導入事例

業種:生保・損保

導入製品:ESS AdminControl

三井ダイレクト損害保険株式会社 様

IT統制の強化に注力、社内業務のセキュリティ管理も重要視

ESS AdminControlの導入で特権IDの徹底管理と効率化を実現

MS&ADインシュアランス グループの一員である三井ダイレクト損害保険株式会社(以下、三井ダイレクト損保)は、通信販売専門の保険会社として2000年6月に開業しました。通販系損保の中でもいち早くインターネット市場の将来性に着目し、個人向けの自動車保険をインターネットや電話を通して提供するビジネスモデルを構築しています。
こうしたビジネスモデルを通して、スピーディかつスムーズなコミュニケーションを実現し、利便性・安心感を追及した商品・サービスを提供することで、企業品質と企業価値の向上を目指しています。

課題と選択

特権ID管理はどこまで効率化できるのか?

台帳と運用フローによって特権IDを管理
pic
IT企画部
マネージャー
榎本 洋平 氏

三井ダイレクト損保は、保険契約に関する業務を担う基幹システムを中心に、開業当初からITを積極的に活用してきました。現在では、自社内で保守・運用するサーバーとクラウドサービスを合わせ、約80のサーバーが保険業務やその他の社内業務を支えています。システムの安定稼働が業務上必要不可欠であること、またMS&ADインシュアランス グループの一員として自動車保険を引き受けるという社会的責任から、システムのセキュリティ管理を重視し、IT統制に積極的に取り組んでいます。
こうした取り組みの一環として、同社では各種システムに対して、特権ID利用台帳を用いた運用フローに基づく特権IDの管理態勢を敷いていました。これらのシステムの保守・運用にあたる社内のメンバーや外部委託先の社員は、下図の運用フローに沿って、日々、作業を実施していました。
「開業当初から、特権IDを管理しなければならないという認識は社内にありました。まずは手作業で運用し、メンバーに負荷がかかることを理解したうえで、必要に応じてツールの導入も検討しようという考えでした」(榎本氏)

特権IDの貸出管理と突き合わせにかかる負荷が顕在化

「システム運用に携わるメンバーには、通常の業務に使用する低い権限の個人ID以外に、特権を付与した作業用IDを個人別に用意していました。管理者にとっては、この作業用IDの貸出が大きな負荷になっていました」
「月に1回、作業者が実施していた特権ID利用台帳とログイン履歴の突き合わせにも、大きな負荷がかかっていました。約200件の作業履歴を確認するため、突き合わせには毎回半日程度の工数がかかっていました」
こうした背景を受けて、三井ダイレクト損保は2012年から特権ID管理ソリューションの導入検討を開始、エンカレッジ・テクノロジのESS AdminControlも検討対象に挙がりました。

図 ESS AdminControl 導入前の運用フロー
図1 ESS AdminControl 導入前の運用フロー

比較検討の結果、ESS AdminControlの機能が採用の決め手に

他社製品との比較検討の結果、次の3つの機能が、ESS AdminControl採用の決め手になりました。

■特権IDのパスワードを作業者に教えることなく、 作業環境を提供
「他社製品とは異なり、作業対象への接続からログイン時に必要なパスワードの投入まで、専用のアプリケーションが全て自動で行うという点が、ESS AdminControl選定時の1番のポイントになっています」
また、このアプリケーションを使用することによって、作業者個人を特定したまま、共有型の特権ID利用も実現します。

■特権IDのパスワードを定期的に自動で変更
特権IDのパスワードを定期的に自動で変更する機能も導入の決め手になりました。この機能を活用することで、作業前後のパスワード変更漏れといったヒューマンエラーも未然に防ぐことができます。

■作業申請のないログインが一目でわかるレポートの生成
ESS AdminControlは作業申請とサーバーのログイン履歴を突き合わせたレポートを自動的に生成します。申請のない未許可のアクセスが一目でわかるレポートを出力することで、突き合わせ作業の効率化を実現します。

導入と効果

特権ID管理にかかっていた負荷の大幅削減を実現

特権ID管理の大部分が自動化

2013年9月、三井ダイレクト損保は、各種システムの中でも作業頻度の高い約20のサーバーに対してESS AdminControlの導入を決定しました。約1ヵ月で設計・構築を完了、仮運用や運用方法の定着期間を経て2014年1月から本格的な運用を開始しています。
「ESS AdminControlの設計・構築には、プロフェッショナルサービスを利用しており、ワークフローの遷移時に届くメール文面のカスタマイズなど、ユーザビリティを向上するための支援も受けています」
ESS AdminControlの活用に伴い、これまで手作業で行っていた特権ID管理の大部分が自動化されました。これにより、三井ダイレクト損保では、次のような効果を実感しました。

■貸出管理の自動化により負荷を削減
ESS AdminControlの導入により、特権IDの貸出管理とパスワード変更が自動化され、管理者にかかっていた負荷が大幅に削減できました。また、社内メンバー個人ごと、外部委託先ごとに管理していた複数の作業用IDを廃止して、共有IDを使用することで、管理対象となる特権IDの数も大幅に減少しています。

■突き合わせ作業は半日から1~2時間程度に
ESS AdminControlのログイン履歴突合レポートを活用することで、サーバーのログイン履歴と特権ID利用台帳の突き合わせが不要になりました。ログイン履歴突合レポートは自動で生成されるため、作業者にかかる負荷は、レポート上で不正なログインがないか確認するだけになりました。 「以前は半日かかっていた突き合わせ作業が、今では1時間~2時間で済むようになりました」

図 ESS AdminControl導入後の三井ダイレクト損保
図2 ESS AdminControl導入後の三井ダイレクト損保

展開

IT統制高度化のため証跡管理の強化も検討

今後、三井ダイレクト損保では、ESS AdminControlの管理対象サーバーの拡大と併せて、エンカレッジ・テクノロジの証跡管理ツール、ESS RECを活用した証跡管理の強化も検討しています。社内向けシステムの大半をWindowsサーバーで構築しているということもあり、動画形式で作業内容を記録できるESS RECは有効だと考えています。
エンカレッジ・テクノロジでは製品の機能拡張や、展開のご支援等を通して、これからも三井ダイレクト損保様のシステム運用のサポートに努めてまいります。

PROFILE:三井ダイレクト損害保険株式会社

○設立
2000年(平成12年)6月
○本店所在地
東京都文京区後楽1丁目5番3号
○URL
https://www.mitsui-direct.co.jp/
○事業内容
開業以来、「プロフェッショナルな事故サービス」を「合理的で納得感のある保険料で提供する」ことを目指して、個人向けの自動車保険をインターネットや電話を通して提供する。
○導入製品
ESS AdminControl

※本内容は、2014年7月時点のものです。

PDF版のダウンロードはこちらをクリック

この記事を読んだ人はこんな記事も読んでいます
特権ID管理の高度化・効率化
ESS AdminControl
お問い合わせ メールマガジン購読
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時