 |
ハードディスク暗号化SafeBoot導入事例 |
 |
| “ノートPCなしに医薬品情報の提供は不可能”
法令順守とビジネスの両立を模索した、持田製薬が選択した答えは集中管理型ハードディスク暗号化。 |
持田製薬株式会社
情報システム部 システム開発
専門課長
角田 龍郎氏 |
持田製薬株式会社
情報システム部 システム開発
係長
簗取 興史氏 |
|
持田製薬株式会社は、独創的な医薬品の研究開発活動を中心とした総合健康関連企業。
同社では、個人情報保護法の完全施行を契機に、ノートPCのディスク暗号化対策を決断した。
いくつかの候補製品が挙がる中、業界評価の高さとデータベース型集中管理という設計思想で選択されたのが、マクニカネットワークスの提供するSafeBoot Device Encryption(以下、SafeBoot)だった。これにより、同社のMR(Medical Representative)は、ノートPCを持参して病院を訪問するというビジネススタイルを一切変えずに日々の活動を展開している。 |
|
| 人類の健康に貢献するべく独創的な医薬品の開発に注力 |
|
|
1913年、“先見的独創と研究”という志の高い目標を掲げ、持田製薬株式会社は誕生した。以来約一世紀もの長きに渡って、同社は独創的な医薬品の研究開発活動を中心とした総合健康関連企業として、人類の健康に貢献してきた。
今もなお企業理念は「絶えず先見的特色ある製品を開発し、医療の世界に積極的に参加し、もって人類の健康・福祉に貢献する」。健康に関わる医療ニーズをいち早く捉え、新しい医薬品の概念を構築しようと日夜まい進している。そればかりではなく、医療機器やヘルスケアの分野にも早くから進出し、グループとしてこれら3つの事業でオリジナリティーの高い製品を開発、提供し続けている。 |
|
| 医薬品情報提供はノートPCなしには業務がこなせない |
|
|
| 3つの事業の1つ、医薬品分野で持田製薬が取り扱っているのは医療用医薬品である。このビジネスフィールドでは、日々MRが、病院を訪問して医師に最新の医薬品情報を提供している。ここで彼らが持ち歩いているのがノートPCだ。ある程度重要なデータをその中に保持しなければ、MRの業務はこなせない。ノートPCを持ち出すなということは、MRに仕事をするなというに等しい。しかし、その一方で、昨今の情報セキュリティ問題を考えると、なんらかの対策を講じないわけにはいかない。同社の経営理念の一つに「コンプライアンス経営」というものがある。これは同社が人の生命を左右する医薬品製造に携わる企業であるところから、高い倫理観を持つ必要があると日本の企業としては非常に早い段階から企業倫理のあり方を規定したものだ。そのような企業風土を持つ同社であったから、個人情報保護法についても対応が早かった。MRが保持している重要な情報をリストアップし、それらをサーバに保存することにしたのだが、一部のデータについてはどうしてもローカルに保持せざるを得ない。そこで当初はファイル暗号化で対応することを検討した。しかし、個人情報保護法が具体化するに連れて、この法律を遵守するのに最適な方策は、ファイル暗号化ではなくハードディスク暗号化だということが判明してきた。 |
|
|
|
そこで、持田製薬 情報システム部ではハードディスク暗号化を実現する製品をリストアップするとともに、同社と取り引きがあるハードウェアベンダーやソフトウェアベンダーに、この分野で実績の高い製品は何かと尋ねてみた。その中で浮上したのが、マクニカネットワークスの提供するControl Break International社のSafeBootだった。持田製薬株式会社 情報システム部 システム開発 係長 簗取(やなどり)興史氏は、ベンダーからの情報収集の模様を次のように語る。「当社に出入りする担当者のほとんどが、ハードディスク暗号化なら完成度の高さでSafeBootだと勧めてくれました。その会社で実際に使用しているケースも多かったですし、何より評価にブレがないというのが印象的でした」
簗取氏自身もSafeBootの実績を調査して、国内外で数多くの導入事例があることを確認。
それだけ広く採用されているということは、すぐれた製品ということでこの先の進化も期待できると安心した。しかし、何より第一に評価したのはデータベース型集中管理というSafeBootの設計思想だった。
「セキュリティは、何かを導入することがゴールではありません。導入してその後の運用管理ができて初めて、セキュリティが確保できたといえるのだと思います。その意味で、データベースできちんと監査ができる機能を持ったSafeBootは、われわれの考えにぴったり合ったハードディスク暗号化ツールでした」(簗取氏) |
|
| 迅速な社内展開を促すため、わかりやすい導入手順を模索 |
|
|
SafeBoot導入決定後、同社情報システム部は迅速に社内への展開計画を実行する。対象となるノートPCは全部で1400台。まずはMRの持参する800台を優先的に進めることにした。
持田製薬ではユーザとPCの情報が管理されていたため、SafeBootの導入については構築フローAを選択することになった。これは、まずPC、ユーザ、認証情報をCSVファイル形式で用意し、サーバに一括登録する。そののち各クライアントでSafeBootクライアントソフトをセットアップ後、サーバ側で監査ログをCSV形式でエクスポートし、「同期ログ」のないPCは未導入のPCとして検知、導入を促すというものだ。この未導入PCの検知はサードパーティ製システム管理ツールを利用して行う方法もある。
