ワンタイムパスワードを用いた住友信託銀行のセキュリティへの取り組み

[怒賀新也，ITmedia]

　住友信託銀行は、資産運用を中心とした5つの事業部門により、信託型投資銀行業務やCSR経営の強化などを行っている。RSAセキュリティが行ったRSA SecurWorld Forum 2004において、年金信託部システム企画チームの調査役、鐙家（あぶみや）雅史氏が、ネットビジネスへへのシステム対応と、セキュリティ向上に関する取り組みについて紹介した。

新システム構築の背景

　同社がインターネットに対応したシステムの構築を図る背景には、公的年金の給付引き下げや、運用成績の低迷、新たに退職給付会計が導入されたことなど、企業年金をめぐる環境の変化が挙げられる。複雑化する顧客のニーズに対応するために、柔軟性と拡張性を備えた新たなシステムを構築する必要が出てきたため、インターネットを基盤にしたオープンアーキテクチャによる新システムの開発に踏み切った。

　新システムの1つは、「すみしん年金管理ネットサービス」。およそ119万人の加入員と、約40万人の受給者に関する情報の記録が主な役割だ。年金加入者の届出書や各種報告書、統計資料など多くの業務でペーパレス化を実現、インターネット経由で年金記録の照会や更新、年金証書の帳票出力を行うことができる。一方で、「すみしんPBOネットサービス」も構築された。従来なら数週間掛かっていた複雑な退職給付債務（PBO）の追加計算を、インターネットを経由して数時間で算出することができる。

　基盤となるシステムの特徴は、夜間バッチの負荷対策のため、10台を超えるサーバによる並列処理も可能にしたこと。また、日立製作所のJP1を導入し、バックアップや期限切れ入るの削除処理なども統一的に行えるようにした。

セキュリティ強化にワンタイムパスワード

　さらに、金融機関に特に要求されるセキュリティへの対応にも力を入れた。具体的には、ログを用いることでデータベースへのアクセスを後追いできる仕組みや、SSLによる通信の暗号化、ワンタイムパスワードによる認証の強化などが挙げられる。

　ワンタイムパスワードの仕組みとして採用されたのがRSA SecurID。理由としては、顧客企業への展開が容易であることや、認証のための専用ソフトを必要としないこと、保守運用が容易であることなどもポイントになった。

導入効果

　新システムの導入により、Web化による利便性が向上し、従業員の業務効率が全体にアップしたという。また、システム全体をオープン技術で構築したことで、開発生産性だけでなく、保守コストも削減できたとしている。一方、セキュリティ面では、ワンタイムパスワードの導入により、システムとしての利便性を損なうことなくセキュリティを強化。さらに、顧客に安心感を提供できたことにより、サービスの付加価値を向上させることができたとしている。

　鐙家氏は、「ワンタイムパスワードを他システムへの展開などを含めて拡大してきたい」と話した。