概要
前向きで継続的な監査のみならず、セキュリティチームの地位向上から内部不正の抑止効果まで
創業以来、ベンチャー気質を強く持ち続けている技術志向の会社
ITを活かした経営を実現するためのコンサルティングサービスを提供するフューチャーア ーキテクトは、創業以来、ベンチャー気質を強く持ち続けています。技術革新を積極的に取 り入れ、既存のプロダクトでの対応が難しければ「無いものは作る」という文化があります。 また、取り組んだことのない分野にチャレンジすることも非常に大切にしています
自社運用を選び、セキュリティ監査にElasticスタックを採用
同社はElasticスタック(Elasticsearch、Logstash、Kibana)をある金融機関様向けのシステ ムに採用しました。顧客のマイナンバーを管理するためのシステムで、「当社のコンサルタン トがお客様と同じ目線に立ってプロジェクトを進めました」(フューチャーアーキテクトの日 比野 恒Technology Innovation Groupスペシャリスト)。具体的にはLogstashでログを収集 してElasticsearchに蓄積し、Kibanaで作成したダッシュボードでデータを見る、という方式を選択しています。 2015年4月に立ち上がったプロジェクトでしたが、マイナンバー法が施行される2016年1月までにシステムを完成させる必要がありました。非常にタイトなスケジュールである一方で、 当然ながら金融機関に求められる高いセキュリティレベルの実現も必須でした。 他の金融機関の多くは、マイナンバーを管理するためにクラウドサービスなどを利用したア ウトソーシングを選択していました。しかし「我々は厳格な運用のための管理体制についてお客様と慎重に検討を重ね、アウトソーシングではなく独自のシステムを構築し、自社で管理することを決めました」(日比野氏)。自営のシステムにすればマイナンバーの利用拡充に伴う法整備や法改正などに自ら迅速に対応でき、将来的には顧客の重要な情報のすべてをセキュアに管理するための基盤としても利用できる、との考えによる判断でした。
セキュリティ監査にElasticスタックの採用を決定した理由は、技術力に自信がある我々にとってはオープンソースであることが魅力的だったことです。高品質なのに無料で、ログの量に応じて課金される懸念もありませんでした。
プロジェクトではまず金融庁のガイドラインを読み解き、どのようなシステム要件に落とし込むかを考えました。組織体制・業務・システムを全体視点で捉え、求められる対策を「 人・組織」「物理」「技術」の軸で整理しました。内部不正への対策は、業務担当者やシステム管理担当者など各々の権限を適切に分離することでより一層強化し、不正利用、不正アクセス、改ざん、ウィルス、盗聴、情報漏えい、サービス妨害などのセキュリティ脅威に対しては多軸的かつ多面的な対策を講じました。
短期間でのプロジェクト成功は、Elastic社のサポートのおかげ
オープンソースソフトウェアであり自由に手を入れることができるという点がElasticスタック を選択した最大の理由でしたし、当初は我々とお客様だけで作業を完結しようと考えてい たため、Elastic社からサポートを受けられる有償のサブスクリプションを購入するつもりは ありませんでした。しかし、限られたスケジュールでより付加価値の高い仕組みをつくりプロジェクトを完遂するためにはサブスクリプションのサポートがあった方が良いと判断し、 契約することにしました。 Elastic社のサポートは、どんな内容にもいつでもすぐに対応してくれた印象があります。製品に関して少しでも気になる点から、設定方法、推奨構成などかなり多岐に渡る内容を質問させてもらったのですが、質問に対して平均1日以内で回答していただいていたように感じています。
「例えば、いろいろなフォーマットのログデータを Kibanaのダッシュボードに分かりやすくシンプルに表 示するにはどうしたらいいか」など、かなり込み入った内容であっても概ね翌日には回答していただけたので、短期間で問題を解決できました。
Kibanaのダッシュボードで、セキュリティ監査を前向きかつ継続的に
この仕組みを構築する上で最も重要視したのは、ログ情報をシンプルなグラフで表示して、 直感的に把握できるようにしたことです。まずは簡易的なものから作り、シンプルに仕上げ ていきました。
一番最初にアクセスするKibanaのダッシュボードには、必ずチェックしなくてはいけないデ ータを表示しています。当初は日次のデータを表示するようにしていましたが、データによっては一週間分を日にち単位で表示する方法も効果的であることが分かり、いろいろと試しながら変更を加えてみました。
WebのAPIを介してデータベースに対する参照・登録を管理する仕組みであるため、どのユ ーザーがどのような操作をしたのかが簡単に分かります。「APIのログが通常の値よりかな り増えている」、「通常では発生しないログが出ている」といったことをKibanaのグラフか ら判断できるため、ITを熟知していない担当者でもログの監視が可能です。
また、まずはシンプルに仕上げる事を目的としていたため、異常な値が出た際にアラートで 知らせる、といった運用方法はあえて採りませんでした。アラート主体の運営にすると、「運用担当者はアラートが来ないから、今日は平気だと思い込み継続的に見る習慣が身につか ないと思ったからです。我々は、ダッシュボードを見ることを担当者に習慣化して欲しいと考え、あえてシンプルにしました」(日比野氏)。この習慣づけが、日々の“前向きかつ継続的な監査”に繋がっていくのだと思っています。
導入した効果は意外なところでも
監査の担当者には、システム部門出身の人と、ドキュメントのチェックをしていたような総務部門出身の人がいます。後者の場合、システムに苦手意識があるケースも多く、分かりにくいシステムだと使うのが嫌になってしまうことがあります。しかしKibanaのグラフィカルなインタフェースであれば、ITを熟知していない人でも直感的に問題を把握できます。
マイナンバー対応以外にも、副次的な効果が出ています。これまでは何か事件が起きない限り動かなかった個人情報を扱う部門が、今回のシステム導入を機に、能動的に問題を察知し、問題が起きる前にシステムの利用者に注意したり、「常にチェックされている」と意識づけることで利用部門を牽制できるようになりました。これにより社内でセキュリティ部門の地位が高まり、内部不正に対する抑止の効果も見え始めました。
