導入の背景や課題

法規制の強化により、顧客のセキュリティへの感度が高まり、監査ログ提出の要望も増加

写真左から 株式会社東計電算 システム運用1部 運用課　石川 聖也氏　川崎 博行氏　近藤 暁氏

東計電算は1970年の創業以来「コンピュータとニーズの仲介役」として、システム設計・開発や運用、そしてデータセンターを活用してのアウトソーシング事業を展開してきました。特徴は、小売、流通など、さまざまな業種ごとに特化したソリューションを提供することです。

お預かりするシステムの中には、eコマースを展開し、個人情報を扱うものも含まれています。そういった背景もあって東計電算はセキュリティを重視し、2006年にはプライバシーマークを取得するなどさまざまな対策を実施してきました。

しかし近年、個人情報保護関連の法規制が強化され、世の中が期待するセキュリティ水準はいっそう高まっています。お客様も同様です。認証やアクセス制御といったセキュリティ対策を講じるのは当然として、「いつ、どのシステムにアクセスし、どのような作業を行ったのか」といった監査ログや顧客情報そのものを扱うデータベースサーバへのアクセスログを証跡として提出するよう要望されるケースが増えてきました。

選定のポイント 

メンテナンス用のリモート接続を集約・制御することができ、社内ルールに実効力を持たせられる

アウトソーシング業務はお客様のサーバやシステムをデータセンターでお預かりし、安定運用をとおしてお客様のビジネスを支援するサービスです。ただ、運用に必要な管理者アカウントはあらゆる操作権限を持つため、情報を不正に外部に持ち出すことも可能です。世の中を見渡すと、残念ながら管理者権限を悪用しての不正や情報持ち出しといった事件も起きています。

東計電算では万が一にもそうした事態が起こらぬよう、手前に設置したファイアウォールでアクセス元のIPアドレスとアクセス先を制御し、さらにユーザー認証を行ってきました。また社内ルールも定めて事故防止に努めていましたが、頻発する他社での情報漏洩事件を踏まえ、何らかの形でルールに実効性を持たせる手段が必要だと考えました。そんなときにパートナー企業から紹介を受けたのが「SecureCube Access Check」でした。

特権IDによるアクセスを一ヶ所で制御するだけでなく、接続後にデータの持ち出しなどが行えないよう厳密に制御できること、そして一連の操作を記録し、お客様が求める監査ログをしっかり出力できる点を評価しました。また「緊急にアクセスする必要が生じた場合に、ワークフローによるアクセス申請の承認管理が行える点もポイントでした」（システム運用1部運用課、川崎博行氏）

作業には東計電算のエンジニアだけでなく協力会社が加わることもあり、ユーザー数は常に変動します。その点、接続先ノード数に基づくライセンス体系で我々の運用形態にマッチしていたことも評価しました。

図. 構成図

導入の効果

1週間以上要していたファイアウォールの設定管理作業を最短1日に大幅短縮

東計電算では2014年から、約4000台に上るサーバへのリモートアクセスにSecureCube Access Checkを採用し、メンテナンスに携わる約1000名のエンジニアに対するアクセス制御と監査を行っています。「これにより、以前から定めていた社内ポリシーに実効力、強制力が伴いました」（同、石川聖也氏）

以前は基本的に事業所からのアクセスのみで、自宅からの接続は許可されていませんでした。このため夜間に緊急対応が必要になった際には、変則的に、データセンターに常駐するシステム運用1部の担当者が作業を代行することが多々ありました。しかしSecureCube Access Checkの導入によって申請ベースでアクセス承認管理が行えるようになり、十分なセキュリティが担保された形で自宅からのリモート接続が可能になりました。この結果「イレギュラーな依頼が減り、結果としてより安定的な運用ができるようになったと思います」（同、近藤暁氏）

「監査ログはお客様の求めに応じて提出するだけでなく、部署ごとに、毎月の月次処理の一環としてチェックし、申請内容と異なる作業を行っていないかを確認しています」（同係長、齋藤亘氏）。また、日次レポートでデータの流入・流出量を確認するほか、重要情報の持ち出し検知機能を用い、万一情報漏洩が疑われる場合は、記録しておいた動画を精査しますが、幸いにしてこれまで、そこまでの調査が必要になる事態は発生していません。

もう一つ効果があります。リモートアクセスを制御するファイアウォール管理の効率化です。「以前はシステムごとにファイアウォールを用意して制御していましたが、その数は100を超え、アクセスルールのメンテナンスが非常に煩雑になっており、1つのお客様環境ごとに最低でも1週間以上かかっていました。しかし、各ファイアウォールの手前にSecureCube Access Checkを設置してアクセス経路を集約することで、ポリシー変更管理作業を簡素化でき、最短で1日でできるほど大幅に工数を削減できました」（川崎氏）

こうして数年にわたり運用を続けてきましたが、ハードウェアの老朽化、そして従業員が利用する端末のWindows 11への対応を見据え、2022年に新バージョンへとアップグレードしました。バージョンアップ前後も含め、NRIセキュアのサポートには何回かお世話になりましたが、非常に丁寧に対応していただきました。また、前任者とのやり取りも含めて過去の問い合わせ履歴がきちんと保管されているため、それらも参照でき助けられています。

今後の展望

リスクを抑えつつ、クラウド活用も含めた新たなサービスを模索

今、IT業界ではクラウドサービスの利用が拡大しています。我々もデータセンターにパブリッククラウドを連携させた新たなサービスを模索し、引き続きお客様のシステムを支援していきたいと考えています。

一方でクラウドサービスには、シャドーITのように知らぬ間に使われたり、これまで以上に気軽にデータを外部に保存・持ち出せてしまうといったリスクもあります。「SecureCube Access Checkの拡張、あるいは何か他の方法を用いてそうした抜け道を検知し、情報漏洩を防ぐことができればと考えています」（石川氏）

東計電算は引き続き、セキュリティリテラシーの向上や生成AIのような新たな技術の活用法も含めてオペレーターの人材教育に努め、より高品質なサービスの提供に努めていきます。セキュリティは、何かインシデントが起これば重視されますが、普段は意識されず単なる「コスト」と受け止められがちです。NRIセキュアには、今後も有効なセキュリティ対策や事例など最新の情報を提供いただくことを期待しています。

※本文中の組織名、職名、概要図は2023年5月時点のものです。