導入事例

特権ID管理ソリューション SecureCube / Access Check 導入事例山九株式会社 様 株式会社インフォセンス 様

基幹から業務までのシステム全体にSecureCube / Access Checkを導入
内部統制の強化とスムーズな監査を実現し、セキュリティを向上

大手総合物流企業の山九株式会社(以下、山九)のビジネスを支えるシステムを、構築から運用まで一手に担っている株式会社インフォセンス(以下、インフォセンス)は、オペレーションミスを抑制するために、運用のあり方を見直してSecureCube /Access Checkを導入しています。山九の約300台のサーバをクラウドとオンプレミスのハイブリッド環境で運用しているインフォセンスでは、SecureCube /Access Checkでログを一元管理し、禁止コマンドなどを監視することで内部統制とセキュリティを向上させ、定期的な監査対応にも役立てています。

導入背景:障害時の原因特定や不正アクセスの検知のために、ログを一元管理できるツールの導入を検討

インフォセンスは、山九の事業発展に伴って、事業ニーズに即したIT戦略を策定できるように、2014年から3年間をかけて約300台のサーバの8割をAmazon Web Services(AWS)に移行し、ハイブリッド環境で運用改善を行えるようにしています。常に高度な運用を目指す同社が、内部統制の課題を解決しようと考えたのは2012年のことだと、株式会社インフォセンス アウトソーシング事業部 運用サービス部 マネージャーの永浦秀敏氏は話します。

「当時は、システム保守メンバーの権限管理や操作ログの記録が取られておらず、誰が、いつ、どこで、何をしたのかを正確に把握することが困難でした。
また、システムやサーバ、ネットワーク機器などから出力されるログを管理するためのシステムがなく、不正アクセスを検知したり、障害時にさかのぼって調査して原因を特定したりすることも難しく、オペレーションミスをなくし、内部統制とセキュリティの向上のためにも、何らかの仕組みが必要だと考えていました」。

株式会社インフォセンス
アウトソーシング事業部
運用サービス部
マネージャー
永浦 秀敏 氏

「誰が、いつ、どこで、何をしたのかを正確に把握する必要がある中で、要件をすべて満たし、金融機関などでの実績が高いSecureCube/Access Checkを採用しました。キーワード検知機能で禁止コマンドが入力されたときなどにアラートを発生させることができ、何かあったときにすぐに確認できるのは助かっています」

導入経緯:セキュリティレベルが高い金融機関などでの実績を見て、要件をすべて満たすSecureCube / Access Checkを採用

ログを取得してユーザーの特定や操作内容の把握を行い、一元管理してログをリアルタイムに分析でき、改ざん防止やアクセス権管理などができる仕組みを求めたインフォセンスでは、2013年から導入するシステムを検討し始め、最終的にNRIセキュアが提供するSecureCube/Access Checkの導入を決断します。「SecureCube/Access Checkを選択したのは、要件をすべて満たし、高いセキュリティレベルが求められる金融機関などでの導入実績が高かったことが決め手です」と永浦氏は話します。

SecureCube / Access Checkはエージェントレスで導入できるため、設計や構築は約1か月の非常に短い期間で終えることができました。しかし、一方で、SecureCube/Access Checkの導入を期に運用を見直すことを計画していたインフォセンスでは、トライアル期間を4か月設けて、保守メンバーに運用の説明と理解を促すことに力を入れていた、と株式会社インフォセンス アウトソーシング事業部 運用サービス部の古賀健一郎 氏は説明します。

「エージェントレスで導入でき、ワークフローも SecureCube/Access Checkに合わせたので、設計・構築の期間を短縮することができました。導入後は、以前使っていた共有のグループIDを廃止し、改めてユーザーやサーバを洗い出して、 どのメンバーがどのシステムにどのような権限で アクセスするかを細かく設定していきました。また、これまでバラバラだった各ユーザーのネーミングルールやパスワードの規則を作り直し、標準化していく作業も行っています。これらの規則や標準化を各部署や各拠点で共通化させるための調整に時間がかかりました。システムごとに担当ユーザーを紐づけて、細かく権限設定していくことで、特定のユーザーしかアクセスできないようにしていきました」。

株式会社インフォセンス
アウトソーシング事業部
運用サービス部
古賀 健一郎 氏

「SecureCube / Access Checkはエージェントレスで、設計・構築を約1か月で終えることができました。ログをしっかり記録して監視できることで保守メンバーの意識も高まり、運用を見直すことで内部統制やセキュリティの向上を実現できます。監査対応がスムーズになったことも大きなメリットです」

