ヤフー様 ： 導入事例 ： ハミングヘッズ株式会社

社員の自由な発想を阻害しないためにセキュリティプラットフォームを導入されたヤフー様。情報セキュリティの考え方、導入、ログ監視のポイント、成果、今後の取り組みについて、お話をうかがいました。

インタビュー　1　安尾様

■ヤフーの情報セキュリティとは？

　ヤフーの情報セキュリティは、お客様からお預かりした情報の保護を原点としています。別な言い方をすれば、たとえばヤフーの経営情報よりもお客様の情報を大切にするということです。

Yahoo!JAPANでは、毎月ログインをされるIDの数が1900万※あります。その中で600万人※の有料会員であるプレミアム会員様も含まれています。つまり、我々はこれだけの数の個人情報をお預かりしているということになります。（※2007年4月時点）
具体的な情報セキュリティ対策ということでは、セキュリティの規則を定めたり、社員教育を徹底したりといったことはどこの会社でも同じです。我々が特に注力をしているのは、個人情報を取り扱うエリアを非常に厳しく管理すること、あるいは個人情報を保管しているデータセンターはインターネットにつながっておらず、隔離をしていることです。

■なぜ監視をするのですか？

ヤフーが監視を重視している理由は幾つかあります。一般的な企業では、例えば「こういうサイトにはアクセスさせません」、「アクセスしたら接続できないようにします」といった制限を加えています。しかし、ヤフーではそういう制限を一切行なっていません。その理由は社員が自由な発想で仕事をする、あるいはお客様の目線であらゆる市場を調査するためには、アクセスを制限していてはうまく行えないからです。我々はアクセスの制限をしない代わりに監視をしているのです。データベースへの疑わしいアクセスの監視、あるいはネットワーク上での監視ということを行ってきましたが、今回取り上げているものは、それに加えて、クライアントPCのログ監視も行っていることになります。

■監視をされると仕事が窮屈になりませんか？

監視をしていると仕事が窮屈になるということは一般的な意見と同じく、その通りだと思います。しかし、我々のSePによるログ監視の狙いは、その従事者による不正なアクセスを発見するということだけでなく、従事者が不正なアクセスをしていない証拠としても使えるということ、言い換えれば従事者に代って業務の正当性を証明するということも兼ねています。さらに我々は社員を監視するという発想ではなく、操作の内容を監視するというところを１つのポイントにしています。

■何を監視しているのですか？

まず、なぜ監視をしているかというと、情報を漏洩させたり、持ち出したりしないためです。したがってその対象になる操作を重点的に監視しています。
監視対象の1つ目はメールです。メールでファイルを添付して送信する、あるいは個人用と思われるアドレスに送信するといった操作を監視しています。2つ目は外部へのファイルの持ち出しです。社外へファイルのアップロードをしたり、転送したりという操作をログでチェックしています。3つ目は社外サイトへのアクセス、書き込みをチェックしています。そして、社内のファイルサーバへのアクセスはすべてログで記録しています。それらの操作と非常に密接な関係があるソフトウェアについては、どのソフトを稼動させたかということをすべて監視しています。これらが、重点的に監視している対象です。

インタビュー　2　西牧様

■どのように導入を推進しましたか？

　SePの導入に当たっては、このソフトウェアがOSのかなり深い部分に入り込んでいる点から、さまざまな問題が起こるのではないかということを危惧していました。そのようなことから、自分の担当する部門で実験を繰り返して、そこで問題が起こらないことを確認して、全社に導入しました。全社導入に当たっては、小さい部門単位に導入しつつ、全社に展開していきました。

■SePは定着したのでしょうか？

導入によって、従事者もやってはいけない操作を実感しました。業務上必要な行動を事前に届け出ることで、疑わしい操作としての報告からは削除されるようになっています。こういった取り組みによってチェックの対象となった件数は、3カ月ほどで激減するという結果を得ました。

■成果につながるキーポイントを教えてください。

SeP導入の成果につながるキーポイントというのは幾つかあると思います。一番大事なことは、社長、経営陣の具体的な指示、これが後押しすることになったと思います。
　監視することによって社員、従事者からの反発を予想しましたが、実際には取り越し苦労でした。これは「従業者の監視」ではなく、「作業内容の監視をする」ということを何度も繰り返し伝えたこと、それから分け隔てなく全従業員のPCへ導入を進めたことが成果につながったポイントだと思います。
さらに実証実験時の多発するトラブルを日々解決できたことが大きな成果につながったと思います。これはハミングヘッズ社のサポートに随時対応していただけた結果によるものです。また、一部のPCではSePを導入することによって動作が遅くなるといった影響がありましたが、これは高性能のPCへリプレースしたことで解決しました。
さらに違反内容は1人ずつ是正できるまでフォローするという仕掛けを構築しました。これは監視チームを立ち上げ、このチームが妥協せず執念を持って成果につながるための取り組みを行った結果によります。

■今後の取り組みは？

情報セキュリティ対策の最後の砦は、従事者の職業倫理観であると思っています。今後も従事者が道を踏み外さないよう監視を続けていきます。伸びやかに、思い切り仕事ができるよう、必要最小限の監視を心がけていきます。