Comments
Transcript
中国拠点で重要な情報セキュリティ対策 - Nomura Research Institute
特 集 [中国・アジアのビジネスを支えるITソリューション] 中国拠点で重要な情報セキュリティ対策 中国に拠点を置く日系企業の多くは、現地社員の情報セキュリティに対する意識の低さに頭 を悩ませている。しかし、今後は個人情報保護に関する法制度の整備なども予想され、情報セ キュリティ対策の重要性がますます高まることは確実である。本稿では、中国の情報セキュリ ティ事情などを踏まえ、対策のポイントを概説する。 悩みが多い中国での情報セキュリティ対策 35.3%で 2 番目に多く、 「受信したメールから 中国で情報セキュリティ対策を行おうとす の感染」、「ファイル共有ソフトやメッセンジ ると、「規制が多い」、「対策が分からない」、 ャーソフト経由」もそれぞれ28.4%、27.6%と 「安心して利用できるツールがない」といった 点を課題としてあげる日系企業が多い。加え て、 「何から手をつけたらいいか分からない」 、 「人手がないなかでどのように対策を行うべき か悩んでいる」という話もよく聞く。 多かった。 掲示板への書き込みも、重要情報の流出の 原因になる。日系企業のシステム管理者の多 くは、現地社員が業務に関係ない株取引や動 画閲覧をしたり、ゲームサイトへアクセスし NRI北京では、日系企業が直面する情報セ たりすることを気にしている。社内からのイ キュリティに関する課題や、実施したい対策 ンターネット利用のうち 4 割程度が業務に関 に関して、コストや実効性、対策の優先度な 係ないサイトへのアクセスだったという報告 どを考慮しながら最適なソリューションやサ もある。これは業務効率の低下や、社内ネッ ービスを提供している。ここでは、中国に進 トワークの負荷増大という点でも見逃せない 出する日系企業が優先的に実施すべき 3 つの 問題である。 対策について、事例を交えて紹介する。 Webサイトへのアクセス管理 勤務中のインターネット利用については、 18 みに「外部から持ち込んだPCやメディア」が Webアクセスの管理に関してはフィルタリ ングツールの導入が最も効果的である。野村 総合研究所(以下、NRI)が総代理店となっ ている「InterSafe」は、中国と日本のサイト 各企業が頭を悩ませている点であろう。NRI を適切にフィルタリングするデータベースを 北京とNRIセキュアテクノロジーズが2009年 用意し、豊富なカテゴリー設定によって業務 に共同で実施した「中国進出日系企業におけ 効率を阻害せずにWebアクセスをコントロー る情報セキュリティ実態調査」でも、ウイル ルする。このツールを導入してウイルス感染 ス感染経路として最も多かったのが社内ユー 件数が10分の 1 程度に減った企業や、業務外 ザーのWebアクセス(48.3%)だった。ちな 利用の多い人への警告や業務外サイトのブロ 2011年4月号 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2011 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. NRI北京 北京情報セキュリティ事業部長 NRI北京 上海分公司 上海情報セキュリティ事業部長 長谷川 剛(はせがわごう) 専門は情報セキュリティに関するコン サルティング ックによりWebアクセス数が半分程度になっ 的にレポートするものである。中国拠点にIT た企業もある。ネットワークの負荷が軽減さ 管理者を置くことはできないがPCセキュリテ れたことでメールや基幹システムのスピード ィ対策の状況を把握したいという顧客を中心 が向上し、予定していたネットワークへの投 に利用していただいている。自社にサーバー 資を削減できた例もある。 を設置することなくインターネット経由でPC このツールは中国公安部安全産品審査に合 の情報を収集・管理するクラウド版のセキュ 格しており、公安部第82号令と呼ばれる法令 リティ診断サービスも、近いうちにリリース で義務付けられた60日間のアクセスログ保管 予定である。 にも対応している。 PCの情報セキュリティ管理 外部からのサーバーへのアクセス管理 中国拠点においては、社内にITの専門家が 中国では街なかでコピーソフトを販売して 少ないため、外部業者にサーバーの管理など いる光景がよく見られるように、違法ソフト を依頼するケースが多い。その業者に管理者 の使用に抵抗感や罪悪感が少ないように思え 権限を持つ特権IDを与えることもあるだろう。 る。このようなソフトを会社の業務で使用す 特権IDは、すべてのデータにアクセスでき、 るPCにインストールすることは、コンプライ ソフトウェアのインストールもできるため注 アンス(法令遵守)に抵触することになるの 意が必要である。実際に、システム管理者が で注意が必要である。また、チャットソフト 引き起こした情報漏えい事件は過去に多く報 やゲームソフトなどをインストールすること 告されている。 も、業務効率を低下させる元である。管理が NRIセキュアテクノロジーズのアクセス管 及ばないソフトのインストールはウイルス感 理ツール「SecureCube / AccessCheck」は、 染の危険が大きい。 設置されているサーバーに手を加えることな このようなことを考えると、中国ではPCの く、認証とシステム操作ログの取得・保存を 管理が情報セキュリティ対策上、非常に重要 行い、重要な情報を含むサーバーへのアクセ なポイントといえる。そのためNRIは、日本 ス統制を行うツールである。このツールは、 国内で実績のあるPC管理ソフトを利用した 日本では金融商品取引法のIT全般統制で重要 「PCセキュリティ診断サービス」を提供して な特権IDの管理ツールとしても利用実績が豊 いる。このサービスは、定期的にPC情報を収 富である。中国公安部安全産品審査にも合格 集し、不正なソフトのインストールを含めて しており、中国における日系企業の内部統制 セキュリティ上重要な管理項目について定期 にも利用価値が高い。 ■ 2011年4月号 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2011 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 19