三井住友銀行、オラクルの製品で投資銀行部門のEUC基盤におけるセキュリティ対策を強化

　三井住友銀行は、投資銀行部門で使用しているエンド・ユーザー・コンピューティング（EUC）用に開発したシステムに対する厳密なアクセス制御とデータ保護を実現した。オラクルのデータベース製品のセキュリティオプションである「Oracle Database Vault」と、アクセス制御機能である「Virtual Private Database」を用いた。

　三井住友銀行の投資銀行部門は、プロジェクトファイナンス、M&Aアドバイザリー業務など投資銀行業務の主要分野を手がけている。ITの導入にあたり、三井住友銀行では、投資銀行部門の業務特性を考慮したIT戦略について検討チームを組成の上、インフラに関する将来あるべき姿としてのグランドデザイン（全体像）の策定を行ってきたという。検討チームの結論としては、投資銀行部門にとっては開発スピードを重視したインフラの構築が必要ということになり、基幹システムとは別に、EUC基盤を構築することになった。

　EUC基盤では、同基盤上で稼動する業務アプリケーションが共通して使用できる認証機能や承認プロセスを管理するワークフロー機能など、システム開発の利便性を高めるさまざまな機能を用意。しかし、投資銀行部門は機密性が要求されるデータを取り扱うケースもあることから、三井住友銀行のIT企画セクションでは、IT部門のシステム保守要員であっても、閲覧してはいけない内容を見えないようにするためのセキュリティ対策が必要になったという。

　そこで、三井住友銀行は、2008年11月、通常の保守作業においてデータベースの保守担当者や外部の保守ベンダーが具体的な顧客名や顧客との折衝内容など機密性の高い情報を参照できないよう、「Oracle Database Vault」を利用して、データベース管理者から全業務データの参照権限を削除し、「Virtual Private Database」を利用して機密性の高い情報が格納される列に対する参照権限を削除した。

　同セキュリティ強化プロジェクトは、オラクルのサポートとコンサルティングチームが支援。企画を始めてから3ヵ月後の2009年1月に完了しており、4月にはM&A案件管理システムの本番運用を開始、また6月には金融商品取引法の改正に基づくファイアーウォール規制緩和対応を実施してきたという。