課題と選択
クラウドサービスの提供において、
金融系ユーザーが求める高度なセキュリティ要求に応えたい
セキュリティ体制の万全な整備に向けて
三菱総研DCSは三菱総研グループの一員として、高品質なトータルITソリューション・サービスを提供しています。同社は2016年10月、新たなクラウドサービスとして、金融機関系ユーザーの高度な要求にも応えられる先進的なクラウドサービス「FINEQloud」の提供をスタートしました。FINEQloudは、開発から運用までのサービスを一貫して提供する企業向けの「マネージドクラウド」であり、同社がこれまで培ってきたITトータルソリューションのノウハウが豊富に盛り込まれていることが特徴です。
「金融機関系ユーザーは近年、制度対応の高まりもあり、システムの内と外、さらに運用についても高度なセキュリティ対策を重視し、また、常時証跡を確認できることを必須条件としています。それを受け、FINEQloudはセキュアなクラウドサービスとして、金融情報システムセンター(FISC)の安全対策基準に対応することを前提としました。その対応に向けたセキュリティ強化施策として、運用管理者が使用する特権IDの管理プロセスと特権IDを使用した操作の内容を効率的かつ確実に把握できるシステムの導入を検討することとしました」(水上氏)
操作証跡の取得と特権IDの管理プロセスの自動化を包括して実現できるメリット
三菱総研DCSがFINEQloudの運用における対策の要件を満たす製品の比較・検討を開始したのは2015年10月頃です。三菱総研DCSは以前からエンカレッジ・テクノロジのパートナーとして、証跡管理ツールを検討している金融機関系顧客へESS RECを提案し、導入も行っていました。そのため、すでに運用のノウハウや導入実績を熟知しているESS RECは選定の有力候補でした。
「以前は手作業で操作ログなどの取得を行ない、不正な操作のチェックを行っていましたが、全ての操作ログを完全に網羅するには量と質の点で限界があり、金融機関系のニーズを考えると、大幅な改善の余地がありました。その点、ESS RECなら自動的に操作ログを取得し、不正な操作か否かはルール設定すれば速やかに検知できることが分かっていたので、有力な候補としました」(永井氏)
また、三菱総研DCSは操作ログの証跡に限らず特権IDの管理についても強化を図りました。これまで人の手で行っていた管理プロセスを自動化することで、負荷を削減するとともに、更なるセキュリティレベルの向上が見込めると考えたためです。
「当社では、本番環境にアクセスする際は、事前に操作内容の手順書を用意し、上長に承認をもらってから本番環境へアクセスする手続きとなっています。しかし、その手続きは紙ベースである為、秘匿性、真正性、確実性の面から言ってセキュリティ強化の一環として改善すべき点だと考えました。また、特権IDのパスワードはその重要性から定期的に変更する必要がありますが、人手による変更作業は担当者への負担が大きいうえ、万が一パスワードが漏えいしてしまった場合に、なりすましなどの不正に繋がりかねませんので、そういったリスクについては徹底して対策したいと考えました」(水上氏)
ESS AdminControlは、こうした課題を解決する過程でも、製品選定の候補に挙がりました。
「管理対象としているシステムの特権IDのパスワード変更を定期的に自動で実施する機能は優位性を感じました。運用管理者に特権IDを貸与する際に、管理者本人には特権IDのパスワードを知らせずに貸し出すことができますし、作業終了後に自動でパスワードが変更され、それまでのパスワードは無効になるので、必要作業以外のアカウント継続利用を防ぐことができ、第三者によるアクセスを防止できると考えました」(岩澤氏)
また、ESS AdminControlは管理対象となるサーバーに専用のプログラムをインストールする必要がないエージェントレスで使用できる点も費用対効果の点で効果が見込める為、高く評価しました。
他にも、ESS RECとESS AdminControlで連携される点検・監査用のレポート生成機能は大きなメリットだと考え、エンカレッジ・テクノロジの製品を採用しました。
「それぞれの機能を個別に実現する製品は他にもありましたが、すべての機能を一つのソリューションとして提供されている点を評価し、採用を決定しました」(岩澤氏)
導入と効果
手作業による操作証跡・パスワード変更を自動化し、
ハイレベルなセキュリティ体制に
作業効率も大幅に向上、十分な証跡が確保可能に
