導入事例

業種:銀行・証券

導入製品:ESS AdminControl、ESS REC

株式会社沖縄海邦銀行 様

委託先ベンダー40社が保守作業で行うリモート接続のアクセス管理を一元化

ESS AdminControlだからこそ実現した「特権IDのあるべき運用体制」へ

株式会社沖縄海邦銀行(以下、かいぎん)は、那覇市に本店を置く第二地方銀行です。設立以来、健全経営を基本とし、顧客の立場に立った地域密着の経営を行ってきました。現在は、ブランドスローガン「Beyond the Bank あなたの明日へ」のもと、「お役に立てる銀行」を目指してさまざまな取り組みを実施しています。中でも顧客とのコミュニケーションには力を入れており、地域ボランティアへの参加やサンゴの保全などの社会貢献活動を積極的に展開。また、オリジナルキャラクター「かいホーくん」を起用したLINEやクイズアプリなども活用し、コミュニケーションの活性化を図っています。

課題と選択

情報漏洩事件・事故が社会問題となる中、行内外からのアクセス管理体制を見直したい

ルーターのスイッチ切り替えだけでは委託先ベンダー40社のリモート接続を十分に管理できない
高宮城氏
執行役員 事務統括部長
高宮城 毅 氏

山城氏
事務統括部 システム担当 企画グループ
調査役 山城 克也 氏

島村氏
事務統括部 システム担当 企画グループ
島村 祐介 氏

天願氏
事務統括部 システム担当 情報系開発グループ
調査役 天願 篤 氏

かいぎんでは、勘定系システムのサブシステムや情報系システムなど、約120台のサーバーを自行で運用しており、事務統括部システム担当が主体となって各サーバーの導入や管理を行っています。各サーバーの保守作業は、委託先ベンダーにも依頼しており、その数は合計40社にのぼりました。
「委託先ベンダーに依頼する保守作業については、一部所管部署に管理を任せていましたが、その際には必ず作業申請をしてもらっていました。ただ、委託先ベンダーの数が多いこともあり、所管部署ごとに手順や書類の様式が違っていました。場合によっては電話による口頭で済ませていたケースもありましたね」(島村氏)
委託先ベンダーが保守作業をする際は、所管部署だけでなくシステム担当も作業に仲介します。行内で委託先ベンダーが直接サーバーにアクセスする際は、システム担当の行員による立ち会いも行っていました。こうした中、委託先ベンダーが行うリモート保守作業のアクセス管理に改善の余地があったといいます。
「従来、委託先ベンダーがリモート接続によって保守作業を行う際は、システム担当が2人体制のもとルーターのスイッチを切り替えることでアクセス管理をしていました。対象のサーバーに直接接続するための経路や仕組みはそれぞれの委託先ベンダーで整備していたため、保守作業のプロセスも各委託先ベンダーの方式に合わせており、システム担当の体制は非常に複雑化していました。実際の作業報告も確認していましたが、詳細な作業内容のログを残し、厳密にチェックできるような仕組みを整備したいと考えていました」(天願氏)
また、特権IDとそのパスワードは所管部署と委託先ベンダーの間で共有していたため、その管理体制についても不安を感じていました。
「幸い、事件・事故は起きていませんでしたが、こうした委託先ベンダーに対する管理体制に懸念がありました。近年、情報流出事件やサイバー攻撃問題が大きな社会問題となっていますから、銀行業界においても情報セキュリティの強化が喫緊の課題となっています。そこで、専門家にアドバイスを求めたところ、特権IDの管理体制の強化には、専用ツールの使用が効果的とのことでしたので、ソリューションの検討を開始したのです」(高宮城氏)

特権ID&証跡管理ツールとしての高い評価と丁寧な説明から安心して製品を採用

そこでかいぎんでは、ITベンダー5社に対しソリューションの提案を依頼しました。その際、要件としては、以下のようなポイントを満たすことを求めています。
● 委託先ベンダーによるリモート接続の管理ができること
● 行内外の作業内容を詳細に管理できる仕組みを実現すること
● IDとパスワードを一元的に管理できること
● サブシステムへの影響を抑えるため、エージェントレスであること
そして各社から上がってきた提案書を確認したところ、5社中3社がエンカレッジ・テクノロジの製品であるESS AdminControlとESS RECの活用を提案。中でも、両製品の活用と組み合わせて、リモート接続のネットワーク経路を1つに集約できる構成の提案が優れていたといいます。
「リモート接続の管理については、外部アクセス専用の中継サーバーを設置するという提案が最も優れていました。これなら、今まで委託先ベンダーごとにバラバラだったリモート接続の仕組みやプロセスも一元管理できます」(山城氏)
「業界でそれだけ高い評価を受けているソリューションであれば間違いないと思いました。価格面だけを考えれば他の選択肢もなくはなかったのですが、最終的には安心感を優先することにしました」(島村氏)
方針を決定したあとも、別途エンカレッジ・テクノロジの技術者から詳細な説明を受け、製品の使い勝手や要件を満たすことを十分に確認することができました。
「今までの管理体制を大きく変えることになりますので、もちろん不安もあったのですが、エンカレッジ・テクノロジの技術者の説明が非常に丁寧でわかりやすかったため、そうした不安はきちんと解消することができました」(山城氏)
「導入にあたってサブシステムへの影響なども懸念していたのですが、エンカレッジ・テクノロジの製品はエージェントレスで導入できることも含め、導入後の運用についてもしっかり提案・説明してくれたので安心して導入を決意できました」(島村氏)

