導入事例

業種:銀行・証券

導入製品:ESS AdminGate

青梅信用金庫 様

金融業界標準の安全対策実現に向けてESS AdminGateを導入

委託先ベンダーまで含めた一元的な特権ID管理を目指す

東京都青梅市に本店を置き、東京都多摩地区および埼玉県西部に支店を展開する信用金庫、青梅信用金庫(以下、あおしん)。あおしんは「地域の未来を共創する信用金庫」という方針の下、金融サービスを通じた地域の課題解決と、豊かな暮らしの実現に向けて日々取り組んでいます。また、地域づくり運動にも積極的で、「美しい多摩川フォーラム」の事務局を同金庫内に設置するなど、地域の方々との触れ合いをさまざまな形で推進しています。

課題と選択

金融業界のガイドラインに基づき安全対策をさらに推進したい

紙の台帳をベースにした特権ID管理を改善したい
山﨑 氏
事務部 システム課
専任副部長 山﨑 隆朗 氏

かねてよりあおしんでは、顧客に関する情報の保護と適切な利用を図るため、「情報資産保護に関する基本方針」や「内部統制の基本方針」を制定するなど、情報セキュリティガバナンスについて積極的に取り組んできました。こうした方針に基づき、あおしんの事務部システム課では、2013年度にすべてのクライアントPCでICカードとパスワードによる2要素認証を採用するなど、情報漏えいや不正アクセスの防止に努めています。
「セキュリティ対策にゴールはないと言いますが、第一段階としてクライアントPCに関してはFISCガイドライン※のレベルは達成できたと考えました。そこで次のテーマとして、重要なサーバーの特権ID管理を見直すことにしたのです」(山﨑氏)
あおしんでは、13年ほど前に勘定系システムを共同センターへと移行しましたが、約40台のサーバーで構成される情報系システムは自金庫で運用しています。これらのサーバーは各種データベースやファイルサーバーとして使われていますが、その管理を強化したいと考えたのです。
従来、システム課の職員が特権IDでサーバーへログインする際には、紙の台帳で申請・承認の手続きを行った上で、2名のパスワード入力によってサーバーラックのカギを取り外して解錠し、中にあるローカルコンソールを操作するという手順を踏んでいました。しかしこのやり方ですと、作業内容を後から確認する際、台帳の記載内容とサーバーのログを照合する必要があり、確認が非常に難しいという点で改善の余地があると判断しました。
またあおしんでは、ソフトウェアのバージョンアップやパッチの適用など、システム運用・保守を一部ベンダーに委託しています。オンサイトやリモートログインでの作業を認めていますが、その作業管理についても課題が挙げられました。オンサイトの場合は職員が立ち会い、リモートログインの場合は電話で作業申請、該当の時間だけルータの電源を入れて外部からの接続を可能にすることで作業の管理を行っています。加えて、委託先ベンダーが作業した後には、報告書の提出を義務付けるといった対策をとっていました。しかし、立ち会いの職員がすべての操作を監視できるとは限りませんし、リモートログインの作業内容を確認するとなると、当然サーバーのログを一つ一つチェックする手間がかかります。
「数年前、FISCの安全対策基準に特権ID管理に関する項目が追加されたため、当時から対策を検討していたのですが、クライアントPCにおける2要素認証の導入プロジェクトが一段落したことから、本格的に検討を開始しました」(礒部氏)

※FISCガイドライン:金融機関向けにFISC(財団法人金融情報システムセンター)が策定したコンピュータシステムの安全対策基準

特権ID・証跡管理を低価格で実現、費用対効果の高さを評価
礒部 氏
事務部 システム課
係長 礒部 慶洋 氏

2016年秋、あおしんは特権ID管理システムの選定に入りました。製品に求めた要件は以下の通りです。
- 低コストで導入・運用できること
- サーバーの設定変更など、導入の影響が最小限で済むこと
- 仮想基盤上に構築できること
あおしんでは、サーバーごとに製品を導入した場合、運用面に大きく影響が出てしまうと判断。ゲートウェイ型に絞って3~4社の製品を比較・検討し、2016年12月にESS AdminGateの導入を決めました。
「製品の中にはゲートウェイを経由しないログインは管理できないものもありましたが、そうしたものは最初の段階で候補から外しました。最終的に2社の製品が候補に残ったのですが、ESS AdminGateは必須要件である機能が十分に揃っている上、他の製品と比べると圧倒的に低コストですので費用対効果が非常に高いと考えました。また、ESS AdminGateはサーバー1台単位でライセンスを追加できるため、無駄なコストをかけずに管理対象を増やすことが可能です。さらに、当金庫では、冗長性等の観点から仮想基盤上に構築することを考えていましたが、この点も問題ありませんでした。加えて、エンカレッジ・テクノロジは運用面まで含めて提案してくれたので、今後の具体的な運用を考える上で大きかったですね」(礒部氏)

