導入事例

  1. セキュリティ対策のセキュアヴェイルTOP
  2. 製品・サービス
  3. ログ・ログ管理分析のLogStare®(ログステア)
  4. 導入事例
  5. 株式会社TMJ様

株式会社TMJ様

開発力と営業力が選定のポイント

株式会社TMJ様ロゴ

株式会社TMJ様は、電話によるコールセンターを核にCRM、マーケティングやコンサルティングの企画立案を手がけている企業です。同社は、顧客企業からの要望やプライバシーマーク更新のために、個人情報を扱うシステムのログ監査を求められていました。懸念されていた独自開発システムのログにも自社開発だからこそ柔軟に対応できる「LogStare®(ログステア)」を導入されました。

TMJでは、クライアント企業からの依頼を受けて、一般消費者と連絡を取る業務を行っており、膨大な個人情報を取り扱っている。それらはクライアント企業から委託された個人情報であるために、厳格なセキュリティ体制の元で管理しなくてはいけない。仮に外部に漏洩した場合には損害賠償にもつながる可能性がある。

同社では適切な情報管理を行うために、以前からISMS(情報セキュリティマネジメントシステム)とプライバシーマークを取得している。ISMSは企業の持つ情報資産全体、プライバシーマークは個人情報の適切な管理をしている事業者を認定する制度だ。鈴木氏の所属する情報セキュリティ室の主な業務は、この2つの維持管理である。

しかし年々、個人情報管理への要求は厳しくなってきている。プライバシーマークは2年ごとの更新が必要で、2009年2月の更新時にはシステムログの監査が求められた。またログ監査はクライアント企業からも強く要望されていたことである。クライアント企業においても個人情報管理は重要視されてきており、業務を発注する企業にもそれを要求していたのだ。

鈴木氏は「特にクライアント企業様の要望を重く受け止めました。ログ保持だけでは十分な管理と認められず、定期的な監査、つまりログの分析、レポートと継続的な改善が求められたのです」と語っている。

以前はログは残してはいるものの監査の必要が生じた場合のみ収集して分析していた。しかし定期的な収集、監査となると専用ツールを使用しないかぎり非効率である。そこで2008年の春ごろから鈴木氏はログ監視分析システムの導入を検討し始めた。

ちょうどその時期に、セキュアヴェイルからLogStare®(ログステア)の提案があり、デモを体験することとなる。「当時はログを分析するために何が必要なのかを模索していた時期でもあり、その時のデモの印象が強く残っていました」と鈴木氏は振り返る。

セキュアヴェイルの営業力と開発力がLogStare®(ログステア)選定のポイント

LogStare®(ログステア)に選定されるまでには2段階の審査があった。鈴木氏が最初に比較検討したのはLogStare®(ログステア)を含めて7つのログ監査分析システム。一次審査では機能とスペックで3つに絞った。このときのポイントは、アクセス成功と失敗のログの管理ができることだ。アクセス成功とは正しい手順でログインしながらも不適切な作業を行ったケース、失敗は権限を持たないままアクセスを試みるケースのこと。つまり、不正利用と不正アクセスをチェックする能力を見たのである。最終的にLogStare®(ログステア)が選定されることになった決め手は、セキュアヴェイルの営業力と開発力だった。

TMJには個人情報を扱う3つのシステムがある。そのうち1つは一般的なファイルサーバだが、残りの2つは人事システムとクライアント企業から委託されたリストを元に電話をかけるコンタクトセンターシステムだった。この2つは独自開発のシステムであったためログ形式も独特で、LogStare®(ログステア)でそのログを分析するには、新たな開発が必要となったのである。

鈴木氏は「選考の段階で独自システムのログ形式について懸念していたのはセキュアヴェイルだけで、どのような開発が必要かを洗い出していました。その点、他社はこの問題を軽く見ていたように見受けられました。最初に必要な作業を見通せたのはセキュアヴェイルが自社で開発しているからでしょう。もし他社に発注していたら開発期間が予定より長くなり、コストも余計にかかっていたかもしれません。またセキュアヴェイルは技術者もいっしょに来社して、そのノウハウを聞くことができました。トラブルが発生したときに頼りになるのではと感じました」とそのときの印象を語っている。

TMJがLogStare®(ログステア)に決定したのは2008年の12月。それ以降、2週間に1度のペースでTMJのシステム部門とセキュアヴェイルのSEが定例会議を持ち、調整しながら導入作業を進めてきた。こうして2009年2月中旬にLogStare®(ログステア)は稼働を始めた。

膨大なログ監査の作業の手間と時間を軽減したLogStare®(ログステア)

ログ監査といってもその作業は、鈴木氏が毎月1度の月次レポートを出力しているだけである。月次レポートでは、営業時間外に個人情報にアクセスしているユーザがいないかなどをチェックし、その上で不審な記録があれば、関係部署に連絡して、正しい業務かを確認している。「この作業は私ひとりで十分ですが、もしLogStare®(ログステア)を使わなかったら、膨大なログを収集しエクセルなどで加工することになり、丸一日かけても終わらなかったと思います」鈴木氏が特に気に入っているLogStare®(ログステア)の機能は「クローズアップ分析」である。「最初にサマリの画面が出るのですが、通常はそこを確認するだけで済みます。しかし、営業時間外にアクセス記録が残されていたときは、サマリから詳細な情報を絞り込んでいけます。LogStare®(ログステア)はその絞り込む使い勝手が非常にいいのです。他社のものでもログの絞り込みは可能ですが、そのためのクエリ設定が面倒なものが多かったのでした」LogStare®(ログステア)導入は、同社のシステム部門にとってもメリットはあった。以前は各種ログが分散していたために管理、把握が難しかったのだが、LogStare®(ログステア)によってログの所在が容易に把握できるようになり、定期的に監査されるようになった。

将来的に鈴木氏は「個人情報を扱う3システム以外のログもLogStare®(ログステア)で管理できれば」と考えている。同社には他にも入退室の記録、ファイアウォールのログ、各クライアントPCのログなど多くのログがある。それらすべてのログを一元的に管理し整合性を取れれば、仮に問題が起こったときに迅速に原因を突き止められる。またファイルサーバとLogStare®(ログステア)の連携が今より強化されれば、さらに利便性が高まるのではないかと今後のLogStare®(ログステア)の進化に期待を寄せている。

システム担当者必見!

定期セキュリティセミナー

情報セキュリティセミナーを
定期的に開催!

セキュリティ対策・運用の極意、セキュリティログ分析の効果、セキュリティ機器(FortiGate、パロアルト、McAfeeなど)の特性などをお教えするセキュリティセミナー(プロシリーズ)とマイナンバー、標的型攻撃、情報漏洩など情報セキュリティの最新情報と対策を解説するセキュリティセミナー(トレンドシリーズ)を開催しています。
参加費は無料です。お気軽にご参加ください。

参加費無料

定期セキュリティセミナーについて
詳しくはこちら

TOP