「ICカードシンクライアントソリューション」の導入事例
 2005年4月より個人情報保護法が全面施行されたことにより、企業はもちろん、金融機関にはとりわ け高度なセキュリティ対策や防犯対策が求められるようになった。金融庁はじめ日本銀行からのセ キュリティーに対する要求はレベルの高いものを要求されてきている。セキュリティ対策の不備に よる情報漏洩事件、企業は一夜にして社会的信用を失墜し、損害賠償などの対応に追われる事態に 発展する。
 今回ユーザーがThin Clientソリューションを選択した理由として「社会的なセキュリティー意識 の向上に伴う、企業としての本格的な情報漏洩対策」の必要性を強く感じたという事である。金融 機関としての社会的責任の大きさを受け止めて協議した結果、次の様な観点での対策が必要と考え た。1つはデータの集中化(クライアントにデータを保有しない環境)、外部媒体によるデータの 持ち出し・持込の制限、データアクセスログ取得の必要性(データのアクセスログは勿論、印刷・ コピー・FAXなども今後対象として検討中)、各拠点からのアクセスに対して業務に支障をきたさな いレスポンスが期待できる環境の必要性である。
『Server Based Computing を最大限に活用した高セキュリティシステム』の導入という方針を立 てられ、Thin Client(MetaFrame)を利用したネットワークインフラ環境の構築を目指したのであ る。これは昨今の個人情報保護やe-文書法などの流れや金融庁の情報対策への指導などからするとあ る意味、必然的に行き着く流れといえる。
 CitrixPresentationServerを中心としたシンクライアント型のシステムを導入したことで、入退室 管理システムとログイン管理を連動したシステムの実現やクライアント端末に情報が残らないことに よる情報漏洩の防止などセキュリティレベルを大幅に向上したといえる。またアプリケーションの一 元管理が可能になり、最新版のソフト導入も各拠点を回ることなくサーバーセンターにおいて一括管 理できるほか、個々のユーザーがアプリケーションを無断でインストールすることも防ぐことが可能 になっている。さらにクライアント端末に障害が発生してもハードウェアを入れ替えるだけですぐに 業務を再開できる利便性もある。従来であればPCで故障が発生した場合には、必要なソフトウェア を導入し、バックアップデータをリストアしたり、プリンタ等のPC環境設定に多くの作業が必要で あった。
 外部からの物理的な不正侵入を防止し、セキュリティレベルの向上と情報資産の確保を目的に、設備 的セキュリティ対策の要である入退室管理システムとして非接触型のICカードを導入した。同時に 情報系システムの構築においてThin Clientを導入、接触型のICカードによるログオンをICカー ドとパスワードを組み合わせたユーザー認証を利用できるようにするものを構築したのである。これ はThin Clientと既存PC(Win98)を同一LAN上で1枚のICカードにより制御できるシステムの 構築である。ICカードリーダを接続するだけで利用できるのが特徴。提供するICカードには、あ らかじめセキュリティ拡張に必要な機能が搭載されており、同じカードを利用して、ICカード認証に よるVPN接続、情報アクセス権管理/シングルサインオン、ICカード入退室管理システムと連動させ 段階的にセキュリティを高めていくこともできる。
 アクセス権限を管理する上で、AD(ActiveDirectry)とOU(Organizat ionUnit)の組み合わせは必須である。ユーザーはICカードとパスワードによりログインを 行なうが、その情報は認証サーバーによりアクセス権等の管理をしている。人事異動や昇進などによ り個人のアクセス権限に変更があった場合、運用の管理者はアクセス権を管理するためのサブシステ ムから異動対象者の属するグループ・OUを変更する。当然ながら、金融機関等の大規模組織におい てユーザー毎に権限を設定するのは運用上問題があり、OUを利用した権限管理は必須といえる。
 今回のシステムでは、OUを登録する前段階で行員をアクセスグループに分類し、簡単なサブシステ ムを利用してそれをOUに登録するような仕組みとしている。こうすることで簡単にアクセス権の管 理を行なうことができるようになった。しかし、年度末などには多くの人事異動が発生するため、運 用管理は大変な作業と労力が必要になる。実際に異動した行員は、新しい勤務地などに赴任された直 後から新しい権限での作業を開始できるようになる。また、所属や職種に関係なく個人として必要な 情報もサーバー上にあるため、その部分については、個人を認識した状態でいつでも利用できるよう にしなければいけない。しかもこの管理は場所には左右されない。出張中に自分のICカードでログ オンすれば本社でも支店・出張所でも同じネットワーク上であれば、自分の権限の領域を確認し利用 することも可能なのである。
 このように社員に対してセキュリティーの意識の向上を植え付けさせることができるようになった。 また、システムにおいても標準化が図られ、また安価で安全な端末として幅広く社員に対し配布でき るようになったことで、効率良く運用を行なうことができるよになった。
 今後はICカードを利用して端末を起動した際のアプリケーション毎のパスワード入力を不要とする、 シングルサインオンの構築を目指して検討することが、次の課題とされている。

※お問合せは・・・ 株式会社デンサン TEL:0985-56-4111(代表)まで