2008 年 3 月 31 日発行
お客様:
米国大手金融サービス企業
業種:
金融市場
概要
機密情報の適切な管理は、業種を問わずもはやビジネスの一環です。どの企業も情報を収集し、日々の業務改善の一助としています。一方で、昨今広く報道されているようにセキュリティーの抜け漏れやプライバシーの侵害が増えていることは、機密情報保護への対策が不十分であることを示唆しています。
ビジネス・ニーズ:
アプリケーション開発・テスト環境におけるプライバシー侵害リスクの軽減。本番データベースの複製に際するテストデータ管理の課題克服。米連邦預金保険公社 (FDIC) の定義に即したデータ保護ポリシーの実装。
ソリューション:
IBM Optim™ 適用による、非本番環境における適切なテストデータ管理とプライバシー保護の実現。
導入効果:
マスキング技術適用による、非本番環境におけるさまざまなデータのプライバシー保護。サブセット機能を用いた、アプリケーション・テストの合理化。FDIC の個人情報保護定義に合致したプライバシーポリシーの適用によるコンプライアンス遵守。
ケース・スタディー
課題
アプリケーション開発およびテスト環境におけるプライバシー侵害リスクの軽減。実動データベースの複製に際するテストデータ管理の課題克服。米連邦預金保険公社 (FDIC) の定義に即したデータ保護ポリシーの実装。
IBM Optimの優位性
IBM Optim は、非本番環境において、より適切にテストデータ管理とプライバシー保護を実行し、技術とビジネス双方の要件を満たすことが可能です。
適用ソリューション
IBM Optim Test Data Management Solution
IBM Optim Data Privacy Solution
導入効果
アプリケーション開発およびテスト環境におけるプライバシー侵害リスクの軽減。本番データベースの複製に際するテストデータ管理の課題克服。米連邦預金保険公社 (FDIC) の定義に即したデータ保護ポリシーの実装。
データのプライバシー保護は業務の一部
機密情報の適切な管理は、業種を問わずもはやビジネスの一環です。どの企業も、情報を収集し、日々の業務や顧客サービスを改善すべくそれらを活用しています。一方で、昨今広く報道されているようなセキュリティーの抜け漏れやプライバシーの侵害は、機密情報保護が不十分であることを示唆しています。
多くの組織が、コーポレート・ガバナンスの強化に向け、より安全な機密情報の管理方法を模索しています。特に金融業のお客様は、本番環境の保護に高い意識をもって取り組まれていますが、それに比較して、開発・テスト環境におけるデータ保護は見落とされがちで脆弱なことが多いのも事実です。一方で、効果的にアプリケーション・テストを行うには、開発者やテスト実施者が実データにアクセスし現実に即したテストデータを用意する必要があります。関係者のアクセスを許可しながらもデータのプライバシーを保護できる良い方法はないものでしょうか。
次に示すのは、先進的な金融サービス企業 3 社がIBM Optim Test Data Management SolutionとIBM Optim Data Privacy Solutionを実装し、アプリケーション・テストプロセスの改善と、データのプライバシー保護を実現した事例です。お客様のご要望により、会社名は伏せさせていただきます。
事例1�限られた期間内でデータ保護ポリシー実装、監査への対応
米国のある大手金融業のお客様は、リテール、法人、ベンチャー・キャピタルから投資銀行業務ならびに外為まで幅広い業務を管理するために、無数のアプリケーションを使用しています。顧客基盤として、個人、中小企業のほかに当座預金口座があり、支払手形や小切手の振出、給与計算、リスク管理といったサービスを提供しています。こうした多様なアプリケーションを、IBM DB2®、IBM IMS™や、Oracle®、Microsoft® SQL Server® データベースといったIT基盤が支えています。
顧客情報は、IMS 環境では Hogan の CIS アプリケーション、DB2 環境ではカスタム CIS アプリケーションにより管理されています。その他の顧客情報、決済、クレジットカード発行は、Oracle ベースのアプリケーションで動いています。いずれも基幹業務をサポートする重要なアプリケーションですが、定期監査で、開発・テスト環境に脆弱な部分があり、顧客の機密情報が侵害されかねないと判明しました。それを受けて監督官庁は、IT部門に、プライバシー保護に向けた内部統制の強化を命じました。
このお客様では、年に4回、主要な機能追加や改修が実施されていますが、アプリケーションは相互連関が強いため、統合テストとシステムテストを実施して包括的に信頼性を確認する必要があります。次のテストが 11 月上旬に予定されていたので、IT部門は、年末までにデータ保護ソリューションを実装することにしました。
CIO とIT部門は、機密情報保護とテストの信頼性維持を両立できる包括的なソリューションを求めていました。また、開発・テストの度に個別にプロセスや技術を選択するのではなく、全社的に一貫した開発・テストのストラテジーとソリューションを適用したいと考えました。結果、コストとスケジュールを勘案し、自社開発ではなく、IBM Optimを含む複数のベンダーのソリューションが検討されました。
IBM Optimの優位性として、メインフレームおよびオープン・システムのアプリケーション・データを区別なくマスキングあるいは変換できることが挙げられます。複数のアプリケーション、データベース、オペレーティング・システム、およびハードウェア・プラットフォームにわたってプライバシーを保護することができ、圧倒的な優位性がありました。また、アプリケーションのアーキテクチャーが一部複雑で、マスキングに際しサイト固有のルーチンを開発する必要がありましたが、IBM Optim は環境に合わせてプライバシー機能の調整ができるため、こうしたサイト固有の要件を満たすことができました。
