開発技建株式会社
「情報セキュリティの視点だけでなく、総務部としての『リスク管理』の視点から見ても、ゲートウェイ対策の強化は重要です。なぜならば…」
新潟の建設コンサルタント、開発技建株式会社(以下、開発技建)では、SMTPメール対策だけでは不十分と見て、Trend Micro InterScan Gateway Security Appliance(IGSA)を導入し、HTTP, FTP, POP3にもウイルス対策を施した。総務部長としての職のかたわら、システム管理も兼務している樋浦 慎氏に、なぜSMTP対策だけでは不十分なのかを、情報セキュリティとしての視点と、リスク管理としての視点の両面から聞いた。
開発技建のウイルス対策の現状
~ クライアントとゲートウェイの両面に対策
-- 開発技建の業態を教えてください。
開発技建は、新潟を拠点とする、社員数約100人の建設コンサルタント会社です。土木構造物の計画、設計や、道路建設に先だって必要となる交通量の推計などが主な業務です。
-- 開発技建の現在のウイルス対策状況および、樋浦様のウイルス対策への関わりをお聞かせください。
ウイルス対策は、クライアント(約100台)と、ゲートウェイの両面から行っています。ゲートウェイは、Trend Micro InterScan Gateway Security Appliance(以下 IGSA)で対策しています。IGSAにより、SMTP, HTTP, FTP, POP3へのウイルス対策の他、URLフィルタリングやスパムメール対策も行っています。
弊社には専門の情報システム部はありません。私自身は、現在、総務部に在籍しています。かつて17年間システム開発に携わっていた経験があるので、社内のネットワーク管理やセキュリティ対策も任されていますが、メイン業務は、あくまでも総務。情報システムの仕事はサブ業務です。
ゲートウェイ対策に本格的に取り組むようになった経緯
-- 開発技建がゲートウェイ・ウイルス対策に本格的に取り組むようになった経緯をお聞かせください。
時系列で述べると以下のようになります。
1 2000年頃~ (クライアント対策)
建設コンサルタント業務では成果物はレポートとなります。2000年頃から、このレポートを、紙ではなく、CD-ROMで電子納品する機会が増えてきました。その電子納品するCD-ROMへ納品前のウイルス検査を施すために、クライアント・ウイルス対策ソフトを導入しました。
2 2003年頃~ (クライアント対策だけでは不十分?)
納品先や地元の協力会社などとメールでのやりとりをする機会が増えてきました。協力会社の中にはウイルス対策が不十分であったり、あるいは全く無関心であったりする会社もありました。そうした会社からは、時折ウイルスメールが送られてきます。ウイルス対策ソフトがブロックしてくれるので、社内への感染は防ぐことができていましたが、不安は募ります。クライアント対策だけでは心もとない思いがありました。
3 2004年~ (ウイルスメール対策)
ウイルスメールへの対策をより完全にするために、プロバイダのウイルスチェックサービスを導入しました。
4 2006年11月~ (総合的なゲートウェイ対策)
ゲートウェイ対策をより強固にするために、IGSAを導入しました。
なぜプロバイダのウイルスチェックだけでは不十分か(1)
~ 情報セキュリティの視点
-- 社員100人ぐらいの会社の場合、ゲートウェイ対策は、プロバイダのウイルスチェックサービスだけで十分だと考える会社も少なくありません。なぜ御社はIGSAを導入したのですか。
IGSA を導入したのはセキュリティの強化を図ってのことです。そして、「セキュリティを強化する」という言葉には、2つの側面があります。1つは、「純システム的な意味でセキュリティを強化する」ということ。もう1つの側面は「総務部としてリスク管理への備えを固めること」です。
-- 順々にお聞きします。IGSA導入の、1つめの側面「純システム的な意味でセキュリティを強化する」とは具体的には。
