導入事例

JA鹿児島県中央会

JA鹿児島グループではSmartOn職員証を6,000人分作りました。 貸し借り紛失、悪用などイレギュラー事態への対処方法を予めよく考えました。

JA鹿児島県中央会
  • SmartOn職員証の利点、運用ノウハウ

鹿児島県内のJAでは、PCログオンセキュリティの機能を搭載したICカードで職員証(「以下、SmartOn職員証」)をつくっている。JA鹿児島県中央会 総合情報システム部の有村氏(写真左)、鐘ヶ江氏(写真右)に、SmartOn職員証の利点、運用ノウハウを詳しく聞いた。

  • 文中では「JA」と「農協」の2つの表記を使っています。

JA鹿児島県中央会の概要

Q. JA鹿児島県中央会の概要を教えてください。

JA鹿児島県中央会は、県内各地の18の農協を会員とする指導団体です。鹿児島の農作物は、さつまいもが代表的です。牛や黒豚など畜産も盛んです。畜産業の出荷高は、全国ナンバーワンです。お茶の栽培も盛んです。こちらの出荷高は静岡に次いで全国二位です。

JAグループ鹿児島はSmartOnをどう活用しているか

Q. JAグループ鹿児島では、SmartOnをどう活用していますか。

JAグループ鹿児島は、県内各JA(※1)の職員6000人用(※2)にSmartOn職員証を配布しました。SmartOn職員証は、「パソコンへのログオン認証用ICカード」、「職員6000人の農協職員証」、「Edy電子マネーカード(職員証をお財布化する)」、「電算室など一部重要施設における、入退室管理カード」として活用しています。

  • 奄美、種子島、屋久島、甑島(こしきじま)など島嶼部を含む
  • パソコンの台数は全体で約2500台です。1台のマシンを複数の職員で共用している事務所もあります。

SmartOn職員証の実際の使用イメージ

Q. 各職員は、このSmartOn職員証でどのようにパソコンにログオンしているのですか。

現場職員は以下のようにしてパソコンにログオンしています。

  1. パソコン横のカードリーダーに、SmartOn職員証を置く。
  2. 正しいカードを置いた場合は、ログオンが可能になる。
  3. 離席する場合は、カードを取る。
  4. するとパソコンがロックされる。
  5. 席に戻ったら、またSmartOn職員証を置く。ロックは解除される。

各パソコン毎に誰が(=どのカードが)ログオンできるかはあらかじめ決まっています。例えば、JA鹿児島県中央会総合情報システム部ではパソコンは一人一台です。**さんのパソコンには私のSmartOn職員証ではログオンできません。一方、JAの特定部署では、パソコンは皆で共用しているところもあり、一台のパソコンに複数人のカードでログオンできます。このようなアクセス制御は、各事務所のパソコンと、JA情報センターのコントロールサーバーが通信しあうことで、実現しています。

なぜSmartOn職員証にEdy電子マネー機能を追加したのか

Q. JAグループ鹿児島は、なぜSmartOn職員証にEdy電子マネー機能を追加したのですか。

JAグループ鹿児島がSmartOn職員証にEdy電子マネー機能を追加した目的は「紛失防止」と「貸し借り防止」、「常時携帯の促進」、「将来への備え」の4つです(※)。第一の目的「常時携帯の促進」。離席するときには、SmartOn職員証も一緒に携帯して離席し、パソコンをロックさせるのがきまりです。SmartOn職員証をお財布化すれば、常時携帯が進むと期待できます。第二の目的「紛失防止」。職員証をお財布化すれば、職員は、それを大切に保管し、紛失しにくくなると期待できます。第三の目的「貸し借り防止」。ある職員が職員証を家に忘れてきたとします。それを見た他の職員が、「じゃあ、今日はオレの職員証を貸してやるからこれでログオンしておきなよ」と言うかもしれません。このような貸し借りを防ぐために、職員証にEdyをつけてお財布化しました。お財布化すれば貸し借りは生じにくくなると期待できます。第四の目的「将来への備え」。各地区のJA事務所では金融業務も行っています。将来的には、全国農協中央会が「JA事務所内への私的現金の持ち込みを禁じる」と通達してくるかも知れません。その時への備えとして、SmartOn職員証をあらかじめお財布化しました。

  • 「SmartOnにEdy電子マネーをつけるというアイディアは、地方銀行での使用例を参考にしました。当該銀行では、行員証にEdy電子マネーをつけています。目的は、紛失防止、貸し借り防止、事務所内への私的現金持ち込み防止だそうです。良いアイディアだと感心し、参考にしました。
  • Edy電子マネーカードには最大50000円までチャージできます。最寄りのコンビニエンスストアなどで、現金またはクレジットカードによりチャージできます」

SmartOn職員証の運用のツボ、ポイント

Q. JAグループ鹿児島でのSmartOn職員証の運用における「運用のツボ、ポイント」を教えてください。

SmartOn職員証を運用する場合、イレギュラー事態への対応手順を、あらかじめ定めておくことが重要です。主なイレギュラー事態として、「SmartOn職員証を家に忘れた」、「紛失した」、「人に貸して(盗まれて)悪用された」という3事態が想定できます。

