導入事例 - 三井住友海上火災保険株式会社 様 -

DBエースマスキングエディション 導入事例

導入事例 - 三井住友海上火災保険株式会社 様 -

社名 : 三井住友海上海上火災保険株式会社
本社 : 東京都中央区新川2-27-2
URL : http://www.ms-ins.com/
設立 : 大正7年(1918年)10月21日
資本金 : 1395億9552万円
連結従業員数 : 14,919名

  •  MS&ADインシュアランスグループの中核事業会社として、損害保険業などを行う三井住友海上火災保険では、金融・保険に関わるさまざまなシステムを利用している。そこで課題となっていたのが、システムの検証に使用するテストデータであった。本番データをルールに従い適切にマスクして使用していたが、作成方法がシステムごとにバラバラで、かつ人間による手続きが介在していたのである。
     そこで「DBエースデータマスキングエディション」を使用して、独自のマスク処理システムを構築。テストデータの作成方法を標準化して人間系の処理を廃し、処理の迅速化とセキュリティの強化を一挙に実現した。

  • マスク処理を標準化し、セキュリティをさらに高めることが課題に

     三井住友海上火災保険では、損害保険の契約を管理するシステム、事故受付・保険金支払いなどを管理するシステム、営業部門を支援するシステムなど、利用するシステムは膨大かつ多岐にわたる。
     もちろん、金融・保険というビジネスを支えるシステムだけに、非常に高い信頼性が求められるのはいうまでもない。システムによっては、本番と同じ擬似環境を構築し、数千万あるいは億単位の件数のテストデータで検証を繰り返すことも珍しくないという。そこで問題となるのが、いかに安全で高品質なテストデータを用意するかである。MS&ADインシュアランスグループのITシステムの企画・設計・開発・運用を行う情報機能会社、MS&ADシステムズの統合ITサービス部 統合基盤グループ 兼 ITサービス部 基盤グループ マネージャー 名雪正弘 氏は、テストデータが抱える課題を次のように説明する。
    「システムによっては数百件のテストデータですむ場合もありますが、大きなシステムになると、負荷テストを実施するため、本番環境と同じ擬似環境を用意し、本番と同じ量のデータで検証することも少なくありません。その場合、本番データの氏名や住所などの個人情報をマスクして利用するのですが、各プロジェクトからのリクエスト毎に担当運用部門が個別にマスク化を実施し、開発部門に渡していたため、どうしても作業の無駄が発生し、また、複数の人間系作業が入ることにより、セキュリティ上の問題となっていたのです」(名雪氏)
     なお、データマスキングについては、「氏名の何桁目から何桁目まではマスクする」といった最低限のルールは決まっていたという。ただ、そのやり方がバラバラで、人間系を介した手続きが必要だったため、人間を介さない標準化された方法が求められていたのである。

  • DBエースをマスク化エンジンとして組み込んでシステムを作り込む

     そこで注目されたのが「DBエースデータマスキングエディション」(以下、DBエース)であった。製品の選定にあたっては、開発元のシステムエグゼとMS&ADシステムズのアプリケーション開発部門との取引が長く、システムエグゼが信頼を得ていたことも重要なポイントだった。
    「選定にあたっては、複数の製品から選定するというよりも、自社でスクラッチ開発した場合と製品を購入した場合の比較が行われました。また、今回のシステムでは、自社システムの一部として動かしたかったので、インターフェイスの変更などに柔軟に対応してくれるベンダーが必要でした。その点、おつきあいの長いシステムエグゼさんであれば、柔軟に対応してくれるだろうという期待がありました」(名雪氏)
     DBエースは、もともとマスク処理や擬似データへの変換などをGUIベースのインターフェイスで実行できる製品である。ただし、バッチ処理で使われることも想定し、キャラクターベースのCUI実行環境も持っている。
     今回、MS&ADシステムズは、DBエースをあくまでマスク用エンジンとしてシステムに組み入れようとしていた。このため、CUIの環境を利用することになるが、ここまで大がかりなシステムに組み込んで活用する例は珍しかったため、仕様情報の提供などで開発元であるシステムエグゼの柔軟な対応が求められたのである。

