EN

株式会社ONE COMPATH 様

導入事例

IDとパスワードで管理していた状況から脱却し、適切で細かな権限管理を、テレワーク移行後も実現

株式会社ONE COMPATH

国内最大級の電子チラシサービス「Shufoo!(シュフー)」では、インフラの設定やアプリケーションのテスト、リリース作業の際の権限を適切に管理するために「SecureCube Access Check」を活用してきました。新型コロナウイルスの影響でテレワーク環境に移行した中でもバージョンアップを行い、在宅勤務で作業を行う管理者の権限を適切に管理しています。

山下 智恵 氏

システム技術本部基盤開発部インフラグループ

山下 智恵 氏

高津純子(たかつじゅんこ) 氏

システム技術本部基盤開発部サービス開発グループ

高津 純子 氏

ここが
ポイント

  • IDとパスワードのみで管理していた状態から脱却し、細かな権限管理を実現
  • ログ取得による抑止効果が得られた上、セキュリティ管理にまつわる工数を削減
  • テレワーク環境でもワークフローに沿った権限申請、承認作業を実施し同じようなアクセス管理を継続

導入の背景

世間一般の水準よりも一段厳しいセキュリティ対策が必要

20~40代の女性を中心に利用されている国内最大級の電子チラシサービス「Shufoo!(シュフー)」。凸版印刷が2001年に開始したサービスですが、2019年からはグループ会社であるONE COMPATHに移管しました。「ユーザーに使っていただきやすく、見やすく、そして『こんなものがあったらいいな』というサービスになるべく日々開発しています」と、同社システム技術本部基盤開発部サービス開発グループの高津純子氏は説明します。

Shufoo!では、全国のスーパー、ドラッグストアなど約4,400法人、12万店舗の情報を掲載し、生活者にスーパーや百貨店などの店舗が提供するチラシ情報やクーポンを配布しています。利用には一部で個人情報をお預かりするため、多くの個人情報を取り扱うことになるわけです。

「法律的にも世間的にも、年々情報セキュリティに対する目が厳しくなっていますよね。Shufoo!は個人情報を登録しなくても利用いただけるサービスですが、例えばプレゼントキャンペーンに当選された方に景品を発送する際の情報などは個人情報にあたるため、しっかりセキュリティに向き合っていかなければならないと考えています」(同社システム技術本部基盤開発部インフラグループ、山下智恵氏)

加えて凸版印刷グループの一社として、グループ全体で定めたセキュリティガイドラインに基づき、脆弱性診断とそこで明らかになった問題への対応、緊急の脆弱性が公開された際のアップデートといった取り組みを行うなど、世間一般の水準よりも一段厳しいセキュリティ対策に取り組んできました。

導入の経緯

きめ細かなアクセス管理とログ、証跡の保存が決め手

端末やサーバのセキュリティ対策に加え、もう1つの課題となっていたのが、ユーザーの権限管理、特にアプリケーション開発やインフラ運用に携わる管理者権限をいかに適切に管理するかという問題でした。

デジタルトランスフォーメーション時代の定めですが、スマートフォン向けアプリの世界では、ユーザーのニーズに合わせて頻繁に機能追加や改善が求められます。Shufoo!も例外ではありません。たとえば、iOSやAndroidといったスマートフォンOSのアップデートや新機種発売の際には、これまでの機能が今まで通りに使えるか、不具合が発生していないかをテストし、もし問題が見つかれば急いで対応するという作業を繰り返してきました。

この作業には、ONE COMPATHのインフラチーム、開発チームなど多くの人が関与しています。その際に、内部不正防止の観点はもちろん、意図しない作業ミスが発生するのを避ける意味でも、よりきめ細かなアクセス管理とログ、証跡の保存が必要だと考えていました。

「情報セキュリティの観点から、何でもできる『特権ユーザー』の権限を広く与えるのではなく、それぞれの業務に応じて決まった環境にしか入れないよう、適切に管理したいという思いがありましたが、人手も少ない中、なかなかうまい仕組みがなく悩んでいたと、当時の担当者から聞いています」(高津氏)

