石山 美希
株式会社山陰合同銀行(以下、山陰合同銀行)は、1941年創立の地域密着型の地方銀行です。島根・鳥取両県をはじめ、兵庫県や山陽地方をカバーする広域な店舗網・情報網を活かすことで、顧客のさまざまな金融ニーズに応え、地域の人々の良き相談相手として頼りにされる銀行を目指しています。
また、金融商品を通じて子どもたちの学びや健やかな成長に貢献できる「教育機関寄贈型私募債」の取り扱いを開始するなど、地域社会の発展にも貢献しています。
システム部
システムリスク
管理グループ
グループ長
大久保 寿浩 氏
システム部
システムリスク
管理グループ
副調査役
三上 仁志 氏
システム部
システムリスク
管理グループ
副調査役
中川 健太郎 氏
山陰合同銀行では、数多くのシステムを自行で保有していますが、その保守運用業務は外部のベンダーに委託しています。山陰合同銀行には、情報系/周辺系システムを中心に約250台のサーバーがあり、保守運用業務を委託しているベンダー数は約20社にのぼります。従来、各ベンダーはそれぞれの環境から、リモートで直接管理対象のサーバーに接続しアクセスしていました。
「場所が地方ということもあって、当行ではベンダーのスタッフに常駐してもらう体制はとれません。そこで、クリティカルな業務を担うシステムについては、ベンダーが独自に回線を引き、サーバーへリモートでアクセスできるようにしていました。また、ベンダーが保守運用業務をおこなう際は、予め所管部門に連絡をするようルールを決めていましたが、ベンダーの作業内容を監視・記録する仕組みが弱く、改善の余地がありました」(三上氏)
特権IDは各サーバーの所管部署が管理をしていたため、誰がどのような作業をしているかをシステム部門が全て把握するのは難しい状況でした。 「実際の作業内容は、紙ベースの作業申請書とイベントログを手作業で突き合わせることで確認していました。突き合わせの際にシステム部門で把握していない作業のログを見つけると、所管部門へ全て確認しなければならず大きな負担でした」(三上氏)
そこで山陰合同銀行では、システムへアクセスできるルートを一箇所に集約し、そこでの作業内容を確実に把握できる環境を整えることにしました。
また、ベンダーが山陰合同銀行まで来て直接保守運用業務をするときには、不正な行動を抑止する目的で行員による作業現場の立ち会いをおこなっていました。
「ベンダーの作業員がサーバールームに入って作業をしていましたが、サーバールームに入らなくても良い環境を作りたいと考えていました。また、立ち会いをおこなう行員への負担も大きかったので、立ち会いを必要としない体制を整備できればと感じていました」(中川氏)
山陰合同銀行が新たな環境の構築にあたり製品の選定を開始したのは2012年のことでした。許可なく機密データを持ち出せないようにするとともに、ベンダーが作業中に何をしているか正確に把握することを優先的な要件としました。情報収集として秋に東京で開催されたセミナーへ参加した際、ESS RECを知りました。
「強く魅かれた機能が、作業内容の録画とリアルタイム検知です。この機能があれば、作業時の立ち会いと同じことができると考えました。他社の製品も録画機能はあったのですが、内容を確認できるのは翌日になってしまうというネックがありました。これでは万が一の際に対応が大きく遅れてしまいます。こうした点を踏まえ、ESS RECの採用を決定しました」(三上氏)
こうして山陰合同銀行では、ESS RECの採用決定を踏まえ、リモート回線の切り替えを進め、2013年6月に完了させました。新たな環境では、3つの支店内に専用ブースを設置、作業の際は各ベンダーの作業者に支店まで来てもらい、専用のシンクライアント端末から本部内に設置した中継サーバーを介してアクセスするというやり方に変更しました。
「これなら所持品の持ち込みがチェックできますし、USBメモリなども使えないので、データの持ち出しはできません。また、システム的にもデータをダウンロードできないようになっています。さらには、防犯カメラも設置してありますので、監視による抑止効果も働かせています」(三上氏)
ESS RECによりベンダーの作業内容を把握できる環境を実現した山陰合同銀行ですが、次のステップとして取り組んだ課題が特権IDの管理でした。 他社製品の検討もしていたなか、山陰合同銀行が着目したのは、ESS AdminControlのエージェントレスアーキテクチャーでした。
