導入事例
SBI損害保険株式会社様
ダイレクト系損害保険会社が特権アカウント管理を強化
幅広い操作ログの収集と証跡記録を効率化し、不正アクセスや情報漏洩の可能性を大幅に減少
- 特権アカウント管理の厳格化とセキュリティリスクの回避
- 操作ログの収集による証跡調査負荷の軽減
- 管理対象サーバへのアクセス元の一元化
導入の経緯
インターネット経由のダイレクト系損害保険会社として2008年に営業を開始したSBI損害保険株式会社(以下、SBI損保)は、自動車保険を主力に、徹底した業務効率化によるリーズナブルな保険料と、契約者一人ひとりのニーズに合った保険サービスが人気を呼び、営業開始からわずか5年で契約件数は50万件にも及ぶなど急成長している。
そのサービスを支えるのが、情報システムインフラを無駄のない規模で構築し、管理コストも最小限に押えるため設置された社内の開発チームと運用チームだ。
しかし、同社は保険契約などセキュアな情報を取り扱う上で、
- 特権I Dの管理
- オペレーションログの収集
- ネットワークポートの可能な限りの閉鎖
という点で解決したい課題が一部あった。
そこで、課題解決のためにはどのようなソリューションが最適か検討をおこなうこととなった。注目したのは、物理的にセキュリティを高め、制御のシステム化を短期間に実現できる特権アカウント管理システムだった。
導入決定のポイント
「特権アカウント管理ツールを活用して全てのアクセスを特権アカウント管理サーバ経由にし、不必要なポートは全て閉じた状態で物理的に統制することが必要だと考えました」と語るのは、SBI損保 システム部 ビッグデータ室長 兼 システム部 マネジャの古本拓也氏(写真右)だ。
特権アカウント管理製品の選定にあたり、4~5製品の中からOSや機器類に幅広く対応し操作ログを容易に取得できる2製品をピックアップ。最終的に、ditが提案した「CyberArk PIM Enterprise Suite」(以下、CyberArk)に決定したという。
「CyberArkは構造がシンプルで価格もリーズナブルな上に、当社が求める要件を全て満たしていました。また、ネットワークの変更を伴わないため導入時のリスクが少なく、管理の容易さも決め手になりました」(古本氏)
CyberArkは2013年3月から社内の運用チームを対象にテスト運用を開始。同時に、オプション機能で特権I Dのアクティビティを監視・記録する「Privileged Session Manager」(PSM)も併せて活用している。 SBI損保 システム部でCyberArkの運用を担当する周少林氏(写真左)は、「PSMによって、特権アカウント利用者の操作内容を動画やテキストで記録できるので、IT統制上非常に有効です」と感想を述べる。
「Privileged Session Manager」(PSM)は、特権アカウント利用者の操作内容を動画 やテキストで全て記録。
Windowsのメディアプレーヤなどでリプレイが可能
現在の運用状況と今後の展望
CyberArkによって申請フローによる特権アカウント管理の厳格化が実現し、不正アクセスや情報漏えいの可能性は大幅に減少するとともに、監査の際にも操作ログによる証跡調査が可能となり、トレーサビリティの強化に効果があると古本氏は評価する。
「これまでは、開発チームや協力会社からの作業依頼が発生すると、必ず運用チームのメンバが立ち会わなければなりませんでした。今後はCyberArkで作業者の権限を絞り、作業内容の証跡も残せるので、各チームが責任を明確化して作業を行うことで人件費も削減できると期待しています」(古本氏)
また、CyberArkはActive Directoryと連携しているため、CyberArkの専用サーバにログインし、UIに表示された接続先の管理対象サーバをクリックするだけで接続ができるので、利便性が格段に向上したという。
「サーバの台数が増えるに従って、IP管理台帳からアクセス対象のサーバを探すことが困難になっていましたが、CyberArkの導入によってプロジェクトごとにサーバのグループを分類することができるようになりました」と周氏は指摘する。
SBI損保では、将来的に運用・保守を担当する協力会社にも特権アカウントの活用を拡大することも視野に入れ、CyberArkでセキュリティを高めた上で、社外から直接メンテナンスを可能にする計画もあるという。 さらに、CyberArkの特徴のひとつでもあるパスワードの自動変更機能も、システムへの影響範囲を確認した上で活用することも検討していくという
「予想以上のスピードで導入でき、希望する要件は全て満たすことが可能になったことで大変満足しています。特にditには検討段階から詳細に情報を提供してもらい、無理な要求にも快く対応していただきました。全面的なサポートに感謝しています」と振り返る古本氏は、今後、監査対応や証跡取得に向け、ログを統合管理し相関分析できるソリューションの利用可能性も検討してみたいと考えている。
SBI損害保険株式会社様 会社概要
SBIホールディングスとあいおい損害保険、ソフトバンクの共同出資によって設立されたダイレクト系損害保険会社。2007年12月に損害保険業の免許を取得し、2008年1月より自動車保険サービスを開始した。SBIグループが長年培ってきたインターネット金融事業のノウハウと、あいおい損保の有する損保事業の業務ノウハウを融合し、主にインターネットを活用した高付加価値の損害保険サービスを提供する。