楽天証券は多層防御でマイナンバーを安全管理 オラクルのデータベースセキュリティ製品はどう使われたのか？：DBアクセス制御、暗号化、監査で高セキュアな個人情報管理を実現（4/4 ページ）

マイナンバー制度がスタートし、証券会社は口座を持つ顧客のマイナンバーを適切に管理することが求められるようになった。そのためのシステムを、オラクルのデータベースセキュリティ製品を用いた多層防御のアプローチで短期構築したのが楽天証券だ。[セキュリティ対策][Database Security]

[PR／＠IT]

オラクルコンサルが各種ノウハウを提供し、スピード構築を支援

　本プロジェクトは2015年2月から要件定義がスタートし、同年7月には導入製品を決定して基本設計や詳細設計に進んでいる。その後、実装／開発フェーズへと進んだ後、同年11月半ばからテストが開始された。このテストに多くの工数を費やしたとショウミトラ氏は振り返る。

　「特に今回は多層防御の考え方を採り入れたため、アプリケーションとデータベース、そしてインフラの各レイヤーについて設計や実装が適切に行われているかを確認する必要があり、多くの工数をそのテストに割きました。例えば、『意図したログが出力されているか』『適切に監査できる状態になっているか』といったことについて、時間をかけて入念にチェックしました」（ショウミトラ氏）

　なお、楽天証券はこのシステム構築でオラクルのコンサルティングサービスを利用している。荒野氏は、「オラクルのサポートを受けたことで、コンサルタントから多くのノウハウや知見を得られた」と話し、次のように続ける。

　「例えば、アクセス制御を行うOracle Database Vaultでは、実際の職務とデータベース上のアカウント権限をマッピングする必要があります。この際、オラクルのコンサルタントから職務分掌や権限分掌の考え方やノウハウを教えていただいたことが非常に参考になりました。また、監査ログの理想は全てのログを取得して記録することですが、保管するログの量が膨大になってしまいます。そこで、監査ログをどう絞るかを検討する際に、本当に必要なものはどれか、別のログで代替できるものは何かといったことについて、オラクルのコンサルタントからさまざまな助言を得た他、実装面でも多くのアドバイスをいただきました。こういったサポートにより、セキュリティ管理者とデータベース管理者の職務分掌や、権限分掌の仕組みと監査ログの監視／監査の仕組みを非常に短い期間で導入できました」

　プロジェクトは順調に進み、2016年1月に予定通りカットオーバーを迎えた。顧客情報管理システムの実現に用いたオラクル製品の効果について、寺島氏は次のように話す。

　「Oracle Audit Vault and Database FirewallやOracle Database Vaultの機能を活用したことで、適切に監査できる仕組みを整えられた他、運用の手間も軽減できたと考えています」

　なお、楽天証券では新規口座開設時のマイナンバー通知について、スマートフォンのカメラ機能を使って簡単に送信できる仕組みを用意するなどの工夫を行ったことで、マイナンバー制度開始後も新規口座開設数が落ち込むことなく、順調に口座数を拡大しているという。こうしてマイナンバー通知で顧客に掛かる負担を下げつつも、顧客から預かるマイナンバーを多層防御のアプローチを採り入れた顧客情報管理システムで安全に管理するというサイクルを整えたわけだ。

　今日、企業の機密情報に対するサイバー攻撃やデータ窃取の手法はますます巧妙化しており、多くの企業が情報漏えいなどの被害を受けている。その対策を検討する上で、多層防御のアプローチによって適切な権限設定やデータベース暗号化、データベース監査／監視などの仕組みを整えた楽天証券の取り組みは大いに参考になるはずだ。

オラクル データベース インサイダー記事一覧