イレギュラー対応その1~SmartOn職員証を家に忘れた場合

Q. 順々にお聞きします。運用のイレギュラー事態その1、「SmartOn職員証を家に忘れた」場合への対応は、具体的には。

職員証を忘れた職員には、臨時ログオンカードを発行します。

Q. 臨時カードを発行する…。普段から各JAに何枚かの予備カードを備えているのですか。

いいえ、予備カードは備えていません。普段から予備カードを備えた場合、そのカードが盗まれて悪用される危険性があります。その危険を防ぐために、臨時カードは、以下のような手順で作成、発行しています。

  1. 各農協には、そのままでは使えない「カラの予備ICカード」を、何枚か備えておきます。
  2. 職員がSmartOn職員証を忘れたとします。その場合は事務所の責任者が、鹿児島市の情報センター本部に電話をかけます。
  3. 情報センターの担当者は「SmartOn管理画面を使って"カラのICカード"を"使える臨時ICカード"にするためのやり方」を、電話で説明します。事務所責任者は、その指示に従って管理画面を操作し、臨時ICカードを作ります。
  4. 臨時ログオンカードの有効期限は、その日一日だけです。翌日以降は使えなくなります。

冒頭にお伝えした通り、JAグループ鹿児島は島嶼部が多いという特徴があります。しかし、そのような環境でも問題なく運用しています。わざわざ現地に赴いて緊急対応しなくてもよい点は評価できますね。

臨時カードの勝手発行への防止策

Q. 臨時カードの再発行方法を知った事務所の責任者が、勝手に臨時カードを乱発する恐れはありませんか?

その危険性は、ワンタイムパスワードにより防いでいます。臨時カードを発行するにはパスワードが必要です。そのパスワードは、ワンタイムパスワードとして、毎回変更しています。ワンタイムパスワードは情報センターにしかわかりません。したがって事務所責任者が勝手に臨時カードを作ることはできません。

イレギュラー対応その2~SmartOn職員証を紛失した場合

Q. 運用のイレギュラー事態その2、「SmartOn職員証を紛失した」場合の対応とは。

職員がSmartOn職員証を紛失した場合は、以下の手順で再発行します(※)。

  1. 事務所の責任者が、JA鹿児島県中央会の情報センターに、カード紛失が発生した旨を電話で知らせる。センターは直ちにそのカードを使用停止にする
  2. 職員証を紛失した職員は「職員証紛失届」を書いて、情報センターに送付する。
  3. 情報センターは、紛失届を受理した後、SmartOn職員証を再発行する。
  • 「平成17年の使用開始から今日までの2年の間に、SmartOn職員証を紛失、破損したという届け出は、約20件ありました」

イレギュラー対応その3~SmartOn職員証を貸して(盗まれて)悪用された場合

Q. 運用のイレギュラー事態その3、「SmartOn職員証を人に貸して(盗まれて)悪用された」場合の対応とは。

職員証を盗まれた場合は、届け出を出してもらえれば、そのカードを使用停止にできます。職員証の貸し借りについては、「お財布化」、「ログ記録」、「印鑑に例える」などの施策を通じて防止を図っています。第一の施策「職員証のお財布化」。前述のとおり、職員証にはEdy電子マネーをつけました。そうしてお財布化すれば貸し借りは生じにくくなると期待できます。第二の施策「使用ログを取る」。どの職員証で、いつ、どのパソコンにログオンしたのかについては、情報センターにログが残ります。職員には、「カードを人に貸すと危ないですよ。その人が、あなたのカードで悪いことをすると、あなたのせいにされますよ」と伝えています。第三の施策「印鑑に例える」。年配の方には、「このカードは印鑑と同じです。貸し借りはしないように」と言っています。こう言えば、重要性を理解してくれます。

JAグループ鹿児島が、PCログオンセキュリティの強化に関心を持つようになった経緯

Q. JAグループ鹿児島が、PCログオンセキュリティの強化に関心を持つようになった経緯をお聞かせください。

パソコンのログオン認証を強化しようと考えた理由は、「個人情報保護法への対応」と、「顧客管理システムのセキュリティ強化が必要だと考えたこと」の2点です。第一に「個人情報保護法への対応」。平成17年に個人情報保護法が施行されました。施行に先立つ、平成16年の秋には、行政からガイドラインが示されました。それを受けて、全国農協中央会は、農協としてのあるべきセキュリティ規定を全国のJAに示しました。JAグループ鹿児島は、その動きに呼応し、セキュリティを強化する必要があると考えました。第二に「顧客管理システムのセキュリティ強化」。平成17年に、JAグループ鹿児島では、顧客管理システムの作成を決めました。顧客管理システムには、農協組合員の情報、JAバンク、JA共済のお客様情報など、個人情報が大量に保管されます。このシステムに対する強固なセキュリティを導入せねばならないと考えました。これら2つの理由に基づき、パソコンログオンのセキュリティ強化を行うことが決まりました。手法、製品の選定にあたっては、農協という独特の運用環境に合った方式、製品を選びたいと考えました。

