NECパーソナルプロダクツ株式会社
NECパーソナルプロダクツ、個人情報を守る大要素をPISOで実現
データベースへのアクセス監査とアカウント管理の徹底によるセキュリティ強化
NECパーソナルプロダクツ株式会社
IT戦略部(基盤システムG)
グループマネージャー 岩片 宣行 氏
NECパーソナルプロダクツ株式会社
IT戦略部(基盤システムG)
主任 藤城 正章 氏
NECパーソナルプロダクツ株式会社
- 所在地:
- 〒141-0032 東京都品川区大崎一丁目11-1(ゲートシティ大崎 ウエストタワー)
- 営業開始:
- 2003年(平成15年)7月1日
- 代表取締役社長:
- 代表取締役 執行役員社長 高須 英世
- 資本金:
- 188億円(NEC100%出資)
- 従業員数:
- 約2,450名(2007年4月現在)
- 事業内容:
- 事業内容:パソコンの商品企画・開発・製造/パソコン及び周辺機器の販売・故障診断・修理/パソコンのリユース/企業向けプリンタ・MT装置の製造、特定顧客向け電子装置の製造・販売/受託開発・製造
- ホームページ:
- http://www.necp.co.jp
個人情報を守るためにアクセス監査とアカウント管理を厳格化
コンシューマー向けパソコンの企画・開発・生産・販売・サポートのほか、ビジネス向け情報機器の販売、各種情報端末機器の受託開発・製造に及ぶ事業を展開するNECパーソナルプロダクツ。 これらの事業において、個人情報は必要不可欠なものであり、コンプライアンスの観点から絶対に守らなければならない。
NECパーソナルプロダクツIT戦略部は、個人情報保護法の施行や世間で相次ぐ情報漏洩事件をうけ、2004年10月から2005年3月にかけて、個人情報を守る方針を策定し、データベースセキュリティが最も重要と判断。2005年5月、個人情報データベースに対するアクセス監査をPISOによって実施。 同時にJ-SOX法対策の取り組みとして、アカウントを厳格に管理した結果、データベースアクセスの制限及び、データベースアクセスしたユーザの特定を可能にした。
「個人情報を守るためには、データベースアクセスの監査とアカウント管理の厳格化が不可欠と判断しました。」と、IT戦略部(基盤システムG)グループマネージャー 岩片氏は語る。
システムに負荷を与えないデータベースセキュリティを選択
NECパーソナルプロダクツは、当初データベースセキュリティの手段として、Oracle Databaseの監査機能を検討した。 しかし、システムに与える負荷が非常に高く、また、アクセスログの監視、運用管理を、自社構築する必要があったため採用を見送り、市場での評価が高いPISOを選択した。
「市場での評判を聞き、システムに負荷を与えないPISOを選択しました。 また、アクセスログの活用、運用までを視野に入れた製品はPISO以外にはありませんでした。」と、IT戦略部(基盤システムG)グループマネージャー 岩片 氏は語る。
PISOを選択した理由
- システムに負荷をかけずに必要なアクセスログ(アクセスしたユーザ、実行したSQL文、処理件数など)が取得できる
- アクセスログの保全、運用管理、監視、検索などの機能がオールインワンで提供されている
情報漏洩リスクが高い運用管理者のアクセスをリアルタイム監視
NECパーソナルプロダクツは、業務アプリケーション経由のアクセス及び、運用管理者のアクセスをログとして取得し、運用管理者のアクセスをリアルタイムに監視している。またアカウントを厳格に管理することで、「誰がデータベースにアクセスしたか?」を、PISOから特定して「不正アクセスの予防」を実現した。
「不正アクセスの予防」を実現したデータベースセキュリティ対策
- アカウント管理の厳格化(運用管理者の限定と、臨時使用者の記録管理)
- 運用管理者のデータベースアクセスをリアルタイム監視
- 運用管理者がデータベースにアクセスできる端末の固定
- PISOログとアカウント管理から操作者を即時特定
「不正アクセス監視」を運用する
PISO導入当初は、正規アクセスが警告通知されるケースがあり、警告件数が一日あたり数百件になることがあったが、アクセスパターンを把握することで改善した。 アクセスパターンを分析した結果を、運用に適した監視ルールに適宜フィードバックすることで、通常運用では警告が出ない状態として、効率的な運用を実現した。
「不正アクセス監視を運用にのせるために、警告すべきアクセスパターンを洗い出し、監視ルールへ反映しました。 この処置によって、本当に必要な警告だけが通知され、警告に対するフォローが運用として回り出しました。 その成果として、運用管理者が予定を事前申告することが定常化し、業務改善につながっています。」と、IT戦略部(基盤システムG)主任 藤城 氏は語る。
運用性を支えるPISOのGUI
IT戦略部(基盤システムG)主任 藤城氏は、PISOの運用性を支えるGUIを高く評価する。 「不正アクセス監視の運用は、PISOの使いやすいGUIが支えています。監視ルールの設定や、警告結果の確認、アクセスログの検索は、簡単な操作だけでできるので、チームメンバーへの技術の展開を容易にしています。このユーザの視点にたったGUI設計は、海外のソフトウェア製品にはない工夫だと実感しています。」
今後のPISOに期待すること
「システムが稼動し続ける限り、運用管理と同様にデータベース監査を継続しなければなりません。 今後は、通常業務とデータベース監査運用に加えて、J-SOX法対策の運用業務も加わってきますので、PISO運用効率を更に向上させる機能強化を期待しています。」とIT戦略部(基盤システムG)主任 藤城 氏は、PISOの機能強化に期待を寄せている。
本ケーススタディは情報提供のみを目的としています。Insight Technologyは、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
