いまは正当な権限を持っている人が不正する時代カブドットコム証券が事例紹介

» 2009年12月04日 00時00分 公開
[大津心,@IT]

 エンカレッジ・テクノロジは12月3日、セミナー「事故前提社会におけるIT運用のヒューマンリスク管理セミナー」を開催。ユーザー事例として、カブドットコム証券 事務・システム本部 システム部 ITプロフェッショナル・エバンジェリスト 谷口有近氏が「その内部管理要件では動かない! 〜IT運用設計の現場より〜」と題した講演を行った。

谷口氏写真 カブドットコム証券 事務・システム本部 システム部 ITプロフェッショナル・エバンジェリスト 谷口有近氏

 まず谷口氏は、カブドットコム証券について説明。同社は社員数93名ながらフロントシステムから勘定系まで自社で構築・運用しているネット専業の証券会社。現在、サーバ450台をプロパー社員が開発・運用しており、450台のうち98%がWindows Serverで構成されている。人員はシステム開発が9名+サポート10名、システム運用が7名+サポート4名体制の少人数体制で運営しているとした。

 谷口氏は、ネット証券の現状を「商品は均一化しており、差別化が難しい。手数料をめぐった体力勝負の面もある。一方で、ネットではコールセンターとシステムが営業担当者そのもの。内製化と品質コストでブランド化できる面もある。現在ネット証券大手5社は、SBI証券が一歩抜きんでているが、それ以外は拮抗している。当社は内製を強化することで1人当たりの最終損益を上げて勝負していきたい」と説明した。

 セキュリティへの取り組み方だが、同氏はまず「いまは正当な権限を持っている人が不正をする時代。管理者や作業者による不正をいかに防ぐか、トレースできるか、が重要なポイントになっている」と指摘。「監視強化などもあるが、そもそも、『まず自分たちで作ったルールをきちんと守れているか?』という点を見直すべき。厳しすぎると形骸化するが、最低限のルールは面倒でも絶対守らなければならない部分でもある」と説明した。

 また、谷口氏は「技術的な理想としては、OSログオンレベルでユーザーを個別に識別し、アクティブディレクトリのセキュリティグループをベースにすべてのサブシステムの操作記録を確保したい。例えば、サブシステムのAという操作はOKだが、Bとう操作はダメ、というような制限を、ユーザーごとにしたい。しかしこれはあくまで理想論。実際には、恐らく不可能ではないが、莫大(ばくだい)なログ検索機能もあわせて必要になる。それならアプリケーションの回収コストでもっとまともなことができるはずだ」と説明した。

 実際、同社ではすでに莫大なログを管理しているという。同社の従業員は98人ながら、ファイルサーバの端末操作ログは1カ月で100GB超、運用端末の操作記録は1カ月で30GB、メールサーバは累積1.5TB超におよぶ。また、ユーザー向け取引システムのWebサーバログは1カ月で350GB、SMTP配送ログと合わせると1カ月で1TB超に達するとした。「さらに、金融業であるため、各種法律や規制などで、種類によってはログを5〜10年間保管しなければならないため、増える一方だ。これをどう管理していくかが重要なポイントになっている」(谷口氏)と訴える。

 カブドットコムでは、このような状況に対応するために「すべてのシステム利用者は面倒でも想定した業務フロー通りに作業・操作する方針に、手順を守らない場合には処罰対象にする」というルールを策定し、徹底した。また、ツールとしてエンカレッジの操作ログ記録製品「ESS REC」と、ID管理製品「IDI」を導入。これを社内システムと連携することで、「共有せざるを得ない一部の特権アカウントを、いつ、誰が、どのように使ったのかを自動的に記録するようにした。そして、社長にこのツールを紹介した際には、まず、決済処理端末や勘定システムへ導入するように命じられた。いまは正当な権限のある人が不正する時代。性悪説に立ち、確実に記録することを目指した」と導入背景を説明した。

 このような操作ログソリューションを導入することで、副次的な効果も生まれたという。「“常に監視されている意識”が運用者に生まれた。『他人が行った不正を自分のせいにされたら堪らない』ということで、共用運用端末のデスクトップをきれいに使うようになったほか、スクリーンロックを頻繁にかけたり、意識向上が図られた」という。

 最後に谷口氏は、「できることが多い製品を見ると、ついつい『あれの機能も、この機能も』と使いたくなるのが人情だ。しかし、それでは監視要件や運用の整理が難しなる。また理想を追いすぎると『セキュリティはお金がかかりすぎる』といわれてしまう。最低限何をしなければならないかを整理して、自分が決めたルールはしっかり守れば十分だ。いずれにしても完ぺきな対策はないので複合的に実施するべき。ログ管理は、『自分はしてません』『会社ぐるみではありません』という自分や自社を守るためのもの。不正をしていない証拠だ、ということをきちんと理解してもらえば、利用者も協力的になるはずだ」と語り、講演を締めくくった。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