お客様は、IBM Optim選定の数日後には実装に取りかかり、4 カ月間で完了させて次のアプリケーション・リリースに間に合わせることができました。IBM Optimの単一かつ一貫したデータ保護ソリューションを適用することで、このお客様はビジネスへの打撃を防ぐとともに、短期間で確実に今後の監査に備えることができました。
事例2�新機能や新製品・サービスのスムーズなリリースで競争力強化
グローバルに展開する、ある銀行の主幹部門である財務部は、資産や債務の管理、生活保障、および教育貯蓄プログラムに特化しており、こうした業務をサポートするERPパッケージや自社開発アプリケーションは数百にも及びます。企業として競争力を保つには、新機能の追加や新製品サポートのため、これらのアプリケーションを定期的に更新する必要がありますが、時間や費用、人員の問題で、年に 2、3 回が限界でした。
当時は、数テラバイトにも及ぶ本番データをクローン化してテストデータとしていましたが、データは、DB2のリレーショナル・データだけでなく、VSAM® および QSAM® の非リレーショナル・ファイルからも構成されており、時間とコストの両面で非効率でした。また、クローン化したデータを自動でマスキングするプロセスがなく、開発・テストおよびQA環境から実データへのアクセスが許されており、コンプライアンス上、顧客の基本情報や取引の詳細を特定不可能にする必要がありました。また、主幹業務アプリケーションの更新頻度も上がっていたため、早急に手を打つことにしたのです。
テストデータ管理ソリューションに対するお客様の要件は次のようなものでした。まず、メインフレームおよびオープン系の区別なく、リレーショナル・データおよび非リレーショナル・データのサブセットを作成して、統合的なテスト環境を提供することです。次に、特定不可能ながらもテストデータとして意味を成すデータを自動で作成可能なことです。このお客様は、IBM Optim だけがこうした要件を満たすソリューションだと判断しました。
技術的観点では、IBM Optim のサブセット機能は、DB2、VSAM、および QSAM データ・ストア間で連携してデータを抽出できる、反復可能で拡張が容易な自動化プロセスを備えていました。この機能により、実稼働環境に即した適正規模の開発・テスト環境の作成やリフレッシュにかける時間が大幅に短縮されました。データのマスキングから、マスキングしたデータの伝播までのプロセスを自動で行えるため、本番環境と非本番環境を切り分けることができ、情報漏洩の防止に繋がりました。
また、IBM Optim の実装の結果プライバシーが保護されたため、風評リスクとその対策にかかるコストが軽減され、経営面にも好影響を与えました。一方、アップグレードやテストをより少ないコストで適宜行えるようになったため、信頼性も機能性も高いアプリケーションを迅速にデリバリーできるようになりました。お客様は、堅牢な金融アプリケーションは、対顧客サービスを改善し収益機会を拡大させると期待を寄せています。
事例3�競争優位の鍵はプライバシー保護
売上10億ドル規模のある金融システム企業は、会計、資金移動、医療費支払等を運用する製品・サービスを、業種を問わず数千社の顧客に提供しています。日々のトランザクションはエンド・トゥー・エンドの電子決済アプリケーションで管理され、毎月、数百万件の決済処理が行われています。
経営層は、法規制の高まりに加え、個人情報保護こそが顧客の信頼とロイヤリティの鍵だと判断し、米連邦預金保険公社 (FDIC)の定義に基づいた全社的な顧客情報分類ポリシーを作成しました。細目には、業務アプリケーション・プロセスや金融商品・サービス取引に関するデータや、それに際し第三者から得た情報等が含まれました。
IT部門は、運用中のデータ分類プログラムと保存プログラムを検討対象とし、ノートPCおよび スマートフォン上のデータを暗号化により保護しました。サーバー上の実データは、原則として、暗号化、アクセス制御、およびネットワーク基盤により保護されましたが、開発・テスト環境はその特性上、本番環境と同じ対策では不適切だと考えられました。
規制を守るには、個人情報を削除やマスキングにより特定不可能にする必要がありますが、単に特定できなくするだけでなく、データの整合性を維持して正確に伝搬し、テストの信頼性を保証できなければなりません。
複数のソリューションを比較した結果、優れたマスキング技術を豊富に備えており定評があるのはIBM Optimだけだとわかりました。サブストリング、ランダムまたは連番、算術式、日付の経時処理などの技法を使用して、顧客データを元の文脈のまま実存しない架空のデータに置き換えることが可能なうえ、複数のアプリケーション、データベース、稼働環境、およびハードウェア・プラットフォームにわたる拡張が容易でした。
IBM Optimは、開発・テスト環境の顧客情報を保護し、法の侵害や罰則といったリスクを軽減させただけでなく、テストデータ管理の一貫したアプローチを実現し、業務効率改善とコスト削減に貢献しました。加えて、このお客様は顧客の信頼を勝ち取ることで戦略的に優位に立ち、収益を拡大することができました。
結論�IBM Optim、機密情報保護のベスト・プラクティス
情報保護への意識は世界的に高まり、法規制等の圧力も増しています。多くの企業は、本番環境のセキュリティー対策は確立しているものの、非本番環境への対策は不十分です。データ・マスキングは、現実に即したテストデータを提供しながらプライバシーを保護するベスト・プラクティスとして認識されています。IBM Optim は、実績あるデータ・マスキングによりお客様の情報を最適に保護いたします。
IBM、IBM ロゴ、ibm.comおよびOptimは、世界の多くの国で登録されたInternational Business Machines Corp.の商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US) をご覧ください。
