導入事例

業種:銀行・証券

導入製品:ESS REC, ESS AdminControl

川口信用金庫 様

地域社会の発展を支援する「質の高い金融機能・サービスの提供」

基盤となるシステムに対しても安全性を追求

川口信用金庫(以下、かわしん)は、埼玉県南部を中心に地域社会に密着した事業・サービスを展開する相互扶助型の金融機関です。地域社会の持続的な発展に貢献するため、取引先企業の経営状態に対するコンサルティ ングなど「質の高い金融機能・サービスの提供」を目指した取り組みを重点的に行っています。さらに地域主催のイベントなどにも積極的に参加し、文化的・社会的な面からも地域社会の発展を支えています。
2014年3月には創業90周年という節目の年を迎えるかわしんですが、地域社会にとって欠かせない信用金庫となれるよう、地域の発展に貢献できる体制作りを日々進めています。

課題と選択

システムの保守・運用における安全性向上のベストプラクティスとは

地域社会を支える金融機関として、システム運用の安全性向上を追求
pic
事務集中部
部長
本橋 康正 氏

かわしんでは、共同利用型の勘定系システムを中心に、情報系システムや業務系システム、サブシステムなどで構成されるシステム群を利用して、日々業務を行っています。
「この中でも自庫内で保守・運用を行う情報系システムは、60万件近い顧客情報や監督官庁に提出する資料用のデータなど、重要な情報を大量に保持しています。これらの重要システムを安定して稼働させるためには、不必要なアクセスや誤操作、不正操作がないよう、保守・運用作業を管理する必要があります」(本橋氏)
「特権ID 管理ソリューションの導入前は、庫内のサーバールームにあるWindows Serverで構成された約20の情報系システムに対して、庫内の職員や外部ベンダーがサーバーを直接操作して保守・運用作業を行っていました」(冨田氏)
かわしんでは、情報系システムの保守・運用作業に対して、ICカードを利用したサーバールームの入退室管理やテキスト形式のログによる証跡管理等、複数のセキュリティ対策を実施していました。しかし現状の対策に満足することなく、より安全なシステム運用を担保するセキュリティ対策の必要性を常に模索していました。
こうした中、2012年10月に開催されたあるセミナーへの参加をきっかけに、かわしんでは情報系システムにおける特権ID管理と作業内容のモニタリング実施の是非について検討をはじめました。
「セミナーでは、複数のベンダーや監査法人から『特権ID管理の強化によるIT統制の高度化』について説明を受け、システム運用時の安全性向上に特権ID管理と作業内容のモニタリングが効果的であることを知りました」(国分氏)

特権ID 管理と作業内容のモニタリングについて対策強化を検討
img_kawa2.png
事務集中部
システム課
課長
国分 良孝 氏

セミナーの内容を踏まえて、かわしんは自庫の特権ID管理と作業内容のモニタリングの現状について見直しを実施、以下2点について対策強化の余地があると判断しました。

■アクセス先の管理
かわしんではサーバールームへの厳格な入退室管理を実施していましたが、各作業者が常に特権IDを保有 している場合、入退室手続き後に、本来は作業予定のないシステムに対してもアクセスする可能性があります。

■作業内容の記録と点検
かわしんの情報系システムはWindows Serverで構成されているため、保守・運用作業はGUIを利用して行います。この場合、テキスト形式のログだけでは作業内容の詳細な記録が難しく、作業後の確認時に誤操作や不正操作を見逃す可能性があります。

「当庫の職員は十分な教育を受けており、誤操作や不正操作を行うことは通常ありえないと考えています。しかし、地域社会を支える金融機関という立場から、不祥事を起こさない仕組みを整備することも重要だと考えています」(国分氏)

なぜESS SmartIT Operation だったのか?

