セキュリティーを重要としているエース保険では、社内の情報漏えい防止に活用しています。
外資系保険会社のエース損害保険株式会社(以下、エース保険)では、社内における情報漏えい防止の強化施策に株式会社オレンジソフト(以下、オレンジソフト)の「safeAttach」を導入・活用しています。導入背景等ついて、情報システム本部 システム運用部 部長の加藤文武氏(写真右)とグループリーダの渡辺詳象氏(写真左)に詳しく伺いました。
エース保険の概要
エース保険の概要についてお聞かせください。
エース保険は、世界50カ国以上でグローバルに事業を展開しているエース・グループの保険会社です。日本での実績は、前身会社を含め外資系損保会社としては最長で、今年で90年になります。
国内の生損保業界で最初にISO9001認証取得※1(認証範囲:損害サービス部門)いたしました。
通常の保険のほか、インターネット専用家庭用自動車保険と海外旅行保険をそれぞれ専用サイトで販売しています。
新しい商品では「振り込め詐欺保険(※2)」という画期的な商品の提供もおこなっております。
また、2009年の米誌「フォーブス」による「Forbes Global 2000 (世界の優良企業2000社※3)」に選出されました。他業界を含む全体のランキングでは277位、保険会社の中では92社中13位にランクインしています。
※1: ISO(国際標準化機構)で1987年に制定された商品・サービスの品質に関するグローバルスタンダード規格
※2:オレオレ詐欺、架空請求詐欺、融資保証金詐欺、還付金等詐欺の被害額を補償
※3:米フォーブス誌が毎年発表する世界の企業ランキング。順位は、売上高、利益、資産、時価総額の4つの要素を基に決定
情報漏えい防止の強化施策に「safeAttach」を活用
エース保険では、「safeAttach」をどのように活用していますか?
E-Mail Transport Diagram (ACE Japan)
エース保険では現状「safeAttach」を社内の情報漏えい防止強化に活用しています。具体的には、電子メールの添付ファイルを自動的にzip暗号化送信し、受信者へ別途に復号化のパスワードを通知するようにしています。活用概況は下図のとおりです。また「safeAttach」の利用は社員・契約社員を問わず社内のメールサーバーを通る全員ですので、ユーザー数は約1000名です。
「safeAttach」導入の背景
「safeAttach」導入の背景についてお聞かせください。
エース保険では、個人情報保護などセキュリティ管理の重要性を深く認識しており、関連法令やガイドラインなどを遵守しています。
セキュリティ管理の一環として、情報漏えい防止のためにも社全体で添付ファイルを暗号化することになり、構築可能な製品をさがしておりました。2008年秋頃のことです。
その頃に関係先ベンダーから「safeAttach」を紹介され、機能をはじめ優れた点が多くありましたので製品の導入を決定いたしました。
当社においては導入による支障をきたさないことを必須としていたためテスト用のメールサーバーをたて、テスト運用を半年程度おこなってから本格導入いたしました。
情報漏えい防止のために添付ファイルを暗号化する製品を探していました
優れている点:機能面
「safeAttach」が優れていると思われたのはどのような点でしょうか。
まず、機能的な面としては以下のようなことが挙げられます。
- 漏れなく暗号化
利用する個人に委ねるのではなく、メールサーバー側で暗号化するため、全ての添付ファイルを漏れなく暗号化できる。 - ワンタイムパスワード
「safeAttach」がワンタイムパスワード(ランダムパスワード)を自動生成するため、使い回しや無意味なパスワードが不要。 - 柔軟な設定
取引先の都合により、固定パスワードで送る必要がある場合なども細かな設定変更が可能。 - ユーザーフレンドリー
シンプルな仕組みのため利用するユーザーのストレスにならない。ほとんどの人が戸惑うことなく使えるわかりやすいシステムである。 - 情報漏えいをプロテクト
万が一、誤送信をした場合でも復号化のパスワード送らなければ添付ファイルの情報漏えいをプロテクトできます。 - サーバーへの負担減
添付ファイルを自動的にzip圧縮するので、サーバーへの負担が減る
優れている点:コストと手間の軽減
次に機能以外での優れている点についてお聞かせください。
- コスト
アプライアンスのためハードの調達やソフトのインストールが不要のため導入コストが抑えられます。また導入後もユーザー数やメール数に依存されない価格体系のためランニングコストも抑えられます。予算は限られているとはいえ、セキュリティは重要なものですから機能や効果面から考えても「safeAttach」はコスト面でも優れていると言える製品だと思います。 - 作業や手間の軽減
導入以前は、添付ファイル暗号化のためには次のような作業が必要でした。
具体例として、1):ツールを起動、2):ファイルを選択、3):パスワードを指定、4):保存先指定、5):ツールを終了、6):メールに添付、7):メール送信
しかし導入後は、「ファイルを添付 → メール送信」だけでzip暗号化完了し、作業時間や手間がかなり軽減されました。
safeAttachをより効果的に活用にするためのコツ
safeAttachをより効果的に活用にするためのコツは、ありますか。
コツといえるどうかわかりませんが、参考までにお話しさせていただきますと、利用する側だけでなく、暗号化されたファイルを受け取る側のエンドユーザーへも配慮したマニュアルを作成いたしました。
エース保険の代理店は、北海道から沖縄まであり、各代理店へは新しい保険の資料などを添付ファイルで送ることがあります。代理店の担当者には年配の方もおり、復号化のパスワードを「コピペ」ではなく、実際に一文字ずつ入力されていました。その方々にもわかりやすく「コピペ」をはじめ、操作手順などの画面のスクリーンショトを取り入れたマニュアルを作成いたしました。
実際に導入してからの評価・感想
実際に導入してからの評価・感想をお聞かせください。
2009年9月からの本格導入後、大きなトラブルもなく期待通りの効果に満足しています。
最初の頃は、復号化パスワードの送信を忘れなどの失敗もありましたが、現在では忘れることなく習慣化しています。社内間でも暗号化する傾向がみられ、個人レベルでの危機管理意識の向上としても役に立っていると考えられます。
また、送り先である外部からは「さすがエースさん、自動で暗号化とランダムパスワードとは凄いシステムが入っていますね」などの意見もいただいております。
当社の海外本社のグローバルセキュリティ担当者からも「英語版はないのか」との問い合わせがあり、「safeAttach」を高く評価をしています。グローバルでも通用する良い製品だと思います。
海外のセキュリティ担当者からも「英語版はないのか」との問い合わせがあります
「safeAttach」は、どんな企業に向いているか
「safeAttach」は、どのようなところに向いていると思いますか。
業態や規模にかかわらず個人情報を扱う企業はもちろんですが、通信会社、監査法人など公文書見や契約書を取り扱い、情報漏えいの回避を検討しているすべての企業には必要ではないでしょうか。また日本国内メーカーのアプライアンス製品ですので、情報システム部のような専門部門がない企業でも導入・運用を行えると思います。
オレンジソフトへの今後の期待・展望
今後の期待や展望についてお聞かせください。
当社のような外資系企業には外国人の取締役もおりますので、英語版のマニュアルやバイリンガル使用のサポートがあると有り難いですね。
エース保険では、これからも顧客のニーズと満足を重視した世界水準の商品とサービスを提供してゆく所存です。
オレンジソフトには、さらに使いやすく役立つ製品の開発いただき、当社へご支援いただくことを希望します。今後ともよろしくお願いいたします。
お忙しい中、貴重なお話をありがとうございました。
※ 取材日時 2010年1月
※ 取材制作:カスタマワイズ