「当行にはサーバーが約250台ありますが、OSも用途も異なるなかでエージェントをインストールするとなると、その影響も確認しなければならず、膨大な手間が発生します。その点、エージェントレスで管理対象のサーバーに手を入れずに済むことを評価しました」(中川氏)
また、データベースの特権ID管理ができる点も高く評価し、ESS AdminControlの採用を決定しました。
山陰合同銀行は、まず運用テストを兼ねて2015年6月よりESSAdminControlをシステム部門が管理するサーバーを対象に導入。業務への影響を考慮しながら導入効果を検証した結果、9月には250台すべてのサーバーへの展開をおこないました。
同時に、山陰合同銀行では、行内のサーバールームでおこなわれる作業時の立ち会いについても体制を見直しました。支店に設置した専用ブースと同様の部屋を行内に設置しました。これにより、ベンダーの作業者がサーバールームへ入る必要がなくなり、行員の立ち会いも不要となりました。
ESS AdminControlのワークフローに基づいて作業申請・承認をおこなうことで、どの特権IDがどの作業に使用されるかを一元的に管理することが可能となりました。したがって、かつて把握しきれなかったベンダーの保守運用作業もすべて把握できるようになりました。
また、手作業による紙ベースの作業申請書とイベントログの突き合わせも解消され、作業内容の確認や管理も格段に効率化されました。
「ESS AdminControlは行内のサーバーすべての作業申請を網羅できる上、ログとの突き合わせも自動でおこなってくれます。おかげで、ログ突き合わせで漏れた分だけ内容の確認をすれば済むようになり、負担も大幅に軽減しました」(中川氏)
「作業内容もESS RECの動画による記録で、詳細に把握・監視することが可能になりました」(三上氏)
また、ESS RECとESS AdminControlの機能の連携により、サーバールームでの作業の立ち会いが不要になった点も大きなポイントとなっています。 「行員にとって負担の大きかった立ち会いが不要になったことはありがたいです。立ち会いがなくても高いレベルの監視と抑止効果を実現することができました」(三上氏)
「専用ブースで作業をしてもらい、ESS RECで作業内容の録画とリアルタイム検知。作業時に必要となる特権IDをESS AdminControlで管理することで、堅牢なセキュリティ体制を構築することができました。また、ESS AdminControlの機能を使えば、パスワードを秘匿したままの作業も可能です。現在のような環境を実現できたのも、ESS RECとESS AdminControlの機能連携のおかげです」(中川氏)
現在、山陰合同銀行におけるシステム管理は、ESS AdminControlとESS RECの仕組みを通じて実施しています。オフラインになっているサーバーもESS AdminControlに登録し、特権IDを一元管理できるようにしています。
「これはエンカレッジ・テクノロジが当行のニーズをきっかけに機能追加したと聞いています。こうしたニーズを製品機能に反映してもらえる点が、国産メーカーならではの強みだと感じています。海外製品にはない強みなので、今後も期待したい点です」(三上氏)
ESS RECとESS AdminControlの活用により徹底したベンダー管理と効率化を実現した山陰合同銀行様。エンカレッジ・テクノロジは、これからもこうしたお客様のニーズに応えられるよう、既存製品の拡充と新しいソリューションの提供に努めてまいります。
※本内容は、2017年3月時点のものです。
| 設立年月日 | 1941/07/01 |
|---|---|
| 本店所在地 | 島根県松江市魚町10番地 |
| URL | https://www.gogin.co.jp/ |
| 事業内容 | 島根県松江市に本店を置く、山陰地方で最大規模の地方銀行。島根・鳥取両県をはじめ、兵庫県や山陽地方までカバーする広域な店舗ネットワークを持つ。そのフットワークの軽さを活かし、顧客のさまざまなニーズに積極的に応えている。 |
| 導入製品 | ESS REC・ESS AdminControl |