出光興産株式会社様

内部統制のためのアクセス管理ツールとしてSecureCube Access Checkを導入。効率的なセキュリティ管理策を低コストで実現

米国のSOX法に準じて2008年度から適用が開始された「金融商品取引法」の特徴の一つは、情報システムに関する内部統制を明確な形で取り入れたことです。石油の精製や販売の大手企業である出光興産株式会社では、この対応の一策として、情報システム基盤へのアクセス管理に「SecureCube Access Check」を導入し、効率的なセキュリティ管理策を経済的に実現しています。

POINT

ここがポイント

内部統制のためのアクセス管理ツールとして導入、効率的な対策を低コストで実現

計算センター内の大規模なサーバ群も手間をかけずに管理でき、導入・運用の経済性が良い

数百台のサーバへのアクセス管理が一元的にできることが最大の利点

導入の背景情報セキュリティ運用上の苦労

現在、世の中のあらゆる業務は、何らかの形で情報システムとかかわり、あるいは情報システムを活用しています。出光興産では、石油の精製や販売を中心に、石油化学製品、電子材料、環境保全設備など、幅広く手がけていますが、これらすべての分野で情報システムを活用しています。そして、これら情報システムのほとんどは、千葉県市原市の計算センター（グループITセンター）で運用・維持管理されています。

同社の情報システム部システム品質グループグループリーダーの前原一氏は当時を振り返って次のように語ります。

「旧来は、基幹的な業務に限定してホストコンピュータ上のシステムを利用していましたが、オープン系システム技術の発達により、サーバへのダウンサイジングや新たな業務への情報システムの適用が近年になり活発に行われたことで、旧来は数台のホストコンピュータの管理で済んでいたものが、短い期間の中で数百台のサーバ機の運用・維持管理を行う状況に変化しています」

次々と新たな情報システムが増える中で、効率的な運用・維持管理の実現を目指しているものの、「急な展開に追いつくのに苦労しており、特に情報システム基盤となるサーバのOSやDBへの管理者や開発者によるアクセスに関する管理は、個々のサーバに対して人的な対応を行うしかなく、対象台数分（数百台）の管理可能なセキュリティレベルには限界がありました」と前原氏は言います。
このため同社では、効率的かつ効果的なサーバのアクセス管理策の導入は、情報セキュリティ管理上の主要課題となっていました。

情報システム部
システム品質グループ
グループリーダー
前原　一氏

「これまでは人に全面的に頼った管理でしたが、アクセス先や時間帯など含め、システムで制限し管理されるようになり、1カ所ですべて管理することで当初想定したより大幅に管理効率が良くなりました」

導入の経緯迫られた内部統制への対応

2008年4月から適用された金融商品取引法において、情報システム基盤におけるアクセス管理が重要事項とされたことから、強化策の適用が必要不可欠な状況となりました。具体的には、次の3点への対応が必要でした。

（1）サーバ上のOSやデータベースへのアクセス制限
（2）サーバ上のOSやデータベースへのアクセス記録の監視
（3）サーバ上のOSやデータベースにおける操作記録

従来からよく知られた対応技術は、導入費用が高価であるだけでなく、運用に未だかなりの手間がかかるものでした。しかし当時は、これらの技術を導入し、少しでもレベルアップするしかない状況にありました。　
そのような折に、NRIセキュアテクノロジーズ主催のセミナーにたまたま参加し、SecureCube Access Checkと出会います。それによって、最終的にはこれらの問題を打開することができました。

前原氏は、「最初にSecureCube AccessCheckの紹介を受けた時に、利用者とサーバの間にチェック用のゲートを設けるというシンプルな発想に感心した」と言います。これにより計算センター内の大規模なサーバ群も大きな手間も掛けずに管理でき、導入や運用のコストパフォーマンスもかなり良いものになるだろうと感じたからです。　
ただし、この時点のSecureCube Access Checkは本来求められる機能が不足しており、出光興産としては「従来の技術の補完として考えていた」そうです。　その半年後、正式な引き合いを行うためにSecureCube Access Checkの内容を確認した際、かなり驚き、喜びました。

