導入事例

業種:銀行・証券

導入製品:ESS REC、ID Inspector

カブドットコム証券株式会社 様

競争力を維持・向上しつつ、

IT統制強化を実現することで急成長するオンライン証券企業

カブドットコム証券株式会社(以下、カブドットコム)は2001年に「日本オンライン証券」と「イー・ウィング証券」(共に1999年設立)の合併により誕生、株式会社三菱UFJフィナンシャル・グループの一員として提携を強化しながら、国内屈指のオンライン専業証券会社というポジショニングを築いてきました。競争の激しいオンライン証券業界において、スピーディーにサービスの差別化を図りながらコストを抑えて収益性を高めるため、フロントシステムから勘定系までITシステムすべてを自社で開発・運用しています。
またカブドットコムは、同業他社に先がけて ISO 9001、ISO/IEC 27001、ISO/IEC 20000-1といった認証資格を積極的に取得、業務品質の向上や従業員のセキュリティリテラシー向上にも取り組んでいます。
そのようなカブドットコムがITシステムの開発・運用における統制強化の目的で選択したのが、エンカレッジ・テクノロジの ESS REC と ID Inspector によるトレーサビリティ強化策でした。

課題

セキュリティインシデント対策にどう取り組むか?

求められるシステム開発・運用における統制強化

これまでカブドットコムでは、ISO/IEC 27001のフレームワークをもとに、システム運用におけるセキュリティ対策として、全てのデータセンターおよび執務室内に監視カメラを設置、運用ルームのガラス張り化、特権IDの利用における承認制といった施策に加え、自社で構築した取引システムやサードベンダーのセキュリティ対策製品のログの取得と保管、異常な振る舞いの通知など、一定の対策は取られてきました。しかしセキュリティ施策の重要性が高まるなか、さらなる対策が必要と指摘され、その対応策について検討していました。

少数精鋭部隊のジレンマ:さらなる権限分離と特権IDの管理

少数精鋭でシステム開発と運用を内製で行うカブドットコムにとって、最近の各種システム運用向けフレームにおいて強く求められる指摘事項である「運用と開発の分離」への対応と、特権アカウント利用のトレーサビリティの確保は、少人数であるがゆえの難しさがありました。
開発と運用の権限分離は、体制面では人員を増強することで可能ですが、それでは単純にコストが増加してしまいます。毎週のようにお客様向けシステムの改善を図るカブドットコムにとって、システム変更に伴う運用ノウハウの変更への追従や、システム障害時の円滑な復旧態勢の確保のための教育という観点でも課題が残ります。以前であれば、非常時や稼働系システムでのみ発生するようなバグの可能性の調査などにおいて、開発チームが直接本番環境にアクセスすることで、よりスピーディーな問題解決ができていたのに対し、権限分離を極端に進めすぎてしまうと、伝言ゲームのような業務伝達が発生してしまいます。これでは組織の硬直化を招き、迅速な対応が困難になり、お客様満足度に影響を及ぼしてしまう懸念がありました。
一方、共有で利用する特権IDの利用廃止にも課題があります。古いシステムでは、もともと個別にアカウント管理が出来ないものが存在します。また、たとえ個別アカウント管理が可能なシステムであっても権限を細かく設定することは、アカウント管理業務の負荷を増加させます。設定ミスや設定忘れといった運用上の支障が生じる懸念もありますし、あるログの取得には、アプリケーションが持っている特権IDを利用するほか手段がないといった制限が存在する製品もあります。つまり、特権IDの廃止と個別IDでの運用は理想的ではあっても、その運用を維持していく上で、現場に過度に負担がかかってしまうような無理がある管理方法となり、かえってリスクを増幅させてしまいかねないのです。

莫大なシステムログでトレーサビリティは高まるのか?

システム開発・運用における統制活動として、その正当性・健全性をモニタリングするためには、ログの蓄積などトレーサビリティを高めることが必須です。カブドットコムでは、オンライン専業証券という事業の性格上、業務のほとんどがITシステムに依存するため、内部統制の観点でのトレーサビリティ確保は、データ量との戦いになります。テラバイト級のシステムログや電子メールログ、社内外からのアクセスログを統合し分析するためには、莫大な費用と構築の手間が必要になってしまうのです。

img_kabu_ill.jpg

選択

アカウントを誰がどう利用するかに着目。 確実で克明な記録によるトレーサビリティの強化を行う

OSレベルの特権IDの利用者を特定し、操作内容を動画で記録
img_kabu_t.jpg
事務・システム本部
システム部
ITプロフェッショナル・エバンジェリスト
谷口 有近 氏