インフォセンスが運用する山九のシステムは、オンプレミスとクラウドのハイブリッド環境となっていますが、SecureCube/Access Checkはオンプレミスとクラウドの両方に置かれ、オンプレミス側を本番機、クラウド側を災対機としています。また、SecureCube / Access Checkのキーワード検知機能を使って、禁止コマンドが入力されたときにアラートが発生するようにすることで、操作ミスなどを防げるようにしています。

システムの構成イメージ

case_infosense_fig01.PNG

導入効果:保守に対する意識を高めて権限管理をしっかりと行え、オペレーションミスの抑制と高いセキュリティ運用を実現

SecureCube / Access Checkを導入後は、ログがしっかり監視されていることを保守メンバーが知ることで、意識が高まってきていると古賀氏は話します。SecureCube / Access Checkで常時ログを見る必要はなく、メールの通知を見て、何かあればログを確認すればよく、誰が何をやっているかがすぐにわかることも運用を続ける中でメリットとなっています。SecureCube / Access Checkの導入を期に運用のやり方も変えていくことで、各システムの権限設定がしっかりと行えて内部統制を高めることができ、オペレーションミスの抑制につながっており、パスワード変更を定期的に実施することでISMS(情報セキュリティマネジメントシステム)に則ったセキュリティ運用ができるといいます。

また、年に1回の監査の際にSecureCube/Access Checkのメリットを感じていると古賀氏は話します。「以前は、どのようなユーザー管理を行っているかを示すために、サーバのログを開いてIPアドレスを追跡するしかなく、時間や手間がかかっていました。現在は、SecureCube/Access Checkで証跡などをすぐに見ることができ、監査対応でスムーズに資料提出することが可能となっています」。

今後の展望:SecureCube / Access Checkのさらなる活用を行い、クラウドでもセキュアな運用サービスを提供

今後は、SecureCube/Access Checkをバージョンアップさせ、それを期に、クラウド上で SecureCube/Access Checkを活用することも考えていると古賀氏は話します。「SecureCube/Access Checkのログは統合ログ管理システムに蓄積させているので、今後もより多くのログを活用させていこうと考えています。現在、AWS上のSecureCube/Access Checkは本番機ではなく災対機として使っていますが、バージョンアップを期にクラウドで活用することでどのようなメリットが生まれていくかも考えていきたいと思います。
また、SecureCube/Access Checkの特権パスワード管理機能を使って、パスワード変更を一括でできるようにすることも考えています」。

山九のシステム構築・運用のノウハウを活かして、物流や医療を中心に構築・運用サービスを提供しているインフォセンスでは、今後は、NRIセキュアの高度なセキュリティソリューションを活用しながら、クラウドに強いサービスを提供していきたいと考えていると、最後に永浦氏は話してくれました。

「山九の大規模なクラウド移行を成功させたので、そのときに蓄積されたノウハウをサービスとして提供していきたいと思います。クラウド上でのシステム構築はもちろん、クラウド移行や運用をワンストップで提供していければよいですね。また、変化の激しいセキュリティの分野において、NRIセキュアには今後もセキュリティに関する提案や情報提供を積極的に行ってほしいと考えています」。

会社概要

山九株式会社 株式会社インフォセンス

山九株式会社:1918年に設立し、福岡に本店、東京に本社を置く大手総合物流企業。プラント・エンジニアリング、ロジスティクス、オペレーション・サポートを有機的に結びつけた、世界でも類を見ないビジネスモデルを構築し、プラントの企画段階から、設計・建設・重量物輸送・据付・試運転までのトータルなサポートを行っている。
http://www.sankyu.co.jp/

株式会社インフォセンス:山九の情報システム部門を母体として誕生したインフォセンスは、山九の情報システムを開発・運用した実績とノウハウを活かし、事業領域を拡大して、物流診断からインフラ保守・運用までをワンストップで提供。物流関連や病院関連の企業にも保守サービスを提供し、物流に特化した「ZIZAIA WMS」をはじめ、業務分析&BI、基幹、インフラ、医療のそれぞれで運用サービスやシステムを提供している。
http://www.info-sense.co.jp/

※本文中の組織名、職名、概要図は公開当時のものです。(2018年)