全面導入X-FORT保護資訊資產
Q:請問貴公司主要的經營項目為何?
A:主要製造及銷售信用卡的簽帳終端機(業務用攜帶型終端機)之硬體,並提供終端機應用服務。從製造硬體到提供服務,公司最大的優勢就在於全方面符合客戶需求。目前主要的市場為餐廳與計程車行業。舉例來說,東京的計程車有很高的比率裝有信用卡簽帳終端機,且大部分都使用敝公司的產品CREPICO。
Q:為何導入TotalSecurityFort(以下簡稱 X-FORT)?
A:如上述,我們公司經營信用卡或個人資訊,未來將擴大相關服務,因此不可避免的將會增加管理機密資訊的資料量,資訊安全方案的重要性更為提高。日本從2005年4月即開始實施的「個人情報保護法」,公司也需要符合此法律的要求。過去公司內部規定,執行員工資安教育訓練,要求電腦內檔案帶出公司時要適當的加密。但是在技術方面的資料外洩防護方案,並不完整。因此,公司為了落實法律,需要搭配資訊安全系統協助。例如我們公司內部規定「如果要攜帶出資訊,僅限於加密資料」,但是,若不小心未加密而帶出,之後可能無法合理解釋說:這是個嚴重的意外狀況。我認為,只靠現有公司內部規定及管理達到效果有限,必須搭配資安系統來解決眼前的問題。
導入情況
Q:引進X-FORT的關鍵因素?
A:我們發現社會上的資訊外洩案件非常多,萬一自己公司發生這種問題,不僅會引起嚴重的社會騷動,還會失去客戶的信任,造成企業的困境。因此檢討是否需導入資安系統時,剛好知道NTT DATA決定全公司三萬人導入X-FORT,便想要了解更詳細的內容。
Q:選擇X-FORT的理由是什麼?
A:實際看X-FORT後,覺得可以套用現行的公司內部規定,且應用容易。例如針對每個部門的資訊管理架構,X-FORT可以很容易完成套用。如果這種工具功能很優異,但與自己公司的系統不合時,就會很難使用。一般來說,安全性和方便性是相反的,所以可能無法要求兼顧,不過X-FORT幾乎不會影響到目前的使用狀況。X-FORT不僅有禁止寫出的單純控管功能,還有軟硬體資產管理、網路控管、軟體控管、存取記錄等,功能非常全面性,萬一發生其他的需求,不需要新的投資也可以運用。可以實現全方位的資訊安全控管,這點是很重要的。同時,X-FORT不僅功能強大,對產品信念也相當堅持,我想這是精品公司用心的分析市場狀況,設計完全符合客戶需求而成的。
Q:如何說服員工導入X-FORT?
A:安全政策的重要性是社長top down的想法,所以幾乎不需說服上級主管。決定權限時,只是與員工確認「做到什麼程度」而已,因此公司員工充分了解在工作上,會處理重要資訊的程度。沒什麼人反對導入這種資訊安全工具,而且導入後也不會使電腦的負擔變重或增加操作,沒有理由反對,應該考慮的是,此系統反而會保護自己。
Q:請教導入X-FORT的設備及網路規模?
A:連接網路的所有電腦都導入X-FORT,幕張、大阪及福岡分點,總共200台(據點之間使用IP VPN連接)。
Q:X-FORT的優勢是什麼?
A:X-FORT最大的優點在於它的應用性。我認為,在比較功能和應用性時,我會重視應用性。這種工具常會以功能為主,工作要配合,才可以使用。不過X-FORT很容易套用既有的公司規定,這點也是很重要的。另外,完全導入至全體員工的電腦時,若無法順利套用,部分員工會有反彈,結果放著而不使用, 但導入X-FORT 完全沒有發生那種狀況。取得記錄或防止Winny也靠X-FORT執行,功能非常全面性。
Q:實際上導入後的感覺如何?
A:以使用者的立場來說,完全沒有使用上的負擔。使用電腦時感覺不到有安裝X-FORT。而且使用者現在已經不在意會留下記錄,這不是很理想的狀況嗎?!我想,比經常感覺被監控的狀況下工作,要好很多,如果在自然的狀態下,又能夠保持企業安全是最好的。
Q:聽說各個部門負責執行各自的資訊管理,如何實際落實呢?
A:由每個部門執行資訊管理,考慮各部門的風險,可自行彈性設定資訊安全權限。導入X-FORT後,在每個部門可以執行資訊安全管理與取得記錄。換句話說,部門的管理者可以按照公司規定落實進行各種工作。
導入成效
Q:導入後有什麼成效?
A:首先,做到加強監視和控管。以前沒有留下存取記錄,發生問題時也沒有辦法追蹤調查,現在確實取得詳細的記錄,就可以追蹤。我認為有詳實的記錄,對於違法工作有很大的抑制效果。
其次,可確實展現依據公司內部規定的工作體系。例如,公司規定裡有「識別及管理機密資訊,欲使用時須管理者確認」,而X-FORT能依此規定來設定。也有「如需要帶出包含機密資訊的筆記型電腦時,必須事先取得許可,且必須加密該資訊」之規定。不過,在忙碌的工作中,每次取得許可也很麻煩,勉強遵守規則又會影響到工作,有些本末倒置。X-FORT可以解決這些問題,不會影響到業務也可以遵守公司內部規定。還有很重要的一點,從電腦寫出外接式儲存裝置的風險也可降低。因為X-FORT會自動限制使用外接式儲存裝置或自動寫出加密檔案等,省掉的時間反而可以更專心工作,同時可防止粗心忘了加密。
導入X-FORT後,可簡單地達成我們希望的安全應用模式。我想如果沒有X-FORT,這樣的應用可能非常困難。另外,X-FORT擁有對ISO27001規定的監查記錄的功能,以及為了掌握電腦狀態時,非常方便的資產管理功能等,功能非常全面。因為X-FORT有「全方位安全」的堅定理念,又有全面性的功能,可解決各種情況。
我們在日經產業新聞發表,敝公司對資訊安全的政策,就是呼籲敝公司對保護個人機密資訊的態度,希望提高服務和產品的信用。我們這個行業非常重視「信用」,我想此次X-FORT的引進,也是正式對外宣告我們對資訊安全的重視。