最適な解決策はなかなか見つからないなか、エンカレッジ・テクノロジから送付された製品資料にて ESS REC と ID Inspector を知った谷口氏は「上長から使える製品か調べておくように言われ資料をみたところ『これだ』と思い、トライアルを申込みました」と語ります。
カブドットコムが導き出した解決策は、 ESS REC と ID Inspector を連携させることで、共有アカウントを前提としたシステム運用とその管理方針を大きく変更せずに、トレーサビリティの確保が可能な運用システムの構築です。これにより、共有IDを利用せざるをえないシステムにおいても、そのアカウントをどの社員がいつ利用したのかを、申請なく無断で行われたとしても、特定することができます。
トライアルを通して、 ESS REC と ID Inspector は、機能上の要件を満たすことが確認されました。 ID Inspector は、既存のアプリケーションに一切変更をしなくても、共有利用される特権IDの利用者の特定が簡単に実現できること、また ESS REC については、他製品にはない操作内容を動画で記録するという高いトレーサビリティが有効であると確認できました。
「製品の選定基準としては機能面だけでなく、他にもありました」と谷口氏は語ります。「以前に利用した操作ログ・制御製品は動作が重く、例えば大きなファイルを開くと、その内容を開き終わるまで全てメモリ上に展開してメモリを占領してしまい、人の操作やソフトの動作を妨げるといった、業務効率の低下を引き起こしてしまうことがありました。それに比べ、ESS RECとID Inspectorは動作が軽く、システム負荷はほとんどありませんでした」

導入時の手厚いサポート体制

「また、サポートについても重要な選定基準でした。実は、ID Inspector の仕様は当初、弊社環境ではうまく動作しませんでした。弊社のお客様向け取引システムと社内環境は異なるドメインとして構成され、 ID Inspector を利用する場合に、取引システムのドメインに参加している端末からは社内環境用ドメインのアカウントに対して本人確認ができない仕様だったのです。この問題をなんとか解決したい、というラブコールに対して、短期間で製品の仕様を拡張していただけました。購入の目処はありましたが、トライアル中にですよ」(谷口氏)
このようなやり取りを経て、2009年9月、システム開発・運用端末、経理部門が利用する決済処理関連端末、そして委託先が外部からアクセスする運用システムに対し、正式導入を決定しました。 ESS REC と ID Inspector の導入はほとんどトラブルもなく、トライアルから約2ヵ月で完了し、従来からのID管理の仕組みや各アプリケーションの認証など、大きな変更は一切行う必要がありませんでした。

効果

コストをかけずに統制強化を実現

簡便な仕組みで高いトレーサビリティを実現

担当者は操作を行う際、OS 側が提供する Windows ログオン処理をおこないます。しかしながらこの直後、 ID Inspector が起動し、自身のドメインアカウント情報を入力しなければなりません。ここで普段利用するIDとパスワードを入力することで、システム操作において Windows が認識するアカウントとして共有 ID が利用される場合であっても、誰がそのアカウントを利用したのかを特定し記録されます。また一連の操作内容は、 ESS REC によって操作画面ごと記録されます。このような仕組みにより「誰がいつ、どのシステムに対して、どのような操作を行ったのか」を確実に把握できる高いトレーサビリティを確保することができ、問題発生時の原因究明などが効果的かつ効率良く行えるようになりました。

システム利用者への意識付け効果

導入後、副次的な効果もみられました。操作者や操作内容がすべて記録されていることによる社員の意識の向上です。
「ISMSでは『クリアデスク』という考え方がありますが、導入後システム操作で共用する端末のデスクトップに対する「クリアデスク」の意識が芽生え、これまで何度も言っても直らなかったショートカットやファイルの放置がなくなりました。『クリアデスクトップ』という言い方ができますね。これはデスクトップそのものを動画で記録することによる抑止効果とも言えます。動画のログならではこその効果だと思います」(谷口氏)

自分や会社を守るセキュリティ

インタビューの最後に谷口氏は以下のようなコメントを述べられました。「セキュリティ対策というと、一般的には社員を疑っているような後ろ向きな印象がありますが、私はそうは思っていません。セキュリティ対策を行うことは、社員、つまり自分や仲間が不正を働いていないことを証明することだと考えています。それは企業がステークホルダーに対してアカウンタビリティを果たすことでもあり、お客様情報を守っている態勢を隠さずに正しく伝えることで、結果として企業価値を高めることにつながります。監視のためというよりは『守るため、そして高めるため』の仕組みだと考えれば、前向きに上層部へ提案ができますし、自分達の仕事にもプラスになるのではないでしょうか」
カブドットコムが統制強化に成功した要因は、従来からリテラシー向上や業務品質の向上に努めながらも、理想追求型のセキュリティポリシーに偏重せず、自社の人員規模や体制を踏まえ、実効的な対策を選択したことにあるのではないでしょうか。  カブドットコムでは、今後同ソリューションの適用システムの拡充や、多要素認証との連携など活用を広げ、お客様に安全なオンラインシステムの提供を行えるよう、徹底した統制強化を目指していくとのことでした。

PROFILE:カブドットコム証券株式会社 第一種金融商品取引業 関東財務局長(金商)第61号

○設立
1999年(平成11年)11月19日
○本社所在地
東京都江東区豊洲3-3-3 豊洲センタービル
○URL
http://www.kabu.com/
○事業内容
インターネットや携帯といった媒体による証券取引および付帯業務
○導入製品
ESS REC、ID Inspector

※本内容は、2010年2月時点のものです。

img_pdf.jpg

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時