施策
特権IDで運用端末を操作することへのリスク対策
特権IDによる情報漏洩・不正操作対策
操作記録で不正操作を抑止
操作ログ取得ツールの検討
■高度な管理・運用体制下でのリスクへの対策
DLSでは、会社設立以降一貫して情報セキュリティ対策、リスク管理、個人情報保護等を会社にとっての最重要課題として取り組み、高いレベルの体制・管理基準を構築・維持しています。また、それらが有効に管理・運用されているかを客観的にチェックする内部監査体制も整備しています。
内部監査部門は、社内全部門に対する内部監査を実施するとともに、社外に対しても日本内部監査協会、システム監査学会、システム監査普及連絡協議会等に加入・活動し、ISMS審査員、ISO(品質・環境)審査員、公認内部監査人(CIA)、システム監査技術者等の資格取得者を擁しています。
このような高度な体制を擁するDLSでは、特権IDで運用端末を操作することのリスクへの対応が課題になっていました。
「システム管理者は様々なリソースにアクセスする権限を持っています。もし、システム管理者が悪意で情報漏洩などを起こせば、その被害は計り知れないものがあります。しかし、そのようなリスクに対して、操作上の禁止項目や制限項目を設けたのでは、本来の運用業務に支障が出る可能性があります。そこで運用業務に支障を与えずに操作記録を取得する事で、不正操作等を抑止するというコンセプトのもと、操作ログを取得するツールの選定を行いました。」(中山氏)
選択
操作キーと画面のログ取得ツールを検討
社内ルールに基づくデータ保存量への対応
スパイウェアとして検出されないこと
■ESS RECの選択
操作ログを取得するツール選定のポイントは、操作キーのログの取得、そして次に操作画面の取得でした。
「既存のツールを組み合わせて、第一生命への提案をまとめたのですが、画面の取得ツールはコンソールの機能で取得するもので、データ量がかなり大きくなってしまい、お客様の要求に応えられるものではありませんでした。」(中山氏)
そこで、再検討を行う中でESS RECに出会い、操作キーと画像の取得について評価を行いました。
「評価の基準の一つは、ESS RECが動画で取得する操作画像の容量でした。弊社では、ログの保管期間が決められおり、試算したところ、その基準に基づいて保存が可能という結果が出ました。もう一つの評価の基準として、このツールがスパイウェアとして検出されないことがあげられ、ESS RECは、この基準も満たしました。また、はじめにツールの仕様についてしっかり説明いただいたこともあり、導入が非常に容易で、2週間という短期間で評価を完了させることができました。」(細谷氏)
ESS RECは、画面差分の取得と独特の圧縮手法を用いることで保存データ量を削減しており、通常の動画保存に比べてはるかに少ない容量で保存が可能となっています。また、基本的に操作画面の取得という方式であることから、他社ツールに比べてウィルス対策ソフトに検知されにくいアーキテクチャが採用されています。
効果
ESS REC の導入効果
操作ログ取得を社員へ周知
企業ポリシーとしての操作記録取得と監査
誤操作原因の分析と改善へ
■高度なリスク管理体制と運用を支援
現在、 ESS RECは、第一生命の基盤系システムの操作記録を取得していますが、システム負荷はほとんどなく、操作上もストレスなく利用されています。また、操作ログを記録していることは社員に周知され、運用担当部門のセキュリティ・ポリシーにも組み込まれています。
経済産業省の提示する「システム管理基準」等でも、操作内容についての記録の取得が例示され、今後企業における操作ログの記録取得と定期的な検査・監査活動は、企業のIT統制上のポリシーとしての重要性が高まることが考えられます。
「ESS RECのレポート機能を利用し、週間単位で操作内容をチェックしています。事前にセットした不正操作や誤操作パターンに符合した場合にアラートをあげるようにしています。 使い方については、これからいろいろと考えられると思いますがESS RECの導入は、不正操作や誤操作の抑止機能として使うだけではなく、間違ったコマンドなどを後追いすることで発生した問題に対して作業内容のミスなのか、システム側の問題なのかが分析できる効果もあります。」(川端下氏)
DLSでは、ESS RECの導入は、当初から一定の部門用ということで導入検討されたものではないことから、今後の予定として、システム基盤系のみではなく、アプリケーションや部門システムへの拡張展開の可能性があり、同社の高度なリスク管理体制と運用を支援していくものとして考えられています。
※本内容は、2007年7月時点のものです。