機密情報などの漏洩やウイルス感染による業務停止といった被害が相次いだことで、情報セキュリティーの重要性がこれまで以上に高まっています。企業にとって重要な情報資産を守る基本的な対策として、“誰が・何をできるか”という設定を常に最新の状態に維持するためのID管理が求められています。一方で企業には、世界中で大きな脅威として認識されている標的型サイバー攻撃への備えも急務の課題となっています。今回は、企業に求められるセキュリティー戦略や有効な施策を解説しながら、統合ID管理ソリューション「iDcenter TypeS(アイディーセンター タイプエス)」と、サイバー攻撃対策ソリューションの特徴を中心に紹介します。

セキュリティー対策は
全体像を描き優先順位を見極める

 企業が自社に必要なセキュリティー対策を講じるためには、まず、M&Aや事業再編の加速、法制度の改正・施行、技術・攻撃の進歩などあらゆる変化に対応し、継続的な進化を実現するマネージメント体制の整備が前提となります。そこで求められるのは、「基本方針の策定・対策基準・実施手順の策定」→「セキュリティーシステムの導入・運用」→「監査・監視」→「見直し・改善」というプロセスを踏んだPDCAサイクルの確立です。環境変化に伴い脅威も多様化する現状においては、対策を一度講じれば終わりというわけにはいきません。
 具体的には、全社の基本方針(Why)に基づき情報資産を洗い出したうえでリスクを分析し、対策基準(What)と実施手順(How)を策定する作業が必要になります。この手順を踏むことで、個別の脅威への対策の積み重ねではなく、自社が守るべき情報資産の優先順位に応じた、効果の高いセキュリティーシステムの導入・運用という現実的なアプローチが可能になります。
 セキュリティー対策の全体像を把握するためには、「外部の脅威対策−内部の脅威対策」と「物理セキュリティー−情報セキュリティー」という2つの軸で対策をリストアップし、守るべき情報資産の優先度に応じて適切な対策を選択することが有効です。また、対策基準や実施手順の策定にあたっては、「最小権限」と「多重防御」が有用な原則となります。

<最小権限>
・アクセスできる情報を必要最低限にする(Need to Know)
・アクセスできる情報に対する操作は必要最低限にする(削除・編集操作不要の人には参照のみ許可するなど)
・利用できるサービスを必要最低限にする
<多重防御>

・あるセキュリティー施策が破られても、次のセキュリティー対策が防御する(例えば入退室管理や映像監視などの物理セキュリティーに加えてネットワークセキュリティーで防御。さらに次の防御手段としてホスト、アプリケーション、データで対策を講じるなど)

▲ ページトップに戻る

脆弱性対策の基本は
的確なID管理

 自社にとって重要な情報資産を守るための基本施策は、企業グループ内の認証基盤を共通化したID管理だといっても過言ではありません。不正アクセスや情報漏洩を防ぐためには、まず“誰が・何をできるか”というアクセス制御の情報を常に最新の状態で運用することが必須です。そして、このアクセス制御の要は“誰が”に相当するIDです。このIDを、入社・退社・人事異動に応じて、自動的に登録・変更・削除するID管理の重要性は、セキュリティー向上の観点のみならず、ビジネス上のコンプライアンス強化や管理負荷軽減の観点からも、これまで以上に高まっています。

事業再編の加速
 国内外でのM&Aや新拠点の設置など、日本企業の事業再編は加速傾向にあります。結果として、重要な設計情報や顧客情報を共有しなければいけないメンバーも急激に変化・増加します。安全なアクセス制御と、そのベースとなる的確なID管理がなければセキュリティーの確保が困難な状況に直面します。
コンプライアンス強化の流れ
 不正競争防止法では営業機密、個人情報保護法では個人情報、金融商品取引法の内部統制報告制度では財務情報の保護など、法制度では企業にセキュリティーの強化を求める動きが強まっています。例えば内部統制に対応するIT全般統制では財務情報の改ざんを防止するためのセキュリティーが求められます。認証およびアクセス機能の有効性を維持するための手続きや、ユーザーアカウントの申請、設定、発行、一時停止、削除への適時の対応に関する手続き、アクセス権を定期的にレビューし確認するための統制プロセスなどが存在し、これに従うことが必要になります。的確なID管理やログ管理は、これらを支援し、内部不正の可能性を軽減させ、仮に不正があっても誰によるものかを特定することが可能となります。
IT管理者の負荷増大
 企業のビジネスは、数多くの情報システムや機器の連携によって成り立っていますが、技術の進展により、その範囲が拡大し、権限管理なども複雑化の一途をたどっています。ここで従来のように、個別の情報システムや機器ごとにIDを管理するのは大きな負荷となるだけではなく、変更のミスや漏れといったリスクも増大。退職者のIDや人事異動前のIDを不適切に利用できる脆弱期間が長期化するリスクも高まります。

