導入事例
ランカシャイア・ケア NHS 財団トラスト (イングランド)
ランカシャイア・ケア NHS 財団トラストはデバイスのデータ管理に HEAT Device Control を選択します。
概要
ランカシャイア・ケア NHS 財団トラストは 2002 年 4 月、ランカシャイア州で生まれました。その団体の目標は、ランカシャイアで全ての成人に対してメンタル ヘルスと薬物乱用に関する治療の為の選択肢の提供者となる事であり、今ではその甲斐あって、多くの支部の全てでサービスを提供するべく 3500 人を超えるスタッフを雇用しています。
ここ 5 年間、団体は現代的な多方面の情報通信技術のインフラ確立の為に投資してきました。この先何年もより良いサービス提供を維持し、融通の効く労働力の確保を可能にする為の技術です。最近財団という立場になるに至り、今日ではランカシャイア・ケア NHS 財団トラストとよばれるようになりました。
財団はアラン・ボードマン氏をデータ セキュリティ オフィサーとして、同時に IM&T セキュリティ システム エンジニアに任命しました。ボードマン氏はインフォメーション・ガバナンス・ツールキットの要求条件を満たす責任もありました。
課題
ボードマン氏はランカシャイア・ケア NHS 財団トラストのデータ セキュリティ オフィサーとして、同財団従業員の使う全ての USB メモリの暗号化を徹底する方針を打ち出しました。USB スティックが紛失盗難に遭った際にもデータを確実に守る為の方策です。製薬会社の販売員はしばしばそのブランドの USB メモリ スティックを財団の従業員に預ける事があり、そのような異なるネットワークに接続されているタイプのデバイスを管理するのは難しかったと彼は述べました。「これら USB デバイスは膨大な量のデータを保存できます。しかし、それを失うのは簡単です」とボードマン氏は言う。「紛失の際にもデータの安全を保つ為、USB スティックが暗号化される必要がありました。」 USB デバイスの使用において、暗号化を強制できて、かつ許可した種類のもの以外はネットワーク上で全てブロックされるというソリューションを見つけるため、ボードマン氏は調査をしました。
「当初、私はトゥルークリプト (TrueCrypt) のようなオープンソースのソリューションを検討しました。しかし、これは集中管理のシステムではなく、暗号化の強制もできませんでした。私達は自動的に暗号化を実施するデータ保護のソリューションを必要としていたのです。」
HEAT のソリューション
現在市場に出ている全ての商品を検討した後、ボードマンは 3 つの商品に絞り込みました。デバイス ウォール、デバイス ロック、そして HEAT Device Control です。
HEAT Device Control はネットワークに繋ぐ事を許可されたデバイスの「ホワイトリスト」を IT 管理者が作成できるようにします。標準設定では、許可されていないデバイスは全てネットワーク上での起動をブロックされるのです。そのソフトウェアはきめ細かな設定が可能であり、仕事目的でのデバイス使用をデバイスのシリアル ナンバー単位で特定の従業員に許可するかまで定められます。これにより、他の全ての従業員がブロックされている時も任意の従業員のデバイス使用を許可、というような運用も可能になります。同様にその従業員がホワイトリスト上にないデバイスを繋ごうとした場合、これは HEAT Device Control にブロックされるでしょう。許可された記憶媒体は HEAT Device Control によってログ取りが可能なので、IT 部門は外付けの USB 記憶装置とのデータの送受信記録を常に保持します。
ボードマン氏はこう続けます。「デバイス ウォールは外付け記憶デバイスをやりたいようには管理させてくれませんでした。そしてデバイス ロックは評価を行った時には暗号化機能を持っていませんでした。臨時のデバイスのホワイトリスト化は可能にしましたが、ホワイトリスト化は特定の種類のみで、デバイス モデルの種別には対応していなかったのです。つまり、HEAT Device Control が一際きめ細かい機能を持っていると言えます。デバイスのモデル、もしくはシリアル ナンバーのような形でまで詳細にホワイトリスト化できるのです。」
ボードマン氏は HEAT Device Control を選択し、2008 年初頭、財団への本格導入の準備をしました。
政府組織や銀行が繊細な顧客情報の入った CD を紛失するといった特に目立つ例を見てきた事で、ランカシャイア・ケア NHS 財団トラストの多くのスタッフが既に外付け記憶媒体によるデータ保存のリスクを意識していたとボードマン氏は語ります。
さらにゴードン・ブラウン首相 は、情報管理規定における、暗号化されるべき機密と記された情報に関する記述の改正を呼び掛けて来ていました。
しかし、HEAT Device Control が財団のネットワーク全体に適用される前に、ボードマン氏は新しいセキュリティ ポリシー実施の手続きを周知徹底する従業員教育キャンペーンに取りかかりました。彼はスタッフに USB デバイスの新管理基準が実施される事の重要性を教育するために、広告バナーを財団のイントラネットのトップ ページに据え、データ セキュリティ規約もイントラネット上に載せました。そしてeメールに加えデスクトップからのリンク、サービス デスクのボイス メッセージ、そして印刷物の記事で周知徹底をさらに補強しました。彼は HEAT Device Control がインストールされる前にネットワークに接続されていた事が分かっている全ての USB スティックは遡って咎めない事でこのキャンペーンを推進しました。一度これらの不正なデバイスが集められると、財団のスタッフには仕事のデータを保存する為の公認 USB メモリ スティックが支給されました。それ以外の USB メモリ スティックがネットワーク上での起動を許される事はありません。
