TOP>事例>金融/証券/保険>監査のせいで性能劣化は許されない。厳しい要件下でのデータベース監査を実現。

監査のせいで性能劣化は許されない。
厳しい要件下でのデータベース監査を実現。

株式会社マネーパートナーズ

導入製品/サービス…
PISO  

FX取引という24時間365日止められないクリティカルなシステムで、当初「高トランザクションシステムでのデータベース監査はできない。」と認識し、監査人に報告していたマネーパートナーズ。 同社が提示した高い要件に唯一答え、内部統制における監査の中心基盤として同社のシステムを支えているのがPISOだった。

株式会社マネーパートナーズは、1998年4月の外国為替及び外国貿易法の改正により生まれた、外国為替証拠金取引のサービスを提供する企業。FX(Foreign Exchange)取引とも呼ばれ、法改正による自由化の結果、従来は銀行や機関投資家などが独占してきた外国為替取引を個人にまで広げた画期的なものだ。

FX取引サービスを提供する企業は、いまや数多くある。競争激しいFX取引市場で常に右肩上がりの口座数増加を続け、2008年5月には5万件を超える取引口座数を獲得したのがマネーパートナーズだ。手数料無料、ドル、円スプレッド(買値と売値の価格差)幅をかなり狭くするなど、積極的なサービスが顧客の評価を得ている。さらに、同社で培ってきた信頼のFX取引システムをASP方式で楽天証券に提供するなど、新たなビジネス展開も積極的に行っている。

サービスレベル維持のためにシステムの増強を続ける


「システムのレスポンスは重要です。1秒以内にレスポンスできなければ、ユーザの不満につながります。」
 
 マネーパートナーズ取締役CIOの白水克紀氏は、サービス内容だけでなく取引システムの高レスポンスの維持が、顧客サービスではきわめて重要だと指摘する。為替レートは0.5秒単位で動く。仮に3秒かかれば6ティック(回)値動きする。これでは、ユーザは投資チャンスを逃しかねないのだ。

 1秒以内のレスポンスというサービスレベルの維持には、高トランザクション能力のあるシステムが必要だ。そのためマネーパートナーズでは、取引システムの基盤である注文系、約定系データベースにHPのハイエンドサーバー HPIntegrity Superdome 2台を導入し運用してきた。これに加え、2008年6月には、IBMの最新のハイエンドサーバーIBM Systemp5 595 2台を導入し性能を大幅に増強した第2データセンターも稼動を開始する。

株式会社マネーパートナーズ
取締役 CIO
白水 克紀 氏

口座数が増え続けているので、今月大丈夫だからといって来月も大丈夫とは限らない。顧客動向やFX市場の動きに合わせ、システムは常に拡張する必要がある。2~3ヶ月先の需要を予測し、システムの拡張を続けているのだ。手数料を無料にしたころからトランザクションの増加は加速、一時は3ヶ月ごとにシステム処理能力を倍増させている時期もあった。米国の雇用統計発表など大きなニュースの際に取引が瞬時に爆発する傾向もあり、現在は予測されるピーク時負荷の常に2~3倍の処理に対応できるよう準備されている。

性能を落とさず日本版SOX法に対応できる監査ツールPISO


システムに求められるのは、レスポンスだけではない。個人の取引情報を扱うため、高レベルのセキュリティも求められ、そのためにはシステム監視機能も必要だ。さらに、2008年度から適用される日本版SOX法への対応も、システムへの新たな要件として浮上する。

日本版SOX法対応では、正当な権限を持つユーザのデータベースへのアクセスが、適切に行われたことを証明しなければならない。しかしながら、膨大なトランザクションのためアクセスログは蓄積できてもその量があまりにも多く、実質的にそれを利用し監査作業を行うことは不可能だった。そのため、当時白水氏は「監査はできない」と監査人に告げていたと言う。

とはいえ金融機関として日本版SOX法対応のためのデータベース監査は必須、できないでは済まされない。2006年末くらいからデータベース監査の実施を本格的に検討し始める。1つの方法はOracleのAudit機能の利用であったが、この方法では性能に影響を及ぼすため採用できなかったという。仮に現状の取引システムのコストが、5~6億円かかっているとする。Oracleの監査機能では性能が10%程度劣化すると、5~6千万円のコストが消えることになるのだ。性能を劣化させずに適切な監査を実現、この矛盾ともいえる要求を克復したのが、インサイトテクノロジーのデータベース監査ツール「PISO」だった。

