課題と選択
内部統制の高度化とセキュリティ強化を検討
内部統制の高度化と内部不正に対するセキュリティ強化が課題に
DeNAでは社内系システムと呼ばれるシステムが勘定系やワークフローといった社内の業務全般を支えています。社内系システムはWindowsやLinuxをはじめ、各種アプライアンス製品など個々の業務に応じた機器で構成され、システム全体では200~300台ほどの物理マシンが稼働しています。
「社内系システムには個人情報を扱うシステムが多く存在します。そのため大きな情報漏洩など、今後起こりうる事象に対するリスクマネジメントとして、対策が必要だと感じていました」(渡會氏)
こうした課題に対応するため、DeNAでは内部統制の高度化とデータの改ざんなど内部不正に対するセキュリティ強化を目的に、システムの運用管理者が行う作業の内容を詳細に記録する製品を探していました。
与えられた権限の範囲内で行われる不正を防ぐには?
DeNAではESS RECの導入以前から内部統制や内部不正に対するセキュリティ対策の一環としてアクセス制御や操作証跡の取得などを組み合わせた複合的な取り組みを実施していました。
「ESS RECの導入以前から、運用管理者別の詳細なアクセス制御は当然の対策として実施していました。しかし適切に与えられた権限に対しては、その権限の範囲内で行う作業を禁止することはできません。そのため私たちは、与えられた権限の範囲内で不正が行われるリスクについて危惧していました」(渡會氏)
同様に操作証跡の取得に関しても、有事の際の原因究明に利用するという目的もあり、作業者や作業内容に例外を設けず、必ず操作証跡を記録するという社内的なルールが存在していました。しかし記録の精度が社内で統一されておらず、すべての作業について詳細な操作証跡を取得する必要性を感じていました。
こうした時期に紹介を受けたのがエンカレッジ・テクノロジのESS RECです。ESS REC最大の特徴である動画形式の記録は、あらゆるシステム操作の詳細な操作証跡の取得を求めるDeNAにとって非常に魅力的でした。
「社内系のシステムにはWindowsサーバーが多いため、GUIの操作をはっきりと確認できる動画形式の操作証跡が取得できるという点は大きかったです。またESS RECの動画形式の記録であれば、コマンドを打った、どこのサーバーに接続したという記録にとどまらず、コマンドに対してどのような結果が戻ってきたのか、接続したサーバーでどのような操作をして、どのような情報が取り出された可能性があるのかも確認できます。ESS REC は作業の一挙手一投足を記録したいという私たちの要件を満たしていました」(渡會氏)
また秘密鍵を利用したESS RECの記録の保存形式は、職務分掌の観点からもよく考慮されており、魅力を感じています。この仕組みを利用すれば、システム管理者がESS RECの記録に対して管理者権限を有している場合でも、秘密鍵を与えなければ記録の再生・確認を防ぐことができます。操作証跡を記録しながら、こうした職務分掌に対応できる製品はほとんどありませんでした。
導入と効果
ESS RECの操作証跡が内部統制の高度化とセキュリティ強化を実現
動画形式の詳細な記録と高い検索性を活かして効率的な原因究明を実現
トライアル期間も含め、ESS RECの導入から運用開始までかかった期間はわずか4 カ月でした。2012年11月にESS RECのトライアルを開始し、証跡の取得にかかわる部分を中心としたテストに2ヵ月、運用方法の変更に伴う社内の調整に2ヵ月をかけ、2013年2月からESS RECの運用を開始しました。導入前にトライアル期間を設けたことやエンカレッジ・テクノロジの営業から頻繁にフォローを受けたこともあり、導入後は問題なく稼働し、期待通りの効果を発揮しています。
「動画形式で作業を記録しているため、作業結果もはっきりとわかります。ヒューマンエラーが生じた際に、ESS RECによる動画形式の記録を見返すことで、ミスの原因がすぐに判明し、迅速な原因究明につながったこともありました」(谷口氏)
ESS RECの動画形式の記録は、特定の文字列やオペレーションを検索し、該当箇所だけを確認することが可能です。こうした機能を利用すれば膨大な操作証跡も効率的に内容を確認することができます。
また万が一、内部不正などによってセキュリティ上、重大な問題が生じた場合にはESS RECが記録した詳細な操作証跡を警察などの機関に提供することも考えています。
ESS REC を内部不正の抑止力としても活用
ESS RECの動画記録は作業内容の確認以外に、内部不正の抑止力という部分でも役立っています。
「ESS RECの導入にあたり、システムの運用管理者には全ての操作証跡をESS RECで記録することを伝えています。ESS RECで詳細な操作証跡が取得されていると意識することで、内部不正の抑止力になればいいと考えています」(鳥越氏)
また現在は、有事の際の原因究明のために利用することを主な目的として動画形式の記録を取得していますが、いずれはESS RECの検知ルール機能も活用していきたいと社内で検討を重ねています。検知ルールは、あらかじめ特定の操作を指定することで、その操作が実行された際にシステムの監視者に対してアラートを上げるESS REC独自の機能です。この検知ルールの活用ですが、現在はアラートの精度や効果を最大限高めるためのポリシー策定を社内で進めている段階です。
たとえば、Active Directoryに対する不要なアカウント作成や不用意なシステム再起動といった操作に対してアラートをあげるよう設定することで、動画形式の記録を利用した従来の発見的統制だけでなく、予防的統制や、障害発生時の即時的対応が可能になると期待しています。
展開
さらなる内部統制の高度化やセキュリティ強化を目指して
社内の別システムへの展開も模索
DeNAには社内系システムのほかに、ソーシャルゲームなど実際のサービスを提供するための事業系システムが存在します。業務系システムでも個人情報を扱っており、内部統制やセキュリティ面では社内系システムと同等の対策をとる必要性を感じています。
社内系システムと比較するとLinuxが圧倒的に多いシステムですが、ESS RECはLinuxOSにも対応しており、Linux特有のコマンドライン主体のオペレーション内容も詳細に記録することができます。したがって、WindowsやLinuxといった異なるプラットフォームに対しても、共通の仕組みが活用できるという点は、適用範囲を拡大していく上で大きなメリットだと感じています。
内部統制の高度化やセキュリティ面の強化に注力するDeNA様。エンカレッジ・テクノロジはこれからもこうしたお客様のサポートに努めてまいります。
※本内容は、2013年4月時点のものです。