NSKにおけるIT活用の歴史は古く、メインフレームの時代から自社でアプリケーションを開発してきました。その後も内製の文化が色濃く残っていましたが、近年、経営資源の強化策として「デジタル技術の活用」を掲げ、「基盤システムの刷新」が必要だと判断しました。2026年より順次基幹システムをSAP S/4HANAへ刷新し、会計・販売・生産を含むシステムと業務の改革を推進する計画です。内製の個別最適のシステムから脱却し、全体最適化へのチャレンジとなります。

基幹システムが新しくなれば、IT運用のプロセスも合わせてアップデートしていかなければなりません。以前は、システムの変更管理や保守運用の際に必要な特権IDの払い出しも内製志向で、内製したパスワード払い出しシステムと手作業を組み合わせて管理していました。

この内製システムは特権IDの払い出しに特化しており、J-SOX対応で求められる監査についてはあまり考慮されておらず、手作業で実際のアクセスログと付き合わせてチェックする必要がありました。運用負荷が高く、「人間のやる仕事じゃない」というのが正直な感想でした。にもかかわらず後追いでの検知となるため、よりセキュアで安全な仕組みが求められていました。

基幹システムの入れ替えと合わせ、内製の特権IDシステムも刷新する方針となり、さまざまな特権ID管理製品を比較検討しました。

中には何でもできる多機能な製品もありましたが、その分コストは高くなります。我々はリスク全体を俯瞰した上で、過度ではなく、適切で、合理的に説明できるセキュリティ投資を行うべきだと考えており、その意味で、求める機能を十分満たしているSecureCube Access Checkを選択しました。高度な統制を利かせたい場合はオプションで追加機能も提供されているため、今後の発展的な運用を見据えても最適だと判断しました。

もう一つのポイントは、サービス版の提供が開始されたことです。オンプレミスでは運用負荷が高く、運用そのものにリスクがはらんでいました。継続的にITの運用負荷を減らしていきたいと考えていたところに、折良くNRIセキュアから、新たにサービス版の提供も開始することを聞き、これが最後の一押しとなって導入を決定しました。

セキュリティ面では、特権IDの運用をシステムでコントロールできるようになり、確実に強化されると期待しています。また承認者を柔軟に設定できるため、システムの重要性に応じてフローを変える運用にしていきます。監査関連の機能も充実しており、付属するダッシュボードやレポート機能を活用し、日次・月次で確認を行う形です。これならば監査人にも安心して見てもらえると期待しています。

引き続き基幹システム刷新プロジェクトを進めることで、SAP S/4HANAが標準的なシステムとしてグローバルに展開されることになります。グローバルでの特権ID管理は検討中ではありますが、英語に対応していることもSecureCube Access Check選定時のポイントの1つで、SAP S/4HANAのグローバル展開に合わせ活用していく計画です。

また、この先、事業部門が主体になってクラウドサービスを活用する場面が増えるかもしれません。そうなれば、一連のSaaS管理者アカウントの管理も重要になってきます。SecureCube Access Checkの利用範囲をそうした部分へも拡大することで、リスクを低減し、よりセキュアに活用できるのではないかと期待しています。