銀行のセキュリティー担当者は、銀行情報や顧客情報に対する多くの脅威に注意を向けています。従業員、お客様、お客様の投資を継続的に保護するのは複雑な仕事です。果敢に挑戦することをためらわない人でなければ、銀行のセキュリティー担当者は務まりません。
幸いなことに、エジプトの大手民間銀行であるCommercial International Bank S.A.E.(CIB)のセキュリティー担当者は、この課題で成功を収めています。
CIBの最高セキュリティー責任者(CSO)であるShatssy Hassan氏は、「セキュリティーを常に確実なものにすることは、私がこの仕事で特に好んで取り組んでいる中心的な課題の1つです」と述べています。「私たちはこの安心感をお客様に伝え、投資や関連情報を注意深く扱う銀行と取引するようにお客様に勧めることができます。」
CIBは個人と法人の両方の顧客に銀行サービスを提供しています。エジプト最大の民間銀行であり、国内に1,000台以上のATMを設置しており、エジプト全県に210以上の支店を展開しています。Hassan氏は2014年からCSOを務めています。
2016年、CIBはIDおよびアクセス管理(IAM)とIDガバナンスを改善するための5年に及ぶストラテジーを開始しました。「これは継続的なストラテジーであり、将来的には成熟して、最終的に組織内にゼロトラストを設定するという目標を確実に達成するでしょう」とHassan氏は言います。
大規模なID管理
8,000人の従業員の安全で透過的なID管理
迅速なアクセス
新規採用者のアクセス権付与とスタッフの異動に1週間以上かかっていたところが1日未満に短縮
CIBはまず、3つの主要な目標に焦点を当てました。1つ目は、シームレスかつ便利な方法でスタッフのオンボーディング、異動、オフボーディングを行い、それらのプロセスを強化して効率性を向上させながらコストを削減し、所要時間を短縮するということでした。以前は、新入社員をオンボーディングして必要なアクセス権を付与するまでに1週間以上かかり、多くの紙ベースでの要請が必要な手順でした。部門間または別の支店へのスタッフの異動にも、多くの手作業が必要であり、多くの紙ベースでの要請が必要でした。不必要なアクセス権を迅速に取り消すために、長期の休暇や退職について、管理をさらに向上させる必要がありました。
2つ目の目標は、サーバーやシステム上のIT管理者の特権IDの管理を向上させることでした。以前の手動による紙ベースのプロセスでは、それらのIDを完全に可視化することができなかったため、高いセキュリティー・リスクを負っていました。IT管理者に対して業務の遂行に必要な最小限の権限を確実に付与するには、完全な可視性、ガバナンス、および制御が不可欠でした。さらに、CIBのセキュリティー・オペレーション・センター(SOC)での監視とインシデント対応には、実行された管理アクションの可視性と追跡可能性が不可欠でした。
最終的な目標は、IAMによる制御をCIBのデジタル・チャネルに拡大して、顧客の認証セキュリティー・プロセスを強化することでした。顧客は、セキュリティーと制御が強化されたシームレスなログイン・エクスペリエンスを必要としていました。
このストラテジーを導入するといくつかの課題が発生するため、Hassan氏が挑戦をためらわない人であったのは良いことでした。
最初の課題は、計画を支援してくれるパートナーを見つけることでした。CIBは、提供されているソリューションの市場を調査しました。「多くのカスタマイズを行うと、非常に複雑で管理不能な環境になることはわかっていました」とHassan氏は言います。「採用するプラットフォームが私たちの要件に対応し、最小限のカスタマイズだけですぐに使える機能がある、十分な柔軟性を持つものであることを確認したいと思いました。」
IBM Security®にはCIBのストラテジーをサポートできるガバナンス・プラットフォームがあると判断されました。IBMはコンサルティングにも対応できました。これはチームにとって重要でした。コンサルタント側は、CIBがアプリケーションを中心に適切なガバナンス・モデルを構築するのを支援しました。
