株式会社ワイシステムサポート さま

「技術情報、顧客情報は会社の設立以来ずっと大事に育ててきました。それを価値あるものとしてこれからも維持していくのがセキュリティではないでしょうか」。そう力を込めるのは、佐賀県唐津市にある株式会社ワイシステムサポート＝YSS＝（吉田力雄社長）の坂本光弘取締役だ。
同社は株式会社ワイビーエム(YBM)の関連会社として2005年4月に設立された。ソフトウエア開発やWebサイト制作などが主な業務で、その9割はYBM社関連の仕事だという。YBM社の画期的な全自動施工管理制御システム「Y-LINK」（ワイリンク）や鋼管杭打設管理制御システム
「Y-SPEAR」（ワイスピア）のソフトウエア開発の一部も手がけた。それだけに、内部情報の漏洩（えい）や外部からの攻撃などへのセキュリテイ対応には気を遣つている。

増えてきた攻撃・詐欺メール新たな手口との「モグラ叩き」に手間と時間取られる

最近多いのは、ウイルスやマルウエアを仕込んだ攻撃メール、懸賞の当選やネット通販をかたった詐欺メールだ。もし、メールを受け取った社員が開封すると、ウイルスに感染し顧客情報が外部に流出するなどの重大な事故を引き起こしてしまう。YSSにこうしたメールが届くのは社員1人に1日当たり平均数件だが、海外企業との商談を担当している社員には数十件も届くという。「ここ2年ほどで急速に増えました。かつては日本語の不自然な文面も多かったのですが、それも減ってきました。ますます巧妙化している印象で、大きな脅威になっています」と坂本取締役は危機感を強める。攻撃メールや詐欺メールに対しては、同社インフラGが実際に届いたメールを例示して全社員に注意喚起のメールを発信したり、安全大会の際に講演会などを開いて社内意識を高めるようにしたりしているという。ただ、社員の安全意識に温度差があって全体の底上げが緊急の課題だという。また、メール対策は新たな手口が次々に出てくる「モグラ叩き」のようなもので、インフラGの手間と時間をとられるのも頭の痛いところだ。

MSSがウイルスメールを自動で遮断
浮いた時間で他のセキュリティ課題に取り組み

そこで同社は2017年2月ごろ、株式会社QTnet（福岡市）のマネージドセキュリティサービス(MSS)を導入した。
YBM社が約6キロ離れた岸山工場と結んだVLAN回線をァップグレードする作業を、YSSが担当して進めていた際、QTnetから「ちょうどMSSを

立ち上げたんです」という話を持ちかけられたのがきっかけだったという。システム部インフラGの田口直樹係長は「他社と比較検討して(1)既存のVLAN回線がそのまま使える(2)監視業務の大半をQTnetに任せられるーという2点が導入の決め手になりました」と話す。MSSは特に、攻撃型メールの防御に大きな効果を発揮しているという。これまではウイルス添付のメールを検知した場合届いた社員に連絡するなど個別に対応していた。それが導入後はMSSがウイルス添付メールを自動で遮断してくれるため、インフラGはそれを処理するだけで済むようになったのだ。

また、URLフィルタリング機能でギャンブルやアダルトサイトはほぼ閲覧できなくなり、サイトからのウイルス感染などのセキュリティリスクも減ったという。
「メール対策などに割いていた時間が減ったため、浮いた時間で不審な通信がないかログをチェックしたり、社内のファイアウォールを調整したりという、他のセキュリティ課題に取り組めるようになりました」と田口係長。機械に任せられるところは任せ、人間は人でなければできない業務を担当できるというメリットが生まれているのだ。

サイバー攻撃やヒューマンエラーによる
不正アクセスを防ぐ「風通しのよい組織」

セキュリティが破綻する大きな要因に人の関与がある。
いわゆる「ヒューマンエラー」だ。攻撃・詐欺メールをうっかり開封してしまうのもその一例といえる。
YSSではセキュリテイ面で“風通しのよい組織’'を意識しているという。例えば攻撃・詐欺メールに引っかかってしまった場合でも社員を叱責しないし、実例をあげて注意喚起メールを流す際にも被害者名は公表しないなどだ。
「叱ったり公表したりすると、失敗した社員は黙っておこうと考えてしまいます。そのほうがセキュリティ上問題ですから」と坂本取締役。ミスを隠さず報告できる‘‘風通しの良さ’'が奏功して、社員から「こんなおかしなメールが届いた」といった情報も上がってくるようになった。
一方、単純ミスではなく悪意をもった情報流出もあり得る。例えば、メールやUSBメモリーなどでデータを社外に持ち出すといったことだ。YSSでは防止のため、(1)USBメモリーは会社所有のものだけを使う(2)さらに、退職者のPCの過去ログを監視し、データの持ち出しなどがないかチェックするという。坂本取締役は「辞める時に過去の履歴を見ますよ、バレたら損害賠償や刑事罰もありますよと事前にアナウンスすることが抑止力につながります」と話す。

セキュリティに関連して悩ましいのは、情報資産の公開・非公開の切り分けだ。情報を何でも公開してしまうと競争相手にも筒抜けになるが、必要な情報を顧客に提供しないと会社の価値を見出してもらえない―そんなジレンマを、YSSも含めた多くの企業が抱えている。同社ではガイドラインを定めており、そのうえで判断が難しい場合は「情報を持っている職場の部門長やグループ長の判断で補っています」と坂本取締役。ガイドラインという基本的なルールと経験に基づく役職者の判断という両輪で、情報資産を守りながらうまく活用しているという。社の安全大会などと同時に、外部講師を招いたセキュリティ講習を開催して意識の底上げも図っている。

トップが旗振り役で、
職場セキュリティ担当者を選任

一般的に企業のセキュリティ対策はリスクを軽減するが、目に見えた利益を生むわけではない。その中でYSSが取り組みに積極的なのは、トップの吉田社長が旗振り役になっていることが大きい。その社長の発案で最近、社内各職場にセキュリテイ担当者を選任した。「攻撃・詐欺メールの情報を吸い上げたり、逆に全社員に周知してもらったりすることを考えています」（田口係長）、「身近な相談役として活躍してほしいですね」（坂本取締役）と期待する。 MSSというセキュリティサービスを活用しながらも、それだけに頼らず、人にシフトした施策を加えることでより安全性を高めていく一それカYSSのセキュリテイ対策の要なのだ。

QT PROマネージドセキュリテイサービス

「セキュリテイ担当者の負担軽減」
「業務効率化によるコスト剛減」を実現します

QTnetが提供するマネージドセキュリティ(MSS)の特徴はクラウドサーピスであるという点だ。このため高価な機器の購入が不要なうえ、導入までの期間も短縮できる。また多くの機能から必要なものだけを選択できるという。「運用コストを抑えたい」「セキュリテイログの分析を外部に委託したい」といった企業の要望に添つたサービスとなっています。

VSSはUTMをベーシックプランで利用

24時間365日の監視体制
2カ所のクラウドセンターで冗長性確保

QTPROのMSSは、外部のセキュリティアナリストが顧客のログを24時間365日体制で監視しておリ、セキュリティソフト(SIEM)による自動分析も行なっています。セキュリティ上の問題事象を検知し、緊急性があると判断した場合は、お客様への状況報告や対策案も提示させていただきます。
QTnetの自社クラウドセンターは2カ所に分散して設置され、冗長性を確保しているため、万が一、大規模災害で1カ所が不調になっても継続してサービスの提供が可能です。