課題と選択
システム更改をきっかけに属人化していた特権アクセス管理の体制を見直し
ハードウェア更新を機に、証跡管理と特権ID管理の最新環境への対応が急務に
外為どっとコムでは、同社のビジネスの柱であるオンラインの外国為替取引サービスを安全に提供するため、ファイルサーバーや個人情報を含むデータベース、業務用システム、企業サイトなどの情報系システムを、高いセキュリティ意識/コンプライアンス意識をもってシステム部にて運用しています。
これらのシステムは約50台のサーバーから構成されていますが、万が一ここで障害や情報漏洩等のアクシデントが起きてしまうと、ビジネスが中断され、顧客にも多大な影響を与えてしまいます。そこで、同社のシステム部はそうした事態を防ぐべく、エンカレッジ・テクノロジのリモート操作証跡管理ツールを導入し、東京と沖縄の拠点から本番環境へアクセスして行う運用・保守作業の内容を録画し、証跡として管理していました。
しかし、導入から時間が経ち、ハードウェアの保守切れが迫ってきたことをきっかけに、同社は従来の仕組みを見直すことになりました。システム部 主任の荒木氏は当時の状況について、「従来のエンカレッジ・テクノロジの操作証跡管理ツールには満足していましたが、新しいOSであるWindows 11やWindows Server 2022に対応する必要もあったため、機能が強化され最新の環境にも対応可能な後継製品『ESS REC』へ乗り換えることにしました」と振り返ります。
システム部
主任 荒木 宏 氏
同社はこのとき別の悩みも抱えていました。ファイルサーバーの保守対応やActive Directoryでのアカウント作成などのシステム運用作業で必要となる、特権IDの管理についての課題です。
「特権IDの申請・承認・発行は、オープンソースのプロジェクト管理ツールをカスタマイズして運用していました。それゆえ、実際にカスタマイズした一部のメンバーしか設定等の詳細を把握できず、属人化・ブラックボックス化が問題となっていたのです。また、ハードウェアを更新した際、従来の仕組みが最新のOSで稼働するか、という不安もありました」(荒木氏)
パスワードの払い出しについても、メールで受け取ったパスワードをメモや印刷するなどして対象システムにログインをしていたため、手間がかかる上にセキュリティ面も望ましい状態ではありませんでした。そこで同社は、これを機会に特権ID管理の仕組みの刷新を決断。脱属人化と効率的かつセキュリティを強化した運用体制を目指すことにしたのです。
金融業界での豊富な実績と各種機能によるセキュリティ強化を評価し、ESS AdminONEを採用
特権ID管理ツールについての情報収集を開始した同社は、ほどなくしてエンカレッジ・テクノロジの提供する次世代型特権ID管理ツール「ESS AdminONE」にたどり着きます。そのきっかけとなったのは、同社の課題を聞いたエンカレッジ・テクノロジの営業担当からの提案でした。同社はトライアルを実施して、以下の2つの要件を満たすことが検証できたため、採用を決めました。
システム部
係長 村上 大輔 氏
・特権IDの貸出ワークフローを作業に合わせて柔軟に設定できること
・アクセス許可の仕組みとして、パスワードを開示しない形式やパスワードを払い出す形式などが選択できること
また、金融業界における豊富な導入実績や、エンカレッジ・テクノロジの手厚いサポートも高く評価されました。システム部 係長の村上氏は「トライアル中にはエンカレッジ・テクノロジの技術担当の方に定期的に来社いただいたのですが、我々の目指す運用をESS AdminONEで実現する方法について、ホワイトボードを使いながら一緒にディスカッションしたことが印象に残っています」と語ります。
導入と効果
属人化していた特権ID管理が最適化され、操作内容の可視化によりセキュリティ面も強化
トライアルでの手厚いサポートもあり、自社だけでスムーズに導入完了
ESS RECおよびESS AdminONEの導入を決めた同社は、自身でシステムの構築を実施。導入作業はスムーズに完了しました。
