SMBCコンシューマーファイナンスの厳格なセキュリティ基準を満たす
─ 特権ID管理の見直しによる業務効率・利便性向上への道
SMBCコンシューマーファイナンス株式会社
- 導入製品/サービス…
- iDoperation / iDoperation SC
|
個人向けローンサービス「プロミス」で広く知られるSMBCコンシューマーファイナンス株式会社。同社は、社内で求められる厳しいセキュリティ基準への対応強化に向け、特権ID管理ソフトウェア「iDoperation 」を導入しました。セキュリティ対策の強化と日々の特権ID管理業務の効率化、さらにはユーザーの利便性向上を推進しています。 |
|
|
「iDoperationは、ユーザーからの細かい要望が反映されているなと感じる部分が多く、さすが国内シェアの高い製品だと感心しました。この製品をぜひ他の金融業界の企業へおすすめしたいです」
SMBCコンシューマーファイナンス株式会社 基盤システム部長 小林 和洋 氏
課題/背景
- 社内の厳格なセキュリティ基準に対応することを求められていた
- 従来の特権ID付与の作業は、申請を受け付けるシステムがあるものの、人手を介する必要があった
- 管理対象サーバーや申請者の人数も多いことから担当者と申請者の双方の業務効率化・省力化をしたいと考えていた
- 既存の特権ID利用・申請フローには極力手を加えることなくセキュリティを強化したかった
対策
- 金融機関のセキュリティ基準をクリアしたiDoperationを新たに導入
- 人手で行っていた特権ID管理作業の大部分をiDoperationによって自動化
- 既存の申請フローを生かしつつ、シームレスに連携する形で新たな特権ID管理基盤を構築
効果
- パスワード秘匿化によりパスワード流失リスクを大幅に低減、セキュリティレベルを向上
- 既存の特権ID利用申請の仕組みを継続しつつ、特権ID管理の一連の作業を自動化したことにより業務を効率化し、人的ミスのリスクも排除
- 動画ログ機能の活用により、作業完了後のログチェック作業に掛かる時間を大幅に削減
- ID申請時の承認者を1人からグループ単位へと変更したことで、ユーザーのID承認の待ち時間を大幅に削減
システム概要
|
特権ID管理業務のセキュリティレベル向上を目指して
SMBCコンシューマーファイナンス株式会社は、個人向けローン商品「プロミス」を中核に幅広い金融事業を展開する企業です。2023年からの中期経営計画では「コア事業のマーケットシェア拡大」「新たなビジネスへの事業展開」「社会的価値の追求」の3つの目標を掲げ、経営基盤の強化に取り組んでいます。
同社の事業基盤では、ITは重要な役割を担っており、多岐にわたる顧客サービス向上への対応や、社内のBPR推進などで管理システムは増え、現在は約1,000台のサーバーが稼働しています。この運用効率化が重要なテーマとなっていました。また、昨今激化するサイバー攻撃に対処するためにもセキュリティ対策にひときわ力を入れています。
その一環として取り組んでいるのが「特権ID管理」の強化です。厳しいセキュリティ基準への対応が求められる中、「パスワード流出リスク」への対応強化が必要であり、併せて「業務効率」の向上を果たしたいと同社のシステム企画部では考えていました。
真野氏
従来、特権IDの申請・承認の徹底や、IDの厳格な一元管理を実施していました。しかしながら、管理者が利用可能なIDを特定し払い出しを行う一連の作業は人手で行っていたため、その過程に「パスワード流出のリスク」があると考えました。また、万が一不正アクセスがあった際には管理者に嫌疑を掛けられる可能性があり、そうした精神的な負担を取り除きたいという声も挙がっていました。
渋谷氏
当社では、特権IDを使ってシステム作業を行うユーザーが多いため、人手を介すのは、権限付与時を考えただけでも効率的とは言えません。特権ID利用終了時には、管理担当者が目検でログを細かくチェックしていたので、ここでも負荷が掛かっていました。また、申請者が増えると承認を行う役職者も増え、度々申請フローが滞ることが起きていたため、これを改善し「業務効率」を上げたいと考えていました。
決め手はアシストとメーカーへの高い信頼
同社は、既存の申請・承認ワークフローには極力手を加えずに済むことを必須の要件として、特権ID管理製品を比較していきました。そして、最終的に選定したのがアシストの提案した「iDoperation」でした。
渋谷氏
iDoperationは、パスワード秘匿化や作業自動化といった基本機能を網羅しており、求めるセキュリティ要件に合致しています。Active Directoryと連携したシングルサインオンが可能なため、ユーザーの利便性にもつながると考えました。また、サーバーへエージェント導入をする必要がない点も選定の決め手の1つでした。
実装と実務を行う基盤システム部においては、製品の機能だけではなく、過去取引におけるベンダーへの信頼も高く評価した点だと言います。
