- プロフィール -

日立製作所
公共セキュアソリューションビジネス推進センタ
主任技師 太田慶一
シンクライアントの普及によってセキュリティ向上を実現するため、日々奮闘中です。

記事一覧

Powered by TypePad
© Hitachi, Ltd. 2006. All rights reserved.
このブログは過去に自治体の方限定で公開していたコンテンツを一般公開したものです。
このブログの利用方針については、下記をご覧ください。
CyberGovernment Online ソーシャルメディアの利用方針について
 

第11回 おわりに

シンクライアントシステムは、盗難、紛失、持ち出しなどによる情報流出を防ぐ効果があるということで注目を集めています。さらに、セキュリティPCは認証デバイスやパソコン自体の一部機能を無くすことによってさらに強固な情報漏えい対策を実現しています。
しかし、これで情報漏えいがシャットアウトできるわけではありません。情報漏えい問題の解決には、セキュリティポリシーや運用ルールの見直しがまず最初にふむべき重要なステップだと考えます。

例えば、情報へのアクセス制御・権限の設定やデータの暗号化、操作ログの取得などは、運用方法を決め、専用のソフトウェアを導入することである程度実施できます。
日立の事例を挙げますと、セキュリティPC導入のだいぶ前から、情報を持ち出す際の運用ルールを設け、「機密情報漏えい防止三原則」として社員一人一人への意識付けのために原則が記載されたカードを持つようにしました。しかし、これはあくまでも会社としてのポリシーを定めるに留まるので、次にインフラ環境で強制的にパスワード、暗号化といった手順を導入しました。
これにより相当セキュリティで縛られている状態にはなりましたが、実際そのルールで動いていた我々も随分と意識が変わっていきました。

しかし、一般的には情報漏えいが起きる原因の半分以上が盗難、紛失などのため、ルールやソフトウェアによる制御でも抑止できないものとわかり、最終手段として投入されたのがハードウェアそのものの概念を根本的に変えるセキュリティPCでした。
ここまで来て究極の情報漏えい対策が完成しつつあると感じています。これらを一気に導入したのでは現場も混乱するでしょうが、弊社の場合は原因を洗い出し、徐々にステップアップしてきました。業種の違いは関係なく存在している共通の悩み、弊社での取り組みも多少なりとも参考にしていただければ幸いです。

短い期間でしたが、お付き合いいただきありがとうございました。第一回から読み返してみるとやはり営業トークっぽくなってしまいましたが、私自身シンクライアントな日々を過ごしている中で、情報をなくさない安心と、セキュリティに縛られない自由を得た、という感想が、一利用者としての正直な言葉だとご理解いただければ幸いです。
皆様ともぜひセキュリティPCをはじめとする情報漏えい対策のご提案の場を通してお目にかかれることを願っております。

日立製作所 公共セキュアソリューションビジネス推進センタ 太田慶一

第10回 導入するならハイブリッドで

お客様からのご質問でよく「日立のセキュリティPCはシンクライアントと何が違うのか」と聞かれます。セキュリティPCも、シンクライアント同様ハードディスクを持たず、表示、入力など最低限の機能を有したクライアントで、サーバまたはブレードPC側でアプリケーションやデータを一元管理するシステムなので、シンクライアントと同じ機能は有しています。違いはその名の通りセキュリティ(情報漏えい)対策を第一に考えた製品だということです。

情報を持つから漏えいする、持たなければ漏えいしない」というコンセプトで開発されたと以前申しましたが、運用管理コストの削減をはかるのが第一目的のシンクライアントとはスタート地点が違うということです。
これはあくまでもクライアント側の話(=セキュリティPC)が中心ですが、それだけでは何もできない、つまり必ず接続先の端末があるということは言うまでもありません。

その接続先の端末を含めたシンクライアントシステムとして日立は三つのタイプを提供させていただいています。サーバベースの「センター型」、ブレードPCでクライアントを集約する「ポイントブレード型」、既存のパソコンと一対一でコントロールを行う「ポイントポイント型」の三つです。
この三つのうち資源を集約し、コスト削減が期待できるのが「センター型」と「ポイントブレード型」です。

「センター型」は、Citrix Presentation Server(旧称MetaFrame、以下CPS)をWindowsサーバ上で使用するのが前提のタイプです。1台のサーバに対して数十名で利用するため運用・管理が集約されます。そのため、管理コストを軽減でき、またサーバスペースも省力化されます。メールや資料作成といった誰もが同じ環境で利用する定型的な一般OA業務に向いており、大規模に導入することで管理業務が大幅に軽減されると期待されるタイプです。
注意しなければならないのは、使用するアプリケーションはCPS上で動くものでないといけない、サーバの能力に対し過度な負荷のかかるアプリケーションを一人が利用すると他の利用者が使いづらくなる(反応が遅くなる)という点です。

