監査で明らかになった「特権ID管理」の必要性、京都信用金庫はどう取り組んだ？

　クラウドの普及やサイバー攻撃の高度化などを背景に、特権ID管理の重要性が高まる昨今。特権ID管理はコンプライアンスの観点からも重要視され、適正な管理・運用体制の構築が課題となっている。そこで導入が進んでいるのが、特権IDの管理・貸し出しや操作ログ管理などの機能を備えた特権ID管理ツールだ。

　例えば「京都信用金庫」では、監査法人から指摘を受けたことを機に同ツールを導入。誰が、いつ、どの特権IDでサーバにアクセスしたのかを確実に把握できるようになった他、特権ユーザーがどのような操作をしたのかを動画で記録できるようになり、証跡も追えるようになったことで、トラブルの未然防止につながっている。

　また同庫では、従来オンプレミスで運用していた各種サーバをMicrosoft Azure上に再構築。特権ID管理ツールもアップデートし、同じくMicrosoft Azure上にサーバを構築したことで、特権IDの一時的な貸し出しや証跡の確認を容易に行える環境を整えている。本資料では、確実かつ効率的な特権ID管理を実現した好例として、同庫の取り組みをツール選定のポイントも含めて紹介する。