通販で自動車保険などを展開する大手損害保険会社から顧客情報漏えい対策システムの構築を受注し、稼働を開始しました(注1)。社内に複数いる「システム管理者」を個別に管理し、どのシステム管理者が、いつ、どのような操作を行ったかを記録し、「見える化」するものです。禁止行為に対する抑止効果を期待でき、監査のための証跡として利用できます。
システム管理者も単なる1ユーザー
システム管理者であっても、システムの1ユーザーに過ぎません。必要以上に業務外のデータへアクセスすることは不正アクセスと見なされます。これは情報システムへの不正なアクセスの予防、発見、防止などを目的とした経済産業省の「コンピュータ不正アクセス対策基準」に基づき、監査報告の必要性から対策が進んでいるものです。
特権ID管理でシステム管理者の操作を見える化
1つの特権IDを、どのシステム管理者が、いつ、どのPCで、どのシステムにアクセスしたかを記録します。従来はすべてのシステム管理者が同じ特権IDを使うため個人の特定ができませんでした。一般ユーザーが特権IDを不正利用して自分のIDを権限IDへ変更する不正行為も発見します。
操作プロセス管理(ファイル操作ログ)
システム管理者を含め、すべてのユーザーのPC操作内容を記録するものです。操作内容はファイルのコピー、移動、作成、削除、名前変更など。顧客ファイルのコピー、USBメモリーの使用などハイリスクな行為に対して、直ちにメールによる警告を発信することもできます。
これらのシステム構築により、万全の情報漏えい対策を実現します。
(注1)構築にはセキュリティソフトのLanScope Cat6(ランスコープキャットシックス)を採用しました。同製品はエムオーテックス株式会社の製品です。