2007年はじめ、システムの統合的な管理ツールで付き合いのあったアシストからPISOを提案され、必要な監査ログを取得しても性能劣化がほとんどないことが分かる。そこで、2007年4月には役員会議で導入が決議され、すぐに検証を実施する。そして、2007年11月には本番システムにPISOの導入し運用が始まった。

「月曜日の朝7時にサービスを開始し土曜日の朝7時に取引を終了するまで、メンテナンスする時間さえありません。システムに負荷がかかっている状況でも、法定帳簿などのレポートは遅延なく作らなければならないのです。IT部門としては、もっとも辛い状況の中で、監査を実現させなくてはなりませんでした。」(白水氏)

PISOを活用し監査に必要な業務サイクルを完成させる


本番導入前に高負荷試験でPISOのテストが行われ、ほとんどレスポンスに影響がないことが確認される。また、PISOの検証期間中、まずはすべてのログ取得から始め、次に正当なアプリケーションからの正当アクセスを除くなどの調整が行われる。管理者権限でデータベースに接続しコマンド実行したもの、あるいは通常アクセスではあり得ない大量データ取得のSQL発行などが確実に記録され、監査に必要なログだけが確実に取得できるようルールは調整された。

「データベース管理者は、作業する際には事前に申請を行います。その上で必要な操作を行い、申請内容とその作業が一致しているかを日々突き合わせています。申請通りに行われたことを、きちんと記録する。監査ではこれが必要になるのです。」(白水氏)

やるべきことをきちんと実施し、何も不正がなかったことを証明する。PISOは、これを実現するツールだと白水氏は言う。逆に、PISOを導入さえすれば日本版SOX法に対応できるわけではない。申請からPISOでの記録、そして突き合わせという一連のサイクルを実現しはじめて監査が実現できるのだ。

PISOを提案したアシストについては、さまざまなことに素早く対応してくれる点の評価が高いという。白水氏はアシストから紹介をうけた、利用者の視点でITサービスレベルを管理するためのWebアプリケーション監視インフラシステム「Business Availability Center」を見学している。今後さらに台数が増えるサーバー群を、1台1台人間の目で見て管理することは不可能であり、将来的には運用環境を統合しBusiness Availability Centerで統合監視を行い安定したサービス提供を維持したいという。

また、PISOは監査ツールだが、不正アクセスの監視だけでなく、パフォーマンスレポートとの連携など、データベースの「動きを」調べるのにも利用できそうだと白水氏は指摘する。他システムとの連携など新たなPISOの活用方法や、PISOのレポートをどのように工夫しているかといった他社の利用状況の提供なども、今後はさらにアシストに期待するという。

※本資料は2008年6月現在の内容となります。
※記載されている会社名、製品名は各社の商標または登録商標です。

会社名 株式会社マネーパートナーズ
本社 東京都港区六本木一丁目6番1号 泉ガーデンタワー16階
設立 2005年6月10日
資本金 17億4,188万円(2008年3月31日現在)
URL http://www.moneypartners.co.jp/
事業内容 1.金融商品取引法に基づく外国為替証拠金取引、有価証券関連業務及びこれに付随する一切の業務
2.外国通貨の売買、売買の媒介、取次ぎもしくは代理、その他これに付随する業務
3.金融商品取引業及びこれに付随する業務

関連製品/サービス

PISO

PISOは、データベースのアクセスログを取得し、不正アクセスを即座に発見できるデータベース監査ツールです。パフォーマンスに影響を及ぼすことなく、正確なログを取得できます。

  • Oracle DBへのアクセスを記録・監査
  • 不正なアクセスに対する柔軟な警告
  • パフォーマンスに影響を与えずSQL全文を取得

詳細へ

事例に関するお問い合わせ

資料請求/お問い合わせはこちら(専門の担当者が確認し、ご対応します。)

ご興味のある事例がございましたら、お気軽にお問い合わせください。より詳しい情報をお届けします。

ページの先頭へ戻る