三菱総研DCSは2016年4月にESS RECおよびESS AdminControlの採用を決定しました。そこから3ヶ月をかけ、7月に設計・構築、入念な内部テストを行ったのち、本格的な稼働を開始しました。
ESS AdminControlについては、運用・保守の担当者がFINEQloudの基盤にアクセスする際、ワークフローで申請し、承認を受けてからでないとアクセスが許可されない仕組みにしています。この際、管理者には自動的に特権IDが貸し出され、パスワードも秘匿されます。加えて、本番環境にアクセスする際に紙ベースで行う作業申請の手続きも、FINEQloudではESS AdminControlのワークフローによる承認を使用してアクセスするようにしました。
「サービス開始から間もないということもあり、担当者がFINEQloudの基盤となるサーバー群にアクセスする機会は比較的多いのですが、使用感も良く、安全かつスムーズにシステム運用管理の作業が行われています」(水上氏)
ESS RECについては、同社がクラウドサービスとして顧客の大事なデータを預かることから、常時、ルールに従って監視し、問題があれば常にかつ速やかに検知するようにしています。ESS RECの検知ルールとして採用しているものの一つが、USBメモリの使用検知です。USBメモリが許可なく使用されることによる情報漏えいのリスクにいち早く対応するためです。
また、運用担当者が管理対象サーバーにアクセスして管理ツールを起動した際、それを検知して操作内容の記録を開始するよう設定しています。これにより、システム運用管理作業における操作内容の徹底した監視体制を実現しました。
「以前、運用担当者の大きな負担となっていた手作業による操作ログの取得やパスワードの変更も、ESS RECで強制的にログを取得し、ESS AdminControlで自動的にパスワードを変更するといった体制が整備できたので、システム運用管理作業は大幅に改善されました」(永井氏)
ESS RECとESS AdminControlの連携したレポートで確実かつ効率的に作業を把握
システム運用において、必要なときに必要な操作ログを速やかに確認できる点は大きなメリットです。三菱総研DCSでは月1回のペースで操作ログをレポートで確認していますが、誰がいつ何をしたかを格段に早く、容易に把握できるようになりました。
「大切なのは各作業の承認の有無と不正の有無が明確に分かることです。一般的なレポートでは作業申請がベースとなるため、未申請の作業が可視化できませんが、ESS RECとESS AdminControl があればログを突き合わせて作業の内容が自動で出てくるので、不正があればすぐに分かります」(岩澤氏)
「サービスをご利用のお客様にFINEQloudのシステム運用管理の体制について説明する際も、ESS RECとESS AdminControlで作成した監査レポートがそのまま顧客宛提示資料として使用できます。ツールを使用したシステム運用管理を行うことで、クラウドサービスにハイレベルなセキュリティ体制を求めるお客様に対しても、手作業にはない安心感を提供できます」(水上氏)
加えて、監査レポートを自動で生成できるようになったため、監査対応に向けた準備の省力化も大きく進みました。
「当社ではISMS認証を取得しており、定期的な監査を受けています。監査レポートが自動的に生成されることで、監査対応に関する負担は圧倒的に削減されました。これまでの人手による作業時間と比較すれば、従来の半分以下になったと思います」(永井氏)
図 ESS RECとESS AdminControl導入後の三菱総研DCS株式会社
展開
ノウハウを生かし、高度なセキュリティを求める顧客の期待に応える
FINEQloudはまだサービスインから日が浅いものの、すでに製造、医薬、運輸分野などの顧客と契約を結んでいます。
「今回、ESS RECおよびESS AdminControlの導入によってFINEQloudに高いセキュリティを実現することができました。今後は当社が得意とする金融機関系のお客様へも積極的にアプローチしていきたいと考えています」(水上氏)
三菱総研DCSによれば、今後同社が高いセキュリティを求めるさまざまな顧客に向けたアプローチを展開していく上で、ESS RECやESS AdminControl のようなツールの活用は重要なテーマであるとのことです。
「弊社はエンカレッジ・テクノロジの販売パートナーでもあります。今回の取り組みをケーススタディとしてESS RECやESS AdminControlを他のシステムやお客様システムに横展開していけるのではないかと思います」(岩澤氏)
※本内容は、2017年4月時点のものです。