この注意点を補完する機能を持つのが「ポイントブレード型」です。一般的にセキュリティPCとブレードPCを一対一でコントロールするので、他の利用者の影響を受けることなく利用することができます。そのためCADやGIS、グラフィックソフトなど非定型的かつマシン負荷の高い業務にはこのブレードPCを使ったタイプが有効です。
またブレード状に集約されてはいるものの、一枚一枚は通常のパソコンと同じなので、今お使いの環境をそのまま移行でき、使い勝手も今お使いのパソコンと変わらないという特徴もあります。

これまでにもたくさんのお客様にセキュリティPCをご紹介させていただいておりますが、どのお客様もすでに多くの情報資産を稼働されています。ソフトウェア、ハードウェアともさまざまな環境が入り乱れている状況を、セキュアな環境に移行するには、頭を切り替えて全く新しいタイプで構築しなおすか、既存資産や稼働環境を継承しつつ構築するか、決断が必要ですが、日立では後者、すなわち「センター型」と「ポイントブレード型」を融合したハイブリッドシステムを推奨しています。
「ハイブリッド」と呼ぶ訳は、接続先はサーバであったりブレードPCであったりと複数になりますが、操作側のセキュリティPCは1台で切り替えることができる、という意味で我々の間で便宜上名付けたタイプです。お察しの通りある車の売り文句そのままですが・・・。

日立の大みか工場でこのハイブリッドシステムを実際に稼働させている例が紹介されていますので、こちらもぜひご覧ください

[ 第11回 おわりに ]へつづく…

第9回 赤いパソコン?

[写真]赤いセキュリティPC

そもそもパソコンは携帯電話や車と違い、外観よりも画面設定やアイコン、アプリケーションなどの中身で個性を出すもの、という認識が一般的ではないでしょうか。でも、私を含め日立社員は写真のような目立つ「赤いパソコン」を使用しています。実はこの「赤いパソコン」がセキュリティPCなのです。赤いのはモバイル用途のタイプだけですが、最初にモバイルユーザを対象に配布されたので、いつしか社内では「セキュリティPCは赤い」というイメージが浸透していました。
「何故赤いの?」と思った方も多いのではないでしょうか。私も思いました。そこで私が思い出したのが、弊社のコンシューマ向けパソコンで4、5年前にサッカー日本代表モデルと称して販売していた青いノートパソコン、そしてJリーグ柏レイソルモデルと称して販売していた黄色いパソコンでした。なるほど、順番的に次は赤か...、と単純に決まったわけではないようです。

開発者に聞いてみたところ、情報漏えいに対するセキュリティが高いということを強く主張するために印象の強い赤を選んだそうです。また弊社の情報・通信事業コンセプト「uVALUE」のイメージカラーも赤であることから「uVALUEレッド」と言っている人もいます。いずれにしろ深い意味があるわけではなく、注目してもらうこと、社員の意識を同じ方向性に向けるという効果を狙ったそうです。
皆さんも喫茶店やビル、空港のロビーなど、どこかで赤いノートパソコンを使っている人を見たことはありませんか?もし見かけることがあったら、それは日立グループの社員かもしれません。お客様の大事な情報や機密情報は持ち歩いていませんよ、という見えないメッセージを発していることをお汲み取りいただければ幸いです。

セキュリティPCをご採用いただいたお客様にも、こうした効果に共感いただいた例があります。そこはお客様のシステムを開発するために複数のソフトベンダが集結する開発ルーム。お客様にとってもどこの誰が出入りしているか把握するのは困難な環境で、情報漏えいの危険性も高いことに大きな不安を抱いておられました。そこで開発環境をセキュリティPCに一新。お客様が安心感を得たのはもちろん、ソフトベンダの方々も安心して業務に取り組めるようになったと、双方にメリットをもたらす結果となりました。
現在販売しているモバイルタイプのセキュリティPCはシルバーのみですが、この秋に発売される新モデルで赤が復活する予定です。軽量化、長時間バッテリーも実現します。近いうちにご案内できると思いますのでご期待ください。

[ 第10回 導入するならハイブリッドで ]へつづく…

第8回 パソコンの維持管理って意外と大変だった

私の場合入社して3年目の頃にパソコンが配布されてから今日まで、毎日のようにパソコンを通して業務をおこなっています。今では多くの組織、企業で一人一台パソコンを配布されていると思います。最初はモノ自体の管理が主でしたが、パソコンの性能向上とともに、次々とバージョンアップするソフトウェア、ウィルスの蔓延などなど、時が経つにつれて必要な対策も増え、振り返れば自分が使用するパソコンのおもりにどれだけの時間を費やしてきたか、考えたくもないですが、相当な数字になっていると思います。

例を上げますと、数年使用したパソコンを新しいものと入れ替える際、まずデータのバックアップをとって、新しいパソコンのネットワークなどの諸設定をして、データを移行。それから使用するソフトウェアのインストール(これが結構多い!)、さらに古いパソコンで使用していたオリジナルの設定(カスタマイズ)情報を移行して、前と同じような環境になるまでいじくりまわしています。一体いつになったら終るの?、と思うくらい時間のかかる作業でした。

