株式会社京葉銀行様

Phase 1　信用力が重要な金融機関 特権IDモニタリングの省力化が急務

　京葉銀行は千葉市に本店を構え、全預金残高は全国の第二地銀の中で第2位の規模を有する。2013年に創立70周年を迎え、その記念事業の一環として「千葉みなと本部」を建設、2015年5月より業務を開始している。

　同行のシステムを管轄する事務部は、金融機関にとって重要な信用力に関わる内部統制の一環として、システムの特権ID管理に以前から取り組んできた。当初は、特権IDの利用ログをプリントアウトし、それを事前の特権ID利用申請と突き合わせて目視でモニタリングするという体制であり、内部統制評価対象システムのみ対象としていた。

　京葉銀行の事務部 システム管理グループ 業務役の峰島松男氏は「モニタリング担当の前任者からは、作業負担が大きいことから手作業で月単位にモニタリングしていたと聞いています。その後、簡易的なツールを使ってログ収集を自動化したものの、ログのモニタリングは人間が目視で行っていたうえ、人員も限られていたので省力化が求められていました」と語り、こう続ける。

　「また、特権ID管理の対象を限定すべきではなく拡大させていきたい、証跡化してレポートとして提出できるようにしたい、といった考えから、特権ID管理ソリューションの検討に着手しました」

Phase 2　ニーズへの柔軟な対応力からNTTソフトウェアを選定

　情報を収集した結果、3つのソリューションを検討対象としたという。1つは、ゲートウェイを用意して、すべての特権IDアクセスを把握する仕組み。もう1つは、特権IDによる操作の動画記録を主な機能としOSだけを管理する仕組み。そして、対象システムのすべてのアカウントを管理したうえで特権IDの運用とモニタリングを行う仕組みのすべてを満たしていたのが、NTTソフトウェアの特権ID管理ソリューション「CSLGuard／ACTCenter」だった。

　「候補としていた製品の中で、CSLGuard／ACTCenterは内部統制に必要な項目をクリアするだけでなく、正当な手続きを踏んでいないアクセスをレポートからいち早く検出できる点を評価しました。また、我々はOSの特権IDだけでなく、Oracle、SQLServer、HiRDBといった複数のDBMSや、JP1といった運用管理ツールのミドルウェアの特権IDも管理したいと考えていたのですが、NTTソフトウェアは我々の要望を受けて、すべてに対応してくれました」（峰島氏）

Phase 3　新センターのシステム要件とし少人数でのモニタリングを可能とした

　京葉銀行では、特権ID管理システムの導入を、2013年7月に始め、新たな会計年度に合わせ翌年の4月より本番運用に適用している。

　当初の適用範囲は、内部統制のうえでID管理・モニタリングなどが必須とされる4システムのうち更改予定の1つを除く3システム、および特権ID管理システム自体を対象としていた。その後、新センターへのシステム移転に合わせ、更改および新規導入するシステムは、特権ＩＤ管理システムの適用を必須とした。現在では、対象とすべきシステムのうち、約8割のシステムに適用されており、残るシステムも今後の更改に合わせて対応していく予定だ。

　システム管理グループの中で、他業務と兼任する3名が、特権IDモニタリングを担当している。この少人数で、適用しているシステム全体の特権ID管理が可能になったのである。NTTソフトウェアのサポート体制についても、峰島氏は「我々の要望を酌んで対応してくれたことはもちろん、初期の導入検討時から運用開始後も、充分にサポートしてもらっています」と高く評価している。

Phase 4　外部委託先のリモート保守も含めた特権IDの運用・監視などの対応を一元化

　また、特権ID運用そのものも、CSLGuard／ACTCenterの導入によって大きく変わった。行員およびベンダーの常駐SEに限り、ワークフローで申請できるようユーザ登録している。ベンダーが外部からリモートで特権IDを利用する場合には、代理で申請し、外部からは踏み台となる専用PCを経由してアクセスさせるよう制限した。この踏み台PCでの操作内容を動画として記録しておき、操作内容まで追跡調査ができるようにしたのだ。

　「統制を受ける側の委託先ベンダーの方々には、情報セキュリティ管理の一環として特権ID管理が重要で、ID管理、操作ログのモニタリングなどを行っていると説明して、対応いただいています。OSに加えてDBMSまで管理し、しかも外部からのアクセスを監視するといった厳重な体制は、委託先にとって負担ですから、納得していただくまでが大変でしたが、システム更改時に当行のシステム要件として盛り込むなどして、ご理解いただきました。そのおかげで、『いつ、誰が』に加えて『何をしたのか』まで、把握できるようになっています」（峰島氏）

　特権IDの運用・管理では、承認を経ていないアクセスや、承認された時間を超えた作業を検知したレポートをチェックする1次モニタリングを毎日行い、レポートが出力されれば操作内容など、ログを深掘りして確認するようにしているという。

　「新規導入や更改したシステムで、特権ID管理運用を開始した直後は、正しくモニタリングされているか、運用上問題がないか検証しています。正当な手続きを踏んでいないアクセスを統制するには、システムが使うアカウントと、人が操作するアカウントをきちんと切り分けておくことが重要です。毎日出力されるレポートは、定期監査のレポートとして、そのまま活用できています」（峰島氏）

Phase 5　オープン化される勘定系システムの特権IDも管理対象に

　京葉銀行では、これまでメインフレームで運用してきたシステムのオープン化も進行中だ。中核である勘定系システムも、新たにオープン系の基盤で構築が進められている。

　「メインフレームでは独自に作ったツールで特権ID管理を行っていますが、オープン化にあわせ、CSLGuard／ACTCenterで管理する予定です。これで、銀行にとって最重要データである勘定系元帳などへのモニタリングを、CSLGuard／ACTCenterが担うことになります。CSLGuard／ACTCenterは特権ID濫用を抑止するだけでなく防止する機能もあり、各システムへの適用などを通じて情報セキュリティ管理体制を外部の委託先ベンダーへ浸透させ、活用したいと考えています」と峰島氏は話している。