そんなときに知ったのが「SecureCube Access Check」でした。特権ユーザー管理にフォーカスしたいくつかの選択肢の中から、「細かく管理ができ、ログが詳細に取れること、ゲートウェイ方式で手軽に導入できることに加え、弊社のシステムに多いLinux系OSや関連するプロトコルを多くサポートしていることからSecureCube Access Checkを選択しました」(高津氏)

システムの概要図

case-onecompath-fig01

導入の効果

テレワークでも滞ることなく運用ができ、管理担当の手間や工数が減少

こうして2015年11月にSecureCube Access Checkを導入した結果、「本番環境に触れられるメンバーを限定でき、権限を持たない領域にはアクセスできないよう制限をかけられるようになりました」(高津氏)

インフラチームにはサーバの設定やログの確認といった作業に必要な権限が、また開発メンバーにはテスト用開発環境へのアクセスや本番環境へのデプロイに必要な権限のみを与えるといった具合に、きめ細かく制御を行っています。

さらに「そもそも不正は起こっていませんが、ログも取得できるため、万が一にも不審な動きをしないための抑止力にもなり、セキュリティ管理の負荷が一気に軽減されました」と高津氏は振り返りました。

こうして数年間、SecureCube Access Checkを運用してきたShufoo!ですが、OSのサポート終了に伴い、基盤OSのRed Hat Enterprise Linuxを7系に更新することになりました。これに合わせてSecureCube Access Checkも新バージョンにアップグレードすることに決定しました。基盤更改後も継続して利用する大きな理由は、「それまで問題なく運用でき、使い勝手が非常によかったこと」でした。 (山下氏)

OSのサポート期限が2020年11月末となっていたことから逆算し、ONE COMPATH社内でプロジェクトが走り始めたのが2020年初頭。あいにく新型コロナウイルスの感染が拡大し、テレワークの採用が広がり始めた時期に重なってしまいました。

こうして、誰も経験したことのない事態の中で移行作業を進めることになりましたが、高津氏らは普段から活用していたチャットやメールを活用し、「もし何かあれば気軽に声をかけて」と関連する部署とコミュニケーションを取りながら移行を進めました。「旧バージョンと新バージョンを並行稼働させ、徐々に移行することで、スムーズに移行することができました」(山下氏)

テレワークが新たな働き方の選択肢として広がる中、「従業員の姿が見えない」ことが企業にとって大きな課題となっていますが、ONE COMPATHではSecureCube Access Checkを活用することでその懸念を払拭できています。「SecureCube Access Checkの承認ワークフローを活用し、緊急で承認が必要な場合にもVPN経由で申請内容を確認し、アクセス権限を払い出すといった具合に、オンラインでも滞ることなく運用できています」(山下氏)

加えて、山下氏は「権限ごとに分かれていた管理画面が、新バージョンでは1つの画面に統合され、アカウント権限を切り替えるだけで申請や承認といった項目が確認できるようになったため、管理担当の手間や工数が減りました」と新バージョンの使い勝手を評価しています。

今後の展望

新しい情報を得て新しい価値を追い求める取り組みと、お客様の情報を大切にしていくことの2つを両立したい

コロナ禍の影響もあってデジタル化が進展する中、ONE COMPATHは企業ビジョンに「ワンマイル・イノベーション・カンパニー」を掲げ、身近な生活の中での新たな価値や文化創造に取り組んでいます。「新たな価値を創っていくには、お客様の個人情報をはじめ情報が必要になってきます。新しい情報を得て新しい価値を追い求める取り組みと、お客様の情報を大切にしていくこと、その2つを両立させていきたいと考えています」と山下氏は今後に向けた取り組みを語っています。

その実現には、Kubernetesをはじめとするコンテナオーケストレーターやオープンソースソフトウェアの活用が不可欠だと考えているそうです。「SecureCube Access Check以外にも、NRIセキュアの幅広いセキュリティに関する知見を生かし、オープンソースに関してもサポートが得られるとうれしいです」(山下氏)

生活様式が変わり、デジタルマーケティングに求められる役割も高まる中で、身近な生活をより豊かにするソリューションの提供に努めるONE COMPATH。セキュリティの専門家として頼れるパートナーとして、引き続きNRIセキュアに期待しているそうです。

※本文中の組織名、職名、概要図は公開当時のものです。(2021年3月)

導入いただいた製品資料はこちら

SecureCube Access Check 製品情報はこちら
資料ダウンロード

お問い合わせ