事例紹介
北電情報システムサービス株式会社様
情報セキュリティ診断ツール「セキュドック®」が北電情報システムサービスの新たな強みに

![[イメージ]導入事例~セキュドック](/lib/img/case/case_secudoc/c_detail_01.jpg)
通常「ホスト型セキュリティ診断」は、高度な知識と多くの診断工数を必要としていたが「セキュドック」を利用する事で、北陸電力のドメインサーバ7,000アカウントの診断を30分で終了。
診断コストの削減と情報セキュリティ強化の両方を実現。
「ネットワーク型」と「ホスト型」の情報セキュリティ診断の必要性
![[イメージ]営業部 富山ソリューションセンター 所長 五十嵐 弘之 氏](/lib/img/case/case_secudoc/c_profile_01.jpg)
営業部 富山ソリューションセンター 所長
五十嵐 弘之 氏
四季折々楽しめる富山。立山連峰を望む情緒豊かな町並みはもちろん、富山湾でとれる海の幸も豊富でホタルイカやブリ、シロエビなどに舌鼓を打ち楽しむこともできる。
この地に北電情報システムサービス(以下、HISS)は、北陸電力グループの情報システム会社として誕生し、北陸電力グループの情報戦略の中核を担うとともに、高度情報化社会に貢献する総合情報サービス企業として知られている。業務の迅速化、効率化や情報基盤の強化で経営を支援する「Business」、高度な運用技術でシステム運用コストの削減や企業のセキュリティ、信頼性の向上を支援する「Outsourcing」、時代のニーズに対応した豊富なサービスメニューを提供し、企業の経営コスト削減を支援する「Network」という3つのソリューションを軸に富山、石川、福井、東京にて事業を展開している。
同社は、これまで北陸電力が所有するシステムに対して「情報セキュリティ診断」を実施してきた。情報セキュリティ診断とは、企業が所有する情報システムの強度やシステムに潜む脆弱性などを診断するもので、診断方式の違いによって「ネットワーク型」と「ホスト型」の2つに分けられる。
「ネットワーク型」とは、企業システムを攻撃するハッカーの視点から行われる診断方法で、ネットワーク越しにシステムの外側から診断する。つまり、外部からの攻撃に対してどうすればいいのかという視点で、情報セキュリティを構築する際はネットワーク型のセキュリティ診断が有効だ。多くのツールが提供されていることもあり、この方式によるセキュリティ診断を行う企業は多い。
一方「ホスト型」は、サーバ内部の設定状況を確認する方式で、「ネットワーク型」では診断が難しい、OS上の各種セキュリティ設定、アカウント状態、パスワードの設定状況など、現在稼動しているサーバがあらかじめ定められている企業のセキュリティポリシーと、どの程度異なっているのかを診断する方法である。つまり管理者の視点で「情報システムセキュリティ監査」を行う場合に有効なソリューションといえるだろう。
しかし、通常ホスト型診断を提供するためには、エンジニアが1台1台サーバにログインして設定状況の確認を行うため、高度な知識と多くの工数を必要とするのも事実だ。そのため、すぐにサービスとして提供できるものではない。ホスト型のセキュリティ診断も必要なのだが、なかなか実施できないというのが実情だ。
誰もが客観的な監査を実施できるホスト型のセキュリティ診断
![[イメージ]ITサービス部 IT技術グループ プラットホームチーム リーダ 松木 正明 氏](/lib/img/case/case_secudoc/c_profile_02.jpg)
ITサービス部 IT技術グループ プラットホームチーム リーダ
松木 正明 氏
「これまで“ネットワーク型”のセキュリティ診断サービスを提供してきました。あるとき“ホスト型”のセキュリティ診断ツールである“セキュドック”をご紹介いただき、確かに内部から診断することも必要だと思いました。北陸電力にホスト型でのセキュリティ診断を提案したところご理解いただき、2007年から採用しています」とITサービス部 IT技術グループ プラットホームチーム リーダの松木正明氏は語る。