IBM Security は、IBM Security Guardium®、IBM® IDおよびアクセス管理(IAM)、IBM Security Identity Governance and Intelligence(IGI)、IBM Privileged Access Management(PAM)、IBM Security Verify Privilege Managerの各ソリューションを導入しました。これらのソリューションは、銀行のデータベースを監視し、機密性の高いサーバーを保護し、コンプライアンスを管理し、職務の分離(SoD)違反を防止し、IT 監査を自動化し、特定された脅威に対する境界線を構築します。これらの機能は、組織にとってよりセキュリティーが充実した環境を提供します。
2つ目の課題は、ソリューションをレガシー・システムに統合することでした。CIBは、120を超えるアプリケーションを持つ複雑なIT環境を運用しています。2017年7月に戦略の実行を開始したとき、チームはアジャイル・アプローチを採用しました。
「私たちは部門に対するビジネス価値が生みだされる即効性のある成果に注力することにしました」とHassan氏は説明します。「そして、スタッフが利用する機密ライセンスを可視化できるアプリケーションを選択しました。」
セットアップされた基盤は、CIBの人事(HR)システムやドメイン・コントローラー・システムと統合されました。その後、コアの銀行アプリケーションを統合し、2018年1月に完成しました。
「これを稼働させるまでに、複雑なタイプのアプリケーションをIBMとともにどんどん統合していきました」とHassan氏は言います。
3つ目の課題は、知識の伝達です。これは、IBMのコンサルタントがソリューションに不可欠なもう1つの領域です。エジプトのIBMチームは、CIBが社内チームのスキル・セットを構築する際にCIBをサポートしました。従業員は、日常業務を維持するためにトラブルシューティング、ワークフローの作成、アプリケーションの統合を学びました。
「私たちはIBMの専門知識とサポートに頼りました。IBMがその知識を地元のIDアクセス管理チームとCIBに伝達してくれたので、プロセスを再開し、さらに多くのアプリケーションの統合を開始できました」とHassan氏は言います。
ストラテジー・ソリューションをCIBの既存のシステムに統合するには多くの課題がありました。しかし、努力を払う価値がありました。
2つ目の課題は、ソリューションをレガシー・システムに統合することでした。CIBは、120を超えるアプリケーションを持つ複雑なIT環境を運用しています。2017年7月に戦略の実行を開始したとき、チームはアジャイル・アプローチを採用しました。
「私たちは部門に対するビジネス価値が生みだされる即効性のある成果に注力することにしました」とHassan氏は説明します。「そして、スタッフが利用する機密ライセンスを可視化できるアプリケーションを選択しました。」
セットアップされた基盤は、CIBの人事(HR)システムやドメイン・コントローラー・システムと統合されました。その後、コアの銀行アプリケーションを統合し、2018年1月に完成しました。
「これを稼働させるまでに、複雑なタイプのアプリケーションをIBMとともにどんどん統合していきました」とHassan氏は言います。
3つ目の課題は、知識の伝達です。これは、IBMのコンサルタントがソリューションに不可欠なもう1つの領域です。エジプトのIBMチームは、CIBが社内チームのスキル・セットを構築する際にCIBをサポートしました。従業員は、日常業務を維持するためにトラブルシューティング、ワークフローの作成、アプリケーションの統合を学びました。
「私たちはIBMの専門知識とサポートに頼りました。IBMがその知識を地元のIDアクセス管理チームとCIBに伝達してくれたので、プロセスを再開し、さらに多くのアプリケーションの統合を開始できました」とHassan氏は言います。
ストラテジー・ソリューションをCIBの既存のシステムに統合するには多くの課題がありました。しかし、努力を払う価値がありました。
新しいソリューションの導入により、CIBのセキュリティー・プロセスはさらに合理化され、セキュリティーは充実したものになりました。新入社員は、顧客への対応を開始するまでに何週間も待つ必要はなくなりました。新しいソリューションでは、数分でアクセスが処理されます。
同じように、別の支店へのスタッフの異動手続きも数分で処理できます。現在ではCIBは、人員が不足している支店で急な欠勤が発生した場合にすばやく支援できるようになりました。アプリケーションの統合も簡単になりました。チームは120あるアプリケーションのうち80をシステム上で稼働させています。新しいアプリケーションを導入するときに、SOCは定義された一連の統合要件に従い、すぐに実行されます。
