京都信用金庫 様
監査によって浮き彫りになった特権ID管理の重要性
―動画記録や証跡でトラブルも未然に防止
お客様プロフィール
京都信用金庫 URL: https://www.kyoto-shinkin.co.jp 設立: 1923年9月 常勤役職員数:1,577人 |
背景
監査によって明らかになった特権ID管理の必要性
京都エリアをはじめ、滋賀・北大阪エリアにも多くの顧客を持つ京都信用金庫。1923年9月に設立された有限責任京都繁栄信用組合を前身としており、2023年で創立100周年を迎える歴史ある信用金庫だ。同庫が目指しているのは、「日本一コミュニケーションが豊かな会社」であること。取引先に対する融資はもちろん、あらゆる課題解決に貢献する「おせっかいバンカー」の育成を経営方針に掲げて、提案型のサポートを行っている。
同庫では、Webベースの情報系システムを自金庫内で構築しており、運用については、管理者権限を持つシステム担当者が各種DBやWebサーバに対してリモートデスクトップでログインし、移行作業やメンテナンスなどを行っていた。
当時の課題について、京都信用金庫 事務統括部 課長の天満 清央氏は「特権ID管理用の製品を導入していなかったので 、“ 誰が・いつ・ど の 特権IDで”サーバにアクセスし 、どのような操作をしたのかが把握しきれていない状況でした。そうした中 、監査法人から特権ID管理の指摘を受け、その必要性を感じたのです」と語る 。
さらに、京都信用金庫 事務統括部 課長の竹内 勝行氏は「監査法人からの指摘に加えて、開発担当者が直接移行作業を手掛けることに対するセキュリティリスクも、改善すべき点のひとつとなっていました。
こうして同庫では、特権ID管理が行える製品の選定をスタートした。
選定
機能と価格のバランスに加えてサーバへの影響も最小限
特権ID管理が行える製品の選定ポイントについて、天満氏は「まずは膨大な数の管理帳票に対応できること、そしてカスタマイズなしでそのまま使えること、この2点が特に重要でした。カスタマイズをすれば、それだけ導入にあたっての手間や時間がかかり、当然ながらコストも増加します」と語る。
こうして同庫では、候補となる3つの製品について比較検討し、最終的に、NTTテクノクロスの特権ID管理ソリューション「iDoperation」の導入を決定した。
導入の決め手について天満氏は、「2つの選定ポイントを満たしているのはもちろん、機能と価格のバランスという面で非常に優れた製品だと感じました。また、特権ID管理のターゲットとなるサーバに対して、ほとんど手を入れることなく利用できるのも魅力でした。現在稼働しているシステムへの影響が最小限に抑えられるのは、安定稼働という観点からも非常に大きなメリットといえます」と語る。
同庫では当時、まだテスト環境の一部に古いバージョンのサーバが残っている状況だった。そこで、さまざまなバージョンが混在する環境下でも使えることを確認するべく、2014年にテスト環境のサーバをターゲットとして、3ヶ月程度の試験運用を実施。2015年1月に本番環境への導入をスタートした。
「テスト環境においては、全体としてかなりスムーズに適用することができました。実際の導入作業についても、構築ベンダーにお任せで、弊庫での作業は設定シートを制作したくらいです。ターゲットとなるサーバを増やすといった各種設定も簡単に行えました。またサポートに関しても、メールや電話で迅速に対応していただき大変満足です」と、天満氏は導入時の様子を語る。
同庫では現在、システム全体のクラウド化を終えており、これまでオンプレミスで運用していた各種サーバを「Microsoft Azure」上に再構築。「iDoperation」についても新バージョンへアップデートし、同じくMicrosoft Azure上にサーバを構築した。管理者が移行作業などを行う際は、申請と承認を経て、必ず所定のクライアント端末から「iDoperation」経由でWebサーバやDBサーバへアクセスすることで、特権IDの一時的な貸出や証跡の確認を容易に行える環境が整ったのである。
効果
特権ID管理に加えて動画記録や証跡でトラブルも未然に防止
天満氏は「iDoperation」導入後の効果について、「“誰が・いつ・どの特権IDで”サーバにアクセスしたのかが非常に分かりやすく把握できるだけでなく、特権ユーザがどのような操作をしたのか動画で記録してくれるのがありがたいですね。これは不正利用の防止という観点はもちろん、もし人的要因のトラブルが発生した際にも、どこでどのようなミスがあったのかがすぐに追えるため、原因究明や対処も迅速かつ容易です。担当者も人間ですから、業務フロー上における手順の覚え違いであったり、本来触れてはいけない場所に触れてしまうようなミスも起こり得るでしょう。“気付き”によってトラブルを未然に防げるのは、これ以上ない安心感につながります。特権ID管理製品を導入するきっかけとなった監査についても、スムーズに終われるようになりました」と語る。
また、「iDoperation」を新バージョンにアップデートしてからは、ターゲットとなるサーバの追加などの各種設定がGUIで直感的に行えるようになり、より一層快適度が増したそうだ。
さらに竹内氏は「しっかりと証跡が残るので、監査される側にとっても実に分かりやすい仕様となっています。特権IDの貸出申請が『申請~承認~報告申請~報告承認』という一覧のワークフローに基づいて行えるのも、証跡を追いやすい理由のひとつです。 また、現在3名の管理者でシステムの運用を行っているのですが、申請や報告などを分けて行うといった、相互牽制が働くような仕組みもありがたいですね」と笑みを見せた。
今後の展開
今後はターゲットとなるサーバを増やしたい
今後の予定について竹内氏は、「現在は『iDoperation』の適用範囲を情報系システムに限定していますが、今後はターゲットとなるサーバを増やし、勘定系システムなどにも導入できないかと考えています。その時にはぜひサポートをお願いしたいですね」と語る。
これを受けて天満氏も「勘定系システムについても、権限管理や証跡の管理など監査に必要な作業があります。こちらは現状として、入退室管理用ICカードの貸し出しをワークフローや口頭で行い、センターで台帳と監査ログとの突合を実施。整合性のとれない部分があれば要連絡といった、工数的にかなり手間のかかる作業となっています。その点『iDoperation』なら、手間をかけず効率的に権限や証跡の管理が可能です。各種パッケージ製品なども利用しているので、実際に勘定系システムで『iDoperation』を採用するためのハードルはあるものの、既に情報系システムでの実績もあることから、提案は比較的しやすいと思います」と続けた。
概要