ACTCenter PIM:金融機関様向け特権ID管理の動向と対策

概要

昨今の金融機関では、その規模を問わず、IT統制リスクと対策コストの両面からバランスが取れた最適解が求められています。
NTTテクノクロスは、より厳しいセキュリティが求められる金融機関と共同で特権ID管理をソリューション化し、多くの金融機関で採用いただいております。

IT統制に関連する監査指摘例

近年、金融機関ではIT統制に関して監査指摘を受け、改善が求められる事例が増加しております。
金融庁検査指摘事例集では、具体的に以下の指摘がされています。

システムリスク管理態勢に関する不備
本番データの参照、削除が可能な特権IDの使用状況等を確認していないなど、十分な牽制措置を講じていないという問題点が認められる。

システムの開発・業務に係る外部委託先の統制不備
規程に反し、当行の承認を得ることなく勘定系システムの本番データを修正している事例が認められる。

ユーザID及びパスワードの管理不備
長期間未使用のユーザID及び長期間変更されていないパスワードが認められる。
パスワード変更ルールを規定していないほか、現在までパスワード変更を行っていないなど、特権IDのパスワード管理は不適切な状態となっている。

金融機関様に課せられたガイドライン

金融機関様では、公益財団法人 金融情報システムセンター(FISC)が策定したFISCガイドラインに基づき、セキュリティ対応を実施されています。

FISC安全対策基準 (特権ID管理に関わる主要要件)

FISC安全対策基準で求められる特権ID管理に関する基準と、求められる管理プロセスの対応は、以下の通りです。

運用管理に関する基準
システム運用管理体制の整備
・システムを利用するためのIDの登録
ID管理

・システムの利用状況管理
ログ管理

アクセス権限の管理
・各種資源、システムへのアクセス権限の明確化
アクセス制御

・パスワードを他人に知られないための措置
ID管理

・アクセス権限の付与、見直し手続きの明確化
アクセス制御

オペレーション管理
・オペレータの資格確認実施
アクセス制御

・オペレーション依頼/承認手続きの明確化
申請管理


データ保護に関する技術基準

破壊・改ざん防止
・重要ファイルに対するアクセス制御
アクセス制御


不正使用防止に関する技術基準

不正使用防止策
・アクセス履歴管理
申請管理
アクセス制御

・監査証跡の保管、定期チェック
ログ管理


不正利用発生時の対応整備
・不正アクセス発生への対応/復旧策の明確化
申請管理
アクセス制御
ログ管理

NTTテクノクロスの考える特権ID管理プロセス

申請管理
ID管理
アクセス制御
ログ管理

金融機関様における特権IDに関連した課題・対策事例

申請管理

主要課題
定期運用作業等、必ずしも作業申請を必要とせず、許可無く業務サーバへアクセスし得る環境。

対策事例
申請/承認を電子化し、サーバアクセス申請記録の集約・長期保管、過去履歴を参照。

ID管理

主要課題
・ビルドインIDのパスワードを放置。
・定期的なパスワード変更やID棚卸しが不徹底。

対策事例
・作業後のパスワード変更をシステム化(変更により影響を受けるIDは、アクセス制御の仕組みで代替) ・システムが出力するID管理台帳、ID棚卸結果のレポートを定期的に確認

アクセス制御

主要課題
IDを複数の作業者が共用、作業者の特定・担保が容易でない。

対策事例
・業務サーバのIDを増やさず、作業者個々に貸出ID(特権ID管理システム上の仮想のID)を付与。
・認証サーバで貸出IDを認証し、許可されたサーバ群へアクセスさせることで、作業者を特定。

ログ管理

主要課題
人手で監査をしているが、作業負荷が高く、対象は、一部のシステムに留まっている。

対策事例
・業務サーバのアクセスログ(ログイン・ログアウト)を一元的に定期収集。
・申請情報、アクセス管理で得られた業務サーバへのアクセスログをシステムで突き合わせ監査レポートを確認後、監査人に提出。

導入事例

株式会社りそな銀行様
株式会社りそな銀行様
銀行の内部統制対応に欠かせないアイデンティティ管理ソリューション

導入事例を詳しく見る

株式会社じぶん銀行様
株式会社じぶん銀行様
特権ID貸出・パスワード変更からログによる監査の一連のプロセスのシステム化で、ネット専業銀行の利便性・安全性を支える

導入事例を詳しく見る

株式会社伊予銀行様
株式会社伊予銀行様
国内ベンダーならではの充実したサポートでシングルサインオンシステムの導入に成功

導入事例を詳しく見る

株式会社沖縄銀行様
株式会社沖縄銀行様
銀行特有の膨大な数のシステム運用もアイデンティティ管理で安全快適に

導入事例を詳しく見る

idoperation CSLGuard×ActCenter

ソリューション・製品一覧へ