tdiグループ 情報技術開発株式会社


大手証券会社
ID管理プロジェクト

どこにどんなリスクがあるか。
まずはその洗い出しを急げ。

「はあ。ID管理の専門部署、ですか」
当時はひとりのオペレータに過ぎなかった太田は、「証券システム会社内にID管理の専門部署を作り、そのシステム運用を当社が担う」という上司の言葉を聞いても、今ひとつピンと来なかった。
「当時はセキュリティへの認識が社会全体でまだ低く、金融庁などの指導で『ID管理を厳格にせよ』と言われても、何をどうすれば“厳格”なのか、誰にもイメージがつかなかったのです」
しかし、そのときから太田たちの仕事は一変した。
「クライアントに指示された処理を行っていればよかったのが、パートナーとして一緒に管理体制を構築する立場になりました。受け身でなく、提案が求められたのです」

折衝を重ね、最初に取り組んだのは「どこにどんなリスクがあるか」を洗い出す作業だった。 「現状だと何が起きる危険性があるのか。想定されるリスクを出していったら、ゾッとしてきました」 そこには、山のようなリスクが埋まっていたのだ。

PCのアクセス、フォルダへのアクセス。
より細かなログイン管理へと急進展。

「これ、まずいですよね」
最初に問題となったのは、パソコンだ。当時、IDやパスワードは部門共有で、本来は役職者しか見られないような情報に新入社員でもアクセスできる状態だった。 「さらに問題だったのは、他部門の情報にもアクセスできてしまうことでした」
コンピュータ上に置かれた部門ごとのフォルダも、いわばアクセスフリーの状態だった。
「もし悪意を持ってアクセスしたら、情報が筒抜けになってしまいます。これは大変だと、みんなが本気になっていきました」

ログインIDとパスワードは個人に与え、アクセスできる情報を制限する。しかし、難しい問題があった。
「誰に、どの情報へのアクセス権を付与するのか。一般的な基準は世の中にありましたが、この会社にどう適用するか。機密度の高いデータでも、それを使って作業する一般社員がいます。その際には、機密度に応じて課長や部長の許可を得ないとフォルダが開かないシステムを導入していきました」
これが、現場では大不評を呼ぶことになる。

管理の厳格化には自動化で対応。
保守管理は、常に前進している。

「仕事がやりにくくてしかたないよ!」
そんなクレームを、太田は何度受けたことか。
「それまで自由にアクセスできていたのが、いきなり細かく上司の承諾を取らないと先に進めない。作業をする人々からはブーイングの嵐でしたよ」
作業によっては、個人が複数のIDとパスワードを持ち、それを使い分けるケースも出てくる。
「権限と作業をマトリックスにして細分化していくと、それだけ管理は煩雑になっていきます。現場には、慣れてもらうしかありませんでした」

一方、金融庁などからの指導は、厳格化の度合を強めていった。
「使われなくなったIDの把握と停止など、万が一にも悪用されないように次々と要求が高度化しています。終わりのない戦いですね」
サブリーダーとなった太田が模索しているのは、管理の自動化だ。
「手作業での管理には限界があり、厳格化はコスト増につながります。今後のカギは自動化で、保守のあり方が劇的に変わる可能性もあります。その最前線に立っていたいですね」
地味に見える保守管理だが、常に前進しているのである。

END

どこにどんなリスクがあるか。
まずはその洗い出しを急げ。

「はあ。ID管理の専門部署、ですか」
当時はひとりのオペレータに過ぎなかった太田は、「証券システム会社内にID管理の専門部署を作り、そのシステム運用を当社が担う」という上司の言葉を聞いても、今ひとつピンと来なかった。
「当時はセキュリティへの認識が社会全体でまだ低く、金融庁などの指導で『ID管理を厳格にせよ』と言われても、何をどうすれば“厳格”なのか、誰にもイメージがつかなかったのです」
しかし、そのときから太田たちの仕事は一変した。
「クライアントに指示された処理を行っていればよかったのが、パートナーとして一緒に管理体制を構築する立場になりました。受け身でなく、提案が求められたのです」

折衝を重ね、最初に取り組んだのは「どこにどんなリスクがあるか」を洗い出す作業だった。 「現状だと何が起きる危険性があるのか。想定されるリスクを出していったら、ゾッとしてきました」 そこには、山のようなリスクが埋まっていたのだ。

PCのアクセス、フォルダへのアクセス。
より細かなログイン管理へと急進展。

「これ、まずいですよね」
最初に問題となったのは、パソコンだ。当時、IDやパスワードは部門共有で、本来は役職者しか見られないような情報に新入社員でもアクセスできる状態だった。 「さらに問題だったのは、他部門の情報にもアクセスできてしまうことでした」
コンピュータ上に置かれた部門ごとのフォルダも、いわばアクセスフリーの状態だった。
「もし悪意を持ってアクセスしたら、情報が筒抜けになってしまいます。これは大変だと、みんなが本気になっていきました」

ログインIDとパスワードは個人に与え、アクセスできる情報を制限する。しかし、難しい問題があった。
「誰に、どの情報へのアクセス権を付与するのか。一般的な基準は世の中にありましたが、この会社にどう適用するか。機密度の高いデータでも、それを使って作業する一般社員がいます。その際には、機密度に応じて課長や部長の許可を得ないとフォルダが開かないシステムを導入していきました」
これが、現場では大不評を呼ぶことになる。

管理の厳格化には自動化で対応。
保守管理は、常に前進している。

「仕事がやりにくくてしかたないよ!」
そんなクレームを、太田は何度受けたことか。
「それまで自由にアクセスできていたのが、いきなり細かく上司の承諾を取らないと先に進めない。作業をする人々からはブーイングの嵐でしたよ」
作業によっては、個人が複数のIDとパスワードを持ち、それを使い分けるケースも出てくる。
「権限と作業をマトリックスにして細分化していくと、それだけ管理は煩雑になっていきます。現場には、慣れてもらうしかありませんでした」

一方、金融庁などからの指導は、厳格化の度合を強めていった。
「使われなくなったIDの把握と停止など、万が一にも悪用されないように次々と要求が高度化しています。終わりのない戦いですね」
サブリーダーとなった太田が模索しているのは、管理の自動化だ。
「手作業での管理には限界があり、厳格化はコスト増につながります。今後のカギは自動化で、保守のあり方が劇的に変わる可能性もあります。その最前線に立っていたいですね」
地味に見える保守管理だが、常に前進しているのである。

END