小林氏
選定では、ベンダーへの信用度も大きな要素となりました。製品の開発元であるNTTテクノクロスはグループの別会社時代に付き合いがあり、製品に対する心配は特段ありませんでした。また、アシストに関しては古くから取引があり、当社のJP1やOracle Database Applianceなどでのサポートの対応から、信頼を置ける存在という点で高く評価しました。
セキュリティ強化と業務効率化だけでなく、ユーザーの利便性も向上
同社は、iDoperationのサーバー管理対象を絞り、2023年11月から本番運用を開始しています。
特権ID管理の仕組みをスムーズに構築できたのは、iDoperationの採用前からアシストに様々なアドバイスを貰えたからと語ります。
住吉氏
アシストの技術者は製品の採用前から何度も当社まで足を運び、デモや基盤部に対して製品説明会を実施してくれました。また、既存の特権ID管理の仕組みを生かせるよう、構築前から様々なアドバイスをいただきました。これにより、事前に既存の申請ワークフローなどを生かすための構成が固まり、トラブルなど特に発生せず本番運用できるに至っています。
運用後は、セキュリティ担当者の業務も改善されています。
三好氏
承認時間の待ち時間が減ったことで、待ち時間に関する問い合わせ数も削減できました。また、動画ログ機能により、課題だった作業完了後のチェック時間の削減につながり、現場としても非常に助かっています。
また、実際に利用してみての製品評価を小林氏は次のように語ります。
小林氏
iDoperationは、利用者の痒いところに手が届く製品だと現場から驚きの声が挙がっています。ユーザーの操作した録画データを倍速・スロー再生や、サーバーを選ぶリストボックスで文字列の一部を入力するだけで自動的に候補を絞り込めます。インターフェースもこの手の分野の製品では珍しく見やすいんです。小さい点かもしれませんが、ユーザーからの細かい要望が反映されているなと思い、さすが国内シェアの高い製品だと感心しています。
今後はミドルウェアやアプリケーションの特権ID管理も視野に
現在は、パスワード流出のリスクを大幅に減少することに成功し、ユーザーの利便性向上も進めている最中です。
真野氏
セキュリティレベルの向上とセキュリティ担当者の業務効率化に加え、ID申請時のユーザーの利便性も向上しています。これまでID利用申請時の承認者は1人に限定されていました。しかし、グループ単位での申請を可能にしたことで、承認者が休みであってもグループに所属している他の承認者が対応できるため、承認時の待ち時間も解消されました。
iDoperationで特権IDを管理している対象は限られているため、管理対象の範囲を拡大できるよう今後も活動をしていくと語ります。
小林氏
ゆくゆくは、ミドルウェアやアプリケーションの特権IDもiDoperationで管理していきたい。そのためにもアシストには今後も引き続き、ご支援をお願いできればと思います。
取材協力
システム企画部 システム運用グループ グループ長 真野 純一 氏(右下)
- ※本事例は取材時の内容に基づくものです。
- ※製品内容は、予告なく変更される場合があります。
- ※記載されている会社名、製品名は、各社の商標または登録商標です。
お客様情報
※お客様情報は取材時の内容に基づくものです。
会社名 | SMBCコンシューマーファイナンス株式会社 |
---|---|
本社 | 東京都江東区豊洲二丁目2番31号 SMBC豊洲ビル |
設立 | 1962年3月20日 |
URL | https://www.smbc-cf.com/ |
従業員数 | 2,139名(2023年3月末現在) |
取材日 | 2023年12月 |
関連製品/サービス
iDoperation / iDoperation SC
特権ID管理ソリューション「iDoperation(アイディーオペレーション)」は、10年連続国内No.1※のシェアを誇る国産製品です。特権ID管理に必要な機能を1つのパッケージで実現し、お客様の事業のセキュリティ・ガバナンス対応を強力に支援します。
- 特権IDの把握と管理
- 特権IDの利用と制御
- 特権IDの点検
- 2024.5.30アシスト、SaaS横断検索×チャット機能のAIアシスタント「Glean」で顧客サポート業務の高度化を実現
- 2024.5.20エア・ウォーター、グループ企業の経営情報を管理する基幹システムをOracle Cloud Infrastructureで刷新
- 2024.3.25日本オラクルとアシスト、エネルギー会社の全社データ利活用基盤をOracle Cloud Infrastructureで刷新
- 2023.6.27UQコミュニケーションズ、Oracle Cloud Infrastructureで事業継続性を強化
- 2023.6.15南相馬市、ネットワーク強靭化のリプレースに「InterSafe WebIsolation」を採用