セキュリティ要件が厳しい企業でも利用可能なGoogle Apps-SBIベリトランス

インターネット上の総合決済プロバイダーであるSBIベリトランスは、メールサービスとして「Google Apps」を利用している。業務上、厳密なセキュリティ環境が必要となる同社がGoogle Appsの本格導入を決意したきっかけはHDEメールサービスだった。

今回、SBIベリトランス 技術部 アシスタントマネージャーの近藤智彦氏に、Google Apps導入の経緯やメリットについて話を聞いた。

初めは外出が多い営業担当者に限定して導入開始

SBIベリトランスは1997年からEC決済サービスに取り組んでいる。インターネット黎明期から、EC事業者のコアビジネス専念をサポートするために、セキュアな決済システムをまるごと提供してきたのだ。1997年よりSSLを業界に先駆けて導入、さらに2009年に中国向けの決済サービスを日本で初めて提供するなど、確かな技術力と高いセキュリティを重視し、事業を展開してきた。2010年には次世代型の決済サービスとして、これまでの技術とサービスを結集させた「VeriTrans3G」も提供している。

同社が注力してきたのが「持たざる決済」、クレジットカード番号や個人情報など、流出したら大問題となる性質の情報をECサイト運営者が保持せずに、セキュリティ技術に長けたSBIベリトランスが管理することでリスクに対応するという手法だ。これにより、ECサイト運営者はリスクを低減できるが、その分SBIベリトランスには機密情報が大量に蓄積される。当然、同社では電子データの取り扱いに関するルールは厳しく定められていた。

「以前は、セキュリティを保つことを最優先に考え、原則としてメールの利用はオフィス内に限り、社員も、この厳格なセキュリティ環境での運用形態を受け入れていました。しかし、業務効率の向上のために、2010年の初めよりセキュリティを保ちつつ外部アクセスができないだろうかと考え始めました」と、近藤氏は振り返る。

特に外出の多い営業担当者にとって、外出先でメールを確認できないのは不便だ。そこで、営業担当者に限って、外出先から連絡用途のメールのみを利用できるようにするためにGoogle Appsが導入された。

「Google Appsを選択した理由は、簡単かつ迅速に導入できることと、コストメリットが大きいことでした。ちょうどスマートフォンの業務導入を開始した時期でもあり、限定的にまずはやってみようという形でGoogle Appsの利用がスタートしたのが2010年の夏です」と近藤氏は語る。

東日本大震災を機に用途限定で全社員にアカウント配布

SBIベリトランスはGoogle Appsを導入する前から、メールのセキュリティ対策として、HDEメールサービスを利用していた。ただし、2010年のGoogle Appsの利用を開始した時は、同サービスでGoogle Appsに対応していなかったため、限られた人数でルールを守りながら利用するという運用形態が選ばれたという。

少人数とはいえ、従来のセキュリティシステムを導入しなくてもセキュアな形でGoogle Appsを運用できたのは、厳格な社内ルールが存在したためだ。クレジットカード情報を扱うために必要な情報セキュリティ基準「PCI DSS」に準拠しており、SBIベリトランスはクレジットカード情報にアクセスできる人数を絞り込んでいたのである。

「さらに、カード情報処理担当者の専用ルームを設けており、通常の社員は入室できない仕組みになっています。営業担当者含め、ほとんどの社員はクレジットカード情報に触れられません。社内で使用するメールでは、特定の条件に反したメールは情報漏えいの可能性があるとされ、担当者が安全性を確認するまで、送信保留となります。 例えば、特定ケタ数以上の数字の羅列が含まれたメールはクレジットカード番号が記載されている可能性があるとして検知されます」と近藤氏。

セキュリティに細心の注意を払いながら少人数でGoogle Appsを利用するなか、大きな転機となったのは東日本大震災だった。発生時刻が日中だったため、社内にいた者の安否確認は簡単に行えたが、外出中のスタッフもGoogle Appsを利用しているメンバーは迅速に連絡をとることができたのだ。

「東日本大震災が発生した時、電話も不通、携帯メールも送信できないなか、Google Appsが活躍しました。その後もしばらくは不安定な状況が続くと判断し、翌週には約90アカウントを作成、全社員に緊急時の連絡用に限定した上でアカウントを配布しました」と、近藤氏は語る。

社内連絡用に限っての利用とはいえ、Google Appsを一度使うと利便性が強く感じられる。いずれは利用人数を広げたいと考えていたところに、HDEがGoogle Apps向けのメールセキュリティサービスを開始した。

HDEのメールサービスでオンプレミスと同等の環境を構築

「オンプレミスのシステムと同じメールフィルタリングを利用したいと考え、他社の利用は考えずにHDEを選択しました。今まで利用していた安心感もありますが、HDEの担当者の方はGoogle Appsにも詳しく、数回の打ち合わせをした後は1ヵ月程度でオンプレミスとほぼ同じ環境を構築できました」と、近藤氏は導入の流れを語る。

導入当初の1週間程度は、オンプレミスのメールとの違いなどから些細な混乱はあったという。その1つの例が「社内」という考え方だ。オンプレミスのメールシステムでは、社内間のメールはインターネット網を経由しないため、フィルタリングの対象から外すことができる。しかし、Google Appsではすべてのメールが1度インターネット網を経由するため、フィルタリングの対象となってしまう。

「Google Appsを導入当初、『社内でのやり取りまでチェックする必要はないだろう』、『今までできていたことがどうしてできないのか?』といった声が多くありました。これは同一ドメインへのメール送信はフィルタリングから除外するという設定を追加することで解決できましたが、導入して初めて気付いたことでしたね」と近藤氏。

アクセス制限ソリューションもあわせて導入することで、Google Appsの環境でオンプレミスと同等の環境を実現できたSBIベリトランスでは、ユーザーを20～30人程度まで増やしているという。別部門の営業担当者も利用できるようになったのだ。もっとも、全社への展開はまだ慎重に進めている段階にある。

「現在、オンプレミスのサーバを利用している社員とGoogle Appsを利用している社員は別のドメインを利用しています。2重のメールサーバ運用というのも手がかかりますし、Google Apps全社展開を検討・計画しております。ただそうなると、より強固なアクセス制限が必要になります。クレジットカード情報にアクセスするためには限られた担当者がカード認証、虹彩認証、静脈認証・・・と何重もの認証が必要なのですが、そこから簡単にGoogle Appsでメールが送れるようでは困ります。部署ごとに必要となるフィルタも違いますし、場所とフィルタの違いを吸収するのが全体展開への課題ですね」と近藤氏は語る。

強固なセキュリティが必要な業務だけに、SBIベリトランスにおいてGoogle Appsが全社展開へと一気に進むのは難しそうだ。しかし、利用中のユーザーからは不満の声も少なく、うまく活用されているようだ。導入には近藤氏のほかにもう1人が携わったが、社内展開はほぼ近藤氏1人で対応できたという手軽さも魅力だ。

「今後、社員の異動などへの対応も考えると、細かな設定を自社で行えるようになってほしいですね。また、今はメールに特化したソリューションですが、Google Appsの他のサービスについてもHDEが対応してくれると助かります」と、近藤氏はHDEが提供するGoogle Appsのサービスの成長に期待を寄せている。