導入事例 AXA Wealth

導入事例
AXAWealth

logo-axa

AXA Wealthは世界的な金融サービス企業AXAグループの1つで、主に年金商品や投資商品を英国とアイルランドで展開しています。英国全土で2,300人の従業員を抱え、Architas、AXA Wealth InternationalそしてSun Life DirectといったAXAの商品を含む資産運用を行っています。そしてそれら商品は専門家による運用選択と顧客ニーズに合うように年金比率を変えるといったカスタマイズができ、フィナンシャルプランナーと銀行の保険窓口にて販売されています。また、Sun Life Directは例外として直接顧客に保険商品をお届けしています。

課題への挑戦

英国に多くの拠点を展開し2000人以上の従業員を雇っているAXA Wealthのファイルサーバシステムはご想像のとおり、複雑を極めていました。たくさんのADのセキュリティグループを持ち、多くのユーザやグループがそこに登録されていました。そしてフォルダーには彼らが閲覧できるように権限が様々付与されていました。彼らのヘルプデスクは「どのグループがどのフォルダーにアクセス権限を持っているのか」逆に「どのフォルダーがどのグループからアクセスされるのか」等々頻繁に問い合わせを受けていました。しかし皆さんもそうでしょうが、その実情を簡単には説明ができませんでした。彼らのネットワークセキュリティチームはログの証跡情報から手作業でそれらを調べ、ファイルサーバ上で「そのファイルに実際にアクセスしたのは誰か」、そして「彼らはアクセスして何をしているのか」に多くの時間を費やして確認していました。これは想像以上に大変なフラストレーションでした。

実評価の結果

AXA Wealthは最終的にVaronisを評価し、AXA Wealthのファイルサーバ権限環境が可視化されてその動きを追いかけることができるDatAdvantageを選びました。そしてOption機能としてDataPrivilegeを導入し、現場に権限管理を委譲させてファイルアクセス権限を管理させることにしました。これはまたサーバ管理者にとっても権限管理を簡素化・自動化できるものでもありました。

Varonisによる問題解決

Varonis DatAdvantageを導入すると早々にAXA Wealthにとって期待する結果が届けられ始めました。非構造化データ・セミ構造化データを収容するファイルサーバの権限にユーザグループ・フォルダーの両方向からの可視化した情報を提供することで、AXA Wealthのヘルプデスクは今まで答えることができなかった「だれがどこフォルダーに権限を持っているか」といった一連の質問に見事に答えをもたらしました。DatAdvantageはWindowsなどのNativeなAudit情報では得られないような、Active Directoryのユーザグループの詳細情報、ACL(アクセスコントロールリスト)情報、データへのアクセスのあらゆるイベント情報を収集し、結果としてあらゆるファイルをあらゆるユーザ毎に、開き、作成し、修正し、削除するといったアクションの可視化をAXA Wealthにもたらしました。このインテリジェントなモニタリングの導入で初めてAXA Wealthは正しいデータオーナーはだれかを把握し、そのデータオーナーをアサインしてアクセス権限の管理を委譲するといったことが可能となりました。

そのVaronis導入でのメリットについて、AXA Wealth上級セキュリティアナリストのSerena Leeは次のように述べています。
「DatAdvantageを導入するや否や、以前だったら答えられないような質問の多くに答えを導き出せるようになりました。これはわたくし達のデータ管理としてはとても大きな進展です。わたくし達はただDatAdvantage上でクリックするだけで“某フォルダーにアクセスできるのはどのユーザグループか”あるいは、“あるユーザグループがアクセスできるフォルダーはどれなのか”がわかり、正しく権限の最適化ができるのです。」

使われていない権限、あるいはもはやアクセス履歴のないグループメンバーをモニターし削除することで、AXA Wealthはグループ数を減らすことに成功し、大変複雑だった権限状況を簡素化することができました。「自動的に最適な権限状況のシミュレーションを提示するDatAdvantageのRecommendation機能によって、不必要なグループメンバーシップを浮き彫りにし、不要なユーザの権限をグループから棄却することができました。今では簡単迅速に権限の棚卸し・権限整理をすることができます」

AXA Wealthは英国のビジネスの一部分をFriend Lifeに移管したことがありましたが、その際も
Friend LifeのデータとAXA Wealthの持つデータをそれぞれ把握し、個別に運用しなければなりませんでした。そしてどちらのデータも当然保全運用されなければなりませんでした。その際もDatAdvantageによって「両方のチームからアクセスすることができるデータは何か」だけではなく、「実際に両方のチームからアクセスされたデータは何であるのか」をすぐに確認することが可能となり、現状の権限付与状況と実際のアクセス履歴を基に理論的なデータの仕分けを行うことができました。これはFriend LifeにおいてAXA Wealth事業の統合過程における職務の不介入の義務というコンプライアンスを実行できたこと、つまりはFriend LifeのスタッフがFriend Lifeに移管されたAXA Wealthの情報にアクセスしなかったという事実を意味します。まさに事業移管プロセスにおける相互不介入期間にVaronisのソリューションが一役買ったといえる話です。

また、AXA WealthはDataPrivilegeのセルフサービスポータルによる権限申請にも良いコメントを残しています。彼らもまた多くの企業と同様に各々のファイルサーバへの権限はActive DirectoryのセキュリティグループによるACL(アクセスコントロールリスト)で管理していました。その際、各々のセキュリティグループ毎にオーナーを持ち、そのオーナーがファイルのあるフォルダーに対してどのセキュリティグループがアクセス権を持つのかを管理していました。正社員が一日中ずっと手作業で照合し、そのリストをグループオーナーに渡した上でレビューをしてもらい、権限が不要にもかかわらずアクセスしているユーザはだれかなどをチェックしてもらっていました。しかしDataPrivilegeを導入した現在、十分に自動化されこの作業部分に多大な時間を費やすことがなくなっています。「ユーザは自らアクセス権限を申請し、データオーナーはIT管理者への確認することなく自動的にそのリクエストを許可するか棄却するかの判断を任されます。これによって権限付与のプロセスが現場のニーズに沿うとともに迅速化しただけではなく、IT管理者がほかの作業に集中できるように彼らの両手をアクセス権限付与の作業から開放してあげることができました。

Varonisのメリット

データにアクセスしている人は誰か、何をしているか、簡単に追いかけることが可能
DatAdvantageのAudit機能によってAXA Wealthはユーザがサーバにアクセスして何をしているかが把握できるようになりました。会社として「ファイルサーバにアクセスするすべてのユーザによって、開き、作成し、修正、そして削除されるすべてのファイル」を可視化して把握できるのです。

重複しているグループ登録、不必要な権限を最適化することが可能
AXA Wealthはもはや使われていない権限、あるいはもはやアクセス履歴のないグループメンバーをモニターし安全に削除することでグループ数を減らすことに成功し、大変複雑だった権限状況を簡素化することができました。

権限付与の自動化
ユーザは自らアクセス権限を申請し、データオーナーはIT管理者への確認することなく自動的にそのリクエストを許可するか棄却するかの判断を任されます。これによって権限付与のプロセスが現場のニーズに沿うとともに迅速化しただけではなく、IT管理者がほかの作業に集中できるように彼らの両手をアクセス権限付与の作業から開放してあげることができました。