ヘッダをスキップ   IT(情報・通信)  音声読み上げ・文字拡大 ここからブレット・クラムJapan Site

エンタープライズサーバAP8000EX日立トップページへ


ここからグローバル・ナビゲーション |  製品  |  サポート  |  ダウンロード  |  ソリューション  |   事例紹介  |  セミナー・イベント   |グローバル・ナビゲーションここまで

    更新履歴   サイトマップ    お問い合わせ
検索 by Google

 > 詳細な検索


ここからブレット・クラム ホーム > 事例紹介ブレット・クラムここまで > 共栄火災海上保険株式会社

ページタイトル

事例紹介:共栄火災海上保険株式会社

AP8000


ここから本文
 

日立の「XDM/RD E2」の監査ログ機能を活用しデータベースアクセスなどの履歴を記録・蓄積。 個人情報保護への対応とセキュリティ強化に成功

大量の顧客情報を取り扱う企業にとって、セキュリティ強化は重要な課題だ。損害保険会社大手の共栄火災海上保険株式会社(以下、共栄火災)でも、保険契約者の個人情報を守る仕組みを構築した。同社では日立のエンタープライズサーバ「AP8000」とハイエンドオープンDBサーバ「XDM/RD E2」を利用しているが、VOS3/LSの総合利用者管理機能で個人情報を含むデータベースへのアクセス制限を実施。さらに、XDM/RD E2の監査ログ機能(XDMセキュリティ監査機能)を活用することで、データベースへのアクセス履歴などを監査証跡として蓄積し、不正なアクセスや操作がなかったか監査できる体制を確立している。




 
 

独自の強みを生かして多彩な損保サービスを展開

 
情報システム部副部長 兼基盤グループ グループリーダー 押田信行氏
情報システム部
副部長兼基盤グループ
グループリーダー
押田信行氏
 
 共栄火災は、2002年よりJA共済連(全国共済農業協同組合連合会)と一体的事業運営を推進するグループの一翼を担う企業として活躍中だ。
 「JAを始めとした独自のマーケットに強みを持つのが当社の特長。JA共済連グループの一員として、共済と保険のシナジー効果を発揮していきたい」と押田氏は語る。
 こうした同社の事業展開を支えているのが、日立のエンタープライズサーバ「AP8000」とハイエンドオープンDBサーバ「XDM/RD E2」で構築された保険業務基幹システム「PRISM」だ。1997年に第一次稼働を開始したこのシステムでは、保険契約におけるさまざまな処理を部品化して環境変化への即応を図るなど、現在のIT環境を先取りしたようなコンセプトが盛り込まれている。「既存資産を活かしつつ、システムを発展させられるのがメインフレームの良さ。性能や信頼性の面でも、大きなメリットがあると感じています」と押田氏は語る。
 
 

個人情報保護に対応すべく「XDM/RD E2」の監査ログ機能を導入

 
情報システム部 基盤グループ 課長 赤尾博行氏
情報システム部
基盤グループ
課長
赤尾博行氏
 
 保険業では顧客の個人情報を取り扱うため、情報セキュリティの確保が大きな課題となる。同社でもデータの漏えいや改ざんなどを防止すべく、1999年にVOS3/LSの総合利用者管理機能を導入。システムリソースの保護やTSS端末の管理強化を実施した。
 もっとも、セキュリティに対する社会的要請は年を追うごとに強まり、2005年4月には個人情報保護法が施行された。同社としても、2003年からさらなるセキュリティ強化に着手している。クライアントPCのアクセス管理強化を行う日立の「JP1/秘文」を導入して外部メディアの暗号化を行うなどさまざまな施策を行った。また、基幹業務システムについても、システムリソースの保護に加えて、個人情報が含まれるデータベースへのアクセス制限や利用権限の限定を実施。従来は「データ参照は可、更新は制限」としていた運用についても、「参照・更新とも不可」へと改めた。
 「システムの検証作業などでマスタデータを扱う時のために、個人情報部分を見えなくするマスクツールなども用意しました」(赤尾氏)。
 さらにポイントとなったのが、セキュリティ監査機能の導入だ。システムの安全性を確保する上では、アクセスそのものを制限するだけでなく、正しく利用されているかどうかをチェックする仕組みも必要になる。そこで新たに採用されたのが、XDM/RD E2に対するアクセスや操作の内容を記録・蓄積する監査ログ機能だ。
 「ちょうど個人情報保護への対策を検討していた際に、XDM/RD E2の新機能として、監査ログ機能が計画されていると日立から聞きました。早速、製品開発担当の方に概要をお話いただく機会があり、データベースのアクセス監視強化を目指す、まさに当社のニーズにピッタリの機能でしたので、導入を決めました」と赤尾氏は語る。まだ正式リリース前の段階ではあったが、開発中のバージョンを先行導入して評価・検証を実施。ユーザーとしての要望点を反映させるなどの改善を加えた上で、監査ログ機能の本格的な運用を開始した。
 