ウイルスやスパイウェアの悪質化が続いており、メール(SMTP)のみならず、Web経由(HTTP)での感染が十分にあり得ること。これは実際の体験を通じて知ったことで、SMTP以外のプロトコルへの対策の必要性を強く感じるようになりました。
-- 「HTTP対策の必要性を、実際の体験を通じて認識した」とのことですが、どのような体験があったのですか。
今でも日付をおぼえています。2006年の9月27日に、弊社の社員が、著名なフリーソフトウェア専門サイトから、土木計算関連のソフトウェアをダウンロードしました。そのソフトウェアには、ボット系の「トロイの木馬」が付着していました。その「トロイの木馬」は、感染マシンから、ユーザー・アカウントを抜き取って、他のマシンに送信するという仕様でした。そのアカウントを使ってゲームサイトにアクセスすることが目的のようでした。
幸いにも感染に気づくのが早く、実被害はありませんでした。それでも、強い危機感を感じました。これはもう、プロバイダのウイルスチェックだけでは絶対に不十分だなと。そう考えて、IGSAを導入し、HTTP, FTP, POP3などへのウイルス対策を強化しました。
なぜプロバイダのウイルスチェックだけでは不十分か(2)
~ 総務部としてのリスク管理の視点
-- 総務部として見た場合の、「リスク管理への備え」とは具体的には。
総務部のメイン業務として、「リスク管理」があります。「外部からの訴えに備える、理論武装すること」もリスク管理の1つです。そこには独自のロジックがあります。
例えば、弊社の社員が、車で出社するときに、その社員自らの不注意で交通事故を起こしたとしたら。もしその社員が、保険に入っていなかったとしたら、どうなるか。その場合は、その社員だけでなく、会社にも損害賠償請求が来る可能性があります。「会社は、社員が自動車保険に正しく加入しているかどうか確認しておくべきだ。それをしなかったのは監督不行届だ」という論理です。
このような訴えに対し、「当社では、社員には、交通安全に気をつけるよう、平素から言い渡してあります」という精神論は無力です。そうではなく、実際に「社員の保険加入状況を確認し、未加入の社員には加入するよう命じた」という行動があって、はじめて反論として成立します。
セキュリティ対策にも同様の事が言えます。例えば、弊社のサーバが踏み台にされて、他の会社に迷惑をかけた場合、実際に賠償を払うことになるかどうかは別として、賠償責任を問われる可能性はあり得ます。
その時に「弊社ではセキュリティには十分に注意を払っています」というだけでは抗弁しづらい。やはり、クライアントの他に、ゲートウェイにも、実際の形ある機器を設置して、想定できるプロトコルをすべてチェックしている状態を作ること。そこまでやって、はじめて抗弁が可能になります。
ここまでは、非常時の対応について述べました。しかし最近は、平時であっても、国土交通省など、弊社のお客様より、「開発技建では、ウイルス対策はどういうレベルで行っているのか。何の製品を使っているのか」とお問い合わせがあります。
この時、「クライアントだけ、プロバイダのウイルスチェックサービスを実施。ネットワークウイルスその他には運用で対応している」という形の説明も不可能ではありません。しかし、その説明は、先方が技術の専門家でない場合は、わかりにくい。それよりはむしろ、人が名前を聞けば、「ああ、あそこか」と分かるメーカー、名の知れた信頼できるメーカーの製品を使っているという説明の方が、相手に分かりやすく、また、非常時の説明(抗弁)も容易です。
開発技建がIGSAを選んだ理由
-- 開発技建が、トレンドマイクロのIGSAを選んだ理由は何ですか。
理由は3つあります。第一に、SMTP, HTTP, FTP, POP3など全てのプロトコルを1台のアプライアンスで検査できること。これによりセキュリティが大幅に強化できます。第二に、トレンドマイクロという大手会社の製品であるということ。このことは、取引先その他への、開発技建のセキュリティ体制の説明を容易にします。第三に価格。100万円を切る手頃な価格であり、経営者への説明も容易でした。
