民生機器製造業 Z社(従業員数:約300名)の場合

【背景】ポリシー違反に潜む"まさか"の感染リスクを、強制的になくす対策は!?

プレス機械やフォーミングマシンなどの製造・販売を手掛ける装置メーカーZ社では、設計/開発や製造・販売管理、顧客管理、財務会計など、ほぼすべての業務プロセスがITシステム上で稼動しています。また、これに伴って技術情報や顧客情報といった多くの情報資産を扱うため、「セキュリティ対策」には気を使ってきました。しかし、"落とし穴"は思わぬところに存在していたのです……

【課題・問題】面倒くさくて"ポリシー違反"?
「ウイルス対策ソフト」と「ポリシー策定」だけではダメだった……

多くのITシステムと情報資産を抱える同社にとって、システム異常や情報漏えいなどの「セキュリティインシデント」は大きなリスク。

"事故"か"故意"かにかかわらず、是が非でも回避しなければなりません。

そこで同社では、ウイルス対策/セキュリティソフトの導入はもちろん、小まめに修正パッチを配布し、さらに綿密なセキュリティポリシーも策定、運用していました。

ところがある日、社内ネットワークにウイルスが拡散する事態が発生したのです。幸い、このときは早期に対策を打つことができたため、事なきを得ましたが、一歩間違えれば重大なセキュリティ事故につながる事態でした。

調査の結果、感染源は外回りの営業が持つ"ポリシー違反"の端末であることが分かりました。同社情報システム室長のB氏はこう語ります。

「その営業マンに話を聞くと、"面倒くさい"という理由で、OSの修正パッチ適用やウイルス対策ソフトのパターンファイル更新を無視していたそうです。そしてウイルス感染に気づかずに社内ネットワークに接続し、拡散したのです」

"個人任せ"がセキュリティホールに! 「1台1台チェックする時間はない……」

この一件は、ウイルス対策ソフトを導入し、細かなルールを定めているだけでは、セキュリティインシデントを防げないことを証明するものでした。優れたソフトや厳密なポリシーも、管理者側がコントロールできなければ意味を持ちません。

「詰まるところ、"個人任せ"であることが問題だったのです。ポリシー違反の端末はほかにも存在すると思われましたし、経営陣からは再発防止を強く求められていました。とはいえ、当社の情シス部門はたった2人。全社のPCを1台1台しらみつぶしに確認していくわけにもいきませんでした」(B氏)

課題・問題のポイント
■セキュリティ対策に注力していたにもかかわらず、社内ネットワークがウイルスに感染
■"個人任せ"の運用がポリシー違反PCを放置し、ウイルス感染の原因に
■すべてのPCにポリシーを徹底させたいが、1台1台確認するのはリソース面で非現実的