金融情報システムを守る「特権ID」、管理する上でクリアすべき点とは？

　昨今、金融業界では金融情報システムの管理体制を見直す動きが広がっている。こうした中、FISC（金融情報システムセンター）が刊行する「金融機関等コンピュータシステムの安全対策基準・解説書（以下、安全対策基準）」の最新版に盛り込まれているのが、近年のシステム障害やサイバーセキュリティ事例を踏まえた対策だ。

　安全対策基準では、リスクベースアプローチの実施に向けて金融情報システムを「特定システム」と「通常システム」に分けている。前者は障害発生時に社会へ及ぼす影響が大きく、個人情報を含むような重要なシステムを指す。本資料ではこうしたシステムについて、安全対策基準が示すID・パスワード管理のポイントを解説する。さらに、システムの設定変更などが可能な「特権ID」を管理する上でクリアすべきことを提示する。

　ただし、これらに取り組むに当たっては、従来のようにExcelなどで管理する方法はリスクの観点から推奨できない。資料では、安全対策基準に沿ったセキュアな特権ID・特権アクセス管理を実現するツールの紹介もしているので、参考にしてほしい。