▲ ページトップに戻る

セキュリティー強化と効率的運用を両立する
トータルセキュリティーソリューション

 自社の優先順位に応じて強固なセキュリティー対策を講じる一方、企業には効率的な運用管理を実現できるセキュリティー環境構築が求められます。そこで三菱電機グループでは、保有するセキュリティー関連の製品やシステム、保守や遠隔監視といったサービスを連携し、これらを体系化したソリューション「DIGUARD(ディガード)」を提供しています。
 DIGUARDは、機器1台からビルまるごとのシステムまでをカバーする、三菱電機のトータルセキュリティーソリューションです。特徴的なことは、物理セキュリティーシステムと、情報セキュリティーシステムや業務システムなどが効率的に連携できることです。連携においてセキュリティーレベルの向上の根幹を担うのが、ID管理です。ID管理については、統合ID管理ソリューション「iDcenter」を提供しています。

▲ ページトップに戻る

説明図

セキュリティー対策の全体感

説明図

多重防御の考え方

説明図

セキュリティー対策の要となるID管理

▲ ページトップに戻る

iDcenterの主な特徴

@ 入退室管理システムと情報システムの個人識別情報を一元管理

 人事システムとの連携で個人識別情報を取り込み、入退室管理システム、情報システムのID情報を一元管理します。また深い組織階層や大規模人事異動などに対応し、日本企業に最適な統合ID管理を実現します。

A 各種情報システムとの連携が可能

 セキュリティーシステム動作上の核となる入退室管理と各種情報システムを連携させることが可能です。三菱入退室管理システム(MELSAFETY)の通行履歴情報をDIGUARD NETを通じて取り込み、就業管理システム、PCログイン管理、などの情報システムと連携が可能です。また来訪者管理、在場者管理機能を付加することもできます。
 さらに、各種情報システムのID情報と権限情報とも連携することで、運用管理を効率化します。

B 各拠点の個人識別情報を一元管理し、管理効率化を促進

 拠点ごとの人事情報、ICカード情報、通行権限などのID情報一元管理が可能です。さらに、本社と地方拠点などの広域に跨るID情報の集中管理も可能です。

C 個人識別情報の世代管理による過去情報の参照

 現在の個人情報、組織情報を管理するだけでなく、過去の個人情報、組織情報を世代管理できます。過去の入退室ログに対して、その時点の個人情報、組織情報で表示、検索が可能です。

▲ ページトップに戻る

利便性向上を実現するiDcenter TypeS

 「iDcenter TypeS」は、iDcenterの基本機能を踏襲しながら、交通系ICカードの「Suica」に対応した統合ID管理ソリューションです。iDcenter TypeSにより、Suicaを利用可能なシステムに対して、SuicaID番号情報の配信が可能となり、Suicaを通勤・通学、電子マネーだけでなく会社内のシステムでも活用することが可能となります。

