...

NTTデータ 様 「CAFIS」J-SOX

by user

on
Category: Documents
24

views

Report

Comments

Transcript

NTTデータ 様 「CAFIS」J-SOX
J-SOX/PCIDSS対応 導入事例
株式会社NTTデータ
アクセス監査対応への課題【CAFIS®への適応の難しさ】
前述の課題の通り、アクセス監査対応をせまられていましたが、日本最大のカード決済システムであるだけに、適
応には以下の通り課題がありました。
①
CAFIS®内には、様々なシステム・多くのプラットフォームが存在するが、一部のシステムで個々の仕組
みによりログ監査を実施していた。
②
将来的にシステム毎にログ監査の対応を進めていく場合、トータルでは検討や開発にかなりのコストがか
かる。
③
一部システムでは監査運用を人手で実施しているため、労力がかかっているとともに、リリース作業を行
う開発担当が監査作業も行うなど、相互牽制が十分に働いていない。
株式会社NTTデータ カード&ペイメント事業部様
では、CAFIS®を中心として、クレジット中継を核と
したカード決済総合サービスの提供をされています。
CAFIS®は、クレジットカード会社、金融機関、企
業を幅広くオンライン接続する日本最大のカードビジ
ネス・ネットワークサービスです。約1500社の加盟
店と約120社のクレジットカード会社、約1600の金
融機関とを繋ぎ、月間3億件を超えるカード決済データ
を処理されています。
この個人のプライバシーと財産に直結する重要デー
上記課題を解決すべく、CAFIS®内で統合的なログ監査システムを導入し、共通的な運用手順を、リリース自体を
行っていないシステム運用担当に移管することが大きなテーマとなりました。
タに 対 し、 アクセス 監査対 策の「標 準化と自 動化」
「既存セキュリティ対策との連動」「汎用性」など多
共通化したツールにて、監査実施担当が日々一子てきる運用を構築できるか?
角的 な 視点 から検討 した結 果、同社 が選択し たのが
対応方針
「WEEDS Trace Series」でした。
導入前
の課題
様々なプラットフォームが
監査作業の標準化と自動化
存在するため、一部の監査
既存のセキュリティ対策との連動
証跡しか取得ができない。
による監査対象ログの絞り込み
全てに対応するためにはコ
ストが大幅にかかると想定。
プラットフォームカバー率の高い
導入後
の効果
ツールの導入
導入背景 【決済システムの重要性】
日本最大のカード決済システム「CAFIS®」は、以下の通り重要な情報を取り扱っているため、J-SOXなら
びにPCIDSSへの対応を迫られていました。
解決策
数十のサブシステムが存在し、大量のアクセスロ
グの監査に耐える監査システムの構築
⇒
監査作業の標準化と自動化
1システムあたりの監査作業の負荷低減
⇒
既存のセキュリティ対策との連動による
監査対象ログの絞り込み
使用する監査ツール自体の管理・運用負荷を低減
する
⇒
プラットフォームカバー率の高いツールの導入
WEEDS選定理由
①監査対象システムのカバー率が高い
⇒各種Windowsサーバ、各種UNIX,Linux系サーバ、Windowsクライアントに対応。
⇒Oracle8~11、SQL Server、DB2、Teradataに対応
クレジット決済データの処理および中継を行う国内最大の決済システムであり,個人のプライバシーと財
産に直結するデータが流れている。
重要性
取り扱う決済データには,クレジット決済による送金指図の処理を行う内容が含まれるため,個人情報
が漏えいした際に利用者へ経済的損失や精神的苦痛を与える。
決済データの漏えいや内部者の目的外利用により,取引信用の失墜,財産の侵害,プライバシーの侵
害,生活の妨害,サービス享受の妨害などの影響が想定され,賠償責任が発生する可能性がある。
②ログ監査や、操作内容の監査だけでなく、構成情報の変更監査も可能
⇒本番環境のプログラムが追加、変更されたのかをログ取得。プログラムの変更検知においては、DBプロ
グラム(ストアドプロシージャ)も変更記録が可能。
③レポート出力機能があり、必要なログのみ取得・監査することが可能
⇒Excelでのレポート出力であるため、カスタマイズが容易にできる
④サービス提供システムへの影響が少ない
⇒システムへのログイン中のみエージェントが動作する
(WEEDS WinSever-Trace、WEEDS UNIX-Trace、WEEDS Windows-SecureControl)
⑤導入コストが、比較他社並みである。
J-SOX/PCIDSS対応 導入事例
問題の解消
課題
解決策
①
・バラバラな監査運用
・様々なプラットフォーム
②
システムごとの監査対応によるコ
スト増加
評価
・統合的なログ監査システムの構築
・プラットフォームカバー率の高いWEEDSの
導入
・監査作業の標準化と自動化
・監査運用に対する相互牽制
・リリース作業と監査業務の役割分担が実現
するWEEDSの導入
・監査にかかる運用負担
・既存のセキュリティ対策との組み合わせ
・プラットフォームカバー率の高いWEEDSの
導入
③
監査運用の概要
「CAFIS®」では、既に実施中のセキュリティ対策も踏まえ、WEEDS Trace Seriesを用いたログ監査(アクセ
ス監査)の日次運用・月次運用を以下のように構築され、運用を実現されています。
No.
ログ監査業務一覧
実施タイミング
詳細
A
ログイン・ログオフ
ログ監査
日次
①ログイン・ログオフが許可された時間に実施
さ
れていることを監査する。
②共用アカウントが使用されていないことを監
査する。
B
ファイル変更ログ監査
日次
申請内容以外に、変更されたファイルやDBモ
ジュールがないことを監査する。
C
ログイン失敗ログ監査
月次
失敗ログインを監査し、連続的な不正アクセス
がないことを監査する。
D
操作ログ監査
A~Cの監査NG時で、
詳細な監査が必要と判
断された場合
以下に示す具体的な操作を監査する。
・アプリケーション操作
・エクスプローラによるファイル操作
・FTP接続によるファイル操作
・コマンドによる実行操作 等
必要に応じて開発担当が立会いを行う。
CAFIS®センター
入退出管理
マシン室内
入室
マシン室受付
入退出ログ収集
アクセス監査ログサーバ
操作
WEEDSエージェントでログ収集
ログ収集
監査報告書
監査ポリシー登録
監査担当
ログとポリシーの
自動突合
ログサーバ
入退出ログ
操作ログ
リリース情報
必要時に
エスカレーション
プログラム変更ログ
図 : NTTデータ「CAFIS®」のアクセス監査システム概要図
責任者
Fly UP