Home > セキュリティプラットフォーム > 導入事例 > ドトールコーヒー様導入事例

ドトールコーヒー様 - 導入事例

店舗写真

 1962年、コーヒーの焙煎・卸売会社として誕生したドトールコーヒー様は、創業より「一杯のおいしいコーヒーを通じて、お客様にやすらぎと活力を提供する」という理念の元、企業活動を行われておられます。
 日本の喫茶店業の草分け的存在でもあるドトールコーヒー様は、グループ全体で約1400店舗を全国に展開。昔ながらの喫茶店が持つ「やすらぎ」を残しつつ、日々変化する消費者ニーズに応えるため現場の「情報」は、現代社会において重要な経営情報となっています。
 そして「企業の持つ重要情報を守りつつも、情報流通を妨げない」というポリシーに合致するものとしてエンドポイント情報漏洩対策ソフト セキュリティプラットフォーム(以下、SeP)をご導入いただきました。様々な情報漏洩対策製品からSePをお選びいただいた経緯や、活用方法についてお話を伺いました。

■導入の経緯
セキュリティ対策を検討。要件を丁寧に洗い出す

業務部 情報システム課
田代和彦様

業務部 情報システム課
田代和彦様

―御社における情報セキュリティの位置付けについて教えてください。

田代氏 情報部門において、情報セキュリティは取り組むべき課題の中でかなり高い位置にあります。当社において守るべき情報とは、各店舗を経営支援するためのデータや店舗開発に関するものなど「店舗の情報」が中心です。特に、これらの情報は経営に直結するため重要度は高くなります。
 もちろん店舗の情報に限らずあらゆる「情報」は漏洩するということ自体が問題ですから、そういった事故はあってはならない、と考えております。また、仮に事故が起きた場合に備えて、出元が特定できるようなリスクマネジメント体制の構築も必要になってくるでしょう。

―導入の経緯をお聞かせください。

田代氏 情報セキュリティ対策ツールの導入については、2005年に施行された「個人情報保護法」がきっかけです。また「個人情報保護」に対する社会的要請も高まっており、情報漏洩により信用イメージが失われて株価が暴落するなど、リスクが非常に高くなっています。これらの背景から、企業内の情報保護について検討を始めました。
 2005年当時は別の製品を選択したのですが、2007年の「内部統制報告書制度」施行時に再度ツールを検討する機会ができました。その際、利用していたツールの課題点を克服するためSePを選定しました。SePは、当社が定めた情報セキュリティ要件を完全に満たす唯一の製品でしたから。

■導入のポイント
セキュリティポリシーに合致する唯一の製品として選定

―具体的には過去導入された製品とSePは、どこが違ったのでしょう。

田代氏 先程申し上げました、SePを導入する以前の2005年から、情報漏洩に対する技術的な対策として、「ログ取得」と「ディスクの暗号化」の2つで当社の基本的な情報セキュリティ要件を満たせるという結論になり、ログ取得製品や暗号化製品といった単機能製品を複数導入しました。
 ところが以前の製品は、社員に常時セキュリティを意識させ「セキュリティを守らなくてはいけない」という啓蒙を施すにはほど遠かったのです。社員全員にセキュリティを意識させるためには、絶え間ない啓蒙が必要になりますが、膨大な人員を割くこともできず、実際には導入する際のアナウンスのみで形骸化しました。
 またログについても何かひとつのファイルの行方や、1人の社員の行動など特定のログを追いかける事態にはならず、大量にため込んだログは有効的に使うことはありませんでした。そのため定期的なチェックを行うまでには至れませんでした。

クライアントPCの不正行為に対する防止対策と実効果の一例

 これまでの製品は「セキュリティを守るため」という能書きは素晴らしいのですが、その分製品の理想とする形で運用しようとするとルールが煩雑すぎました。一般論ですが、ルールが煩雑になると、ユーザは抜け道を探し出すようになります。それでは、製品を導入する意味がないどころか「単純に会社のPCの使い勝手が悪くなった」ということになってしまいます。

