商工中央金庫

内部／外部から不正なアクセスがあったかどうかを確認

商工中金は、主に中小企業および中小企業組合を対象に、総合金融サービスを提供する企業だ。1936年に中小企業の同業者組合を母体として政府との共同出資で設立され、全国47都道府県に構えている支店と海外拠点を通じて、7万社を超える顧客企業を支援している。

IT面でも地域金融機関との情報やり取りは活発で、他の金融機関と肩を並べられるIT投資を着実に実行している。

導入前の課題

採用は2012年。当時はIT全般統制への対応に全国の金融機関が頭を悩ませていた時期で、中でもデータベースのログ監査の管理にはドラスティックな変化が必要だった。当時、同社は複数のリレーショナルデータベースを運用していたが、それらのログを統合的に管理し、監査する手段を持っていなかった。ログを十分に取得できていないシステムもあり「どうやってログを取得すべきか」という命題から取り組む必要があった。外部からの攻撃だけでなく内部からの情報漏洩に備え、適切な人が与えられた権限の範疇でデータベースにアクセスし、どのような処理をしているかを詳細に見える化できる仕組みを備えている企業はごく少数だった。

エージェント型が最適と判断

リレーショナルデータベースが備えている監査ログ機能を利用する方式、ネットワーク型のソリューションのパケットキャプチャ方式、データベースサーバのメモリを参照する方式、エージェント型の方式を検討した。

同社はエージェント型が自社のニーズとシステム環境に最適だと判断。エージェント型は、データベースサーバ置いたエージェントと呼ばれるプログラムがデータベースの挙動を常時監視する。負荷が少なく全てのトラフィックログを網羅できる。主にOracleとMicrosoft SQL Serverのどちらかを使っている全店系／市場系の複数のシステムからログを取るにあたり、最適なソリューションを求めて入札を行った。

IBM Security Guardium を選んだ理由

検討当時、サーバの操作などの大まかなログレベルで、“アプリを起動したかどうか”が分かる程度であった。IT全般統制でも止められるデータベースの詳細なログを取得し、統合監査に耐えられるようにするために、入札資料には詳細な内容が盛り込まれた。

NI+Cが提案したGuardiumは要件を満たしたエージェント型で、OracleとMicrosoft SQL Serverのどちらにも対応する。当時ごく一部で使用されていたPostgre SQLとMy SQLにも対応しており、独自のアプライアンスでそれらすべてのログを集めて統合管理する仕組みも備えている。

試行期間は数か月。テスト環境と実環境でテストした結果、システムのパフォーマンス劣化は業務側には気づかれない程度のものであることがわかった。ログ取得の精度も問題なく、採用が決定された。

クラウド化にあたり、劣後しない仕組みを

Guardiumの経験豊富なNI+Cのコンサルタントは、初期段階でサポートし、ナレッジトランスファーを実施。以来、日々の運用は商工中金情報システムを中心とするインフラ管理チームが実施し、使用範囲の拡大や大幅なシステム変更など、大きなイベントがあればテンポラリーでプロジェクトに参加し、運用を支援する形で関わっている。

1度の大きな利用範囲拡大を経て、Guardiumは同社のIT全般統制を支える存在になった。そしていま、同社は大きくクラウドへ舵を切っている。現在、Guardiumが監視対象としている全店系／市場系システムの多くは、今後クラウド化される方向にあるのだ。この仕組みは“動いて当たり前”という難しいポジションである。クラウド化されても、現状に劣後しないデータベースセキュリティが必要。NI+Cはクラウド化にあたっても優れた提案をし、今後も同社のIT全般統制をサポートしていく。