NRIセキュアテクノロジーズは、他社の要望もあり、大幅な機能改善を行っており、新たに提示された製品は、出光興産における内部統制対応ツールとして必要な機能をほぼ兼ね備えていることが明らかでした。「同様の技術が他に類を見ないこと、機能が充実していることに加え、導入や運用の経済性も他システムより大幅に良いことなどから当該システムの単独導入を正式に決定した」と前原氏は話します。　
このソリューションは、既存のサーバへ手を加えることなく、ゲートウェイというアクセスの入り口を設置し、そこで特権IDの認証をしてアクセス制限、記録、監視を実現する仕組みです。数百台のサーバを管理する出光興産にとって、すべてのサーバへのアクセス管理が一元的にできることが最大の利点でした。

システムの概要図

case_idemitsu_fig02

導入の効果出光興産における利用状況

SecureCube Access Checkは、管理者や開発者のPCと情報システムの本番環境サーバとのアクセスルートの中間に設置し、各PCから各サーバへアクセスするための「ゲートウェイ」として「正しい利用者か？」「正しいPCか？」「アクセス先は登録通りか？」「アクセス時間帯は申請通りか？」などを確認して不要なアクセスを制限し、記録し、監視する機能を持っています。出光興産のように多種の業務に対応したさまざまな情報システムのための多数のサーバのアクセス管理を、的確かつ効率的に実施できる仕組みになっているといえます。

出光興産では、本システムの導入に当たり、ネットワークの構成を変更する必要が生じましたが、個々のシステムには何も手を加えることなく導入できました。　
運用を開始するに当たり、事前の説明会などを十分に行ったこともあり、利用者への浸透は極めてスムーズに進みました。その後の運用においても、利用者にかなり手間を強いることになりましたが、大きな問題もなく利用されています。内部統制への対応としては、十分機能を発揮し、内部統制監査においてシステムの機能にかかわる問題も出ていません。　
出光興産によれば、具体的な運用は次のとおりです。

利用者の限定
業務上、アクセスが必要な者を限定し、システムに登録する。
　・利用者名の登録
　・利用PCの登録
　・アクセス先のサーバ／ポートの登録

利用時間帯の限定
利用前にシステム上で利用時間帯などを申請。
・利用時間帯の申請 → 申請した時間内でしかアクセスできない
・利用目的の申請
申請内容は、都度上司が点検し許可している。

アクセス結果のモニタリング
日々のアクセス記録を翌朝に運用管理部署が点検し、不審な記録については、上司に通知し確認している。

SecureCube Access Checkの導入効果として、出光興産として次の3項目を挙げます。　「一つ目は、懸案となっていた情報システム基盤の多数のサーバへのアクセスに関するセキュリティ強化が実現でき、内部統制の対応として間に合いました。二つ目は、大幅なコストダウンです。そして三つ目は、効率的な運用が実現できたことです」

最後に前原氏は、さらなる期待として、次のように語りました。　
「今後はSOX対応だけではなく、全社最適を考慮した対応にも展開していきたいと考えます。また、更なるセキュリティの向上や運用コストの削減などにSecureCube Access Checkを活用させていきたいです」

導入いただいたサービス・製品はこちら

会社概要

出光興産株式会社

1911 年に出光商会として創業。“人が中心”という「人間尊重」の考えを経営の原点とし、石油精製、油脂製造、および石油化学事業や、エネルギー需要に対する資源事業などを展開。エネルギーの確保と有効利用、並びに高機能材の開発を通じて、経済と環境の調和ある社会の発展に貢献。2011年に創業100周年を迎え、社会で期待され信頼される企業をめざしている。
http://www.idemitsu.co.jp/

※本文中の組織名、職名、概要図は公開当時のものです。（2009年）

CASE STUDY