―SePをご選定いただいたのはどういう理由だったのでしょうか。

田代氏 セキュリティを意識させることと、ルールが簡潔なことですね。まず、当社が注目したのがSePの唯一のルールである「リリースフォルダ」です。SePは外部へデータを持ち出すためにリリースフォルダを経由する必要があります。このようにひとつの行動を挟むだけでも、社員が常に情報セキュリティの存在を意識することにつながると考えています。しかも逆に言えばルールは「持ち出す際はリリースフォルダを通す」だけで済みます。さらに情報の流出経路を担保するのも、リリースフォルダを監視するだけで可能になる、という点を高く評価しました。

望月氏 ログについても、以前のツールでは、抜き打ち的なチェックですら、抽出するのに大変時間がかかり、イレギュラー時にそこから探り出すと言うことが関の山でした。
 現在では、毎日リリースフォルダのログをざっと眺めて、不審な点を見つけたら情報システム課に連絡して詳細を調査してもらう、ということができるようになりました。リスク管理の一環として、リリースフォルダのログを監査部門と情報システム課門が連携してモニタリングできる仕組みを構築しています。

―導入の際、社員の方にはどのように教育・啓蒙されたのでしょうか。

望月氏 導入時は社内に対して、SePの使い方を教育しました。新入社員に対しては、上長から教育させるように徹底しています。ただ、課題として社員間でITリテラシーの差異で、理解の浸透にどうしても個人差が生じてしまいます。
 そうした導入時の教育での気付きをもとに、社員に情報セキュリティに対する理解を浸透させるためにも定期的に啓蒙のための社内セミナーの開催も企画しています。最初はリリースフォルダを通すことですら手間になったと思う社員もいましたが「利便性が高まれば、それに伴って意識を高めなくてはならない」と啓発しました。セキュリティを施せばある程度不便はある、ということは教育の中で繰り返し伝え、ある程度浸透してきたと思います。

■SePの運用
ログを的確に活用。最小限の運用で最大の効果

内部監査部 望月智弘様

内部監査部 望月智弘様

―実際の運用方法についてお教えいただけますか。

望月氏 ログなどは監査にも活用しています。データの持ち込みや持ち出しは拡張子で判断することができます。「この部署でどうして動画ファイルを使っているんだろう?」「なんで、うちでは利用していないはずのOfiice2007の拡張子なんだ?」などというところから、データの持ち込みなどがわかるわけです。持ち込む人は持ち出す人である可能性が高いです。ここから情報システム課に戻して、情報持ち出し履歴の調査をお願いするという形です。
 ほかにも普段使っていない人が、いきなり大量のファイルを使ったりするとわかりますね。そういうのは、継続的に見てきているからこそ、流れの中で見つけることができます。SePを導入するまでは、正直そこまでログを細かく見ることはできませんでした。

田代氏 運用については平常時に関しては、ほとんど何もすることがありません。これまでは複数のソフトウェアで満たしていた当社のセキュリティ要件を、SePならばひとつの製品で全て満たすことができます。そのため、システム側ですべきことが、非常に少ないという点はとても助かっています。
 簡潔なルールでセキュリティを意識させ、ログも完全なものが取得されています。そのため、運用面で言うと情報システム課の仕事はPCが入れ替わった時に、SePをインストールし直すくらいしかありません。ほか新しいソフトウェアを導入した時に、動きが悪くならないか検証作業をするくらいです。仮に、特別に何か起きたときは、ログを見るなどの調査に、人員を割く必要がある程度ですね。

ログのモニタリングで異常を察知

―外部媒体についての制限はどうされていますか。

田代氏 昨今、個人持ち込みのUSBメモリからの情報漏洩が取り沙汰されている背景もあり、今後USBメモリなどの外部媒体対策を強化していきたいと考えています。
 具体的にはSePのUSB接続制限機能を活用して未登録のUSBメモリの接続制限をかける予定です。またハードウェア的な運用としては、USBメモリの個人持ち込みを禁止して、会社に対して申請した本数だけ渡すという体制も考えています。その際も「USBをなくしたら、たとえUSBメモリの中身に情報が入っていなくても、情報漏洩とみなして、処罰対象にする」くらいの厳しさで臨むつもりです。