岸和田市のシステム概要の図
 
共栄火災のシステム概要
 

膨大なログデータも「AP8000」が確実に取得

 
情報システム部 基盤グループ 課長 久野博生氏
情報システム部
基盤グループ
課長
久野博生氏
 
 XDM/RD E2の監査ログ機能は、どのユーザーが、いつ、どの表に対して何を行ったか、その処理は成功したか、あるいは失敗したかなどのログを監査証跡データセットにすべて記録していく。これにより不正なアクセスや操作がなかったかを、後から監査することが可能になる。ただし同社のシステムは非常に大規模であり、一日あたりのオンライントランザクション件数は約120万件、バッチ処理数は約3,000ジョブ、これらにより発行されるSQL命令は4,000万回にも達する。
 最終的には、監査ログ機能の適用対象を個人情報を含むデータベースに絞り込んだが、それでも相当な規模のデータを取り扱うことに違いはない。しかし実際に稼働を開始してみると、性能的な問題は全く生じなかった。AP8000は、一日あたり20〜30GBにも上る大量のログデータを確実に取得し続けている。
 「当初はメインフレーム自体のスペック強化が必要かもしれないと思いましたが、その必要はありませんでした。通常業務への影響も特に生じていません」と久野氏は語る。
 また、監査ログ機能と既存環境との親和性も高く、導入に際して、他のアプリケーションに改修が必要になるようなこともなかった。
 

定常監視とレポートを実施しシステムの安全性を高める

 
 導入から2年余りが経過した現在では、データベース監査ログの定常監視を行い、その結果を自動的にレポートする仕組みも構築した。これは「単にログ取得を行い、必要に応じて抽出・調査するだけでは、監査要件を満たせない」(赤尾氏)との理由によるものだ。具体的には「臨時作業」と呼ばれる不定期に実施される作業の内容について、実際に使用したデータベースのアクセス履歴をすべてレポートしている。これを、事前に申請・承認された作業がその通りに行われているか、承認された以外にデータのアクセスが行われていないか、管理者が事後点検する手段として提供している。
 「本番では承認された作業がスケジュール通りに動くため、あまりイレギュラーな行為が生じる余地がありません。そこで臨時作業にターゲットを当て、不要なデータ参照や時間外のデータベース利用などが行われていないかを重点にチェックしています」と赤尾氏は説明する。
 「ログ取得・監視を定常的に行うことで、システムのセキュリティを大幅に高めることが可能になりました。また、これらの情報を開示することにより、不正使用などに対する相互牽制・抑止への効果を挙げています」と押田氏は評価する。また日立のサービス・サポートにも、高い評価が寄せられている。
 「レポートツールやデータ抽出の仕組みを開発する上では、日立SEの支援が役立ちました。効率的にログ監視が行えるようになったので、助かっています」と赤尾氏は語る。
 個人情報保護への対応を見事に果たした同社だが、最近ではJ-SOX(金融商品取引法)のIT全般統制などでも、さらなるセキュリティの確保が強く求められている。そこで同社でも、内部統制の強化や社内手続きの見直しなどを行っていくとのこと。
 「安心・安全の取り組みに終わりはありません。今後もさらなるレベルアップを図っていきたい」と押田氏は意気込みを語った。
 
 

[お客さまプロフィール]共栄火災海上保険株式会社

[本社] 東京都港区新橋1-18-6
[創立] 1942年7月
[資本金] 400億円
[従業員数] 3,120名
 
創業の基本精神である「共存同栄」を基本理念に、充実した損保サービスを展開している。個人向けの自動車保険や傷害・医療保険、旅行保険、火災保険に加えて、法人向けの各種保険サービスも提供。2002年よりJA共済連グループに参画した。
www.kyoeikasai.co.jp

 
 

お問い合わせ、資料請求

本件に関する詳細など、お問い合わせ、資料請求は下記までご連絡ください。
 
お問い合わせはこちらまで。

 
 

特記事項

 
2007年9月3日 日経コンピュ−タ掲載
本事例中に記載の内容は初掲載当時のものであり、変更されている可能性もあります。詳細はお問い合わせください。
事例は特定のお客さまでの事例であり、全てのお客様について同様の効果を実現することが可能なわけではありません。
 
 
アドビ・リーダーのダウンロード PDF形式のファイルをご覧になるには、Adobe Systems Incorporated(アドビシステムズ社)のAdobe® Reader®が必要です。
 
 
 
本文ここまで







ここからフッタ  | サイトの利用条件 | 個人情報保護に関して | 商品名称について |

© Hitachi, Ltd. 1994, 2015. All rights reserved.