以上の理由によりIGSAを導入しました。2006年11月のことです。
使ってみてわかったIGSAの予想外の良さ(1)~ URLフィルタリング
-- 「使ってみてはじめて分かったIGSAの(予想外の)良さ」があればお聞かせください。
使って初めて分かった予想外の良さは、「URLフィルタリングは意外に使えるな」、「スパムメール対策は本当に助かるな」、「設置、運用はやっぱり楽だな」という3つです。
-- 第一の良さ、「URLフィルタリングは意外に使えるな」とは具体的には。
社内コンプライアンスの観点、また常識的な観点から考えて、社員が会社で良からぬサイトを見に行ったりしてはならないわけです。しかし「見に行ってはならない」という「べき論」、「精神論」だけでは、実効が低い。そうではなく、良くないサイトは最初から見に行けないようシステムで制限されている方が望ましいと言えます。IGSAのURLフィルタリングにより、有害サイト閲覧のリスクが大幅に減りました。
使ってみてわかったIGSAの予想外の良さ(2)
~ スパムメール対策<コンテンツ検索>
-- 第二の良さ、「スパムメール対策は本当に助かるな」とは。
最近は、本当にスパムメールが多くなりましたね。朝メーラーを開いたとき、スパムメールが50通、本当のメールが5、6通という事態もありました。あまりにスパムメールが多いので、土日の間だけ、自分のアカウントを削除することも試みました。そうすればスパムメールがNOT DELIVEREDになって不達になるから、それでもう来なくなるかなと期待したのです。でも1週間も経つと、またスパムメールの洪水です。結局、スパムメールの送り手は、巡回してアドレスを拾っているのでしょうね。小手先の対策では太刀打ちできません。
しかし、今はIGSAのスパムメール対策により、スパムメールの件名には[ SPAM ]の印が付加されています。その印さえあれば、メーラーのフィルタリング機能などにより、受信と同時にスパムメールを別フォルダに移動できます。この仕様は、社員にも大好評です。皆、スパムメールで困っていたようです。
使ってみてわかったIGSAの予想外の良さ(3)~ 設置・運用
-- 「設置・運用が楽」とは具体的には。
IGSA は、IPを持たない透過型の製品なので、仮に障害が起きたとしても、IGSAをいったん外してケーブルをつなぎ直せば、ネットワーク通信は途絶えません。またディスククラッシュ時にも、ディスクレスモードで動作できるということでした。このようにシステムを止めない工夫がいろいろあることには安心感があります。また設置や運用についても、アプライアンスなので、自力で何とかなるだろう、楽だろうと予測していましたが、実際も、やはり楽でした。
* IGSAは標準で LANバイパス機能も装備しています。
IGSAはどんな会社に向いているか
-- IGSAはどんな会社に向いていると思いますか。
「ネットワーク接続が落ちると仕事ができなくなる会社」には向いていると思います。システムを止めない工夫がいろいろとありますから。また、弊社のように専任のシステム管理者がいない会社にも向いていると思います。様々なセキュリティ機能がオールインワンで入っており、よくまとまっていて便利です。
トレンドマイクロへの期待
-- トレンドマイクロへの今後の期待をお聞かせください。
企業としてのリスク管理、説明責任を全うするためにも、セキュリティ対策はおろそかにできません。しかし、システム管理の仕事を、総務業と掛け持ちで行うのはなかなか大変です。そんな立場にいる私にとってはIGSAは心強い仕様の製品です。トレンドマイクロは、今後も、技術とサポートに磨きをかけて、中堅・中小企業のセキュリティ強化に役立つ、優れた製品を作り続けてください。期待しています。
-- お忙しい中、有り難うございました。
導入企業プロフィール
会社名: 開発技建株式会社
所在地: 新潟県新潟市文京町22-21
業務内容: ・道路交通に関する調査・解析
・道路整備の必要性や整備効果分析・評価
・交通事故対策
・道路円滑化事業 ほか
URL: http://www.khgk.co.jp/
