ISO15408認証取得の高度なセキュリティレベルを実現
個人情報保護法やJ-SOXの内部統制などにより、企業には徹底した情報漏洩防止策が求められている。その範囲は、セキュリティ上の欠陥の監視から、ユーザー操作の制御と監視、運用による対策と監視、サーバへのアクセス制御など、極めて多岐にわたる。しかしながら、最も重要となるのは情報が蓄積されているデータベースそのものへのアクセス監視にほかならない。そこで、ヤフー株式会社(以下、Yahoo! JAPAN)は「情報漏洩監視システム(iTres)」を開発し導入した。
課題と効果
課題-
- セキュリティレベルを保証したい
- パフォーマンスを落とさず全てのアクセスログを監視したい
- 運用を効率化したい
「iTres」を開発
効果-
- ISO15408認証を取得し、高度なセキュリティレベルを実証
- 卓越したパフォーマンスにより、大量トランザクションでもリアルタイムに監視
- ワークフロー化することで、効率的な運用と高精度な監視を実現"
導入事例インタビューデータ
- 会社名
- ヤフー株式会社(英文社名 Yahoo Japan Corporation)
- 所在地
- 東京都港区六本木6-10-1 六本木ヒルズ森タワー
- 設立
- 1996年1月31日
- 従業員数
- 2,686人 (2008年3月31日 現在)
- ウェブサイト
- http://www.yahoo.co.jp/
-
ヤフー株式会社
システム統括部 開発1部部長
津留雅文 氏
導入背景
膨大な量のデータと大量のトランザクション
Yahoo! JAPANが国内初の商用検索サイトをオープンしたのは1996年4月。以来、一貫してポータルサイトの歴史をリードしてきた。2000年7月には1日あたりのアクセス数が1億ページビューを突破、2004年10月には10億ページビュー、2008年4月現在では1日16億ページビューのアクセスを誇る。
提供するサービスも検索エンジンからはじまり、Yahoo!オークション、Yahoo!路線情報、Yahoo!ファイナンス、My Yahoo!、Yahoo!メール、Yahoo!掲示板、Yahoo!知恵袋、Yahoo!ジオシティーズ、Yahoo!ブログ・・・など100以上を数える。
これらサービスの多くはYahoo! JAPAN IDの取得が必要で、これによりYahoo! JAPANは、膨大な個人情報を管理することになり、その数は、一般企業はもちろん同業他社と比較しても桁違いに膨れあがっている。個人情報の増加につれて、同社ではそれら情報の漏洩防止策を適宜構築してきた。「外部からの不正アクセスであれば、ほぼ完全にシャットアウトする仕組みができあがりました。残されたのは内部犯行の防止策でした」と、ヤフー株式会社 システム統括部 開発1部部長 津留 雅文 氏は振り返る。
情報漏洩を防止する手段は多岐にわたるが、最も確実なのはデータベースへのアクセスをリアルタイムに監視することである。
CTCとともにデータベース監視システムを開発
個人情報保護法が施行された2005年、Yahoo! JAPANではデータベースが排出するログを収集して監視するパッケージソフトを導入する。だが、使いはじめてすぐに、期待するパフォーマンスが得られないことがわかった。
「何しろ膨大な量の個人情報が蓄積された大容量データベースです。それらが数十個ある上、月末や期末になると大量にトランザクションが発生します。監視が追いつかず、不正アクセスへのアラートがひどく遅れるようになりました」(津留氏)。同社は監視システム再構築を迫られることになる。データベースベンダーにも問い合わせをし、対応可能なパッケージ製品を探したが、Yahoo! JAPANの高度な要求を満たすソフトはどこにもなかった。
さまざまな協議の末、Yahoo! JAPANは、パッケージ製品を捨て、オリジナルの監視システムを開発する道を選んだ。要件定義を開始したのは2006年1月、基本設計は5月から着手した。
開発のパートナーとして選ばれたのがCTCであった。「CTCはYahoo! JAPANのシステム構築で実績があり、Yahoo! JAPANのシステムに精通していました。さらに、データベース技術にも詳しいので、迷わずCTCを選びました」(津留氏)。
この期待に応え、スケジュールどおり2007年10月には新システム「情報漏洩監視システム」(以下、iTres)が稼働する。
システム概要