CIBはPAMによってセキュリティー・リスクも軽減しました。セキュリティー・オペレーション・センター(SOC)では、IT管理者がすべてのオペレーティング・システムとデータベースで行ったすべてのアクティビティーを確認できます。これにより、ユーザーのアクティビティーがユーザーの資格と合致していることが保証されます。SOCは、必要に応じて、調査のためにアクティビティーを記録することもできます。
これらすべては、カスタマー・エクスペリエンスに「向上」以外の影響を与えることなく行われました。CIBはIBMと協働することで、ユーザー・エクスペリエンスをシームレスでわかりやすいものにすることができました。
「導入した徹底的なストラテジーにより、より安全なソリューションをお客様に提供できるようになりました」とHassan氏は言います。「デジタル変革ストラテジーに対する当行の堅牢なアプローチは、当行のセキュリティー体制と密接に関係しています。」
CIBのストラテジーは、8,000を超える従業員IDの管理を引き継ぎ、同時にビジネス要件の遂行を合理化することで、手動によるIDガバナンスの取り組みを削減しました。
CIBは、ゼロトラストに向けた継続的なストラテジーにおいてIBMと協働し続けていく予定です。「地元チームとグローバル・チームから得られるサポートのレベルは非常に優れています。CIBのセキュリティー・ストラテジーの目標を確実に達成するために、さまざまな分野でIBM Securityと協働し続けていく予定です。」
セキュリティーの課題が今後も発生し続けることは間違いありませんが、IBM Securityのパートナーシップと実施されているストラテジーがあるため、Hassan氏とCIBはそれらの課題に対応する準備ができています。
CIB(ibm.com外へのリンク)はエジプトの大手民間銀行です。カイロに拠点を置き、あらゆる規模の企業、機関、世帯、富裕層など140万を超える顧客向けに金融商品とサービスを提供しています。その使命は、「明日のニーズに応えるために今日、人、データ、デジタル化に投資し、従来の金融サービスをシンプルでアクセスしやすいソリューションに変える」ことです。
法務
© Copyright IBM Corporation 2022. 日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21
2022年3月、米国で作成。
IBM、IBMロゴ、ibm.com、IBM Security、およびGuardiumはInternational Business Machines Corp.の商標であり、世界中の多くの管轄区域で登録されています。その他の製品名・サービス名はIBMまたは他社の商標である可能性があります。IBMの登録商標の最新リストは、Webサイトの「著作権および登録商標情報」(ibm.com/legal/copyright-trademark)でご確認いただけます。
本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国であっても、特定の製品を利用できない場合があります。
記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。実際の結果は特定の構成や稼働条件によって異なります。本資料の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。
適切なセキュリティ実践に関する声明:ITシステムのセキュリティには、企業内外からの不適切なアクセスの防止、検出、対応を通じてシステムと情報を保護することが含まれます。不適切なアクセスは、情報の改ざんや、破壊、悪用、誤用、または他者への攻撃への使用を含む、システムの損傷または誤用につながるおそれがあります。ITシステムや製品は完全に安全であると捉えるべきではなく、不適切な使用やアクセスを防止する上で絶対に効果のある、製品や、サービス、セキュリティー対策は1つもありません。IBMのシステム、製品およびサービスは、合法的で包括的なセキュリティー・アプローチの一部として設計されているため、必然的に運用手順が追加されることになります。また、最も効果を発揮するために他のシステム、製品、またはサービスが必要となる場合があります。IBMでは、いずれの当事者による不正行為または違法行為により、いかなるシステム、製品もしくはサービス、またはお客様の企業に対して影響が及ぶことはないことを保証するものではありません。