パルシステム生活協同組合連合会 様

3500クライアントの外部デバイス制御をAD連携と管理サーバーで一元管理
10年以上にわたる利用は信頼の証

首都圏を中心に食を中心とした商品の供給や共済・保険事業などを展開するパルシステム生活協同組合連合会(以下、パルシステム)では、データの保管や取引先とのデータの受け渡しに外部デバイスを利用する機会が多いことから、10年以上前にラネクシーのDLPソリューション「DeviceLock(デバイスロック)」を導入。使い勝手の良いセキュアなデバイス利用を実現した。同社では業務のデバイス利用実態に合わせて細かな設定ができる点、対応するメディアの種類が豊富な点、Active Directory(AD)連携が可能な点などを高く評価。将来的にはログ分析によりプロアクティブな対応を行うことも検討している。

導入製品・ソリューション:DeviceLock

パルシステム生活協同組合連合会の導入前の課題と導入後の効果

導入前の課題

データの保管や取引先とのデータの受け渡しのために外部デバイスを利用していたが、個人データを扱っていることもあり、データ管理を強化したかった。

導入後の効果

業務に合わせてデバイスの利用制限を設定できる細やかさ、対応するメディアの種類の豊富さ、AD連携などの優れた機能により、使い勝手がよくセキュアなデバイス活用が実現した。

外部デバイスの利用機会が多いためDeviceLockを導入 データ管理を徹底

 1990年2月に設立されたパルシステムは、首都圏を中心とした生協で構成される連合会組織だ。パルシステムグループ(会員生協と子会社)は、理念「心豊かなくらしと共生の社会を創ります」の実現へ向けて、食を中心とした商品の供給事業や共済・保険事業、福祉事業などを展開している。

 

 同会では、10年以上前からラネクシーのDLP(Data Loss Prevention)ソリューション「DeviceLock」を導入・活用してきたが、その背景について情報システム本部 ITサービス部 主任 成影次郎氏は「当会のシステム環境では外部デバイスの利用機会が多いため、情報漏えい対策の強化として、データおよび外部デバイス管理の一環でDeviceLockを導入しています」と説明する。
 同会では、データの保管場所は可用性や機密性を考慮して、ファイルサーバに保管するようにしている。また、各グループでファイルサーバを利用する際、データサイズに応じて利用料を徴収しており、グループによっては費用削減のために外付けデバイスを利用するところもあった。そこで、データの外部保管先として外付けHDD、USBメモリ、各種ディスクメディアなどの外部デバイスを用意していたという。また、システムのログデータを外部のベンダーに解析してもらうなどの際にも、データが膨大な量になるため外付けHDDなどを使って受け渡しをしていた。さらに、メールでは大きなサイズのファイルを添付できなかったことから、外部デバイスを使って取引先とファイルのやり取りをすることも多かったという。
「このように外部デバイスを多用した運用では、何よりデータ管理・保全が重要となります。PC内には組合員の個人データも保存されているため、万が一流出事故など起これば一大事です。そこで当会では、早くからDeviceLockを導入し、データ管理・保全の徹底に取り組んできました」(成影氏)

細やかな設定、豊富な対応メディアなど 他製品での代替は困難

 これまで10年以上に渡ってDeviceLockを利用し続けてきたパルシステムだが、別のソリューションを検討したことはなかったのだろうか。成影氏は「正直なところを言えば、コスト削減を目的に入れ替えを検討したことがありました」と語る。具体的には、他の目的で導入していた資産管理ソフトに付帯する機能を利用することで、DeviceLockを代替できるのではないかと考えたそうだ。
「しかし両者の機能を比較してみると、業務に合わせてデバイスの利用制限を設定できる細やかさ、対応するメディアの種類の豊富さなど、Devi ceLockの方が圧倒的に優れており、代替は無理だという結論に達しました」(成影氏)
 さらには、利便性という意味でAD連携ができる点も大きかったという。「DeviceLockではユーザーの職務などに合わせて細かく権限を設定し、アクセス権限と紐づけることが可能なので、使い勝手を損なうことなく、外部デバイスをセキュアに利用できるようになりました。当会では一時的な利用設定をするケースが多いので、AD連携はとても重宝しています」(成影氏)

Active Directory(AD)連携と併せて管理サーバーも構成したクライアント管理の実現

情報システム本部 ITサービス部 主任
成影 次郎 氏

 現在、パルシステムではポリシー適用やエージェントの配布はAD連携の機能を利用しているが、それとは別に管理サーバーを構成してDeviceLock約3500ライセンスの管理をしている。これはデバイスへのアクセスを記録するため、監査ログ機能を利用しているからである。ログ項目には、日時、デバイスタイプ、アクション、ファイル名、情報、ユーザー、PI Dなどが含まれ、DeviceLockによって許可、もしくはブロックされたアクセス行為を詳細に把握することができる。
 なお同会では、DeviceLockのオプション機能のうち、ネットワーク通信による情報漏えいを防止する「Networ kLock(ネットワークロック)」を利用している。これは、管理者がシステムをインストールする際に、踏み台サーバーを利用して処理を実施していることが背景にあるという。
「NetworkLockを使うことでプロトコルを制御し、そのサーバー外には出られないよう制限をかけています。こうしたネットワーク上にある対象についても、物理的な外部デバイスと同様の感覚で利用できる点が便利ですね」(成影氏)

蓄積された監査ログを積極的に分析しプロアクティブな対応を目指す

 パルシステムはDeviceLockの10年以上のユーザーとなるが、ラネクシーのサポートには満足しているという。
「DeviceLock自体が問題を起こすことがないので、問い合わせする機会もほとんどありません。あえて言えば、新機能などが追加されたとき、こうした使い方をするとよいといったアドバイスをいただけるとうれしいですね」
 同会では今後、DeviceLockで蓄積された監査ログの分析を検討している。これまでは、分析するための事前作業にかなりの手間がかかることから、トラブルなど特別なケースでもなければ、分析する機会はほとんどなかった。これを改め、積極的に分析を行っていこうというのだ。
「現状では、手間をかけて能動的にログを分析しないと異常な動きを発見することができないので、問題が発生するまで気がつくことが難しくなっています。そこでDeviceLockへの希望なのですが、ログをベースに異常があるとアラートを上げてくれるような仕組みが構築できるようにしてもらえるとありがたいですね。問題を事前に知ることができれば、プロアクティブな対応が実現できるようになりますので」

DeviceLock Enterprise Serverによる集中管理

DeviceLock Enterprise Server(管理サーバー)はDeviceLock Serviceのクライアントポリシー管理や監査ログ/シャドウデータの収集、管理を一元化することが可能な無償のオプションコンポーネントです。収集した監査ログはレポート出力することも可能です。また、リモートPCのDeviceLockの状態やポリシーの整合性を確認するためのリアルタイムモニタリング機能も提供します。さらにDeviceLock Enterprise Serverで作成されたレポートは電子メールで自動的に送信できます。

詳細資料

ご担当者様のインタビュー取材記事を掲載したPDFをダウンロードしていただけます。

お客様概要

  • 所在地:東京都新宿区大久保2-2-6
  • 設立:1990年2月9日
  • 資本金:128.4億円
  • 職員数:328人
  • 事業内容:食を中心とした商品の供給事業、共済・保険事業、福祉事業、電力事業など

https://www.pal.or.jp/