Homeユーザー事例三菱UFJインフォメーションテクノロジー株式会社 様

『独自のノウハウがあるから、各社のニーズを満たしていける』

三菱UFJインフォメーションテクノロジー様事例ご紹介
三菱UFJインフォメーションテクノロジー
管理部リスク管理課
課長 武田 利昭様 マネジャー 阿部 博子様

 「2004年に個人情報保護法が施行され、当社でも法令遵守の観点から情報セキュリティ対策を強化することとなりました。 適合する製品数が少ない中、端末にソフトを導入するタイプの監査製品を選定し、社内全台の端末1,000台に導入しました。 ところが、その製品は不必要なログまで取り込むため、ログ量が膨大になり、監査レポート出力だけでも時間がかかりました。









これまでの課題

かつて選定した製品に不満

 結果的に、日次でのアクセス監査の運用開始には至らず、実用的な日次利用としては、ログイン・ログオフのログを元に、出退勤管理のみを実施しておりました。 このように本来の目的であるファイルアクセスの日次監査は開始できず、事故発生時の対応のために、ログの蓄積だけを続ける状況が、2年半続き、打開策を探している折に、ウイーズ社の製品に出会いました。」


ウイーズ製品の魅力

ポリシー設定、レポート機能が標準装備

 「通常、ログ監査実施に際しては、監査ポリシーの定義から監査レポートの設計までトータルで検討する必要があります。 ある製品では、導入費用は安価な半面、ログ取得ポリシーの検討からレポート設計、チューニングまで、一から全てをユーザが行うことが前提のため、導入決定から監査開始までに3年かかったという話を聞いたことがあります。
 このように、ツール自体は安価でも監査開始までに時間を要する製品は、環境の変化への対応も困難な場合も多く、現実的でないと思います。 導入のスピード感、変更の容易性、運用負荷の軽減をポイントに製品を選定しました」

対応がスピーディ

 「過去に運用面で他社に問い合わせをした際、営業担当者が取り扱っている製品の技術に精通していないため、その対応に時間がかかり、不便を感じていました。 その点、ウイーズ社は営業担当者が製品に関して豊富 な知識を持っており、問い合わせの対応も迅速で、助かっています。 導入時においても、インストール作業に大きなトラブルも無く、約30サーバの環境構築もあっという間でした。」

三菱UFJインフォメーションテクノロジー様 事例ご紹介     三菱UFJインフォメーションテクノロジー様 事例ご紹介
執行役員 管理部長              管理部 リスク管理 課長
原田 憲邦様                   笠置 耕嗣様
                          (※2011年7月時点)

導入の決め手

クライアントに導入不要

 「他製品の多くは、ファイルサーバのアクセスログを取得するために、クライアントに直接ソフトを導入しなくてはいけないという前提がありますが、WEEDS WinServer-Traceはそれを見事にクリアしている点で魅力を感じ採用するに至りました。
 以前使用していた製品は、やはり端末に製品を導入するもので、Javaなどの開発ツールと相性が悪く、開発作業に支障が生じており、不都合を感じていました。」

監査による相乗効果

全社情報セキュリティ意識の強化

 「現在、主に時間外のアクセスを監査しております。 夜間と休日を時間外と定義し、その定義された時間に重要ファイルのアクセス及び、特権IDによる操作履歴を詳細に監査しております。 この監査ポリシーの設定に際しては、事前に関係部長に監査時間帯の妥当性を確認し、併せて、監査対象ファイルの設定についても、各部に洗い出しをお願いしました。 特に、顧客情報等の重要ファイルの利用は、ルールに基づいた適正な手順と体制で実施される必要があります。 監査開始後、現場担当役席から、「従来から実施している夜間作業なのに、なぜ監査対象として報告を求められるのか」と意見をもらうケースがありました。 重要情報へのアクセス監査の本来の目的は、単に作業の中でのアクセスの妥当性だけでなく、そもそも当該作業が必要か、作業手順は適正であったかどうかも含め、トータルで、各部の情報セキュリティの責任者(部長)が点検することにあります。 実際、日次で監査レポートを出力し、リスクのある操作と看做されるログがあれば、グループウェアを用いたワークフローで直接担当部長宛に確認依頼を実施しています。 監査レポートを受信した部長は、内容に応じ、適宜調査を指示し、調査結果を確認、対応を行い、結果を情報セキュリティの全社管理責任者宛に顛末報告しています。 このように、各部情報セキュリティ管理の責任者(部長)を中心に点検と対応を実施することで、結果的に各部の情報セキュリティ管理の組織的な改善の継続と、社員一人ひとりの情報セキュリティルール遵守に対する意識を高める効果があると考えています。」

監査業務の展望

今後は「予防策」に注力

 「現状は、操作結果のログを後追いして監査し、不正操作の有無を監査しています。 情報漏洩防止の実効性としては十分とはいえませんが、漏洩が起こった際に、調査対象を絞込み、ルールを遵守している社員が無用のトラブルに巻き込まれることを回避するには、有効な手段だと思います。 今後は、不正操作が行われる前に検知ができるよう予兆管理の機能の強化を図りたいと考えています。 現段階で考えているのは、現状のアクセスログから、当社における、通常操作のコマンド種類や回数、利用サイクルを整理し、異例アクセスの動態監視項目を定義し、監査していく方法です。 例えば、通常業務では、保管中の全個人データを連続して参照、複製するような形態でのアクセスはありません。 このような、異例なアクセスパターンを洗い出し、リスクの大きなアクセスパターンから順次監査対象として監査ポリシーに追加してきたいと考えています。 また、各部の管理負担の軽減となるよう、予め部長が承認済の深夜作業や休日作業を監査対象外とするなど監査対象を絞り込む方法を整理中です。」

三菱UFJインフォメーションテクノロジー様 事例ご紹介
導入概要図

ウイーズ社への期待

ノウハウを蓄積した製品を提供してほしい

 「ウイーズ社は多くの金融機関で採用実績があり、その数だけ、法令遵守、漏洩防止のための課題解決策(ノウハウ)をお持ちだと思います。 それら課題解決で得たノウハウを、今後も製品の標準機能として反映し、提案していただきたいと考えています。 そうすることで、ウィーズ社製品を導入する各社は、洗練された標準機能をベースに、各社固有状況への対応に専念できると考えます。 また、今後も独創的な処理方式により、システム開発環境への導入インパクトが少ないツールの開発や、運用負荷の少ない監査環境の提供を期待しています。」

三菱UFJインフォメーションテクノロジー様 事例ご紹介
管理部の皆様



ページトップへ

Docs DownLoad!

WEEDS入ってる!

weeds-japan.co.jp MENU

Copyright (C) WEEDS SYSTEMS Inc. All Rights Reserved.