その他、金融
さわかみ投信は「長期運用で一般生活者の財産形成のお手伝いをしたい」という創業理念の下、独立系として日本で初めて投資信託の直接販売を始めた「直販」運用会社です。取り扱う商品は自分たちの手で作った「さわかみファンド」ただ1つです。現在、約12万名のお客様より約3,000億円のご資産をお預かりしています。多くのお客様が毎月1万円からコツコツ将来のために、つみたて投資で資産づくりを始めています。
当社は投資信託の運用会社であると同時に、証券会社や銀行に卸さずに直接お客様への販売も行っていることから、非常に多くの顧客情報を管理しています。ほかの一般企業と比べても、取り扱っている情報の重要度が高いという認識のもと、情報漏洩対策をさらに強化するためにツールの導入を検討することになりました。
USBデバイスの管理と、Webフィルタリング機能を必須条件として製品の選定を進めるなかで、「SKYSEA Client View」のハンズオンセミナーに参加。その操作性の良さを実感できたことから、最終的に導入を決めました。
また、オプションの「サーバー監査」機能と「データベース監査ログ閲覧」機能も同時に購入しました※。当社では、メールやインターネット利用などの通常業務で使うネットワークとは別に、機密情報を管理するためのネットワークがあり、そこにファイルサーバーや顧客情報データベースを用意しています。情報システム部門の管理者は、保守作業などでこれらサーバー、データベースにアクセスします。そこで、これらオプションの導入によって、操作ログを証跡として残せるようになり、自分たちの操作の正当性が証明できると考えました。
※ 「データベース監査ログ閲覧」機能は、「サーバー監査」機能(オプション)のオプションとしてご導入いただける機能です。
当社では、データベースでの保守作業などが必要な場合、「SKYSEA Client View」とは別の申請システムから、事前にサーバーへのアクセス申請をしてもらっています。申請が行われると、社内コンプライアンスを管轄する部署に対して申請メールが送信される仕組みです。
また、「データベース監査ログ閲覧」機能では、データベースへのログインなどの操作が行われると、指定した宛先に対してアラートメールが送信されるように設定できます。そこで今後は、メールの送信先に監査担当者を指定しておき、「申請メール」と「アラートメール」とを突き合わせることで、データベースへのアクセスが申請に基づいたものだったかを確認することも検討しています。この方法であれば、ITの知識が豊富ではない監査担当者でも対応できますし、情報システム部としても自分たちの業務の正当性が証明できるので、チェックフローを確立させていきたいと考えています。
また、今後は「画面操作録画」機能を使い、データベースへのアクセスが行われると、自動的に画面録画が開始されるように設定し、情報セキュリティの強化を図っていくことも検討しています。
USBデバイスについては、社内ルールとして1台の共有PCを除いたすべてのPCで使用禁止にしています。基本的に、顧客情報をUSBデバイスに保存することはありませんが、地方で勉強会を行う際のプレゼンテーション資料の持ち出しなどに使用することがあります。その際は、会社所有のUSBデバイスを貸し出し、共有PCを使ってファイルサーバー上のファイルを保存してもらいます。こうすることで、ファイルの書き出しのログも管理しやすくなります。
「SKYSEA Client View」の導入以前も同様のフローで運用していましたが、ルール上は私物のデバイス使用が禁止されていても、実際はどこまで徹底されているのか確認できずにいました。導入後は、使用できるUSBデバイスやPCが明確に限定できるようになり、本当の意味でルールが徹底できるようになりました。
お客様から投資信託の換金の要望があった場合、当社ではWeb上のバンキングシステムを利用して送金指示を出すため、Webを通じて顧客データをシステムにアップロードする必要があります。そのため、もし何の対策もしていなければ、Webメールでデータを誤送信してしまうといったリスクがないとは言えません。そこで、「SKYSEA Client View」の「Web閲覧」アラートで、手続きを行うPCがアクセスできるURLを、バンキングシステムなど業務に必要なものだけに限定。不必要なURLへアクセスできなくなったことで、情報漏洩リスクの低減につなげられていると思います。
Windows更新プログラムの適用では、「WSUS連携」機能を活用しています。標的型攻撃などによる情報漏洩のリスクが叫ばれているなか、適用作業は可能な限り速やかに行わなければなりませんが、日中は業務もありなかなか作業を行うことができません。そこで、「WSUS連携」機能でスケジュール設定をして、情報システム部内での検証が完了した更新プログラムを夜間に配布するようにしています。あらかじめ設定しておけば、配布対象PCの電源ON、OFFも自動で行って処理を進めてくれるので重宝しています。
これまで、業務時間が終了してから1台ずつPCを見て回り、作業しなければならなかったようなことも、「SKYSEA Client View」を導入し、「ソフトウェア配布」機能などを活用することで、作業にかかる時間が圧倒的に短縮されました。今後は、クライアントPC関連の管理業務をすべて「SKYSEA Client View」に集約できればと思っています。
2016年4月取材
注目コンテンツ