特権ID管理ソリューション 金融機関様向け
概要
昨今の金融機関では、その規模を問わず、IT統制リスクと対策コストの両面からバランスが取れた最適解が求められています。
NTTテクノクロスは、より厳しいセキュリティが求められる金融機関と共同で特権ID管理をソリューション化し、多くの金融機関で採用いただいております。
IT統制に関連する監査指摘例
近年、金融機関ではIT統制に関して監査指摘を受け、改善が求められる事例が増加しております。
金融庁検査指摘事例集では、具体的に以下の指摘がされています。
本番データの参照、削除が可能な特権IDの使用状況等を確認していないなど、十分な牽制措置を講じていないという問題点が認められる。
規程に反し、当行の承認を得ることなく勘定系システムの本番データを修正している事例が認められる。
長期間未使用のユーザID及び長期間変更されていないパスワードが認められる。
パスワード変更ルールを規定していないほか、現在までパスワード変更を行っていないなど、特権IDのパスワード管理は不適切な状態となっている。
金融機関様に課せられたガイドライン
金融機関様では、公益財団法人 金融情報システムセンター(FISC)が策定したFISCガイドラインに基づき、セキュリティ対応を実施されています。
FISC安全対策基準 (特権ID管理に関わる主要要件)
NTTテクノクロスの考える特権ID管理プロセス
金融機関様における特権IDに関連した課題・対策事例
定期運用作業等、必ずしも作業申請を必要とせず、許可無く業務サーバへアクセスし得る環境。
申請/承認を電子化し、サーバアクセス申請記録の集約・長期保管、過去履歴を参照。
・ビルドインIDのパスワードを放置。
・定期的なパスワード変更やID棚卸しが不徹底。
・作業後のパスワード変更をシステム化(変更により影響を受けるIDは、アクセス制御の仕組みで代替) ・システムが出力するID管理台帳、ID棚卸結果のレポートを定期的に確認
IDを複数の作業者が共用、作業者の特定・担保が容易でない。
・業務サーバのIDを増やさず、作業者個々に貸出ID(特権ID管理システム上の仮想のID)を付与。
・認証サーバで貸出IDを認証し、許可されたサーバ群へアクセスさせることで、作業者を特定。
人手で監査をしているが、作業負荷が高く、対象は、一部のシステムに留まっている。
・業務サーバのアクセスログ(ログイン・ログアウト)を一元的に定期収集。
・申請情報、アクセス管理で得られた業務サーバへのアクセスログをシステムで突き合わせ監査レポートを確認後、監査人に提出。