三井住友銀行のセキュリティ強化策は理想的なアプローチ
2009年11月6日(金)14時0分配信 ITmediaエンタープライズ
対策強化の現状把握では指標のチェックと詳細なヒアリングを実施する,写真:ITmedia [ 拡大 ]
-PR-
三井住友銀行は、このほど企業のM&A支援などを担当する投資銀行部門の業務システムの更新に伴ってセキュリティ対策を強化した。対策強化の取り組みが理想的な形で実現したとして、導入コンサルティングを提供した日本オラクルが内容を紹介している。
投資銀行部門では、M&Aに不可欠となる経営情報や財務情報などの機密性の極めて高い情報を日々扱っており、同行内でも堅牢な情報管理の仕組みが求められる部門の1つである。セキュリティ対策では、情報の取り扱い範囲を最小化することで外部への漏えいリスクを解消することが重要な目的になり、日本オラクルがデータベース利用における厳格なアクセス権限管理の仕組みを提供した。
システム事業統括本部の北野晴人担当ディレクターは、情報漏えい対策では実情を把握しないまま安易にパッケージ製品を導入してしまい、効果の伴わない運用につながるケースが多いと指摘する。しかし、三井住友銀行のケースでは現状分析を徹底したことで、理想的なアクセス制御の仕組みを構築できたという。
「まず想定可能な脅威を洗い出して、現状の対策でカバーできる点とできていない点を整理する。できていない点は運用面を十分に考慮して具体的にどのような製品、サービスで補完するかを検討し、具体的な設計と実装に着手するのが望ましい」(同氏)
同社では現状を整理するための指標として、グローバルでのベストプラクティスや、データベースセキュリティコンソーシアムが策定したガイドラインなどを基にチェックシートを作成している。ユーザー企業はチェックシートで現状を把握し、日本オラクルの担当者もユーザー企業にヒアリングをして、両者でセキュリティ対策を具体的に強化する方法を検討していく。
三井住友銀行のケースでは、「情報を見せる必要のない人には見せない、触らせる必要のない人には触らせない」という方針を決定。アクセス権限を、情報を利用する従業員とシステムを保守するデータベース管理者に大きく分け、さらに従業員ごとに利用できる情報を制限するという2段階の仕組みを構築した。
この仕組みではデータベース管理者に付与されがちな特権がなく、管理者が利用できるのはデータベースのメンテナンスや構成管理といった運用部分のみで、格納された情報を参照したり、改変したりできない。これにより、外部委託など含めて管理者や保守担当者に重要情報を閲覧されたり、持ち出されたりするリスクを解消した。
従業員には「仮想プライベートデータベース」という仕組みを個別に提供した。仮想プライベートデータベースでは、自身の担当案件に必要な情報の参照や変更といった作業のみが許され、そのほかの情報にはアクセスできない。日本オラクルは、データベース管理を制御する製品の「Oracle Database Vault」と仮想プライベートデータベースの機能を提供したという。
セキュリティ強化の施策は2008年11月にスタートし、現状把握と方針の決定、システム構築まで3カ月程度で完成した。同行では2009年4月から本番運用を始めている。
北野氏は、「三井住友銀行の事例は多くの企業にも共通する理想的な対策構築の方法だと考えている。現状把握は手間な作業と思われがちだが、実際には最も効果的な方法を短期間で実現するものであり、同行の事例を参考にしていただきたい」と話している。
投資銀行部門では、M&Aに不可欠となる経営情報や財務情報などの機密性の極めて高い情報を日々扱っており、同行内でも堅牢な情報管理の仕組みが求められる部門の1つである。セキュリティ対策では、情報の取り扱い範囲を最小化することで外部への漏えいリスクを解消することが重要な目的になり、日本オラクルがデータベース利用における厳格なアクセス権限管理の仕組みを提供した。
システム事業統括本部の北野晴人担当ディレクターは、情報漏えい対策では実情を把握しないまま安易にパッケージ製品を導入してしまい、効果の伴わない運用につながるケースが多いと指摘する。しかし、三井住友銀行のケースでは現状分析を徹底したことで、理想的なアクセス制御の仕組みを構築できたという。
「まず想定可能な脅威を洗い出して、現状の対策でカバーできる点とできていない点を整理する。できていない点は運用面を十分に考慮して具体的にどのような製品、サービスで補完するかを検討し、具体的な設計と実装に着手するのが望ましい」(同氏)
同社では現状を整理するための指標として、グローバルでのベストプラクティスや、データベースセキュリティコンソーシアムが策定したガイドラインなどを基にチェックシートを作成している。ユーザー企業はチェックシートで現状を把握し、日本オラクルの担当者もユーザー企業にヒアリングをして、両者でセキュリティ対策を具体的に強化する方法を検討していく。
三井住友銀行のケースでは、「情報を見せる必要のない人には見せない、触らせる必要のない人には触らせない」という方針を決定。アクセス権限を、情報を利用する従業員とシステムを保守するデータベース管理者に大きく分け、さらに従業員ごとに利用できる情報を制限するという2段階の仕組みを構築した。
この仕組みではデータベース管理者に付与されがちな特権がなく、管理者が利用できるのはデータベースのメンテナンスや構成管理といった運用部分のみで、格納された情報を参照したり、改変したりできない。これにより、外部委託など含めて管理者や保守担当者に重要情報を閲覧されたり、持ち出されたりするリスクを解消した。
従業員には「仮想プライベートデータベース」という仕組みを個別に提供した。仮想プライベートデータベースでは、自身の担当案件に必要な情報の参照や変更といった作業のみが許され、そのほかの情報にはアクセスできない。日本オラクルは、データベース管理を制御する製品の「Oracle Database Vault」と仮想プライベートデータベースの機能を提供したという。
セキュリティ強化の施策は2008年11月にスタートし、現状把握と方針の決定、システム構築まで3カ月程度で完成した。同行では2009年4月から本番運用を始めている。
北野氏は、「三井住友銀行の事例は多くの企業にも共通する理想的な対策構築の方法だと考えている。現状把握は手間な作業と思われがちだが、実際には最も効果的な方法を短期間で実現するものであり、同行の事例を参考にしていただきたい」と話している。