「私達は USB メモリ スティックを 1 つのブランドで統一する事に決め、全ての認可デバイスに財団本部の郵便番号と PO Box 番号をスクリーン印刷し、「機密」と記しました。HEAT Device Control によって暗号化された、読まれたくないデータの入ったスティックを誰かが見つけた場合も、どこに返すべきかがわかるでしょう。各 USB メモリ スティックにも固有の番号が刻印されています。
従業員教育キャンペーンの間、ボードマン氏とそのチームはどの部署がどの従業員の為のメモリ スティックを希望するかを知る為に、財団内の各ライン マネージャーに不正なデバイスを集めると共に公式 USB メモリ スティックの注文をするよう通達しました。「私達は ITIL コンプライアント サービス デスク システムと、備品としてユーザーに割り当てられたそれぞれの固有番号付き USB メモリ スティックを使っています。」とボードマン氏は説明します。
彼はスタッフの HEAT Device Control の導入に対する反応が励みになっていると語ります。「現在の政府機関のデータ セキュリティ ホールに関するメディアの関心は本当にセキュリティ意識を家庭に広める助けになっています。私達は多くの人々からデータ セキュリティに関する相談を受け、新しいセキュリティ基準の為の積極的なスタッフ サポートを持つ事を証明してきました。
効果
財団の IT チームは努力目標/計画遂行の為に彼らのパスワードを再設定できます。「USB ディクタフォンやデジタル カメラのように監視・管理を可能にする必要のある外付け記憶媒体は多岐にわたります。」とボードマン氏は語る。「コントロールしたいデバイスを種類ごとにグループ分けし、それらグループに個別に許可を与える作業を、HEAT Device Control は本当に容易に実行させてくれます。例えば、USB プリンタはデバイスの種類の1つです。私達は皆が1つの USB プリンタを使用できるようにルールを設定できますが、違うデバイス、例えば USB メモリ スティックについて、誰も読み込み/書き込みできないという別の設定も行えます。許可された USB メモリ スティックの場合、デバイスが暗号化された環境でのみアクセス (読み込み/書き込み) を許可されます。我々はまた、個人に許可を与える事もできます。だから例えば、スタッフの一員であっても持っているユーザ権限の違う場合、同じマシンで同じ USB デバイスを使ってもデバイスにアクセスするのは不可能となるでしょう。」
ボードマン氏によるとホワイトリストは、不許可デバイスのブラックリストを拡張していくよりも、より現代的な方式です。「HEAT Device Control は財団内全体の強制的な暗号化を可能にします。というのも、柔軟なポリシーの設定が可能だからです。特定の種類の USB メモリ スティックを使用可能にして、しかしそれを財団の所有物である場合、かつ暗号化されている場合に限定できます。HEAT Device Control は監査・コンプライアンスのために USB メモリ スティックの全ての使用法についてログを取りシャドーイングを行うチャンスを与えてくれます。」
ボードマン氏は財団内全体でフロッピー ディスクのアクセスを無効にし、CD/DVD の書き込みを管理する目的でも HEAT Device Control を使っています。誰がデバイスにアクセスし、そこでどんな種類のファイルを扱うかを IT マネージャーが監査・管理できるように、HEAT Device Control は全てのネットワークに繋がるデバイスを発見可能にしてくれるでしょう。
彼はまた、HEAT Device Control が使用可能になる事の利点として、財団のマシンの 1 つがプラグで接続され有線で繋げられた時は必ずワイヤレス ネットワークを切断する点を挙げています。「これはワイヤレス接続で安全でないホットスポットと繋がってしまう事を防がなければいけない私にとって本当に有用です。」とボードマン氏は述べています。
「私達はどのスタッフがまだフロッピー ディスクを使っているのかを見つけ、使用をやめさせるのにも Device Control を使いました。それは古い記録の技術です。私達はまだフロッピー ディスクを使っていた従業員を二人見つけましたが、より安全で優れたデータ保存の方法を教育しエキスパートにする事ができました。」
ボードマン氏により DVD と CD の書き込み機能の遮断を含む追加のセキュリティ基準が定められました。HEAT Device Control を用い、これらのメディアからデータを読み込めるが、書き込めなくするというルールを設定したのです。現在、HEAT Device Control は 120 カ所で使用される USB デバイスの管理と、異なった規則を持つホストの管理の為に使われています。
今後の計画
ボードマン氏は現在、HEAT Device Control を 8 から 9 の財団全てで本格導入する事を計画しており、DVD と CD の暗号化を可能にする HEAT Device Control を使います。彼はパートナーや取引先とのコミュニケーションの安全の為にeメールの暗号化を可能にする別の商品を財団に導入する事も検討しています。「私達は常にデータ暗号化のポリシーを定めていました。そして HEAT Device Control はそのポリシーをその通りに実施してくれるのです。その意味で、HEAT Device Control はビジネスをより効果的なものにしました。望まない相手に見られてしまう心配をする事なく USB メモリ スティックで情報を扱う事を可能にしてくれるのです。」とボードマンは語る。
「今では、誰かが個人情報や会社の機密情報の入ったメモリ スティックを紛失することで評判が落ちる心配はしていません。HEAT Device Control をインストールしてある今、そんな事は起こらないと知っているのでぐっすり眠る事ができるのです。」
↑ トップ ページへ