導入の背景や課題
安定運用が求められる出光興産のサーバ群、手動での証跡取得・確認は困難に
出光興産株式会社 デジタル・ICT推進部 デジタルプラットフォーム課 チームリーダー 後藤直子氏
出光興産では1000台近くのサーバを運用しています。もしシステムに障害が発生して製油所の操業が停止するような事態になれば、サービスステーションにガソリンが届かなくなるなど、市民生活に広く影響が生じる恐れがあります。そのため、システムを止めず安定運用させていくことが我々デジタルプラットフォーム課の責務と考えています。
安定稼働には日々の適切な運用が欠かせません。さまざまなOSのサーバにログインし、セキュリティパッチを適用したり、その上で動作するデータベースやアプリケーションにアクセスしたりしています。こうした作業には、我々運用チームのほか、開発者、時には利用部門も関わります。
セキュリティやガバナンスの観点からは、そうしたアクセスログを証跡として残し、定められた手順通りに運用されているかを確認して、統制を維持する必要があります。しかし、管理すべきサーバの数がこれだけの規模になると、手動で証跡の取得・確認を徹底することは困難でした。
2008年4月の金融商品取引法(いわゆるJ-SOX法)施行を機に、シンプルな作りである点を評価してSecureCube Access Checkを導入しました。ゲートウェイ経由で各サーバへアクセスする仕組みにすることで、運用に合わせたアクセス制御を実現するとともに、アクセスログ・操作ログの取得とそのモニタリングを行える体制を整えてきました。
その後、時代の変化に伴い、新規事業展開ではITシステムの提供スピードが一層求められるようになり、オンプレミスの物理サーバからクラウドへの移行を進めてきました。クラウドへの移行により、インフラを柔軟、且つ、迅速に用意できるようになりましたが、その結果、管理すべきサーバはますます増えることになりました。オンプレミス環境で稼働していたSecureCube Access Checkもクラウドへの移行対象だったため、移行のタイミングでバージョンアップと運用の見直しを行うことにしました。
選定のポイント
かゆいところに手の届く強みを評価し継続利用を決定、新機能にも期待
出光興産株式会社 デジタル・ICT推進部 デジタルプラットフォーム課 今村大樹氏
IaaS基盤への移行のタイミングで、他のツールへ乗り換える選択肢も検討しましたが、特権ID管理製品の中核機能についてはほとんど差がありません。比較の結果、統制レベルに合わせて柔軟に運用を変えることができる点など、かゆいところに手の届く設定の自由度の高さがSecureCube Access Checkの強みだとあらためて感じ、バージョンアップして継続利用することに決めました。
加えて、バージョン5から提供されている「パスワード秘匿中継機能」と「中継自動接続ツール」により、ログインの手間を削減でき、同時にパスワードを秘匿化することでセキュリティを強化できる点も、決め手となりました。
導入の効果
基本運用を変えずにIaaS基盤へ移行、作業工数7割減の効果も実感
2024年11月にSecureCube Access CheckのIaaS基盤への移行とバージョンアップを行いました。基本的に社内で作業を行い、必要なサポートのみNRIセキュアに依頼することで、コストパフォーマンス良く実現できました。サポートに関しては、検証環境から本番環境の構築まで柔軟に対応していただけました。当社で意味を十分に把握できていなかった設定を指摘・修正いただくなど、手厚いサポートが得られ、良かったと考えています。
移行後、見た目は新しくなりましたが、作業者がワークフローで申請後に承認者の承認を経て、必要な時間帯のみ、必要な権限で対象のシステムへログインする、という基本的な使い方は変わっていません。
今回新しく採用した「中継自動接続ツール」は、非常に便利だと感じています。メンテナンス時などには一日に何十台ものサーバにログインする必要があるため、RDPで接続する際、以前はサーバごとにIDとパスワードを手入力する手間があり、時間がかかっていました。このツールを利用すると、接続先のIPアドレスや利用プロトコルなどが自動で選択され、かつ、GUI上で簡単に接続できるため、作業工数は体感で7割ほど削減できたと実感しています。
監査機能についても、以前はマクロを用いて実際のサーバ側のログとSecureCube Access Checkのログを突合していましたが、バージョンアップ後はSecureCube Access Checkの日次レポートを活用して確認しています。
Excel形式とPDF形式の両方でレポートが出力されるようになり、レポート自体も見やすくなったと評価しています。
他にも、以前は同時間に重複したポリシーの選択は不可だったのですが、重複したポリシーが設定できるようになるなど、現場ならではの使い勝手に配慮した改善が加えられていると感じています。
今後の展望
サーバに加え、ネットワーク機器やクラウドも含めた特権IDの一元管理を目指す
出光興産株式会社 デジタル・ICT推進部 デジタルプラットフォーム課 谷島由矩氏
今後活用していきたいと考えているのが、バージョン6で実装された「ID棚卸機能」です。サーバには我々運用メンバーだけではなく、開発者や利用部門のアカウントも存在します。これらのアカウントを把握するための棚卸作業は、負担が非常に大きくなっているため、新機能で効率化できないかと期待しています。
また、今回の管理対象はサーバのみでしたが、出光興産は全国各地に拠点があり、そこでさまざまなネットワーク機器が運用されています。またクラウド活用も加速しているため、サーバに加えてネットワーク機器やクラウドの特権IDも一元的に管理し、アクセス制御・操作ログ監査を通じて不正利用を防止したいと考えています。
※本文中の組織名、職名は2025年5月時点のものです