▲ ページトップに戻る

深刻化する標的型サイバー攻撃から企業を守る
三菱電機のソリューション

 現在、政府機関や民間企業を狙った標的型サイバー攻撃が、大きな脅威として世界中で認識されています。
 経済産業省では、標的型サイバー攻撃とは「特定の組織・人を標的として、主として、組織・人の機密情報を搾取等することを目的としたサイバー攻撃」と定義しています。取引先や公的機関を装い、情報を摂取するプログラム(マルウェア)を添付ファイルに埋め込んだメールを送信するといった手口が増えています。
 大きな脅威となっているのは、ファイアウォールやIDS(Intrusion Detection System:侵入検知システム)、ウイルス対策ソフトといった従来から実施してきた入口対策だけでは阻止できないためです。マルウェアの多くは、カスタムメイドの新種となるため、ウイルス対策ソフトでは検出が困難です。また、ファイアウォールやIDSで許可された通信を利用するので、不正な通信を検出、遮断することが容易ではありません。
 独立行政法人情報処理推進機構(IPA)は、2013年3月に、企業や個人にサイバー攻撃への対策を促すために「2013年版 10大脅威 身近に忍び寄る脅威」を公開しました。主に解説されているのは、2012年に社会に影響を与えた10大脅威の概要と影響・対策。その大半は、この標的型サイバー攻撃の手口によるものです。
 日本でも政府機関や宇宙航空産業企業への攻撃が大きく報道されるなど、被害が相次いでいます。警察庁では、「平成24年中に合計1,009件の標的型メールが我が国の民間事業者等に送付されていたことを把握」(平成24年中のサイバー攻撃情勢について)。中には、最初から標的型メールを送付するのではなく、サイトに公開されたメールアドレスに問い合わせたうえで、回答者のメールアドレスに送付する手口もあるといいます。
 こうした標的型サイバー攻撃対策として、三菱電機では従来から実施してきた入口対策の強化とともに、出口対策を実施した、多重防御のソリューションを提供しています。
 入口対策の強化では、ファイアウォールの外側に置いた端末を、内側からリモートデスクトップ機能で操作できる環境を構築し、「Web/メール分離」を実現。「ファイル検疫」済みのメールのみを社内クライアントに送信します。
 また、それでも防げない場合も想定し、守るべき重要情報に対しては「ファイル暗号化」を実施します。この暗号化では、復号できる人の条件を、属性の論理式で埋め込むことができる関数型暗号を採用。部課長といった役職者のみ、あるいは特定グループの人のみ復号できるなど、暗号化した状態でのファイル共有を可能にしています。

▲ ページトップに戻る

説明図

サイバーインテリジェンス情報共有ネットワーク等を通じて
警察が把握した標的型メール攻撃の件数

出典:「平成24年中のサイバー型攻撃情勢について」(警察庁)

説明図

平成24年中の標的型メール攻撃に使用された不正プログラム等の接続先
出典:「平成24年中のサイバー型攻撃情勢について」(警察庁)

説明図

標的型攻撃から企業を守るサイバー攻撃対策ソリューション

Column

人物写真

三菱電機株式会社
インフォメーションシステム事業推進本部
連携事業推進センター 新事業開発推進部
DIGUARD事業グループマネージャー
工学博士
米田 健 氏

運用効率や利便性の向上を重視した
“安心・安全”なセキュリティー環境構築をサポートします

 セキュリティー環境の構築では、“安全”はもちろんのこと、運用効率や利便性の向上による“安心”が非常に重要です。技術的に強固な環境を構築できても、利用者にとっては使い勝手が悪く、管理が大きな負担となるようでは、現実的なソリューションにはならないためです。
 また三菱電機では、現実的なソリューションとして、個人に加え、組織的な活用という観点も重視しています。例えば現在、個人を対象にしたパスワードによる暗号化など、本人のみ暗号化・復号が可能なソリューションが数多くありますが、組織的に活用するためには、複数の社員が暗号化された機密情報を共有する仕組みが必要になります。そこで関数型暗号という技術を活用し、組織や役職単位で共有が可能なファイル暗号化と、復号の権限をID管理と連動し最新の状態で維持する管理機能の実現をめざしています。
 三菱電機では、三菱電機グループ内の約100社/11万人を対象としたID管理の仕組みを「iDcenter」を中核に構築し、2012年4月に運用を開始しました。約1年の運用を通じて、これほどの規模でも安定稼働し、人事異動に伴う脆弱期間を作らない、管理者の負荷を大幅に軽減するという効果を実証してきました。今後は、この自社導入で培ったノウハウも反映させながら、効果の高いセキュリティーソリューションを提供していきます。
 また、新たに提供を開始した「iDcenter TypeS」は、ICカードを活用したセキュリティーソリューションの範囲を、交通系ICカードに拡大することをねらい開発しました。新たなビジネスや多様化するワークスタイルを支える認証基盤、そのベースとなる的確なID管理が必要な場面は、今後さらに増えていくはずです。そうした新たなニーズに対応したソリューションを提供し、お客様の“安心・安全”をサポートしていきます。

▲ ページトップに戻る