株式会社インターネットイニシアティブ 様

IIJでは、さっそく新たなアクセス管理ツールの検討に着手。複数の製品を比較検討した結果、SecureCube Access Checkが最終的な候補に挙がりました。その理由を導入プロジェクトのリーダーである同社サービスオペレーション本部 サービスサポート部 クラウドサービス課 主任藤井拓也氏は、「7割がLinuxとUNIXが占める当社のOS環境に対応できるのがSecureCube Access Checkだけだったこと。また、ログ取得についての十分な条件を満たす基本機能を備えていたことが主な理由です」と語ります。

価格も重要なポイントでした。他社製品は仮想サーバ1台ごとにライセンスの購入が必要で、導入後に台数が増えればそのつど追加が必要です。一方、SecureCube Access Checkは本番サーバの台数変更やクライアント追加の際も新しくライセンスを購入する必要がないため、見積価格に格段の差があったことも決め手になりました。

しかしSecureCube Access Checkに絞り込んだものの、当時のバージョンは約27,000ノードという大規模なアクセス制御を想定しておらず、IIJの要件を満たすには多くの機能追加および強化が必要でした。そこでNRIセキュアテクノロジーズでは、かねてから開発を進めていた大規模管理機能を今回のIIJの導入に合わせて実装し、新バージョンとして提供するプランを提案。同社の快諾を得て、2012年5月から正式にプロジェクトがスタートしました。同社 サービスオペレーション本部 サービスサポート部 クラウドサービス課 エンジニア 椹口敏広氏は、「開始から約半年後の11月初旬、新バージョンのベータ版が提供され、それをもとにさらにバグフィックスを行うなどの修正・改善を進めていきました。定例ミーティングで当社の要求を伝えるのですが、基本的にすべて対応する姿勢を示してくれたことは大変評価しています」と語ります。

両社の緊密な協働体制に支えられて開発は順調に進み、翌2014年3月から社内への順次リリースを開始。5月12日の全社リリースを経て7月には旧システムを廃止し、完全移行が実現しました。

「LGS（ログインゲートウェイシステム）」と名付けられたSecureCube Access Checkによる新しいアクセス管理ツールは、IIJ社内の案件担当者や運用担当者、24時間対応のオペレーションセンターといった各部署とお客様の本番サーバとの境界にあって、すべてのアクセスを集中的に管理し、ログ収集を実行しています（図参照）。

「サーバへの入口を1つに集約することで、約27,000ノードすべてのアクセス記録が確実に残せるようになっています」（佐藤氏）。

またLGSでは、アウトソーシング事業者向け内部統制の監査担当部署にログ取得の権限を移譲できるようになった結果、システム運用部門の負荷が大幅に軽減されたと藤井氏は評価します。
「旧システムでは、監査対象に該当すると思われるログの取得を、私たちが手作業で行っていました。それが各監査部門に移ったことで、必要に応じてログをすぐに取得できるようになり、私たちもシステム企画などにより多くの労力をさくことが可能になりました」。

アクセス管理の品質そのものも、大きく向上しました。旧システムでは申請書類を見ながら、目視で当該のアクセスログを探し出し、突合していました。それがSecureCube Access Checkでは、申請内容に該当するログをシステムが機械的に紐づけてくれるため、作業効率が大幅に向上。さらに契約要件のデータベースと組み合わせて、個々のお客様に合わせた詳細なチェックを行うといった活用法も生まれました。

アクセス申請の処理ワークフローを完全に電子化できたことも、LGSの非常に大きな成果です。旧システムでは紙文書によるアクセス申請を見ながら、作業終了後に手作業で確認、承認するといった作業が避けられませんでした。それがLGSではSecureCube Access Checkによってすべての処理をWeb上で確認、実行できるようになり、ワークフロー全体の大幅な効率化が実現しました。

「当社では各々の運用ポリシーに合わせて、ゲートウェイへのアクセス申請の要不要を使い分けています。万が一だれかが申請の必要なサーバに申請を行わずログインしたとしても、アクセスログがあれば後から追跡できます。いったんアクセスすればすべてのログがSecureCube Access Checkに保存されるため、作業の証跡が一目で把握できることも、監査精度の向上と管理の効率化に貢献しています」（藤井氏）。