  • Webブラウザから申請するだけでマスクされたテストデータを自動作成

    エグゼクス導入イメージ
     MS&ADシステムズがDBエースを購入したのは2010年の12月で、そこから開発がスタート。2011年の4月にはパイロット版がリリースされ、ユーザーからのフィードバックを受けながら改良が行われた。正式リリースは2011年8月だが、その後も少しずつ改良が加えられ、最終的に完成したのは2012年の1月である。
     前述のとおり、DBエースはマスク用エンジンとして利用され、ユーザーはWebブラウザを使用して利用する形態がとられた。

    「アプリケーション開発部隊は、Webブラウザを使って本番データを使用したいというリクエストを出します。そのとき、取得するデータベースやテーブル、取得条件などを指定します。管理者が承認すると、DBエースが動いて本番データベースに接続し、データを取得し、マスク化します。そして、各システムの開発用サーバにデータをFTP転送する仕組みです。スケジュールも設定できるので、本番サーバの負荷が少ない夜間に自動的にテストデータを作成することも可能です」(名雪氏)
     開発にあたってはユーザーから上がってきた改善要求に1つ1つ対応していったが、申請の手続きや承認するユーザーの権限設定などの運用機能面での改善要求がほとんどで、マスク化についての不満はなかったという。
     本格的な活用は始まったばかりで、効果が現れるのはこれからだが、それでも新システムを評価する声は徐々に上がってきているようだ。

    「まだ、すべての開発部隊で使われているわけではないのですが、よく利用しているところは『以前のように運用部門に依頼していた頃よりも、スピーディかつ安全にテストデータがとれるようになった』と評価してくれています。マスク化のルールを規定した社内文書にも、このツールを使用するように内容を追加しましたので、今後は徐々に浸透していくと思います」(名雪氏)

  • 徐々に利用範囲を広げて標準化を徹底し、さらに安全性を高める

     新しいシステムによって、当初の課題であったマスク方法の標準化と人間系の処理の排除は実現できた。その効果について、名雪氏は期待も込めて次のように説明する。

     「今後、新システムを利用する開発部隊が増えていけば、標準化のメリットがさらに出てくると思います。また、Web上で依頼すれば、あとは自動的に処理されてマスク化されたテストデータが開発サーバに格納されますので、以前より安全性が高まっているのは間違いありません」(名雪氏)

     ただし、課題もある。本システムで作成できるテストデータの最大値の目安は100万件とされている。このため、数千万〜億単位の超巨大なテストデータは、従来どおり個別に作成する必要があるということだ。また、複数のテーブルにまたがるカラムに対して、関連を考慮し同一の変換ルールを自動的に適用することも課題だという。ただ、このあたりはDBエースのバージョンアップに合わせて改良を加えていく予定だということだ。
     いくつかの課題は残っているが、それでもDBエースをデータマスキングのエンジンとして活用するメリットは大きいと名雪氏は次のように説明する。

     「開発するシステムの数が少なければ、DBエースをGUIベースで利用すればよいと思います。ただし、システム数が多いと、テストデータが必要になるたびに担当者がサーバにログインし、GUI画面で操作するのは大変ですし、効率的とはいえません。であれば、標準化された方法でテストデータを作成するシステムを構築した方が効率的ですし、セキュリティも高められると思います」(名雪氏)

     システム開発において、テストデータの作成は頭の痛い問題だ。特にシステム数が多かったり、大量のデータが必要だったりする場合は、いかにセキュリティを確保したうえで、テストに耐えうる高品質のデータを作成するかがポイントになる。「DBエースデータマスキングエディション」をマスキングのエンジンとして活用したMS&ADシステムズの例は、同様の課題を抱えている企業には大いに参考になるはずだ。

  • エグゼクス導入イメージMS&ADシステムズ株式会社
    統合ITサービス部
    統合基盤グループ兼ITサービス部
    基盤グループマネージャー
    名雪正弘 氏


※当ページおよび本事例中に記載の肩書きや数値、固有名詞等は取材当時のものであり、このページの閲覧時には変更されている可能性があることをご了承ください。




  • 導入事例PDFダウンロード



DBエースマスキングエディションに関する
お問い合わせ・資料請求はこちら

WEBからお問い合わせ

ページの先頭へ