IIJでは、さっそく新たなアクセス管理ツールの検討に着手。複数の製品を比較検討した結果、SecureCube / Access Checkが最終的な候補に挙がりました。その理由を導入プロジェクトのリーダーである同社サービスオペレーション本部 サービスサポート部 クラウドサービス課 主任藤井拓也氏は、「7割がLinuxとUNIXが占める当社のOS環境に対応できるのがSecureCube / Access Checkだけだったこと。また、ログ取得についての十分な条件を満たす基本機能を備えていたことが主な理由です」と語ります。
価格も重要なポイントでした。他社製品は仮想サーバ1台ごとにライセンスの購入が必要で、導入後に台数が増えればそのつど追加が必要です。一方、SecureCube / Access Checkは本番サーバの台数変更やクライアント追加の際も新しくライセンスを購入する必要がないため、見積価格に格段の差があったことも決め手になりました。
しかしSecureCube / Access Checkに絞り込んだものの、当時のバージョンは約27,000ノードという大規模なアクセス制御を想定しておらず、IIJの要件を満たすには多くの機能追加および強化が必要でした。そこでNRIセキュアテクノロジーズでは、かねてから開発を進めていた大規模管理機能を今回のIIJの導入に合わせて実装し、新バージョンとして提供するプランを提案。同社の快諾を得て、2012年5月から正式にプロジェクトがスタートしました。同社 サービスオペレーション本部 サービスサポート部 クラウドサービス課 エンジニア 椹口敏広氏は、「開始から約半年後の11月初旬、新バージョンのベータ版が提供され、それをもとにさらにバグフィックスを行うなどの修正・改善を進めていきました。定例ミーティングで当社の要求を伝えるのですが、基本的にすべて対応する姿勢を示してくれたことは大変評価しています」と語ります。
両社の緊密な協働体制に支えられて開発は順調に進み、翌2014年3月から社内への順次リリースを開始。5月12日の全社リリースを経て7月には旧システムを廃止し、完全移行が実現しました。
「もし誰かがアクセス申請の必要なサーバに申請を行わずにログインしたとしても、アクセスログは、すべてSecureCube / Access Checkに保存されています。ここから作業の証跡が一目で把握できることも、監査精度の向上と管理の効率化に貢献しています」
「LGS(ログインゲートウェイシステム)」と名付けられたSecureCube / Access Checkによる新しいアクセス管理ツールは、IIJ社内の案件担当者や運用担当者、24時間対応のオペレーションセンターといった各部署とお客様の本番サーバとの境界にあって、すべてのアクセスを集中的に管理し、ログ収集を実行しています(図参照)。
「サーバへの入口を1つに集約することで、約27,000ノードすべてのアクセス記録が確実に残せるようになっています」(佐藤氏)。
またLGSでは、アウトソーシング事業者向け内部統制の監査担当部署にログ取得の権限を移譲できるようになった結果、システム運用部門の負荷が大幅に軽減されたと藤井氏は評価します。
「旧システムでは、監査対象に該当すると思われるログの取得を、私たちが手作業で行っていました。それが各監査部門に移ったことで、必要に応じてログをすぐに取得できるようになり、私たちもシステム企画などにより多くの労力をさくことが可能になりました」。
アクセス管理の品質そのものも、大きく向上しました。旧システムでは申請書類を見ながら、目視で当該のアクセスログを探し出し、突合していました。それがSecureCube / Access Checkでは、申請内容に該当するログをシステムが機械的に紐づけてくれるため、作業効率が大幅に向上。さらに契約要件のデータベースと組み合わせて、個々のお客様に合わせた詳細なチェックを行うといった活用法も生まれました。
「社内のネットワークとお客様のサーバネットワークの境界にSecureCube / Access Checkを配置しています。この結果アクセスの入口が1つに集約され、約27,000ノードすべてのサーバへのアクセス記録が確実かつ詳細に残せるようになりました」
アクセス申請の処理ワークフローを完全に電子化できたことも、LGSの非常に大きな成果です。旧システムでは紙文書によるアクセス申請を見ながら、作業終了後に手作業で確認、承認するといった作業が避けられませんでした。それがLGSではSecureCube / Access Checkによってすべての処理をWeb上で確認、実行できるようになり、ワークフロー全体の大幅な効率化が実現しました。
「当社では各々の運用ポリシーに合わせて、ゲートウェイへのアクセス申請の要不要を使い分けています。万が一だれかが申請の必要なサーバに申請を行わずログインしたとしても、アクセスログがあれば後から追跡できます。いったんアクセスすればすべてのログがSecureCube /Access Checkに保存されるため、作業の証跡が一目で把握できることも、監査精度の向上と管理の効率化に貢献しています」(藤井氏)。
「WindowsやLinuxが混在している環境下でも、SecureCube / Access Checkによってログを一括で確認、管理できるようになりました。このため、従来のように個々のサーバへのアクセスならびに管理が不要になり、管理負荷軽減に大きく貢献しています」
今後のLGSの活用について、IIJでは2つのテーマを挙げています。1つは、管理対象を現在のプライベートクラウドに加えてパブリッククラウドにも拡大すること。もう1つは、今後の管理規模のさらなる拡大に向けた機能拡張、改善です。
「さらに今後ユーザーが増えていけば、お客様ごとの管理ポリシーや制御要件も細分化し高度化していくことは確実です。私たちもそうしたニーズにお応えするため、さらにサービスレベルを向上させていく取り組みが求められてくるでしょう」。
さらなるお客様満足と情報セキュリティの向上に向け、NRIセキュアにはライセンス契約や費用対応を通じた一層のパートナーシップを期待すると語る藤井氏。インターネットのパイオニアのさらなる前進を、SecureCube / AccessCheckによる新しいアクセス管理システムが支えていきます。
SecureCube / Access Check製品情報はこちら株式会社インターネットイニシアティブ
1992年に日本初の国内インターネット接続事業者として創業。数多くの「日本で初めて」を生み出してきた高度なIP運用の技術力と豊富な人材を原動力に、インターネット接続サービスの他、メールやセキュリティ運用のアウトソーシングサービス、WANサービス、システムインテグレーション、機器販売、ATM運用サービスなどを展開し、大手企業、官公庁を中心に8,500社を超えるお客様から高い評価と信頼を獲得している。
http://www.iij.ad.jp/
※本文中の組織名、職名、概要図は公開当時のものです。(2015年)
セキュリティに関するあらゆる問題を解決します