導入と効果

委託先ベンダーのアクセス経路と申請プロセスを一元化することで、徹底した特権ID&証跡管理を実現

ESS AdminControlでの申請は「この作業は本当に特権IDが必要か」といった判断材料にも

かいぎんは2016年1月から新しいリモート接続の仕組みの構築と製品の導入を開始。これまで各委託先ベンダーが持っていたリモート接続の仕組みを全て廃止するとともに、対象のシステムにアクセスする際は、外部アクセス専用の中継サーバーを経由するよう仕組みを変更しました。併せて、エンカレッジ・テクノロジの技術者によるプロフェッショナルサービスの利用のもと、ESS AdminControlとESS RECの導入を進めました。
「それぞれの委託先ベンダーとの調整もありますので、まずは私たちの部署で運用しているサーバーの一部を対象とし、その結果を踏まえて他のサーバーへ展開してゆきました。当初はネットワークへの接続がうまくいかないこともありましたが、ITベンダーやエンカレッジ・テクノロジの協力を得て問題を解消していき、9月にはすべてのサーバーへの適用が完了しました」(天願氏)
かいぎんがエンカレッジ・テクノロジ製品の利用を始めてから取材時点(2017年9月)で約1年半が経過していますが、この間に作業の管理体制および情報セキュリティは大きく向上しています。
まず、これまで使っていた特権IDの使用をやめ、新たに作業用のIDを用意。作業用のIDは作業申請ごとにESS AdminControlによって貸し出される形式となり、定期的なパスワード変更も自動化するようにしました。これにより、固定パスワードの特権IDを使い回す必要がなくなり、セキュアな特権ID管理が実現しました。
また、ESS AdminControlの作業申請ワークフローを使うことにより、システム担当で各サーバーへのアクセス状況をすべて管理できるようになっています。
「委託先ベンダーの作業者が行外からリモート接続する際はもちろん、行内の作業者がサーバーへアクセスするときも、ESS AdminControlワークフローを使用して作業申請を行い、必ずシステム担当の承認を介す体制になりました。これなら各サーバーへのアクセス状況をシステム担当が全て把握・管理することができますので、効果は非常に大きいです。作業申請の項目も、特権IDを使う作業の際にチェックしたい項目が揃っていますので、『この作業は本当に特権IDで行う必要があるのか』といった判断も可能になりました」(山城氏)

行員による立ち会い以上の作業監視体制を実現することで、作業者のセキュリティ意識向上へ

さらに、ESS RECによって全ての作業を確実に記録できるようになりました。おかげで、すべての保守作業にあたかも行員が立ち会っているかのような効果がもたらされることになりました。
「ESS AdminControlの作業申請とESS RECの詳細な作業記録は紐づいているので、定期的に監査レポートで内容を確認しています。こうして定期的に作業内容を確認できるプロセスが確立したことから、行員だけでなく委託先ベンダーの情報セキュリティに対する意識もずいぶんと高まりました」(島村氏)

図 ESS AdminControl、ESS REC 導入後の株式会社沖縄海邦銀行様
図 ESS AdminControl、ESS REC 導入後の株式会社沖縄海邦銀行

展開

今後も適確なアドバイスを期待し、柔軟にエンカレッジ・テクノロジの製品を活用していきたい

かいぎんでは、災害対策などの観点から、2019年5月に勘定系システムをシステムバンキング九州共同センターへ移行することを予定しており、周辺のサブシステムについても今後は整理してゆきます。また、これから様々な分野でクラウドの利用・運用が進んでいくことから、かいぎんの行内で運用している各サーバーも、行外のデータセンターへ移すといった選択肢が今後出てくることが考えられます。将来的にシステム構成が大きく変わってゆく可能性があった場合には、柔軟にエンカレッジ・テクノロジの製品も活用していきたいとのことです。
「ソリューションを検討する際には、エンカレッジ・テクノロジの技術者が大変わかりやすい説明をしてくれました。今後システム構成を変更することによってESS AdminControlやESS RECの活用方法も変わってくると思うので、そのときはまたアドバイスをいただきたいですね」(山城氏)

PROFILE:株式会社沖縄海邦銀行

○設立
1964年4月2日
○本社所在地
沖縄県那覇市久茂地2-9-12
○URL
https://www.kaiho-bank.co.jp/
○事業内容
預金業務、貸出業務、商品有価証券売買業務、有価証券投資業務、内国為替業務、外国為替業務、社債受託および登録業務、付帯業務
○導入製品
ESS AdminControl、ESS REC

※本内容は、2017年9月時点のものです。

img_pdf.jpg

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時