なお、SafeBootは事前にユーザとPCの情報がなくても導入可能だ。この場合は構築フローBを選択することになる。まず、各クライアントでSafeBootクライアントソフトをセットアップする。この際にスクリプトを実行してPCのコンピュータ名とWindowsログオンのユーザ名を自動的にSafeBootの管理サーバに登録する。こののちサーバ側で監査ログをCSV形式でエクスポートし、ユーザ名が存在しないものは未導入のPCとして検知、導入を促すという流れになる。いずれのフローでもクライアントのセットアップは共通のインストールモジュールを使うので、多数のインストールモジュールを用意する必要はなく、またこれ以外にもユーザの環境に応じたインストール方法が多数用意されている。
実際の社内展開にあたっては、マクニカネットワークスのテクニカルサポートからのアドバイスのもと、簗取氏が詳細なインストール手順を作成。テストを入念に繰り返し、マニュアルを何度も改訂した上で実行した。
「こういう作業は一人でもつまずいてしまうと、その事実が波紋のように広がって『私は入れない』『もっと落ち着いてから入れる』というユーザがどんどん出てきてしまいます。誰にでも実行できる手順を作ることには強いこだわりを持ちました」と、簗取氏は導入当時を振り返る。 |
| ※1 |
アサイン情報
SafeBootではそれぞれのPCに対し、使用可能なユーザを設定します。各PCへのユーザのアサインの情報のことを意味しています。 |
| ※2 | setup.exeは全クライアント共通
クライアントに配布するsetup.exeは共通化できます。マシンごとに異なるsetup.exeを作成、配布する必要はありません。 |
| ※3 | 未導入PCの検知方法
この他にもSafeBootのプロセスを監視することで、多くの他社製のシステム管理ツールから未導入PCを検知することもできます。 |
| ※4 | サンプルスクリプト
SBADMCL -CreateMachine -Machine:%COMPUTERNAME%
>このコマンドにより、当該PCのコンピュータ名がSafeBootに登録されます。
SBADMCL -CreateUser -User:%USERNAME%
>このコマンドにより、現在のWindowsログオンのユーザ名がSafeBootに登録されます。
SBADMCL -SetUser -Machine:%COMPUTERNAME% -User:%USERNAME%
>このコマンドにより、当該PCで使用出来るユーザとして、現在のWindowsログオンのユーザ名がSafeBootに登録されます。
SBADMCL -ForceSync
>このコマンドにより、設定情報がSafeBootサーバと同期されます。 |
|
|
|
| 同社の志向したコンプライアンスをSafeBootが強力に支援 |
|
|
献身的な取り組みの甲斐があって、2005年4月には導入開始後1ケ月にして、MRの持参するノートPC800台すべてにSafeBootの導入が完了、以降段階的な導入を続け、8月には1400台すべてのノートPCのハードディスク暗号化対策を終えることができた。ユーザからは導入作業に対するクレームや問い合わせは一切なく、非常に協力的だったという。持田製薬株式会社 情報システム部 システム開発 専門課長 角田龍郎氏は、今日の状況を次のように語る。
「これでセキュリティ分野の課題の第一段階をクリアできたと思っています。ユーザが協力的だったのは、これまでに行ってきた重要なデータのリストアップや絞込みに続くセキュリティ確保の総仕上げとして、SafeBootの導入を捉えてくれたからでしょう。すでに当社では空気のような存在になっています」
SafeBoot導入は、同社にどのような変化をもたらしたのだろうか。簗取氏はそれに答えてこう語った。
「何も変化していません。世情が厳しくなる中、何も変えずにノートPCを持参したままで仕事ができることをめざしてSafeBootを導入したのですから、変わらなくていいのです。データベース型集中管理であるため、われわれ情報システム部門における管理工数も低く抑えられています。選択はまちがっていませんでした」
角田氏によると、SafeBoot導入は社内でも高い評価を受けており、今後は持田製薬のデスクトップPCを含めたすべてのPCに水平展開していくことを検討中だという。さらに長期的には、個人を特定するための指紋認証などのバイオメトリクステクノロジーを採用することも視野に入れているそうで、志の高いコンプライアンス経営の実践はまだまだ続く。 |
持田製薬株式会社
〒162-8451 東京都新宿区四谷1-7 TEL:03-3358-7211 |
| ●創業 | 1913年4月16日 |
| ●設立 | 1945年4月28日 |
| ●資本金 | 72億2,993万4百円(東京証券取引所第一部上場) |
| ●連結従業員数 | 1,705名(2005年3月末日現在) |
| ●事業内容 | 各種医薬品の販売並びに輸出入 |
| http://www.mochida.co.jp/ |
|
|