Case Study

様

課題と選択

沼津市を中心に静岡県東部の主要地域に30支店を構え、地域密着型の金融サービスを提供する金融機関

設　　　立　 1950(昭和25)年4月20日本社所在地　 静岡県沼津市大手町五丁目6番 16 号U　 R　 L　 http://www.numashin.co.jp/事 業 内 容

沼津信用金庫

　沼津信用金庫（以下、ぬましん）は、静岡県沼津市に本店を置く地域密着型の信用金庫です。地域の人々とともに、地域経済の発展に取り組むという企業理念を掲げ、地域のイベントやボランティアなどに積極的に取り組んでいます。また、男女が共に働きやすい職場環境づくりとワーク・ライフ・バランスを推進し、「男女共同参画推進事業所」に認定されるなど、先進的な取り組みを行っています。　お客様との信頼関係を第一に考えるぬましんは、自庫で保有しているシステムにおけるセキュリティ対策の強化に、エンカレッジ・テクノロジのESS AdminControl とESS RECを導入しました。

お客様との信頼関係を基盤にした地域発展への取り組み少人数で安定的な運用を続けていくために選択したシステムリスク対策とは？

✓新たに浮き彫りになったシステムリスク　ぬましんでは現在、補完システムをはじめ、いくつかの業務システムを自庫で保有しています。本部システム担当職員数名と委託先ベンダーによって運用・保守を実施しています。　これらのシステムには、取引先の個人情報など機密情報が保管されているため、施錠されたサーバールーム内に設置し、入退室の管理を行うなどの対策を以前より行っていました。緊急時には委託先ベンダーが遠隔地よりアクセスする手段も提供されていますが、通常は、外部とのネットワークは切断されており、事前の連絡によってネットワークを開通させる対応を行っていました。　「ところが、セミナーでエンカレッジ・テクノロジから配布された情報漏えい対策に関するチェックリストをもとに自己点検したところ、かなりスコアが低かったのです」（丹野氏）　一定の対策を実施しているものの、昨今発生している他の金融機関での不祥事や、当局による外部委託先管理状況の自主点検の要請などを通じ、委託先を含む安全管理が十分かどうか、漠然とした課題認識を持ちはじめていました。　そこで情報収集の一環で参加したセミナーにおいて、特権ID管理に関する対策の重要性を認識しました。当時、ぬましんでは、特権IDを利用する者は数名に限定されていることから、共有型の特権IDを使用しており、使用者の特定や定期的なパスワード変更などの厳格な管理は行っていませんでした。　しかし、現状の対策の有効性も含めて検証した結果、少人数ではあっても、権限が集中し、牽制効果が機能しない状況では、不正の機会を過剰に与えてしまうことをリスクとして捉え、対策を講じる必要性があると判断しました。　「ぬましんで30年以上システム担当として従事し、システムにも詳しい上に職務上も権限がある。私のような立場の者が、実は一番危ないのです」（丹野氏）　また、ぬましんでは、特権IDを使用したシステム操作内容を、閲覧可能な形で記録していませんでしたが、特に遠隔からのリモートアクセスを含めた委託先管理の一環として、内容の確認ができる態勢は必要と判断しました。　ただし、これらの対策を、人手で実施することは、体制面を考えると現実的ではありませんでした。　「パスワードを定期的に変更したり、職員や委託先からの事前申請に応じて対象サーバーの特権IDを払い出したり等の作業を、現状の体制で行うのは困難でした」（丹野氏）　以上の経緯から、特権ID管理や操作記録の取得を効率的に行う製品の導入検討を開始、複数の製品を比較検討した結果、エンカレッジ・テクノロジのESS AdminControlとESS RECの採用を決定しました。

✓ESS AdminControlとESS RECを選定したポイントとは？　ぬましんでESS AdminControlとESS RECを採用した主な理由は、以下の通りです。

■ ESS AdminControl：パスワードを隠ぺいしたまま特権IDを自動的に貸し出しするため、　 人手を介さず安全な特権ID管理が実現できる「通常であれば、パスワードを変更する管理者は、パスワードを知っていることになります。しかしESS AdminControlを使用すれば、管理者であってもパスワードがわからないという点が機能的に優れていると判断しました。パスワードがわかりませんから漏えいの心配がありません」（村松氏）

■ ESS REC：操作内容を動画形式で記録「ESS RECは操作内容を動画形式で記録します。通常のログはテキスト形式ですから、何か不正な操作が行われた際に検証しようにも、ログ解析の知識が必要です。動画形式であれば、専門知識も必要なく、『これだったら見るのが全然苦にならない』と感じました」（村松氏）

