Q. JA鹿児島県中央会の概要を教えてください。

Q. JAグループ鹿児島では、SmartOnをどう活用していますか。

JAグループ鹿児島は、県内各JA（※1）の職員6000人用（※2）にSmartOn職員証を配布しました。SmartOn職員証は、「パソコンへのログオン認証用ICカード」、「職員6000人の農協職員証」、「Edy電子マネーカード（職員証をお財布化する）」、「電算室など一部重要施設における、入退室管理カード」として活用しています。

• ※1 奄美、種子島、屋久島、甑島（こしきじま）など島嶼部を含む
• ※2 パソコンの台数は全体で約2500台です。1台のマシンを複数の職員で共用している事務所もあります。

Q. 各職員は、このSmartOn職員証でどのようにパソコンにログオンしているのですか。

現場職員は以下のようにしてパソコンにログオンしています。

1. 1.パソコン横のカードリーダーに、SmartOn職員証を置く。
2. 2.正しいカードを置いた場合は、ログオンが可能になる。
3. 3.離席する場合は、カードを取る。
4. 4.するとパソコンがロックされる。
5. 5.席に戻ったら、またSmartOn職員証を置く。ロックは解除される。

各パソコン毎に誰が（＝どのカードが）ログオンできるかはあらかじめ決まっています。例えば、JA鹿児島県中央会総合情報システム部ではパソコンは一人一台です。＊＊さんのパソコンには私のSmartOn職員証ではログオンできません。一方、JAの特定部署では、パソコンは皆で共用しているところもあり、一台のパソコンに複数人のカードでログオンできます。このようなアクセス制御は、各事務所のパソコンと、JA情報センターのコントロールサーバーが通信しあうことで、実現しています。

Q. JAグループ鹿児島は、なぜSmartOn職員証にEdy電子マネー機能を追加したのですか。

• ※1「SmartOnにEdy電子マネーをつけるというアイディアは、地方銀行での使用例を参考にしました。当該銀行では、行員証にEdy電子マネーをつけています。目的は、紛失防止、貸し借り防止、事務所内への私的現金持ち込み防止だそうです。良いアイディアだと感心し、参考にしました。
• ※2Edy電子マネーカードには最大50000円までチャージできます。最寄りのコンビニエンスストアなどで、現金またはクレジットカードによりチャージできます」

Q. JAグループ鹿児島でのSmartOn職員証の運用における「運用のツボ、ポイント」を教えてください。

SmartOn職員証を運用する場合、イレギュラー事態への対応手順を、あらかじめ定めておくことが重要です。主なイレギュラー事態として、「SmartOn職員証を家に忘れた」、「紛失した」、「人に貸して（盗まれて）悪用された」という3事態が想定できます。

Q. 順々にお聞きします。運用のイレギュラー事態その1、「SmartOn職員証を家に忘れた」場合への対応は、具体的には。

職員証を忘れた職員には、臨時ログオンカードを発行します。

Q. 臨時カードを発行する…。普段から各JAに何枚かの予備カードを備えているのですか。

1. 1.各農協には、そのままでは使えない「カラの予備ICカード」を、何枚か備えておきます。
2. 2.職員がSmartOn職員証を忘れたとします。その場合は事務所の責任者が、鹿児島市の情報センター本部に電話をかけます。
3. 3.情報センターの担当者は「SmartOn管理画面を使って"カラのICカード"を"使える臨時ICカード"にするためのやり方」を、電話で説明します。事務所責任者は、その指示に従って管理画面を操作し、臨時ICカードを作ります。
4. 4.臨時ログオンカードの有効期限は、その日一日だけです。翌日以降は使えなくなります。

冒頭にお伝えした通り、JAグループ鹿児島は島嶼部が多いという特徴があります。しかし、そのような環境でも問題なく運用しています。わざわざ現地に赴いて緊急対応しなくてもよい点は評価できますね。

Q. 臨時カードの再発行方法を知った事務所の責任者が、勝手に臨時カードを乱発する恐れはありませんか？

その危険性は、ワンタイムパスワードにより防いでいます。臨時カードを発行するにはパスワードが必要です。そのパスワードは、ワンタイムパスワードとして、毎回変更しています。ワンタイムパスワードは情報センターにしかわかりません。したがって事務所責任者が勝手に臨時カードを作ることはできません。

Q. 運用のイレギュラー事態その2、「SmartOn職員証を紛失した」場合の対応とは。

職員がSmartOn職員証を紛失した場合は、以下の手順で再発行します（※）。

1. 1.事務所の責任者が、JA鹿児島県中央会の情報センターに、カード紛失が発生した旨を電話で知らせる。センターは直ちにそのカードを使用停止にする
2. 2.職員証を紛失した職員は「職員証紛失届」を書いて、情報センターに送付する。
3. 3.情報センターは、紛失届を受理した後、SmartOn職員証を再発行する。