当初、特権ID と証跡管理を職員が手作業で実施する方向で検討を進めていたかわしんですが、作業ミスや作業を実施する職員の負担増加を懸念していました。こうした状況の中、以下のページの機能が決め手となり、2013年6月にかわしんはエンカレッジ・テクノロジのESS SmartIT Operation製品群のESS AdminControl とESS REC の採用を決定しました。

■ESS AdminControl:ワークフローを利用した申請・承認ベースの特権ID貸出
ワークフロー上で事前に申請・承認された作業にのみ、特権IDを貸出す仕組みを実現。さらに、作業対象のシステムにログインする際はESS AdminControlが作業者に代わってパスワードを自動で投入。作業者からパスワードを隠ぺいしたまま特権IDを貸出すことで、誤用や濫用の防止を実現。

■ESS REC:動画形式の記録とレポートを利用した作業内容のモニタリング
動画形式の記録でWindowsのGUIを利用した作業内容についても、詳細な確認が可能に。作業後に出力される監査レポートの活用により、危険度の高い作業を優先的に確認できる効率性も実現。
また、金融機関への導入実績が多い点、国内の同一ベンダー製品で特権IDと操作証跡の管理を同時に実現できるという点も選定理由のひとつです。

導入と効果

システムの保守・運用における安全性を担保する仕組みを構築

特権ID 貸出と証跡管理の仕組みを確立
img_kawa3.png
事務集中部
システム課
副長
冨田 憲央 氏

製品の採用決定後、設計・構築は約3ヶ月で完了、特に大きな問題もなく10月から試験運用を開始し、12月からは全システムを対象に本格的な運用を開始しています。
「製品の設計・構築にはエンカレッジ・テクノロジのプロフェッショナル・サービスを利用しています。作業者ごとに保有していた特権IDの共有化やワークフローの運用方法に関しても提案を受け、以下のような仕組みを構築しました」( 冨田氏)

■ 特権ID の貸出しプロセスを確立
かわしんでは、ESS AdminControlのワークフローを利用することで、事前の作業申請・承認に基づく特権IDの貸出プロセスを確立しました。また各作業者が特権IDを保有する方式から、事前の作業申請・承認を経て、共有ID を貸出す方式に変更することで、不用意な特権IDの使用を防ぐ仕組みを構築しました。

■ レポートを活用した効率的なモニタリング
かわしんでは誤操作や不正操作の早期発見を目的にESS AdminContol が出力するサーバーのログイン履歴レポートを日次で確認する運用態勢を確立。ログイン履歴レポートをもとに事前の作業申請・承認がないアクセスの有無を確認します。申請・承認のないアクセスを発見した場合は、ESS RECの動画形式の記録をもとに作業内容を詳細に確認します。
さらに、ESS RECを活用して、USBメモリの使用など事前にルールを設定、ルールに抵触する作業が発生した場合にリアルタイムのアラートが上がる仕組みも合わせて構築しています。

「ESS AdminControl とESS RECの導入は庫内の職員や外部ベンダーにも伝えており、特権IDの誤用・濫用に対する抑止力としての効果を期待しています。また、誤操作が発生した場合に、原因の早期究明に動画形式の記録が役立つことにも期待しています」(国分氏)

ESS AdminControlとESS REC 導入後のかわしん
図 ESS AdminControlとESS REC導入後のかわしん

展開

社屋の移転で物理的なセキュリティ対策も強化

「かわしんでは、2014年から本店社屋の建て替えを開始、2016年には新社屋の竣工を予定しています。そのための工事に伴い、2014年1月末にサーバールームをはじめ、本店機能が仮社屋へ一時的に移転します。移転後はサーバールームへの入退室管理の強化や、サーバーと作業端末の隔離といった物理的なセキュリティ対策を強化します。それにより、ESS AdminControlとESS RECという論理的なセキュリティ対策に加えて、より一層の安全性を実現できると考えています」 (国分氏)
こうした取り組みを通して、お客様に対する「質の高い金融機能・サービスの提供」に注力するかわしん様。エンカレッジ・テクノロジはこれからもこうしたお客様のサポートに努めてまいります。

PROFILE:川口信用金庫

○設立
1924年(大正13年)3月1日
○本社所在地
埼玉県川口市栄町3丁目9番3号
○URL
http://www.shinkin.co.jp/ksb/
○事業内容
「わが川口信用金庫は、堅実公正な経営に徹し、地域社会の繁栄に奉仕する」を基本理念とする相互扶助型の金融機関。
○導入製品
ESS SmartIT Operation製品群 ESS REC、ESS AdminControl

※本内容は、2013年11月時点のものです。

PDF版のダウンロードはこちらをクリック

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時