日産ビジネスサービス株式会社様

日産ビジネスサービスは、日産自動車の販売会社や部品販売会社のバックオフィスをサポートするシェアードサービスを提供している。業務受託各社の経理データや個人情報を日常的に取り扱い、そうした情報等をメールでやり取りをする機会も多い。さまざまな角度から情報セキュリティ対策を講じるなか、メールの誤送信による情報漏えいを防止するため、メール誤送信防止ソフトウェア「CipherCraft/Mail」を導入。メール環境のセキュリティ向上を実現した。

メール誤送信対策が課題に

日産ビジネスサービスは、日産グループの販売会社や部品販売会社の経理業務を代行し、連結決算の早期化を実現する目的で設立された。その後、車両保険契約や車両登録申請、電算業務といった販売会社バックオフィス業務にもビジネスを拡大。現在では、本社のシェアードサービスセンターと、首都圏・中部・近畿・九州の各ビジネスセンターで業務を受託している。
日産ビジネスサービス株式会社 黒瀬哲也氏 同社ではグループ会社の経理データや顧客の個人情報などの重要データを大量に取り扱っているため、間違って情報漏えいでも起こせば、信用失墜につながる可能性もある。グループの規模が大きいだけに、影響を及ぼす範囲も計り知れない。そのため同社では、情報セキュリティに関しては高い意識を持ち、さまざまな角度から対策を講じていた。
メールセキュリティについても同様だ。経営管理本部 情報システム部課長の黒瀬哲也氏はこう説明する。
「当社ではメールの誤送信を防止する対策として、ユーザーにマニュアルを配付し、送信前に宛先やファイル名を確認する、添付ファイルにはパスワードをつけるなどの確認作業を実施させていました。しかし、どんなに注意していてもヒューマンエラーは起こり得ます。そこで、システム面からもメール誤送信を防止できる方策を検討していました。」

既存システムと連携可能なクラウドを検討

現行メールシステムの誤送信や暗号化に対応できるソフトウェアの導入に向けて、製品選定が進められた。選定にあたって、考慮する必要があったのはシステム環境だ。日産ビジネスサービスでは、2つの異なるメール環境が混在している。一つは、日産自動車が構築した販売会社用の総合管理システムの統合Exchangeサーバーで、もう一つは日産ビジネスサービスの標準システムであるSMTP/POP3サーバー。両システムを利用する全ての個人端末に、誤送信対策システムを導入する必要がある。そのためには、誤送信対策ソフトは必然的に、クライアント側だけで完結できるものに絞られた。
日産ビジネスサービス株式会社 鈴木成道氏
利用するメールクライアントもMicrosoft OutlookとOutlookExpressの2種類がある。これらの環境に対応することも必須条件だ。ソフトウェアの選定に携わった経営管理本部 情報システム部 主管 鈴木成道氏はこう語る。
「誤送信防止ソフトウェアの大半は、サーバー側のソフトウェアであり、クライアント側で対応できるソフトウェアは数が限られました。フリーウェアではいくつかありましたが、保証もサポートもないものを導入することはできません。当社の環境に合うことはもちろん、ビジネスの現場での導入実績が豊富で、かつ信頼のおけるベンダーが提供しているソフトウェアを探しました。」
そこで白羽の矢が立ったのが、N T Tソフトウェアの誤送信防止ソフトウェア「CipherCraft/Mail」だった。

複雑な環境に合わせて柔軟に設定を調整

同社では2010年9月末にCipherCraft/Mailを試験導入し、検証を始めた。そのなかで、いくつかの課題が浮かび上がってきた。
例えば、CipherCraft/Mailは、メール送信前に送信確認ダイアログをし、添付ファイルや宛先の再確認を促す機能がある。このダイアログを表示したまま1分経つとタイムアウトしてしまい、ユーザーはわずらわしさを感じるかもしれない。そこで、タイムアウト値の初期設定を5分に変更。一方で、余計な情報を他人に見られないように、「確認ダイアログは内容確認後すぐに閉じる」とのルールをマニュアルに記載することにした。
Excelファイルのマクロで、バッチ処理的に自動でメール送信する機能を使っている場合、送信時にポップアップが出て画面が止まってしまうという問題もあった。これに対しては、自動バッチ処理端末などをCipherCraft/Mailの導入対象から除外することで対応した
「CipherCraft/Mailは優れた製品ではありますが、より当社の環境にフィットさせる必要がありました。当社の環境に合うようパラメータの調整、キッティング時にポリシーファイルを設定、運用方法のコンサルタントをしていただくなど、親身にサポートしてもらいました。柔軟に設定できることはCipherCraft/Mailの大きな特徴です。例えば、必ず暗号化をさせたいのだが、パスワードZipを添付されたメールを転送時は、再度Zipでパスワード暗号をさせたくないと考えていました。多重のZipは、設定上の変更で簡単に回避することができました。」（鈴木氏）
同社では現場の意見も聞きながら課題を特定し、マニュアルで対応する部分とシステム側で対応する部分を切り分けて、一つずつクリアしていった。

安定稼働後1年間で誤送信事故ゼロ

試験運用を終え、2010年11月からいよいよ導入のフェーズに進んだ。本社情報システム部を皮切りに全部門に導入し、順次運用を開始していった。CipherCraft/Mail導入の成果について、鈴木氏は次のように評価する。
「安定稼働から約1年間がたった現在、幸いにもメール誤送信による事故は発生していません。一定の成果を上げていると考えられます。新しいセキュリティ対策を導入する際は、ユーザーはどうしても面倒に感じてしまいますが、今ではすっかり操作に慣れているようです。私自身、CipherCraft/Mailの確認ダイアログがないと不安に思うようになりました。」
日産ビジネスサービスでは、日産自動車のセキュリティポリシーを共有するだけでなく、自社独自のセキュリティハンドブックを全社員に配付している。また、I Tリテラシーを高めるための教育や情報セキュリティ教育、社内ポータルを使ったセキュリティニュースの発信、セキュリティインシデント発生時の注意喚起メールの送信など、さまざまな啓蒙活動を推進している。メールセキュリティ向上への取り組みについて黒瀬氏はこう語る。
「誤送信防止ソフトはメール送受信の安全性を自動的に高めてくれますが、ユーザーが慣れてしまうと、機械的に操作するようになってしまい効果が薄れるおそれもあります。重要な情報を扱っているんだという意識の啓蒙を、今後とも続けていきたいと思います。」
地道な取り組みによる従業員の意識向上と、システムによる対策、両方からのアプローチが会社全体のセキュリティレベルを高める秘訣といえるのだろう。