ハードウェアを交換するのは数年に1回でしたが、その間ソフトウェアの方は次から次へと更新指示が来ます。管理者も相当大変な思いをして、業務環境の整備に日々邁進してくれていますが、最終的な対応は利用者個人に任せていたので、言うことを聞く人ばかりではありません。フォローされるまでしない人もいたりして、人によってバージョンがバラバラなことも。
上司のパソコンはきちんと設定する(させられる)けれど、自分の分はやる時間がなく、その上司に注意された、なんて若手社員もいます。恐らく多くの人が、本来やるべき業務以外の作業という認識を持つので、当然優先度は低くなり、先述のようなバラバラな状況になってしまうのです。

前置きが長くなりましたが、今回お伝えしたいのは、セキュリティPCの導入によって、こうした状態が一気に解決してしまう、ということです。

手元にはハードディスクのないパソコンしかないので、何かメンテナンスしたくてもできません。別の言い方をするとメンテナンスする必要がないので、利用者にとってはとても便利なシステムなのです。アプリケーションなどを管理するブレードPCまたはサーバは管理者が一元管理し、必要な更新などはすべて管理者側の都合で行われます。利用者は一切介しませんので気付きもしません。

これでは管理者が大変になるのではないかと思いますが、最近では一斉配布ソフトという便利なツールも開発されていますので、利用人数分の設定の手間は必要ありません。これにより全員が同じ環境、同じバージョンになります。また障害が発生した場合も現場へ駆けつける必要がないなど、管理者にとっても多くのメリットが見いだせると思います。そのためにはそれなりの施設を用意する必要があるという点は注意しなければいけませんが。
ブレードPCもそうですが、サーバもブレードタイプの製品がありますので、場所の省スペース化にも配慮した製品を日立はご提供させていただきます。

シンクライアントシステムは情報漏えい防止に貢献することは勿論、現在組織でパソコンを利用している方、管理している方双方にも優しいシステムなのです。

[ 第9回 赤いパソコン? ]へつづく…

第7回 KeyMobile?自動車のキー?

[写真]KeyMobile
5円玉くらいの大きさの
KeyMobile

セキュリティPCを使用するために、必須のアイテムが「KeyMobile(キーモバイル)」です。忘れたりなくしたりするとパソコンが使えません。車のキーと同じで、動かすために必要なパソコン用のキーとお考えください。
よく「OSもこの中に入っているのですか?」と聞かれますが、OSはセキュリティPC側にWindows XP Embededdというシンクライアント用の組み込み型のOSが搭載されています。
KeyMobileには、ICカード部とフラッシュメモリ部の二つの機能が搭載されていまして、役割は次の通りです。

  1. ICカード部:PKI認証で使う秘密鍵、電子証明書、パスワードを格納
    セキュリティPCの起動と、接続先機器(サーバ、ブレードPC等)へ接続するためのユーザ認証情報。
  2. フラッシュメモリ部:その他の設定ファイルを格納
    接続先機器(サーバ、ブレードPCなど)とリモート接続するためのIPアドレスや接続形態(有線or無線LAN、通信カードなど)など。

[写真]KeyMobile
USB対応の小型リーダライタに挿入して
セキュリティPCと接続

一つのKeyMobileに複数の接続先機器を登録可能です。ですから、用途に応じてサーバを使ったり、ブレードPCを使ったりと切り分けることが可能です。例えば、サーバは一台のマシンを複数人でシェアするため、一人の人が負荷のかかるソフトウェアを使うと他の人たちのレスポンスが悪くなったりします。そんな業務を行う場合はブレードPCに接続するなど、導入形態に左右されることなくクライアント側はセキュリティPCとKeyMobileだけでシステムを使い分けることができます。
また、同じ機器に接続するのでも場所によって接続方法もそれぞれ異なりますが、それら場所ごとに異なる設定も保存できるため、一つのKeyMobileで済みます。

KeyMobileを使った運用の特徴として私が最もすごい!と感じたことは、セキュリティPCは簡単なOSを搭載したPCですが、これは単なる表示装置で、所有者の情報や設定情報はすべてKeyMobile側で持っているので、同じ組織内のセキュリティPCであれば、どこにKeyMobileを挿してもいつでも自分の環境が立ち上がる、という所です。普段は東京の事務所ですが、出張で地方の支社やサテライトオフィスに行く場合、そこにセキュリティPCがあればKeyMobile一つを持っていけばそこが自分の席に早変わり、となるわけです。
車のキーは車体と一対一ですが、KeyMobileとセキュリティPCは一対nということになります。これは規模の大きい会社に限らず、KeyMobileを一人一つ持っていれば、パソコンは一人一台なくても(同時利用ユーザ分だけあれば)いいということにもなります。
そんなオフィスが実は日立の中にもあるのです。実験的な試みとしてはじまっていますが、ここは席の数も減らしてオフィス空間の省力化を追求しています。詳細は弊社情報誌「はいたっく」に掲載されています(2006年5月号 8ページ目)。

「はいたっく」2006年5月号(PDFファイル、17.5MB)

見学することも可能ですので、もしご興味ありましたら弊社営業までご連絡ください。

[ 第8回 パソコンの維持管理って意外と大変だった ]へつづく…