課題と選択
将来のサービス追加・拡張まで見据え、運用基盤をしっかり整備しておきたい
マイナンバーを扱う以上、セキュリティ面への配慮は必須
2016年1月から本格的な利用がスタートしたマイナンバー制度。これを受けてOBCでは、マイナンバーの収集から廃棄までを運用するクラウドサービス「OBCマイナンバーサービス」を2015年10月にリリースしました。 同サービスは、2016年秋より提供開始の「年末調整申告書サービス」や「勤怠管理サービス」などの業務系クラウドサービスと併せ、Microsoft Azure上に環境を構築しています。さらに、この基盤を管理するため社内に専用の運用センターを構築。メンテナンスや監視を行っています。
同社がこのサービスをリリースするにあたって重視したのがセキュリティ面です。基盤としてISO/IEC 27018(※1)に準拠したMicrosoft Azureを選んだ理由も、よりセキュアなサービスを提供できるという点を評価したためです。
運用についても、電子ロックによる入退室管理に加え、作業は監視カメラが設置された専用ルームで専任担当者が実施する、作業は必ず2名1組で行うなどのポリシーを制定。また、情報セキュリティの管理・リスク・制御に関する規格であるISO/IEC 27001の取得もしています。
「今後もサービスを追加・拡張していく予定ですので、運用基盤もしっかり整備しておきたいという思いがありました。特にマイナンバーという第一級の機密情報を扱う以上、セキュリティ面への配慮は必須です。この際に課題となったのが操作ログの取得で、ミスのチェックや不正の防止のためには確実に取得する必要がありました。そこで、これを可能にするソリューションを検討することになったのです」(安田氏)
※1 ISO/IEC 27018:クラウドにおける個人情報保護の規範を定めた唯一の国際基準
膨大なログから目的の作業記録を容易に検索できるESS RECの機能が採用の決め手に
OBCが具体的に検討を開始したのは2015年6、7月のこと。当初は安価な録画ツールの導入がほぼ決まっていたといいます。その裏には、クラウドサービスがどの程度まで成長するのか不透明だったという事情がありました。
「ミニマムでサービスをスタートさせたため、セキュリティ対策への投資が難しく、現実的にはコストを優先せざるを得ませんでした」(安田氏)
しかし導入の直前になって、万が一の事故が起きた場合、後から操作をチェックするためにはどうするかという問題が浮上しました。
「蓄積した大量の操作記録データから目的のものを探す際、安価な録画ツールは時刻以外の検索に対応しませんでした。これでは何かあったときにきちんと対処できるのか不安が残ります。また、エンタープライズ規模での実績がほとんどないというのも気になる点でした」(林氏)
そこで同社は、ビジネス上の協業でかねてからつながりのあったエンカレッジ・テクノロジの製品であるESS RECを第二の選択肢として検討することにしました。
「ESS RECは、複数の記録データから特定の条件を満たす操作内容だけを抽出したり、細かな入力情報などを辿ったりすることが可能で、使う人のことがよく考えられていると思いました。また、セキュリティ面に厳しい金融機関をはじめとして実績も豊富。さらに、アラート機能によって、管理者に気づきを与えてくれる点も評価しました。前述の録画ツールに比べれば高価でしたが、お客様の安心・安全には代えられませんので、ESS RECの採用を決めました」(安田氏)
導入と効果
安心・安全なサービス基盤の整備が、お客様からの支持につながる
エンカレッジ・テクノロジのサポートにより自社構築・サービス開始を実現
OBCは2週間程かけてESS RECの評価を行った上で、2015年9月、正式に採用を決定しました。導入はマニュアルを確認しながら自社で行いましたが、最初はうまく動画を取得できませんでした。
「サポートセンターに状況を説明すると、すぐに原因を特定してくれたため、無事サービスインに間に合わせることができました」(林氏)
現在、ESS RECは運用センターで管理業務を実施しているPCやサーバー約40~50台を監視対象としており、10名程度の担当者が行っているオペレーション内容を全て記録しています。
お客様に安心・安全を提供できるようになったことでサービスも成長
ESS RECの導入については、お客様へ安心・安全を提供できるようになったことがサービスの成長につながったといいます。
「おかげさまで『OBCマイナンバーサービス』は、開始から約1年で契約数約1万5000社以上、約300万名分のマイナンバーを管理・保管するまでに成長できました。それも今回、セキュリティ面にも配慮したしっかりとした基盤を整備できたことが、お客様からの支持につながったのだと思います。また、今後のサービス追加・拡張にも対応できるようになったのはありがたいですね」(安田氏)
図 ESS REC導入後のOBC
展開
豊富な機能を使いこなすことが更なるセキュリティ強化の要
確実なオペレーション監視で今後のサービス拡大に備える
現在、OBCではESS RECの基本機能を使ってオペレーション内容の記録を行っていますが、ほかの機能も使いこなしていくことが課題であると意識しています。そこで今後は、豊富な機能を使いこなすことで、より予防的なセキュリティ管理が可能になるのではないかと考えています。
「『年末調整申告書サービス』や『勤怠管理サービス』がスタートし、対象のサービスも増えてくるため、より高度な監視・チェック体制が求められます。そこで今後は、まだ利用していない機能を使いこなすことでオペレーションに対する監視・チェック体制の高度化が実現できるのではないかと考えています。例えばアラート機能を活用し、オペレーションミスなどの削減や問題が大きくなる前の予防的な対応などにつなげていければいいですね」(安田氏)
OBCではかねてから社員のセキュリティ教育に力を入れており、定期的な研修を実施。セキュリティレベルの維持・向上に努めています。また、将来的には非常に厳しいとされるセキュリティ監査SOC2を受けることも検討しています。
「それでも今後サービスが拡大していけば、外部委託などを検討する必要も出てくるでしょう。そうした際でも、ESS RECによってオペレーションが確実に監視・チェックされていれば安心です」(安田氏)
なお、OBCでは今後、看板商品である「奉行シリーズ」をクラウドサービスとして提供していく予定です。これらのサービスにもESS RECを活用し、万全の対応で運用・管理していく方針です。
※本内容は、2016年10月時点のものです。