導入と効果

申請から承認、検証までをシステムでフロー化、特権IDの強固な管理体制が実現

プロフェッショナルサービスの利用により短期間で運用開始

あおしんは2017年3月よりESS AdminGateの運用を開始。その際、エンカレッジ・テクノロジの導入サービス「プロフェッショナルサービス」を利用することで、短期間での運用開始を実現しました。
「サーバーの事前設定については確認程度でほとんど変更の必要がなく、検証に要する時間は最低限で済みました。また、ESS AdminGateは導入が容易で私たちでも構築可能と説明を受けましたが、同様のシステムの導入経験がないことと、導入期間の短縮のためにプロフェッショナルサービスをお願いしました。結果、導入から教育、運用開始まで手厚いサポートを受けることができ、短期間で運用をスタートできたのは大変良かったですね」(山﨑氏)
またESS AdminGateの使い勝手はかなり良く、直感的に操作できるため、わざわざマニュアルを開く必要もないとのことです。
「プロフェッショナルサービスにおいて3人が教育を受けましたが、他の職員に使い方を説明する際も、口頭で簡単に説明するだけで済むほどです」(礒部氏)

不正な操作やアクセスが行われていないこと確実かつ簡易に可視化

あおしんがESS AdminGateを導入したことで、作業の申請や承認を行う際、紙の台帳に記載・押印する手間が大幅に省力化されました。また、特権IDにおける一連のフローがシステム化したため、検証を行う際も申請内容を自動的に結びつけて確認できるようになっています。
「実際に使ってみての感想ですが、デスクトップ上の画面操作を動画で記録し、後からいつでも確認できる機能はかなり便利ですね。サーバーのログだけでは実際に申請通りの作業が行われたのか分かりづらいこともありますが、動画なら一つ一つの操作まで容易に確認できます。いつでも必要なとき作業状況を調査できますので、安全性は大いに高まりました」(礒部氏)
また、レポート機能を用いることで、申請外のログインの有無も確認できるようになったため、不正な操作や不正アクセスが行われていないことを確実に可視化したエビデンスとして提示が可能となりました。これにより、情報漏えいや不正アクセスの抑止効果が期待できるとしています。

図 ESS AdminGate 導入後の青梅信用金庫
図 ESS AdminGate導入後の青梅信用金庫

展開

管理対象を拡大し、委託先ベンダーまで含めた一元的な特権ID管理を

豊富なノウハウと実績に基づいた支援を期待

現在、ESS AdminGateの管理対象となっているサーバーは、重要度の高いものから優先的に対象としているため全体の6割程度(25台)ですが、今後は徐々にその範囲を広げていく予定です。また、ESS AdminGateはローカルコンソールなどゲートウェイを経由しないログインも検出できるため、委託先ベンダーによるオンサイトでの作業はこの機能を利用して管理しています。将来的にはリモート保守についてもESS AdminGate経由にすることで、特権IDによるログインすべてを管理下に置く方針です。
こうした目標に向けてあおしんでは、きめ細かに課題を洗い出しつつ、運用体制を整備している最中だといいます。
「運用をスタートしてまだ2カ月程度ですが、特権ID管理の強化という意味ではかなりの効果が出ているように感じています。加えてESS AdminGateには、ファイルの入出力制限など情報漏えいを効果的に防ぐさまざまな機能が搭載されていますから、今後はこういった機能も積極的に活用していきたいと考えています」(礒部氏)
「システム課から業務部門に異動した職員のうち、何人かが異動先で部門サーバーを管理しており、今後はこうした者への周知徹底も図ると同時に規定を整備していく必要があると考えています。このように、ESS AdminGateの適用範囲は社内外へさらに広がっていきますので、エンカレッジ・テクノロジにはさまざまな形で相談にのっていただきたいと考えています。ESS AdminGateを導入した理由のひとつにエンカレッジ・テクノロジの持つ豊富なノウハウと実績がありますので、引き続きサポートを期待しています」(山﨑氏)

PROFILE:青梅信用金庫

○設立
1922年3月6日
○本社所在地
東京都青梅市勝沼3-65
○URL
http://www.aosyn.co.jp/
○事業内容
事業内容:東京都と埼玉県に36店舗を展開し、地域密着型の金融サービスを提供している信用金庫です。創業からの精神である「共存同栄」の理念のもと、金融機関本来の役割に基づく「地域への積極的な融資」と、地域との協調・連携による「地域社会への貢献活動」に努めています。
○導入製品
ESS AdminGate

※本内容は、2017年7月時点のものです。

img_pdf.jpg

この記事を読んだ人はこんな記事も読んでいます
ESS AdminGate
目的と対象業務で決める証跡管理
お問い合わせ メールマガジン購読
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時