日本証券テクノロジー株式会社様

証券業界で初めて基幹系システムのオープン化に成功した日本証券テクノロジー。証券業務のノウハウとITに関する高度な知見を活かし、証券・金融業界向けに最適なシステムを提供し続けている。求められるセキュリティレベルはもちろん高い。セキュアなメール環境を整えるべく、メール誤送信防止＆メール暗号化ソフト「CipherCraft/Mail」を導入した事例を紹介する。

起こりうるリスクは最大限排除する」

金融商品取引法、個人情報保護法などの各種規制への対応、異業種の参入など、変革の時を迎えている証券業界。投資家の満足度を高めるためには安定したシステムの設計・開発、運用が欠かせない。それを一手に引き受けているのが、日本証券テクノロジーだ。
現在は金融業界を中心とする幅広いクライアントのニーズに応えるべく、多彩なシステムを研究・開発を行うとともに、その技術力を活かしたアプリケーション・パッケージの開発・販売にも取り組んでいる。
「クライアント・ファースト」を理念に掲げ証券業務に関わる同社。24時間ミッションクリティカルな証券基幹業務システムを構築・運用するためには高度な技術力が求められるが、加えて業務の性質上、セキュリティ面での要求も当然高くなる。日本証券テクノロジーの場合、何よりもまず経営層に「証券・金融業界に身を置くIT専門会社にとって、情報セキュリティは最優先すべき事柄」という徹底した認識があった。
「メールの送信ミスや情報漏洩にかかわる何か甚大なトラブルがあったわけではないんです。ただそれはあくまでも結果にすぎない。起きてもおかしくない状況にあるのなら、それは最大限排除しなければならない、それが経営層の考え方でした」。メール誤送信防止＆メール暗号化ソフト「CipherCraft/Mail」の導入にかかわった、インフラ本部インフラ2部の篠原哲也氏はこう語る。

システム化で手間をかけずに安全なメール環境を

もちろん、セキュアなメール環境を実現するために何の手立ても立てていないわけではなかった。経営層も現場もリスクについては把握しており、社内のセキュリティポリシーで、宛先は必ず確認すること、もしもの漏洩時に備え添付ファイルはパスワードつきZIPで送ることなどを明文化していたという。
「ところが実際、どの程度浸透しているか実態を評価した結果、概ね遵守されていたが、やはり人の手による管理・対策のため、未設定で送付されているケースも確認された。
個々の責任による対策では、当社が目指すセキュリティを確保する事は難しいと感じました」
（運用本部運用部IT マネジメント課 牧野武久氏）。
証券会社のバックエンドシステムにかかわる重要情報をはじめ、多くの文書がやり取りされているメール。それをセキュアな環境でやるのはある意味当然のことだが、一方でルールを厳しくしすぎてしまうとスタッフの手間ばかりがかかり生産性が落ちてしまう。
できるだけ余分な工数をかけることなく安全な環境を実現したい--。
そう考えた同社では、全社一律対応を実現するべく、システム化で解決することを決定。折しもそれまで推し進めていた、メール監査・フィルタリングシステム、操作ログ管理システム、社内ネットワーク認証システムなどの構築が一段落ついた時期でもあった。このような社内事情もあり、セキュアなメール環境を実現する次のステップとして誤送信、暗号化に対応できるシステムの構築に白羽の矢が立ったわけである。
設立以降、日本証券テクノロジーが進めてきたセキュリティ対策

ユーザ環境に合わせた運用方法

さて、導入にあたって、製品選定はどのように行われたのだろうか。
「リスク項目を分析した結果、以下のような対応が必要であることがわかりました」と語る篠原氏。氏によれば、ポイントは次の3点に集約されたという。
1. 添付ファイル：
万一に備え、パスワードがなければ開けないようにする→添付ファイルは情報量が多く、パスワード化は必須
2. 誤送信防止：
送信前にメールに関する信頼性を確認できるようにする→送信者にポップアップで送信確認ダイアログを表示
3. メールアドレスの漏えい防止：
To、CcにあるメールアドレスでもすべてBccに入力されたものとして扱う→、同社が採用してるメールサーバソフト「Sendmail」にも手を加えることで対応
「候補に上がった製品いくつかのうち、CipherCraft/Mailは暗号化まわりの使い勝手が抜群でした。一言で暗号化といっても、製品によっては暗号メールとパスワード通知メールを同じ宛先にまとめて送信するタイプのものもありますが、これでは意味がないですよね。パスワード通知メールをメール送信者に先に送り、宛先を再度確認した上で送信先に送付する機能も親切だなと思いました」（篠原氏）
暗号化については、メーリングリストに送信された際の対応など設定上苦労した部分もあったというが、それもうまく解決できたと篠原氏は言う。
「通常の設定だと、パスワード通知メールがメーリングリストのオーナーに届いてしまうのですが、NTTソフトウェアさんに相談したところ、優先度をあげて調整をしていただけました。これはありがたかったですね」と篠原氏は語る。2007年末以降、約半年をかけてソフトの検証を行った同社。実際に導入を進めたインフラ本部インフラ2部 星川浩之氏によれば、製品決定後のスケジュールはかなりタイトだったという。
「2008年4月に導入を決め、6月には評価版を入手しました。翌月には正式にサーバ・クライアントと導入し、10月から運用スタートというスケジュールでした。篠原も説明したとおり、細かいログなどNTTソフトウェアの開発の方にも見ていただき、スムーズに構築を進めることができました」。現在、社内で働く全スタッフ約800IDが稼働している。

判断ミスによるリスクはゼロに。約2ヶ月で利用者にもほぼ浸透

導入から2カ月、手間を省きつつセキュアな環境を実現するという点で確実に効果をあげつつある。「とくに添付ファイルの暗号化はこれまで個々の判断で行われていましたが、現在はシステム的に必ず実行される。判断の違いによるリスクが軽減されたのは、セキュリティを管理する部署としてもよかったと思います」と篠原氏。
導入直後、メール送信時にダイアログが表示することへの問合せがいくつかあったが、それも今ではほぼなくなったと牧野氏も語る。
「性能的には問題なくても、利用者にとって使いにくければそれはなかなか普及しません。CipherCraft/Mailは視覚的にもわかりやすい画面構成がいいですね。とくに誤送信防止のためのポップアップウィンドウは流れがスムーズで不自然さがない。操作が中断されないのがいいですね。ユーザー側の使い勝手に関する要望事項をキャッチアップして製品開発に活かすというNTTソフトウェアの姿勢が現れているのではないかと思います」