画面をクリックすると、簡単な製品コンセプト動画が再生されます。

システム運用における「ヒューマンリスク」とは?

ITシステムの進化、そしてITへの依存度が高まり、業務は自動化されていても、その運用は依然として“人の操作”に依存しています。 そのため、”人”が介在することで引き起される事故が後をたちません。特にシステム運用においては、アプリケーションやデータベースへの直接の操作を行うような特別な権限（特権ID）を利用することが避けらないため、権限の濫用や利用者の不注意等による誤操作がもたらすリスクへの対処が必要だと考えています。
エンカレッジ・テクノロジは、これら"人"が起因する問題を「システム運用におけるヒューマンリスク」として定義し、この固有のリスク要因の特徴に合わせたソリューションが必要だと考えています。

システム運用固有のヒューマンリスク要因とは？

　

高い技術を有する権限者に対する統制であるという点

一般にシステム運用を担当する社員や外注スタッフは、ITシステムに関する高い知識を有しています。技術知識の豊富なシステム運用担当者の特権IDの利用に対する有効な統制を行うためには、ITを利用した仕組みで防止するのではなく、適正な権限の利用、利用者の不注意による誤操作がたとえ発生してもすぐに発見できることに重点を置くことが重要だだと考えられます。

　

機密性よりも完全性・可用性に対する対処が重要である点

一般にセキュリティに対する脅威は、情報が外に漏れてしまう機密性にばかり注目がいきがちで、取られる対策の多くも機密性の担保が中心です。 サーバールームおよび運用ルームに関しては、従来より厳格な入退室管理、外部記憶媒体の持ち込み禁止、生体認証による個人の特定、監視カメラの設置など、多くの企業が一般オフィスエリアよりも高いセキュリティ対策を実施しています。
これら機密性対策が十分に行われていても、対処できないのが、データ、情報そのものの完全性の確保であり、情報を保管するシステムの可用性なのです。

 

作業内容の妥当性は、その作業理由によるという点

システム運用業務における作業内容の妥当性はどのように判断されるのでしょうか？ たとえば、「財務・会計システムが保管する経理データに対して、データベースに直接アクセスし、修正作業を行う」という作業があるとします。この作業が正当な作業かどうかは、修正すべき理由とその修正内容に対して経理データの所有者である経理部門やシステム運用責任者の承認があるかどうかに依存します。 したがって、「業務外のインターネットサイトの閲覧禁止」「USBストレージの使用許可制」など一般オフィスで規定されているセキュリティポリシー のように単純に作業内容だけを検証しても、その正当性は判断できないという性質を持っています。
逆に作業内容だけに焦点を当て、特定の作業を禁止・制限するような取り組みを行ってしまうと、正当な理由によってその作業を実施しなければならない時に支障が出てしまいます。

 

「人の視点」から見たログで実効的な発見的統制を

これらのシステム運用における固有のリスク要因から考えられる手立ては、未然に防ぐのではなく、作業内容・作業結果を綿密に点検・監査し、正当な理由のない操作や不注意による誤操作を早期に発見し対処することが重要だと考えられます。

エンカレッジ・テクノロジではこのコンセプトにのっとり、システム運用固有のヒューマンリスク管理を実現する製品としてESS RECを開発しました。