■導入の効果
リリースフォルダ活用でセキュリティの意識が向上

―導入効果についてお聞かせください。

田代氏 情報セキュリティに関する課題点が表面化したという効果もありました。今までは、会社全体に対して強く告知する必要がありましたが、いまは、リスクだと疑われるものが表面化すると、情報システム課からユーザに対して警告メールを投げかけるという方向になってきましたね。

望月氏 リリースフォルダの利用について、導入当初こそ「めんどくさい」という声も出てきたものの、現在はセキュリティに関する意識付けはできていますので、社内での抵抗感はほとんどないですね。
ただ、すべての社員がリリースフォルダに入れる意義はわかっているかというと、完全というわけにはいきませんね。会社のルールだから従っている、というレベルの人がいるのも事実です。もちろんそれでも情報漏洩自体は防げていますので、問題は発生しません。今後は、社員全体のセキュリティに対する意識をさらに高めていければと思っています。

■今後の取り組み
ログ分析を推進 業務効率化を図る

―今後の取り組みについて教えてください。

望月氏 現在、リリースフォルダからの持ち出し履歴の調査などは行っていますが、今後は、より深くログ分析に取り組んでいきたいと考えています。ログ分析や情報セキュリティの効果は、残念ながら事件が起きた場合でないと効果が測定しづらいという側面を持っています。今後は、日々の業務を分析し生かしていくことで、社員や経営層にもログ分析の有用性を浸透させていけると思います。
 あとは、ITリテラシーの問題ですね。現在の新入社員はもともとITに対する知識をある程度持っているため、逆に使い方などを聞いてこない傾向にあります。だからと言って社内で教育が徹底できているかというと、残念ながら不十分な箇所もあるので、教育の見直しをしていかなくては、と考えています。

田代氏 何かシステム側で一歩進んだ対策をしたいと考えた場合、それをSePはサポートしてくれます。例えば以前導入していたソフトならば、ログを取るだけで終わってしまいほかには何もできなかったでしょう。でも何かに先んじて対策を思いついた場合、あらゆる機能を持つSePなら「まだ使っていない機能を有効に使うだけでできる」という期待値がありますね。  また今後は、アプリケーションのログも細かく見ていければと思っています。解析の仕組みができれば、活用範囲は広がると思います。くまなくアプリケーションの使用傾向を調べれば、先に対策も打てます。
 社員が使っているフリーソフトを、現在の業務を妨げないためにあえて規制はしていません。しかし、社員が使っているフリーソフトの傾向がわかれば、社員にとって何が不足しているかもわかります。そうすればもっと安全な仕組みを、会社側から提供するという使い方もできるでしょうね。

株式会社ドトールコーヒー

<オフィス環境>
PC台数 約700台
PC環境 Windows XP SP3
      Microsoft Office 2003
      Thunderbird 3
      Adobe Acrobat等

<導入製品>
セキュリティプラットフォーム ベーシック +AD evolution /SV
セキュリティプラットフォーム トレーサオプション +AD
セキュリティプラットフォーム イントラネットオプション
セキュリティプラットフォーム エンクリプションオプション

<会社概要>

社名 株式会社ドトールコーヒー
設立 1962年4月
資本金 111億41百万円
従業員数 946名(2011年2月末現在)
売上高 連結  700億3,800万円
(2011年2月期)
事業内容 コーヒーの焙煎加工並びに販売など
本社所在地 東京都渋谷区神南1-10-1
URL http://www.doutor.co.jp/

(掲載日:2011年9月13日)

※本内容は、2011年4月現在のものです。製品・サービス内容・仕様については事前の予告なしに変更することがあります。
※ドトールコーヒーは、株式会社ドトールコーヒーの登録商標です。
※ハミングヘッズ、ハミングヘッズセキュリティプラットフォームはハミングヘッズ株式会社の登録商標です。
※その他、記載されているブランド名、製品名は、各社の商標または登録商標です。