ISO15408認証を取得により、ハイレベルなセキュリティを実証
構築した個人情報の漏洩防止対策が自社開発システムという理由で、利用者に不安を与えるようでは意味がない。そこで、Yahoo! JAPANが目指したのがISO15408認証の取得だ。第三者機関にお墨付きをもらい、自社システムの堅牢なセキュリティレベルを実証するのである。
2007年11月、「iTres」はデータベースへのアクセス監視を行うシステム分野で公開されている製品としては、国内初のISO15408認証取得となった。
大容量・大量トランザクションに対応
システム構成図
パフォーマンスは旧システムの最大の課題であり、システム刷新の直接の要因となっている。「iTres」は独自のシステム設計により、不正アクセスに対しリアルタイムなアラート出力が可能となっている。
アラートはアクセスした当人、監視担当者、その上司など、登録している関係者全員に発せられる。監視担当者はアラートの内容を確認し、セキュリティに影響を及ぼす内容と判断された場合、ワークフローを利用してアクセスをブロックすることができる。
運用のワークフロー化
運用または開発者が監視対象データベースへアクセスする場合、時間や端末をあらかじめ申請し登録しなければならない。この申請なしにアクセスすると、アラートの対象となるし、端末や時間が異なってもアラートが発せられる。
従来のシステムでは申請から、承認、許可、登録まで手作業で行っていた。また、申請内容を監視ポリシーデータベースに登録しないとアラートとなるため、これら一連の作業が繁雑で、大きな負荷となっていた。 そこで「iTres」は一連の運用をワークフロー化し、手作業を最大限に排除している。
導入効果
社内への大きな抑止効果
「社内でも、全アクセスログをリアルタイムで監視しているということが周知されていますし、情報漏えい事故の抑止効果を実感しています」と、津留氏は新システムの効果を語る。従来のシステムではパフォーマンスが足りず、監視できるデータベースの数が限られていた。だが、「iTres」では監視が必要とされる全データベースを、十分に監視できるようになっている。
ワークフロー化による効果も大きい。限られた人数で、多くのデータベースを監視でき、人的コストの増加を抑制できる。登録などの操作も自動化することで、精度の高い監視も可能となっている。
今後の展望
CTCが「iTres」を販売。構築から運用サポートまでトータルに展開
「今回はISO15408認証取得の業務もパラレルに走っており、関与するベンダーの数が多かったのですが、そんな中で柔軟な体制で取り組んでいただきました。知恵も汗もかいてもらって、大変感謝しております。特にCTCのプロジェクトマネジメント能力はすばらしいと思います」と、津留氏はCTCを高く評価する。
CTCは、Yahoo! JAPANからライセンス供与を受け、「iTres」の外販を開始する。大容量・大量トランザクションのデータベースシステムだけではなく、中小規模のデータベースシステムの監視システムにも柔軟に対応できるライセンス体系を準備し、構築から運用サポートまでトータルサービスを展開する予定だ。
今後の抱負として津留氏は、まだ水面下にあるセキュリティの脅威に備えたいという。「攻撃の傾向などを掴むことで、未知の脅威に対応したい。先手を打ちたいのです」と語る。通常、攻撃と対策はイタチごっこ、対策が後手に回るのが常であった。しかし、Yahoo! JAPANはこの立場を逆転して、先制して防御したいという。常に時代の先を読み、業界をリードしてきたYahoo! JAPANの躍進の秘密が、このようなところにあるのかもしれない。
用語解説
ISO15408(「情報処理推進機構ホームページ」からの抜粋)
情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。
正式名は、「ISO/IEC15408 情報技術セキュリティ評価基準」です。1999年6月に国際標準規格として承認され、2000年7月にはJIS標準(JIS X 5070)として制定されました。
ワークフロー化
一連の業務処理の流れを自動化すること。例えば、物品を購入する場合、申請書を起票し上司に提出、上司が受け取り承認、これが購買担当に回り業者へ発注書を提出、納品されたら検品して・・・といったフローをシステムで自動化する。これにより、業務の標準化や効率化、ミスの削減などの効果がある。
