環境変化と運用負荷に対応する「セキュリティソリューション」
|
|
金融業界におけるユーザー向けのサービス強化やデータ活用が盛んです。セキュリティ対策の基準に厳格な規格やガイドラインが特に設けられる業界において、多くの企業が直面している課題とは何でしょう?ここでは、特にITシステムの活用が急速に進む生命保険業界を例に、アシストがよく伺う課題と解決策を解説します。
システム環境の変化と運用負荷の増大
金融業界、特に保険業界などで、ITを活用したユーザーの手続きの簡素化や、他社との競争力強化を目的としたデータ活用が急激に進んでいます。かつては対面が主だった募集人による保険商品の説明、見積、査定、新契約、保全、支払い手続き等が、今では一元的にスマートフォンで顧客自らが行うことが可能になりました。またユーザー向けだけでなく、代理店とのビジネスを円滑に行うためのシステム構築など、その活用範囲も拡大しています。これらのシステムで扱うデータは、要配慮個人情報と分類される既往歴等のセンシティブなものを含んでいるため、企業にとって、取り扱いには特別な注意が求められています。
では実際に、これらのデータが格納されているシステムの運用はどうなっているのでしょう。金融業界全般で言えることですが、かつての主流であったメインフレームは既に、信頼性や互換性の高さ等の特別な理由から、一部システムのみに限定利用されていることが殆どです。特にIT活用需要の高い保険業界では、オープン系サーバOS(以下サーバOSとします)が採用されていることは勿論ですが、利便性や初期コストの面から、クラウドサービスの採用も急激に進んでいます。かつては大きかったクラウドサービス採用に対する危惧の声に対し、各クラウド事業者が、FISC安全対策基準への準拠性を示したリファレンス公開を積極的に進めることで、採用する側が確認しやすい状況になったことも、採用が進んでいる一因と言えます。
このような環境面での急激な変化とともに、新たなシステムの企画、導入も増えてしまうことで、システムの運用管理者が疲弊してしまうケースがあります。このことでシステムの運用をこなすことが先行してしまい、以下のような状況が起こりがちになっています。
例)
- 外部に委託したまま、詳しい状況を確認する時間がない
- 管理が大変なので、メンテナンスや設定変更の権限は制限せず、全権限をもったID(以下、特権ID)、パスワードでおこなっている
- 特権IDは複数人で共用している
システム運用負荷の増大とセキュリティリスク
これらの状況は、以下のようなリスクが発生してしまう恐れがあります。
- 委託先が不正を働きやすくなる
- 特権IDが外に持ち出され、本来の目的以外で使われやすくなる
- 実際にインシデントが起こっても、原因や犯人追跡の方法がない
具体的には、契約者の個人情報のほか、資産運用情報や取引先への融資などといった、非公開な財務系情報へアクセスされてしまうことが予想されます。これらの不正を行っても、ログを改ざんしたり、削除することで証拠を隠滅される恐れもあります。また、故意でなくても、操作ミスによるデータ削除、システムファイル破損、といった事故も考えられます。こういった危険な状態は必然的に、規定のガイドラインや規格を満たさないセキュリティレベルとなり、外部監査の指摘を受けることもあります。
セキュリティ対策の導入イメージ
では、どのようなセキュリティ対策が必要になるのでしょうか。ITの活用を運用面で安定的に支えるには、罰則規定や監視体制の強化だけでなく、システム的なセキュリティ対策の導入が不可欠です。まずは対策をしていない、リスクの高い状態をイメージにすると、以下のようになります。
|
|
この状態から、必要なことは何でしょう。担当者に、「うっかり」の誤操作も含めた操作をしっかり制御し、さらに、不正行為を思い留まってもらうことです。以下の対策が考えられます。
- システムを管理する担当者とセキュリティ管理者を別にする
- 担当者に自由に特権IDを使わせず、事前承認制で利用状況を把握する
- 利用が承認されサーバにログインした後、特権IDであっても許可されない操作は制御する
- ルール違反はリアルタイムに検知し管理者に知らせる
- 担当者に監視している旨を知らせる
- 動画やテキストログで完全に操作を記録する
- 操作の記録は改ざんや消去ができないようにする
- セキュリティ管理者も制御、監視する
- システムへのアクセス履歴や操作記録となるログを保管し適切に運用する
|
|
さらに、不正が行えなかったとしてもそれを「行おう」とした行為がないか、後から容易に確認できる仕組みを整えておくと良いでしょう。
