「PCI DSS」が求める要件を充足するため
高度で使いやすい操作ログ管理ソフトを活用
クレジットカード関連データの安全な取り扱いを実現
東邦銀行はクレジットカード関連のデータを安全に取り扱うことを目的とするセキュリティ基準「PCI DSS」準拠のため、ラネクシーのログ管理&デバイス制御ソフトウェア「MylogStar Desktop(マイログスター デスクトップ)」を採用。業務端末におけるログオン/ログオフやファイル操作に関するすべてのログを管理することで、PCI DSSが求める「アクセスの追跡および監視」を充足。さらに同行はファイルサーバーへのアクセスログ管理ソフト「MylogStar FileServer(マイログスターファイルサーバー)」も導入。データを安全に管理できる体制を確立している。
使用製品: MylogStar Desktop、MylogStar FileServer
東邦銀行の導入前の課題と導入後の効果
MylogStarの導入により、業務端末やファイルサーバーにおける各種操作ログを管理できる体制を確立。PCI DSSの要件を充足した。
来たるべきキャッシュレス社会の到来に備え
PCI DSSへの準拠を目指す
コーポレートメッセージ「すべてを地域のために」の考え方に基づき、福島県内の地域のみなさま・企業とともに歩む東邦銀行。同行では、東日本大震災からの復興や地域のさらなる成長・発展に向けさまざまな取り組みを進めているほか、復興支援事業などにも積極的に参画している。
PCI DSS(Payment Card Industry DataSecurity Standards)は、クレジットカード番号の漏えい事件や不正使用の頻発を受けて2004年12月に制定された、クレジットカード関連のデータを安全に取り扱うためのセキュリティ基準である。我が国でも、経済産業省がクレジットカード各社に準拠を働きかけていることもあり、近年は対応が本格化している。
さて同行では、銀行本体でクレジットカード事業も展開しており、事業開始から10年が経過。来たるべきキャッシュレス社会の到来に備え、部名も従来の「カード事業部」から「キャッシュレス事業部」に変更し、スマートフォン決済サービスのJ-Coin Pay に対応したりするなど、キャッシュレス事業へ積極的に取り組んでいる。こうした背景もあり、同行はPCI DSSへの準拠を加速。コンサルティング会社の支援のもと、どのようにPCI DSS準拠に向けた取り組みを進めていけばよいのかを検討し、最初に着手したのが、情報システムの見直しであった。
同行で扱っているクレジットカード関連のデータは、勘定系システムをはじめ、情報系システム、部門サーバーなどの各システムに散在していた。そのため、現行のシステムをそのままPCI D SSに準拠させるというのは、コストや手間の面で難しい。そこで同行はこの課題について、関連システムを再構築することで解決することにした。キャッシュレス事業部 キャッシュレス事業課 主任調査役の木谷淳一氏は「クレジットカード業務を行う端末を『ミニOA』と呼ばれる閉域ネットワーク上で運用することで、他のシステムから完全に切り離すことにしたのです。つまり、PAN(会員カード番号)の伝送・処理・保管といった処理を『ミニOA』に集約し、適切なセグメンテーションとアクセス制御を行うことで、PCI DSSに準拠することにしたのです」と説明する。
精度の高い操作ログ情報の収集と
対象PCへの導入のみで管理を実現
東邦銀行は、「ミニOA」構想に基づきシステムの再構築を進めるのと並行して、2018年6月からログ管理ツールの選定を開始した。PCI DSSには大きく12の要件があり、安全なネットワークの構築・維持や、カード会員データの保護(センシティブ情報の暗号化)、脆弱性対策、安全なアクセス制御手法の導入などに加えて、「ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する」ことが求められている。
同行では検討を重ねた結果、「いつ」「誰が」「何をしたのか」を網羅的に記録でき、閉域ネットワーク内の数台のみのPCに対して、ピンポイントに導入・監視が可能なMylogStar Desktopの採用を決定。「ミニOA」の業務端末に導入した。そのポイントについて木谷氏は「PCI DSSへの完全準拠を目指すのならMylogStarの精度の高いログ情報が必要だろうと判断しました」と語る。
機能面や操作性に優れ
マニュアル類も充実している点を評価
こうして2018年12月、東邦銀行の「ミニOA」の業務端末においてMylogStar Desktopの運用がスタートした。同行では「ミニOA」の業務端末を利用するユーザーは約40名いるが、全ユーザーのログオン/ログオフやファイル操作など、PCI DSSが求める要件に必要なログのすべてをMylogStar Desktopで取得できるようになった。また、管理担当者は各種ログをいつでもチェックできるだけでなく、レポート機能を使ってグラフ表示するなど、アクセスの傾向を調べたり把握することも可能になった。さらにログをCSV出力するなど管理している。キャッシュレス事業部 キャッシュレス事業課 課長の穂積美喜雄氏も「MylogStar は操作性に優れ、しかもマニュアル類が充実していました。情報システムの専門家でなくても使いこなせるので、今後の人事異動で担当者が変わっても引き継ぎで混乱しないだろうという安心感が高評価につながりました」と強調する。
キャッシュレス事業部 キャッシュレス事業課
課長
穂積 美喜雄 氏
キャッシュレス事業部 キャッシュレス事業課
主任調査役
木谷 淳一 氏
ファイルサーバーにおけるログ管理も実現
データを安全に管理できる体制を確立
加えて2019年8月、同行は「ミニOA」のファイルサーバーにMylogStar FileServerを導入。これにより、クレジットカード業務に関するすべてのログを管理できるようになった。
「ファイルサーバーについては基本的に毎日、業務端末については週一の割合でログのチェックを行うことで、PCI DSSで求められる要件『アクセスの追跡および監視』を満たすことができています」(木谷氏)
今回のプロジェクトの目的であったPCI DSSへの完全準拠については、勘定系システムなどの一部のシステムでの対応が完了すれば、ほぼ達成できる見込みだ。
「ログ管理については、誰がアクセスしたかだけではなく、どのファイルをどのように利用したのかまでを追跡できるようにする必要がありましたが、MylogStarにより可能になりました」(穂積氏)
東邦銀行では、今回の導入によりシステム面での「アクセスの追跡および監視」が確実に担保できるようになったことから、今後はこの運用を継続していくための体制づくりに注力していくという。
重要なPCやサーバーをピンポイントで監視! MylogStarスタンドアロンシリーズ
MylogStar Desktopは、ネットワークに接続できないPCや小規模拠点など、対象端末の台数が少ない環境に最適なログ管理&デバイス制御ソフトウェアです。また、MylogStar FileServerは、監視対象を機密情報が保存されたファイルサーバーに絞ってピンポイントに監視するアクセスログ管理ソフトです。両製品ともに管理サーバーは不要で、対象端末へのインストールだけで手軽に利用可能。業界トップクラスのログ収集力で操作ログを根こそぎ取得し、証跡として管理できます。さらに、デバイス制御機能により機密データの不正な持ち出しも予防します。
詳細資料
ご担当者様のインタビュー取材記事を掲載したPDFをダウンロードしていただけます。
お客様概要
- 所在地:福島県福島市大町3-25
- 設立:1941年11月
- 資本金:235億19百万円(2019年3月末)
- 事業内容:普通銀行業務、預金業務、貸出業務、有価証券売買業務/投資業務、為替業務など