　製品選定の段階で、より安価な製品も検討対象に上がりました。　しかし、少人数の体制であれば、なおさら、維持管理に手間がかからない製品であることが重要であると考え、信用金庫をはじめ金融機関で多くの採用実績があり、保守サービスが充実している点などを考慮し、エンカレッジ・テクノロジのESS AdminControlとESS RECを選択しました。

少人数体制のシステム部門が選択したリスク対策とは

®

®

< 導入製品 >製品群

Profile

事務部

部長 丹野　毅 氏

事務部

事務システム課

課長 村松　一郎 氏

エンカレッジ・テクノロジ株式会社

〒103-0007東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町 7FURL ： http://www.et-x.jpPhone ： 03-5623-2622Fax ： 03-3660-5822

<CS27-2015-03-01>

本事例に記述されている内容は 2015 年 3月現在の情報です。Copyright© 2002-2015 Encourage Technologies Co., Ltd.記載の会社名・製品名は、一般的に、各社の商標または登録商標です。

導入と効果 特権IDの適切な管理プロセスと、トレース可能な操作証跡の管理を実現

　ぬましんでは、エンカレッジ・テクノロジの設計・導入サービスを利用して構築を行いました。2014年10月から設計をはじめ、構築は約2か月で完了し、年明けより運用を開始しました。　これまで大きなトラブルもなく、安定稼働しています。ESS AdminControlとESS RECの導入により、以下のような効果が得られました。

✓委託先ベンダーによるリモートアクセスにも対応

　ぬましんでは、お客様により良いサービスをご提供するため、今後も新たなシステムを導入していく必要があります。そのため委託先も含めた安全対策は、より重要性が増していきます。　「しかし、勘定系を自営で運営していた頃と比べると、システム管理は少人数で行わなければなりません。各担当者も長くシステムだけに携わってきた者ではありません。委託先の協力も不可欠です」（丹野氏）　このような体制であっても、お客様の大切な情報を預かっている以上、必要な

安全対策を実施する必要があります。　「これからは、担当者の知識や経験でシステムを管理するのではなく、今回導入した製品のように、仕組みやプロセスを構築して運営していく必要性があると感じています」（丹野氏）　より安全なシステム運用を考え、取り組みを進めるぬましん様。エンカレッジ・テクノロジはこれからもこうしたお客様のサポートに努めてまいります。

✓お客様により良いサービスを提供するために

■ 特権IDの適切な管理プロセスの実現ESS AdminControlによって、特権IDの使用に際しては事前の申請・承認に基づくプロセスを実現しました。これにより、たとえ職務上の権限者であっても、単独でのシステム操作が不可能になるなど、牽制関係を確立できるようになりました。また、管理者の立場であっても、貸与する際にパスワードは隠ぺいされており、パスワードの漏洩リスクもほとんどなくなりました。

■ 専門知識が不要なトレースの仕組みに加え、不正操作・誤操作の抑　 止効果も発揮ESS RECによって、現在は特権IDを使用したすべてのシステム操作の内容が動画形式で記録されています。これにより、問題発生時など、必要に応じてすぐに記録内容を確認するなどトレースが可能な状態となりま

した。委託先にも周知をすることで、不正操作はもちろん、操作ミスをしないように留意するなど、抑止効果にもつながりました。「不正等の未然防止が可能です。また、何かがあったときにはその原因を見つけやすいですし証拠としても残せます」（丹野氏）

　委託先ベンダーによる緊急時のリモートアクセスについては、専用端末から中継サーバーを経由することで、許可されたサーバー以外にアクセスできない環境が実現しました。また、中継サーバー上ですべての操作を記録しているため、リモートによる作業であっても、庫内での作業と同様、いつでもトレース可能になりました。　このような仕組みによって、実際の運用形態が変わることによる問題については、多少懸念はありましたが、比較的スムーズに対応できました。　「委託先ベンダーの方も、操作履歴取得に特に抵抗感などはなかったようです。逆に、自社の作業の正当性をアピールできるという感じでした」（丹野氏）　「特権IDの使用に都度申請が必要になったという点も、1か月もたたないうちに浸透させることができました。手間がかかっているという印象は持たれていません」（村松氏）

(図 ESS AdminControlとESS RECを導入後のぬましん）

外部ベンダー

職員

責任者

【ぬましん本部内】

【管理対象サーバー】【中継サーバー】ベンダー専用端末

外部ベンダー

パスワードを隠蔽したまま自動ログイン

庫内の専用端末を使用

緊急時はリモート接続で対応

作業内容を動画形式で記録申請

承認