「100年前から情報セキュリティ」――凸版印刷に見る大規模企業の対策と現実情報システム担当者のための「突撃! 隣のセキュリティ」(2/4 ページ)

» 2014年06月11日 18時00分 公開
[瀬古敏智JPCERTコーディネーションセンター]

「100年以上、情報セキュリティを売ってきた」会社の取り組み

ALT 凸版印刷 ICT統括本部 ICT戦略室 室長 藤沢修氏

 「凸版印刷はもともと株券などの証券を作ってきた会社。原版を厳重に管理し、正しく連番を振って世に出していました。“似て非なる唯一のもの”をきちんと管理し、お客さまに安全に届けることは、まさに情報セキュリティそのもの。いわば、1900年の創業時から『お客さまに100年以上、情報セキュリティを売ってきた』わけです」――凸版印刷 ICT統括本部 ICT戦略室 室長の藤沢修氏はこのように語ります。

 同社の業務は、伝統的な「紙への印刷」から始まり、時代とともに事業を拡大してきました。現在は書籍やパンフレット、食品や日用品などのパッケージ、通帳、クレジットカードなどの他、印刷業で培った金属エッチング技術を生かしてエレクトロニクス製品の製造も行うなど、その業務分野は多岐にわたります。

ALT 凸版印刷 ICT統括本部 ICT基盤技術センター エンジニアリング部 係長の池田望氏

 コンテンツの電子化に伴い、ICTサービスにも進出。電子チラシポータルサイト「Shufoo!」、地図検索サイト「Mapion」、電子書籍ストア「BookLive!」、「食品パッケージなどへのユニーク番号印刷とWebを連動させた、販促キャンペーン用Webサイトの構築・運用」なども行っています。

 こうした多種多様な業務のそれぞれで、求められる情報セキュリティ管理のレベルは異なります。同社 ICT統括本部 ICT基盤技術センター エンジニアリング部 係長の池田望氏は、「ハイレベルな情報セキュリティを求められるものから、公開情報の印刷など比較的厳密でないものまであり、どう共存させるかが課題です」と説明します。

 「ハイレベルな例としては、フォトマスクとクレジットカードの製造が挙げられます。フォトマスクとは、半導体チップの製造過程で使用される、回路のパターンが刻み込まれたガラス板のことです。半導体メーカーさまはこれを用いてシリコンウェハーに電子回路を焼き付けます。凸版印刷はメーカーから回路のデータを預かり、ガラス板にパターンを描くわけですが、そのデータはメーカーのノウハウの固まり。それこそ“超”企業秘密です。クレジットカードも同様で、カード会社からデータを預かり、カード本体の製造、カードへの個人データの記録、発送まで、弊社側が担当させていただきます。金銭に関わる重要な個人情報を扱うことになるため、細心の注意が求められます」(藤沢氏)

ディスクの「指差し確認」?――物理セキュリティも情報セキュリティも厳重に

 これらハイレベルなセキュリティを必要とする業務について、同社では「凸版印刷として整備している厳重なセキュリティ施策」と「顧客企業ごとに設定された個別のセキュリティ認定基準」を同時にクリアする運用を行っているそうです。

 まず物理セキュリティ面では、ICカードや生体認証システムで工場に入れるスタッフを限定。ただ顧客企業は国内だけではありません。

 「顧客企業や監査機関から認定基準を満たしているかのチェックを受けますが、海外の企業からは『工場にライフルを持った警備員はいないのか』『サーバールームにダンプカーが突っ込んでも問題ないか』と聞かれることもありました」(池田氏)

 日本ではちょっと驚くような質問ですが、グローバル展開する企業の場合、セキュリティ対応でも文化の違いを考慮する必要があると分かります。

 情報セキュリティ面では、ユーザー認証でアクセス制御を行うのはもちろん、ネットワークが許可なく増設されないよう管理することでデータを保護。一部の管理対象については操作ログを全て記録し、容易に監査できる仕組みも導入しています。

 「特にセンシティブな管理が要求されるのはデータ保管で、顧客企業からは『このサーバーにはうちのデータしか入れないでくれ』とご要望いただくこともあります」(池田氏)

 つまり、ハードウェア故障などの問題があった際、万が一にもデータが流出することのないよう、「物理的に独立したサーバーを用意してほしい」という要請です。当然ながらサーバー仮想化などは難しく、「最近、一部では仮想化を採用し始めているものの、高いセキュリティレベルを求められる領域では抵抗が大きいのが実情」(池田氏)のようです。クラウドサービスも同様です。

 「『データがどのサーバーのどのディスクにあるかを確実に保証してほしい』という要望もあります。例えば、『このラックのこれです』と、手で指し示せるところまで求められますね。実際にはRAIDを組んでいるので、この3本のうちどれかということにはなるのですが。クラウドでも一部には日本国内にあるサーバーへのデータ保存を確約するものや、物理的に独立した1台のサーバーを専有できるものがありますが、『どこの国にあるか分からない』ということは許されません」(池田氏)

 データの受け渡し方法は「メディアの手渡し」と「ネットワーク経由」の2種類。言うまでもなく、ここにも確実な管理への配慮が込められています。

 「メディアは磁気テープが多く、ジュラルミンケースに収められて、顧客企業から弊社拠点に届きます。データは暗号化され、専用のシステムでのみ読み取りが可能です。ネットワーク経由でデータ交換を行う場合も、多くは専用線を利用しますが、海外の顧客企業も多いため、フォトマスクのデータについては通信コストの観点からインターネットVPNを活用するケースもあります」(藤沢氏)

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。