導入背景~決め手
INS回線終了に加え、手作業による特権ID申請・チェックの負荷や内部監査での指摘が課題に
大阪府農協電算センター システム部次長(運用担当) 森 成之氏
JA大阪電算は情報セキュリティマネジメントシステム(ISMS)に基づいてシステムを運用してきました。高いセキュリティ水準の維持を目標に、情報資産のリスクに応じて、入口・出口対策やエンドポイント対策を実施しています。
特に重要なのが基幹システムのサーバ群です。全国のJAバンク共通の勘定系システムであるJASTEMシステムと連携する信用事業補完システム、経済事業における在庫・発注・供給・販売などの管理をサポートするシステムのほか、会計や人事・給与といった、JAグループ大阪の管理業務をサポートするシステムなど、のべ60〜70種類のシステムを運用しています。
これらのサーバには、私たち運用部門のほか、開発部門、委託している複数の外部ベンダーがアクセスして作業を行います。しかし、その際の特権IDを使用するアクセスは、紙ベースの申請に基づき手作業で管理しており、作業負荷が課題となっていました。
また、大阪府外に拠点を置く外部ベンダーにはリモート接続を許可し、INS回線を用いてセキュリティを担保していましたが、2024年のINS回線サービス廃止を受け、新たなアクセス制御の仕組みが必要になりました。
外部から接続する際には事前に申請書を提出してもらい、その内容を管理簿に記入して役職者が承認するというプロセスを経る必要がありました。作業終了後にはサーバへのアクセスログを抽出し、管理簿の記録と突合して確認していましたが、内部監査において、この方法では抜け漏れが発生する恐れがあり、統制を強化すべきだと指摘されたことも背景の一つです。またこの方法では、作業が長引いて予定時間をオーバーしてしまうことや、夜間・休日に緊急対応が必要になった場合に融通が利かないことも課題でした。
検討と導入準備
幅広いOSとプロトコルに対応し、エージェントレスで導入できる点を評価
大阪府農協電算センター 企画部 櫻井 良太氏
JA大阪電算が運用しているシステムは、最近ではクラウド化も始まっていますが、長年オンプレミス環境で運用されてきたものも少なくありません。システム選定にあたっては、基幹系サーバで利用しているAIXをサポートしていること、そしてSSHやRDPといった基本的なプロトコルに加え、HTTP(S)やその他TCPを用いたアクセスに対応していることを要件としました。
またシステムを運用する立場として、ユーザやサーバにエージェントを配布する必要がなく、ゲートウェイを一つ立てれば利用できるエージェントレス型であることも、SecureCube Access Checkが優位だと判断した理由です。管理者として、利用者側のパスワードを関知せずに運用できることも評価のポイントになりました。
実際のPoCでも、これならば要件を満たしているという感触が得られました。
SecureCube Access Checkの導入にはほとんど苦労しませんでした。課題は紙ベースのアクセス申請フローをいかにシステム化するかという部分で、SecureCube Access Checkの申請・承認機能にどう載せ替えていくかの調査に若干時間を要した程度です。
NRIセキュアから提供されたマニュアル類には、ユーザ情報の移行手順など詳細な部分まで記してあり、非常にわかりやすくて助かりました。
2023年1月にINS回線サービスが終了したタイミングで、まずスモールスタートとして、外部ベンダーによるリモートアクセスにSecureCube Access Checkを適用しました。ここで有効性が認められたため、サーバの適用範囲を拡大するとともに、2024年4月には社内の開発部門にもユーザを拡大しました。さらに、この10月からは私たち運用部門でも運用を開始し、内部統制の一元化を図っています。
導入後の効果
証跡の自動取得により、強固な内部統制と作業負荷の軽減を両立
大阪府農協電算センター システム部次長代理(運用担当) 加守田 侑氏
SecureCube Access Check導入前は、アクセスログの中から実行コマンドの履歴を抽出し、申請書と突合する必要がありました。それに対しSecureCube Access Checkでは、ユーザのアクセス履歴(いつ、誰が、どのサーバにアクセスした)はもちろん、入力したコマンドやRDPでの接続画面なども証跡として自動的に取得できます。おかげで作業終了後の確認だけでも、30%は作業時間が減っているように思います。申請から承認、調整といったプロセスまで含めると工数はさらに減っており、運用コストの削減につながっています。
また、以前は近隣のベンダーが作業を行う際は基本的にオンサイトを前提としていましたが、SecureCube Access Checkを導入したことで、プログラム修正などの通常作業はインターネットVPN経由で実施できるようになったため、移動時間が減り、利便性が高まったという声を聞いています。
同じように社内の開発部門からも、「外部ベンダーから連絡があるたびにアクセス申請の紙を起票・押印し、運用部門へ提出するプロセスが不要になり、業務が効率化された」と聞きました。
もし外部からの不正なアクセスがあった場合は、SecureCube Access Checkのログに出てきます。レポートを利用して部内での点検・監査を月次で行い、内部統制を利かせています。SecureCube Access Checkの導入によって、作業の軽減と同時に履歴をしっかり管理できるようになり、一般にはトレードオフとされるセキュリティの厳格化と運用管理の向上が両立できたと感じています。
経済事業や信用事業、共済事業などを支える立場として、JA大阪電算ではしっかりとした内部統制が必須です。しかし従来の紙ベースの手順では、統制を実現するために必要以上の手間が増えてしまっていました。SecureCube Access Checkで一括管理することによって、内部統制を確立しつつ、事務的な作業を大幅に減らすことができました。
今後の展望
知見を参考に、ハイブリッドクラウド環境に最適な特権ID管理のあり方も模索
基本的にオンプレミス環境で運用してきたJA大阪電算のシステム群ですが、昨今の状況を踏まえ、今後はクラウドへの移行を積極的に推進していく方針です。数年単位で徐々に移行する予定ですが、その過程でオンプレミス環境にもクラウドにもサーバが存在するハイブリッドクラウドの状態を経ることになります。
その環境においても、サーバに対する特権ID管理は不可欠です。ハイブリッドクラウド環境において、我々にとって最適な特権ID管理はどうあるべきかについて、ぜひ、NRIセキュアの持つさまざまな知見をいただきながら実現していきたいと考えています。
※本文中の組織名、職名、概要図は2024年10月時点のものです。