「ESS RECはソフトウェアをインストールするだけで簡単に構築できました。ESS AdminONEについても、トライアルでしっかり検証できた経験が活きています。いくつかわからないところもあったのですが、エンカレッジ・テクノロジに問い合わせたところ丁寧に回答いただき、無事解決することができました」(荒木氏)
パスワードレスアクセス機能でセキュリティ面が強化、不正アクセスの自動検出機能によりログの突き合わせ作業の工数削減
新たなシステムでは、特権IDの申請から承認、貸出までの手続きをESS AdminONEで管理しています。作業者は利用許可された特権IDを使って、東京と沖縄に設置された専用端末からリモートで踏み台端末にログイン。そこから重要システムにアクセスして作業を行います。そして、この踏み台端末でのすべての操作内容がESS RECで記録される仕組みです。
また、ESS AdminONEとESS RECを組み合わせることで、システムの重要度に応じた特権ID管理の統制レベルの差別化を行っている点も、同社のシステム構成の特徴となっています。すべてのシステムに対する操作内容の証跡はESS RECで取得し、さらに、比較的重要度の高いシステムに対してはESS AdminONEでアクセス管理を行っています。
ESS AdminONEの導入により、特権IDの申請から貸出までの手順は変わりましたが、ユーザーインターフェイスが直感的で使いやすいこともあり、簡単な説明だけで全ての作業者が問題なく利用できているといいます。また、ESS AdminONEが作業者に代わってパスワードを代理入力するパスワードレスアクセス機能も、現場からは高く評価されています。これは、アクセス端末や中継端末で動作する「専用貸出ツール(Operation Authenticator)」を使うことで、管理対象システムへのアクセスに必要なパスワードをESS AdminONEサーバーが都度払い出し、作業者にはパスワードが開示されない状態でログインができる仕組みです。
「パスワードレスアクセスの仕組みによって、作業のたびに手元にパスワードを控えるなどの手間が削減されました。さらに、作業者自身がパスワードを目にすることもないので、セキュリティ面が大幅に強化されたのも大きいメリットです」(村上氏)
さらに、不正アクセスの自動検出機能により、それまで毎週実施していたログの突き合わせ作業も不要になりました。
「以前は、申請データとアクセスログを突き合わせて怪しいアクセスがないか確認していましたが、ESS AdminONEは自動的にログを突き合わせて不正なアクセスを自動で検出してくれるので、こうした手間は不要になりました」(村上氏)
図 ESS AdminONE・ESS REC導入後の外為どっとコム様
操作内容がリアルタイムで確認できることで、リスクを可視化
ESS RECにより、最新のハードウェア/OS環境でも、従来通り踏み台端末を経由するすべての操作を記録・点検できる環境が整備されました。また、管理者は作業者の操作内容をリアルタイムで監視できるため、これまでは気づかなかったリスクが可視化されました。特にリスクが高い操作に対しては、事前に要注意操作として検知ルールに定義しておくことで、該当の操作が行われた際に管理者に通知されるように設定しています。これにより、不正・誤操作の防止にも役立っているということです。
展開
ESS RECは経理部門の出金業務でも活用
高水準のセキュリティとガバナンスを求められる同社にとって、厳格に統制されたルールでシステムが運用・保守されていることは非常に重要です。荒木氏は「ESS RECとESS AdminONEは、これを担保する上で不可欠なツールです」と述べます。
たとえば、重要なシステムで作業するときは、あらかじめ定められたルールに則って作業することが理想ですが、この際にESS RECとESS AdminONEを活用すれば、人がさほど意識しなくても必然的にルールに則って作業ができます。こうしたメリットを評価し、同社は経理部門にもESS RECの仕組みを展開し、出金業務の操作内容を記録しています。これにより、不正な操作を抑止するとともに、万が一の際の証跡を残すこともできるようになりました。
エンカレッジ・テクノロジは、今後も外為どっとコム様のセキュリティとガバナンスの強化を支援して参ります。