• ※「平成17年の使用開始から今日までの2年の間に、SmartOn職員証を紛失、破損したという届け出は、約20件ありました」

Q. 運用のイレギュラー事態その3、「SmartOn職員証を人に貸して（盗まれて）悪用された」場合の対応とは。

Q. JAグループ鹿児島が、PCログオンセキュリティの強化に関心を持つようになった経緯をお聞かせください。

パソコンのログオン認証を強化しようと考えた理由は、「個人情報保護法への対応」と、｢顧客管理システムのセキュリティ強化が必要だと考えたこと｣の2点です。第一に「個人情報保護法への対応」。平成17年に個人情報保護法が施行されました。施行に先立つ、平成16年の秋には、行政からガイドラインが示されました。それを受けて、全国農協中央会は、農協としてのあるべきセキュリティ規定を全国のJAに示しました。JAグループ鹿児島は、その動きに呼応し、セキュリティを強化する必要があると考えました。第二に「顧客管理システムのセキュリティ強化」。平成17年に、JAグループ鹿児島では、顧客管理システムの作成を決めました。顧客管理システムには、農協組合員の情報、JAバンク、JA共済のお客様情報など、個人情報が大量に保管されます。このシステムに対する強固なセキュリティを導入せねばならないと考えました。これら2つの理由に基づき、パソコンログオンのセキュリティ強化を行うことが決まりました。手法、製品の選定にあたっては、農協という独特の運用環境に合った方式、製品を選びたいと考えました。

Q. 「農協という独特の運用環境」とは具体的には。

セキュリティ管理という観点から見た場合、農協事務所という環境には以下の特性があります。

1. 1.各地区の地元農協の職員は、コンピュータ操作に強い人ばかりではない。
2. 2.高齢者の職員も多い。コンピュータ操作に不慣れな人もいる。
3. 3.農協事務所は、JAバンクの窓口、つまり金融機関でもある。一方、農協事務所は、農家との打ち合わせの場所でもある。地元農家の人が事務所内に入ってくる事もある。パソコンの画面も見えてしまう。情報漏洩防止の観点から見ると好ましくない。

Q. PCログオンのセキュリティ強化のためには色々な手法があります。どんな手法が候補に挙がりましたか。

PCログオンのセキュリティ強化の手法としては、「生体認証」と「ICカード認証方式」が候補に挙がりました。比較検討の結果、ICカード認証方式を採用しました。ICカードの中でも、採用した「FeliCa」であれば、職員証にも入退室カードにもできました。Edyも追加できます。拡張性に富んでいます。またカードなので肌身離さず持ちやすい。職員への教育も楽です。FeliCa ICカードを使うことにより、SmartOnの特長でもある「使用者にパスワードを知らせずにシステムを運用できる」機能を使えるのも良い点です。情報漏洩は、パスワードの漏洩から始まります。しかし、使用者がパスワードを知らないのであれば、漏洩の心配はありません（※）。一方、生体認証方式については、高セキュリティであると認めるものの、運用においていくつか難点があったので採用を見送りました。

• ※職員にパスワードを知らせないことは、職員を守ることにもつながります

Q. 「生体認証方式は、高セキュリティであると認めるものの、運用において難点があった」とは具体的には。

生体認証は、指紋、静脈、虹彩など人のからだの一部分を使って個人を識別する手法です。高セキュリティではあります。しかし農協で運用するには「初期導入の手間」、「認証データ量」、「様々な職務への対応」において難点がありました。第一に「初期導入の手間」。指紋認証の場合、最初に指何本かのデータを登録せねばなりません。地方の事務所では、パソコン一台を複数のユーザーで使っています。パソコン一台一台への指データの登録作業は繁雑になります。JA職員はコンピュータ操作に強い人ばかりではありません。煩雑な登録作業を、各事務所が自分で行うのは無理だと推測しました。第二に「認証データ量」。例えば指紋認証の場合、認証に要するデータ量は意外に多い。一方、JAグループ鹿児島のネットワーク回線はそれほど太いわけではない。ログオンの度に、大量の指紋パターンデータが流れるのは、不適切です。第三に「様々な職務への対応」。ある地区の職員から「自分の仕事ではずっとパソコンを使うわけではない。手に土が付着していることもある。そういう環境下で、皆が使うパソコンに当てて指紋認証するのは気が引ける」という意見が出ました。

Q. ICカードを利用したPCセキュリティ製品を具体的に選定するにあたり、何を要件としましたか。

PCセキュリティ製品を選ぶために定めた要件は、以下の通りです。

1. 1.職員証にもできること
2. 2.ログインの履歴ログが取れること
3. 3.そのカードを職員が忘れた時、紛失した時の対応が容易かつセキュアであること
4. 4.紛失したカードを、簡単に失効できること
5. 5.Windowsログインが自動的にできること
6. 6.その他のソフトウエアやWebへも自動ログインできること。いわゆるシングルサインオンが可能であること。
7. 7.USBやフロッピーへの書き出し禁止などの措置が可能であること
8. 8.認証カードの使用履歴をログ保存できること

さまざまなICカード製品を相互比較した結果、ソリトンのSmartOnが求める要件を最もよく満たしていました。その後SmartOnを、平成17年の 6月～8月までの間、JA鹿児島県中央会で試用しました。3ヶ月の試用期間を通じトラブルもなかったので、正式導入を決めました。平成17年10月のことです。以来SmartOnは今日に至るまでの2年の間、トラブルなしで稼働しています。この安定性は重要なことです。

Q. ソリトンへの今後の期待をお知らせください。

SmartOnの導入により、県内各地のJAのセキュリティを、所期の目的通り、十分に高めることができました。ありがとうございます。SmartOnは、今後も様々な用途で使いこなしたいと考えています。まずプリンタ印刷の認証をSmartOn職員証で行いたい。また駐車場への入退車管理も SmartOn職員証で行えればと考えています。ソリトンシステムズには、今後も、優れた製品、技術、サポートを継続的にご提供いただき、JA鹿児島のセキュリティ向上の取り組みを支援していただけるようお願いいたします。これからも良い関係を続けていきましょう。