セキュリティインシデントは一般的に、外部からの攻撃、内部不正、管理者のオペレーションミスによって起こります。それが起こる前のシステム的な制御は不可欠です。あらゆる業界の中でも金融業界では特に、影響度の大きさを気にされるお客様も多いことから、アシストではお客様の不安を解消できるよう、あらゆる対策方法の選択肢を1つ1つ真摯にご提案しています。
まとめ
以上のように、ITシステム活用と環境の急変化を背景にした、システムの運用面でのリスクと対策についてお伝えしました。具体的には以下の対策が必要です。
- すべての権限が付与されている特権IDの利用は、自由に使えないようシステム的に制御する
- 特権IDでサーバにログインした際にも、操作制限をする
- すべての操作履歴、ログを適切に管理する
- システム的に制御されている状態でも、それらが行われていないことを確認
アシストではこれらの対策について、それぞれ以下のソフトウェアをご提案しています。
・特権IDの利用を管理し、ログを取得するiDoperation
・ユーザーのログイン後の不正操作を制御するSHieldWARE
・システム毎に分散するログを統合管理、保管し証跡を確認しやすくするLogstorage
セキュリティ対策ご提案や導入は、金融業界での実績も高いアシストに是非ご相談ください。独立系ベンダーだからできる、世界中から集めた本当に信頼できるソフトウェアの選択肢をご紹介します。
|
|
関連製品/サービス
iDoperation / iDoperation SC
特権ID管理ソリューション「iDoperation(アイディーオペレーション)」は、10年連続国内No.1※のシェアを誇る国産製品です。特権ID管理に必要な機能を1つのパッケージで実現し、お客様の事業のセキュリティ・ガバナンス対応を強力に支援します。
- 特権IDの把握と管理
- 特権IDの利用と制御
- 特権IDの点検
Logstorage
Logstorageは、大量のログデータを収集し、分析できるようにする統合ログ管理システムです。ログ管理システムのデファクトスタンダード製品として、小規模から大規模まで圧倒的なシェアを誇ります。
- 多彩な収集機能によりログ収集の手間を大幅に軽減
- 独自の構造化によるログの圧縮でストレージコストを軽減
- 使いやすいWebアプリでログ活用を簡単に実現
SHieldWARE
SHieldWAREは不正アクセスからサーバを守るセキュリティ強化ソフトウェアです。特権IDを含めたアクセス制御、改ざんできないログ取得、違反アクセスの検知により情報資産を守ります。
- 純国産のサーバセキュリティ対策製品
- 特権IDも含めたファイルアクセス制御が可能
- メール通知機能で即時に不正を検知
セキュリティに関するその他の課題
- ID管理、アイデンティティ管理の対策を選定する方法
- クラウド時代のセキュリティ対策の考え方
- CA Privileged Identity Manager移行を検討されている方へ
- 自治体情報セキュリティポリシーの新ガイドライン(令和3年版)のポイント
- 最適なタイプを自己診断!テレワークセキュリティ対策の3つの解決策
- リモート業務の急拡大で見直したいセキュリティ対策
- ハイブリッドクラウド環境もカバーできる、認証・ID管理の解決策
- 【マルウェア対策】ゲートウェイで防御不能な3つの侵入ケース
- DX(デジタルトランスフォーメーション)推進とセキュリティの概念
- 【情報漏洩対策】USB、CDだけじゃない!Bluetooth、テザリング…社員の「スマホ」が企業の情報漏洩の原因になる3つの盲点
- 【ログ活用】AWSのログが活用できない!?AWSの運用担当が抱える5つの問題
- 仮想ブラウザ比較!経営者に知ってほしいインターネット分離の効果と実践方法
- 【標的型(サイバー)攻撃】対策のポイント
- 情報漏洩対策の全体像を知りたい方へ
- 【情報漏洩対策】ファイルサーバの情報漏洩対策 2つの方法
- 【情報漏洩対策】ネットワーク分離環境のデータ保護対策
- 【情報漏洩対策】社外ネットワーク接続による情報持ち出しリスク
- 【情報漏洩対策】Wi-Fiテザリングによる情報持ち出しリスク
- 【情報漏洩対策】USBメモリ等による情報持ち出しリスク
- 【ID管理】不要なアカウントの確実な削除による不正アクセス防止
- 【ID管理】Active DirectoryのID管理対策
- 【ID管理】アカウント変更履歴を取得
- 【ID管理】アカウント利用時におけるワークフローの仕組みを改善
- シングルサインオン(SSO)の選び方と仕組みの解説
- 【ログ活用】標的型攻撃対策に不可欠なログ分析
- 【ログ活用】個人情報保護対策のためのログ分析
- 【ログ活用】ログ監査、ログモニタリングの効率化