「セキュドック」は、WindowsやSolaris、RedHat LinuxといったサーバーOSの現在のセキュリティ状況を診断するソリューションで、診断チェックプログラムを診断対象マシンで稼動させるだけでホスト型診断を実現できる。セキュリティやサーバの専門知識などは問わず、誰が実施してもその結果は変わらない。インストールも不要なので、システムやアプリケーションに影響が出る恐れもない。これまでにないセキュリティ診断ツールといえる。
セキュドックを使うことで、パスワードが設定されていないアカウントや長期間使用されていないアカウント、推測可能なパスワードを設定しているアカウントをリストアップすることもできる。脆弱な設定項目やセキュリティパッチの適用状況などを簡単に調査できるのだ。サーバ上で直接診断するため、ネットワークの負荷もなく、システムのアイドルタイムを利用するため、システムへの負荷もかからない。
![[イメージ]セキュドック 診断フロー図](/lib/img/case/case_secudoc/c_detail_02.gif)
7,000アカウントのチェックもたったの30分で終了
「セキュドックは、非常に簡単な作業で詳細なレポートが出力されます。
WindowsやSolarisというOSの垣根も越えられるので、非常に重宝しています。
![[イメージ]セキュドックで出力されたレポート例](/lib/img/case/case_secudoc/c_detail_03.jpg)
セキュドック自体で困ったということもありませんね。ドメインコントローラーで7,000アカウントをすべてチェックしても30分ほどで終わりました。これを人手でやろうとすると、膨大な時間がかかり、とても人手でできる作業ではないはずです。また、セキュドックが出力するようなレポートは、複数のツールを利用して診断し、作成することもできるでしょうが、その工数は膨大にかかるはずです。セキュドックは、非常にありがたいツールだと思います」と営業部富山ソリューションセンター 所長の五十嵐弘之氏は説明する。
「セキュドック」は、サーバを熟知していない人でも簡単に扱えるというメリットがある。セキュリティ診断を行う際、そのサーバの管理・運用に当たっている人物が診断しても「改ざん」されているのではないかというリスクがつきまとう。
そのためシステムを管理・運用していない第三者診断が求められる。サーバの管理・運用に直接当たっていないメインフレームの運用担当者を起用した。
「作業者は当初不安だったようですが、問題なく作業を終了しています。
本人も驚いていましたが、セキュドックは誰もが簡単に使えるツールだということが実証できたと思います」と松木氏は語る。
セキュリティ診断サービスの展開も幅広く行う
同社では今後、データセンタにおけるセキュリティ診断サービスにセキュドックを活用していく予定だ。また、2011年に北陸電力グループが提供を予定しているデータセンタ「FIT-iDC」でも、セキュドックを利用したセキュリティ診断サービスの提供が予定されている。さらに、サーバ出荷時にセキュリティの初期設定レベルをお客様に提示するためのレポートなどにも活用するなど、セキュリティ診断サービスを広く提供していくという。
いま、企業の大きな課題となっている情報セキュリティのPDCAにおけるチェック「C」をスムーズに回すことができるソリューションだ。情報セキュリティ診断、情報セキュリティ内部監査が必要な企業にとっても欠かせないツールであることは間違いない。
この事例のサービス
情報セキュリティ診断ツール「セキュドック®」
企業プロフィール
会社名 | 北電情報システムサービス株式会社 |
---|---|
創立 | 1987年4月1日 |
従業員数 | 252名(平成23年4月現在) |
本社所在地 | 富山県富山市桜橋通り3番1号 |
事業 | 高度情報化社会に貢献する総合情報サービス企業として、北陸電力グループ、さらに地域への情報サービスの提供を目的に誕生。北陸電力グループの情報戦略の中核部門を担うとともに、これまでのノウハウを基礎に、北陸地域からさらに全国展開へと、その領域拡大をめざしている。 |
URL | http://www.hiss.co.jp/ |