Comments
Description
Transcript
NTTデータ 様 「CAFIS」J-SOX
J-SOX/PCIDSS対応 導入事例 株式会社NTTデータ アクセス監査対応への課題【CAFIS®への適応の難しさ】 前述の課題の通り、アクセス監査対応をせまられていましたが、日本最大のカード決済システムであるだけに、適 応には以下の通り課題がありました。 ① CAFIS®内には、様々なシステム・多くのプラットフォームが存在するが、一部のシステムで個々の仕組 みによりログ監査を実施していた。 ② 将来的にシステム毎にログ監査の対応を進めていく場合、トータルでは検討や開発にかなりのコストがか かる。 ③ 一部システムでは監査運用を人手で実施しているため、労力がかかっているとともに、リリース作業を行 う開発担当が監査作業も行うなど、相互牽制が十分に働いていない。 株式会社NTTデータ カード&ペイメント事業部様 では、CAFIS®を中心として、クレジット中継を核と したカード決済総合サービスの提供をされています。 CAFIS®は、クレジットカード会社、金融機関、企 業を幅広くオンライン接続する日本最大のカードビジ ネス・ネットワークサービスです。約1500社の加盟 店と約120社のクレジットカード会社、約1600の金 融機関とを繋ぎ、月間3億件を超えるカード決済データ を処理されています。 この個人のプライバシーと財産に直結する重要デー 上記課題を解決すべく、CAFIS®内で統合的なログ監査システムを導入し、共通的な運用手順を、リリース自体を 行っていないシステム運用担当に移管することが大きなテーマとなりました。 タに 対 し、 アクセス 監査対 策の「標 準化と自 動化」 「既存セキュリティ対策との連動」「汎用性」など多 共通化したツールにて、監査実施担当が日々一子てきる運用を構築できるか? 角的 な 視点 から検討 した結 果、同社 が選択し たのが 対応方針 「WEEDS Trace Series」でした。 導入前 の課題 様々なプラットフォームが 監査作業の標準化と自動化 存在するため、一部の監査 既存のセキュリティ対策との連動 証跡しか取得ができない。 による監査対象ログの絞り込み 全てに対応するためにはコ ストが大幅にかかると想定。 プラットフォームカバー率の高い 導入後 の効果 ツールの導入 導入背景 【決済システムの重要性】 日本最大のカード決済システム「CAFIS®」は、以下の通り重要な情報を取り扱っているため、J-SOXなら びにPCIDSSへの対応を迫られていました。 解決策 数十のサブシステムが存在し、大量のアクセスロ グの監査に耐える監査システムの構築 ⇒ 監査作業の標準化と自動化 1システムあたりの監査作業の負荷低減 ⇒ 既存のセキュリティ対策との連動による 監査対象ログの絞り込み 使用する監査ツール自体の管理・運用負荷を低減 する ⇒ プラットフォームカバー率の高いツールの導入 WEEDS選定理由 ①監査対象システムのカバー率が高い ⇒各種Windowsサーバ、各種UNIX,Linux系サーバ、Windowsクライアントに対応。 ⇒Oracle8~11、SQL Server、DB2、Teradataに対応 クレジット決済データの処理および中継を行う国内最大の決済システムであり,個人のプライバシーと財 産に直結するデータが流れている。 重要性 取り扱う決済データには,クレジット決済による送金指図の処理を行う内容が含まれるため,個人情報 が漏えいした際に利用者へ経済的損失や精神的苦痛を与える。 決済データの漏えいや内部者の目的外利用により,取引信用の失墜,財産の侵害,プライバシーの侵 害,生活の妨害,サービス享受の妨害などの影響が想定され,賠償責任が発生する可能性がある。 ②ログ監査や、操作内容の監査だけでなく、構成情報の変更監査も可能 ⇒本番環境のプログラムが追加、変更されたのかをログ取得。プログラムの変更検知においては、DBプロ グラム(ストアドプロシージャ)も変更記録が可能。 ③レポート出力機能があり、必要なログのみ取得・監査することが可能 ⇒Excelでのレポート出力であるため、カスタマイズが容易にできる ④サービス提供システムへの影響が少ない ⇒システムへのログイン中のみエージェントが動作する (WEEDS WinSever-Trace、WEEDS UNIX-Trace、WEEDS Windows-SecureControl) ⑤導入コストが、比較他社並みである。 J-SOX/PCIDSS対応 導入事例 問題の解消 課題 解決策 ① ・バラバラな監査運用 ・様々なプラットフォーム ② システムごとの監査対応によるコ スト増加 評価 ・統合的なログ監査システムの構築 ・プラットフォームカバー率の高いWEEDSの 導入 ・監査作業の標準化と自動化 ・監査運用に対する相互牽制 ・リリース作業と監査業務の役割分担が実現 するWEEDSの導入 ・監査にかかる運用負担 ・既存のセキュリティ対策との組み合わせ ・プラットフォームカバー率の高いWEEDSの 導入 ③ 監査運用の概要 「CAFIS®」では、既に実施中のセキュリティ対策も踏まえ、WEEDS Trace Seriesを用いたログ監査(アクセ ス監査)の日次運用・月次運用を以下のように構築され、運用を実現されています。 No. ログ監査業務一覧 実施タイミング 詳細 A ログイン・ログオフ ログ監査 日次 ①ログイン・ログオフが許可された時間に実施 さ れていることを監査する。 ②共用アカウントが使用されていないことを監 査する。 B ファイル変更ログ監査 日次 申請内容以外に、変更されたファイルやDBモ ジュールがないことを監査する。 C ログイン失敗ログ監査 月次 失敗ログインを監査し、連続的な不正アクセス がないことを監査する。 D 操作ログ監査 A~Cの監査NG時で、 詳細な監査が必要と判 断された場合 以下に示す具体的な操作を監査する。 ・アプリケーション操作 ・エクスプローラによるファイル操作 ・FTP接続によるファイル操作 ・コマンドによる実行操作 等 必要に応じて開発担当が立会いを行う。 CAFIS®センター 入退出管理 マシン室内 入室 マシン室受付 入退出ログ収集 アクセス監査ログサーバ 操作 WEEDSエージェントでログ収集 ログ収集 監査報告書 監査ポリシー登録 監査担当 ログとポリシーの 自動突合 ログサーバ 入退出ログ 操作ログ リリース情報 必要時に エスカレーション プログラム変更ログ 図 : NTTデータ「CAFIS®」のアクセス監査システム概要図 責任者