日本オラクルは3月27日、金融業界向けガバナンス、リスク管理、コンプライアンス(GRC)に関するの3回目となるプレス向け勉強会を開催した。

2010年はアウトソーシング契約更改のタイミング

日本オラクル システム事業統括本部 シニアディレクター 入江宏志氏

日本オラクル システム事業統括本部 シニアディレクターの入江宏志氏は「オラクルが考える金融業界のGRC~金融業界に関わるサイバー犯罪とリスク~」と題して、2010年問題の1つとして、世間ではあまり注目されていないアウトソーシングの契約更改を挙げた。

日本にフルアウトソーシングが入ってきたのが1990年代の終わりであり、多くの金融機関は2010年前後にアウトソーシングの契約更改を迎える。J-SOXをはじめとする関連規制が増えたほか、セキュリティで重視される部分もこの10年で変化している。「ネット系のビジネスモデルは4.8年のサイクルで、実ビジネスは10年サイクル。2010年から2011年は日本のIT業界の曲がり角だと感じている」と語る入江氏は、「情報を自分で持つリスクと預けるリスクがあり、10年前には預けるリスクの方が高かったが、今では自分で持つ方が高くなっている。内閣府の調査によると情報漏洩の7割は委託元が原因。従業員が関与しているのが8割で、そのうちの7割程度が不注意。世界で過去3年間に不正・被害にあった企業のうち3割が情報の漏洩・盗難に遭っている」と時代の変化とともに、企業と個人にとって厳しい時代になっていることを指摘した。

時代の変化を受けて、GRCを実践するためのリスクマネジメントとしては、データベースセキュリティとなりすまし対策が重要だとした入江氏は「CIOの方は点でしか管理していないが、いかに面で管理するか。日本オラクルではEnterprise Managerを用意している」と語った。

情報の暗号化・保護を求める法制度

日本オラクル システム事業統括本部 データベース/EMビジネス推進本部 ディレクターの北野晴人氏は「情報漏えいによるセキュリティリスクへの対応」と題して金融業界に関わる法制度や企画と、関連するセキュリティについて語った。

日本オラクル システム事業統括本部 データベース/EMビジネス推進本部 ディレクター 北野晴人氏

個人情報保護法や不正アクセス禁止法、不正競争防止法における営業秘密等、情報を守るための法制度はいくつかあるが、いずれも前提条件として情報が暗号化や認証システムで適切に守られていることが挙げられている。また、条文を細かく読んでいくと抜け道が多く、不正に情報を取得した人間を簡単に裁けるものではないことも北野氏は指摘。漏洩する前にしっかりと保護することの重要性を強調した。

「金融庁の個人情報保護ガイドラインには、保存時に生体認証情報の暗号を含まなければならないとある。生体認証は安全だということで取り入れられることが多いが、指紋情報等もデジタル化して保存される。その情報が盗まれた場合、他人になりすますことができてしまうかもしれない。パスワードなら変更すれば良いが、指を交換するわけにはいかない」(北野氏)

クレジットカード業界での国際的な基準であるPCI DSSについては、現時点では日本での法規制はないものの、普及につながりそうな兆しがあるという。「経済産業省の個人情報保護法ガイドラインに、クレジットカード情報を含む個人情報の取り扱いについてと題する文書が添付された。また、割賦販売法の改正が2009年に施行される見通しで、クレジットカード決済に携わる事業者が負う安全管理義務の基準としてPCI DSSが参考にされる可能性もある。日本オラクルにも、どの製品を使ったらPCI DSSに準拠できるのかという問い合わせが多くあり、Webで機能の一覧表を公開している」と北野氏は語った。

 データベース管理にセキュリティ管理者という権限を追加

情報保護のために日本オラクルでは、認証強化と通信の暗号化のために「Advanced Security Option」、格納データ暗号化のために「Transparent Data Encryption」、監査のために「Audio Vault」等、対応する製品を提供しているが、今回は特に「Database Vault」で実現するアクセスコントロールについて紹介された。

「従来はデータベースには利用者と管理者という区分しかなかったため、委託先にも管理者としての全権限を与えていた。しかし、データの改善や破壊までできる権限が委託先にもあるというのは危険。セキュリティ管理者という新しい職務を作り、データベース管理者だけが悪意を持っていても不正を行えない環境にすることが必要」と北野氏は指摘。「Database Vault」の権限分離機能を利用して、データベース管理、ユーザーアカウント管理、セキュリティポリシー管理、アプリケーションデータ管理、権限を分離することを勧めた。

また、ログを適正に管理するためにはログに対するアクセスコントロール等を含めた保全がきちんと行われていることが重要であり、ログを長期間保存するための拡張性も求められると指摘。さらに、蓄積データや伝送データについても漏洩防止策として暗号化が必要だと語った。古いシステムでは暗号化のためにアプリケーションの改修が必要だったり、パフォーマンスが劣化したりという問題があったが、オラクル製品の組み合わせでこれらの問題も解決できるとしている。

なりすまし対策としては「Adaptiv Access Manager」を活用することで、リアルタイムに分析して即座に不正アクセスを遮断できるという。「Adaptiv Access Manager」の日本語版は3月24日に開始されている。