セキュリティ管理という観点から見た農協事務所という環境の特性

Q. 「農協という独特の運用環境」とは具体的には。

セキュリティ管理という観点から見た場合、農協事務所という環境には以下の特性があります。

  1. 各地区の地元農協の職員は、コンピュータ操作に強い人ばかりではない。
  2. 高齢者の職員も多い。コンピュータ操作に不慣れな人もいる。
  3. 農協事務所は、JAバンクの窓口、つまり金融機関でもある。一方、農協事務所は、農家との打ち合わせの場所でもある。地元農家の人が事務所内に入ってくる事もある。パソコンの画面も見えてしまう。情報漏洩防止の観点から見ると好ましくない。

ICカード認証方式はどこが良いか

Q. PCログオンのセキュリティ強化のためには色々な手法があります。どんな手法が候補に挙がりましたか。

PCログオンのセキュリティ強化の手法としては、「生体認証」と「ICカード認証方式」が候補に挙がりました。比較検討の結果、ICカード認証方式を採用しました。ICカードの中でも、採用した「FeliCa」であれば、職員証にも入退室カードにもできました。Edyも追加できます。拡張性に富んでいます。またカードなので肌身離さず持ちやすい。職員への教育も楽です。FeliCa ICカードを使うことにより、SmartOnの特長でもある「使用者にパスワードを知らせずにシステムを運用できる」機能を使えるのも良い点です。情報漏洩は、パスワードの漏洩から始まります。しかし、使用者がパスワードを知らないのであれば、漏洩の心配はありません(※)。一方、生体認証方式については、高セキュリティであると認めるものの、運用においていくつか難点があったので採用を見送りました。

  • 職員にパスワードを知らせないことは、職員を守ることにもつながります

生体認証方式の難点は

Q. 「生体認証方式は、高セキュリティであると認めるものの、運用において難点があった」とは具体的には。

生体認証は、指紋、静脈、虹彩など人のからだの一部分を使って個人を識別する手法です。高セキュリティではあります。しかし農協で運用するには「初期導入の手間」、「認証データ量」、「様々な職務への対応」において難点がありました。第一に「初期導入の手間」。指紋認証の場合、最初に指何本かのデータを登録せねばなりません。地方の事務所では、パソコン一台を複数のユーザーで使っています。パソコン一台一台への指データの登録作業は繁雑になります。JA職員はコンピュータ操作に強い人ばかりではありません。煩雑な登録作業を、各事務所が自分で行うのは無理だと推測しました。第二に「認証データ量」。例えば指紋認証の場合、認証に要するデータ量は意外に多い。一方、JAグループ鹿児島のネットワーク回線はそれほど太いわけではない。ログオンの度に、大量の指紋パターンデータが流れるのは、不適切です。第三に「様々な職務への対応」。ある地区の職員から「自分の仕事ではずっとパソコンを使うわけではない。手に土が付着していることもある。そういう環境下で、皆が使うパソコンに当てて指紋認証するのは気が引ける」という意見が出ました。

ICカードを利用したPCセキュリティ認証製品を選定するにあたっての要件

Q. ICカードを利用したPCセキュリティ製品を具体的に選定するにあたり、何を要件としましたか。

PCセキュリティ製品を選ぶために定めた要件は、以下の通りです。

  1. 職員証にもできること
  2. ログインの履歴ログが取れること
  3. そのカードを職員が忘れた時、紛失した時の対応が容易かつセキュアであること
  4. 紛失したカードを、簡単に失効できること
  5. Windowsログインが自動的にできること
  6. その他のソフトウエアやWebへも自動ログインできること。いわゆるシングルサインオンが可能であること。
  7. USBやフロッピーへの書き出し禁止などの措置が可能であること
  8. 認証カードの使用履歴をログ保存できること

さまざまなICカード製品を相互比較した結果、ソリトンのSmartOnが求める要件を最もよく満たしていました。その後SmartOnを、平成17年の 6月~8月までの間、JA鹿児島県中央会で試用しました。3ヶ月の試用期間を通じトラブルもなかったので、正式導入を決めました。平成17年10月のことです。以来SmartOnは今日に至るまでの2年の間、トラブルなしで稼働しています。この安定性は重要なことです。

今後の期待

Q. ソリトンへの今後の期待をお知らせください。

SmartOnの導入により、県内各地のJAのセキュリティを、所期の目的通り、十分に高めることができました。ありがとうございます。SmartOnは、今後も様々な用途で使いこなしたいと考えています。まずプリンタ印刷の認証をSmartOn職員証で行いたい。また駐車場への入退車管理も SmartOn職員証で行えればと考えています。ソリトンシステムズには、今後も、優れた製品、技術、サポートを継続的にご提供いただき、JA鹿児島のセキュリティ向上の取り組みを支援していただけるようお願いいたします。これからも良い関係を続けていきましょう。

お忙しい中、有り難うございました。

  • JA鹿児島県中央会の Webサイト
  • 取材日時 2007年7月
  1. TOP
  2. 導入事例
  3. JA鹿児島県中央会