三井住友銀行の投資銀行部門がデータベースに対する厳密なアクセスコントロールを実装したという話

　こんにちは，丸山満彦です。日本オラクル社が2009.11.05に「三井住友銀行、投資銀行部門のEUC基盤におけるセキュリティ対策を強化」というプレスを行っています。北野さんのブログで知りました。
　プレス内容には
＝＝＝＝＝
（略）投資銀行部門は、M&Aアドバイザリーの案件情報など、機密性が要求されるデータを取り扱うケースもあることから、三井住友銀行のIT企画セクションでは、IT部門のシステム保守要員であっても、閲覧してはいけない内容を見えないようにするための高度なセキュリティ対策が必要になると判断しました。

そこで、三井住友銀行は、2008年11月、通常の保守作業においてデータベースの保守担当者や外部の保守ベンダーが具体的な顧客名や顧客との折衝内容など機密性の高い情報を参照できないよう、「Oracle Database Vault」を利用して、データベース管理者から全業務データの参照権限を削除し、「Virtual Private Database」を利用して機密性の高い情報が格納される列に対する参照権限を削除しました。この2つの組み合わせにより、投資銀行部門のEUC基盤に対して、より高度なセキュリティ対策を行うことができました。
＝＝＝＝＝
　という記述があります。でも，よく考えればこれって，きわめて当たり前の話ですね。。。

　
　というか，これができないとこまりますね。。。
　（コスト面はともかく）運用に耐える実装ができるということがわかったということは，投資銀行のみならず，新聞社や監査法人や弁護士事務所でも同じような仕組みが必要かもしれませんね。。。
　ベンダーはこのような仕組みが特別なことではなく当たり前のようにできるようなソフトを当たり前のように作って，市場に提供する必要があるように思います。。。。

■日本オラクル社
・2009.11.05 三井住友銀行、投資銀行部門のEUC基盤におけるセキュリティ対策を強化

・（事例資料）三井住友銀行、Oracleデータベースのセキュリティ機能により投資銀行部門のEUC基盤における厳密なアクセス制御とデータ保護を低コストかつスピーディに実現

●Security, time after time　（北野さんのブログ）
・2009.11.06 自らのリスクを知ることからはじめよう。