導入の背景
ECサイトのアクセス申請の急増で人手から専用ツールへの移行を決意
「NO MUSIC, NO LIFE.」をコーポレート・ボイスに、幅広い層の音楽ファンから熱い支持を受けてきたタワーレコード株式会社(以下、タワーレコード)。ミュージックコンテンツ市場の激しい変化の中で、映像ソフトや書籍、オリジナルグッズの販売、さらにはライブ運営やカフェの出店など、音楽に軸足を置いた新しいビジネスを次々に打ち出してきています。
同社が初めての特権ID管理ツールとなるSecureCube Access Check を、ECサイト「タワーレコード オンライン」に導入したのは2013 年のことでした。それまでは現場からのアクセス申請を手作業でチェックしていましたが、サイトの成長に伴う申請件数の増加に対応するためにも専用ツールが必要だと考えたと、IT サービス本部 情報システム1 部 部長 望月貴氏は振り返ります。
「EC サイトには、重要な個人情報が膨大に蓄積されています。さらにいくつもの関連するシステムが連携して動いているので、いろいろな場所からのアクセスを常に確実に把握し、コントロールしなくてはなりません」。
さらにもう一つの重要な課題が、システム監査対応です。グループ全体で実施されているシステム監査の厳しい基準を満たすことが求められます。
「そこで要件に十分応える機能を持ち、なおかつ稼働中のシステムに影響の少ないツールを条件に検討した結果、エージェントレス型のSecureCube Access Check の採用を決めたのです」。
導入の経緯
「導入がカンタンでユーザーへの影響も少ない」点が採用の決め手
導入から約6年間にわたって利用してきたオンプレミスのSecureCube Access Checkを、Cloud Auditor by Access Checkへ移行するきっかけになったのは、システム全体をAWS(Amazon Web Services)へ、クラウド移行するプロジェクトでした。これにともなって特権ID管理ツールも、既存SecureCube Access Checkをクラウド上にそのまま移すのか。それとも新たにクラウドネイティブのサービスを採用するかの議論が交わされました。
「そもそもAWSへの移行は、データセンターからサーバーをすべてなくす=運用管理の負荷を一気に減らし、しかも安定運用を実現するねらいがありました。その意味で、クラウドサービスであるCloud Auditor by Access Check を選んだのは、むしろ必然の結果でした」(望月氏)。
また導入が容易で、しかもツールの変更が既存のアクセスユーザーに与える影響が非常に少ないこと。それでいながら必要十分な機能を備えていることから、あえて他社のクラウドツールの検討は行わなかったといいます。
2018年末から検討を始め、翌2019年1月には採用を決定。ECシステムのクラウド移行のプロジェクトの一環として設計などの作業を進め、2019年10月には各業務システムとの接続を開始。11月からは既存のSecureCube Access Checkと並行運用しながら接続対象を拡大し、12月にはすべての切り替えを完了して本格運用に入りました。
「ECサイトはさまざまな関連システムが組み合わされているので、接続も複雑です。どうしたらよいかわからなくなるとNRIセキュアに問い合わせるのですが、そのつどレスポンス良く、的確な内容で返事をくれるので非常に助かりました」と望月氏は語ります。
導入の効果
厳しい監査対応レベルにも余裕で対応。これまでの運用作業はほぼゼロに激減
今回の Cloud Auditor by Access Checkへの移行で実現したもっとも大きなメリットは、監査対応が効率的に行えるようになった点です。
「監査対応には、さまざまなシステムから多くの情報を収集してまとめていくのですが、もしこのツールを導入していなかったら、かなりの工数がかかるのは確実です。そこを大幅に効率化しながら、厳しい監査基準にキャッチアップできるレベルを達成できたと自負しています」と望月氏。さらに、この工数削減で生まれた余力を他の重要な業務に振り向けられるのも大きいと語ります。
一方、クラウドサービスならではのメリットは、システム運用面でも大いに発揮されていると評価するのは、ITサービス本部 ITインフラ部 部長 天野 康一郎氏です。
「これまでは自分たちでサーバーを管理していたので、OS のアップデートやセキュリティの脆弱性への対応などに日々追われていました。またオンプレミスのSecureCube Access Checkでは、定期的なバージョンアップに伴ってどうしても一定の作業工数が発生します。それがゼロになったのは本当に大きなメリットだと思っています」。
実作業からの解放はもちろん、クラウドならそうしたメンテナンスを全部プラットフォーム側が行うという安心感で、気分的にも非常に楽になったと天野氏は付け加えます。
今後の展望
市場の変化に即応できるシステムづくりのセキュリティ基盤に
今回Cloud Auditor by Access Checkで実現した特権ID管理ツールのクラウド化は、将来的なビジネス展開にも大いにプラスになると望月氏は考えています。音楽関連の市場が激しく変化していく中、同社では今後、各システムのサービスをマイクロサービス化し、内外のさまざまなサービス/システムとの親和性を高めていくことを目指しています。これによってビジネス戦略に即応したサービスの拡張が容易になるのはもちろん、万が一セキュリティで問題が発生した場合も影響を限定部分に抑えられるなど、システム全体のセキュリティ強度も大幅にアップできるためです。
「これまでのように自分たちでセキュリティ対策を抱え込んで運用するよりも、クラウドサービスを利用することでよりセキュリティ強度を上げられると思うし、何か問題が発生したときに早急な解決が可能。そういう意味で、今後はセキュリティ対応でもクラウドは必須の基盤となっていくと、個人的には考えています」と展望を語る望月氏。ミュージックシーンの先端を走り続けるタワーレコードを、Cloud Auditor by Access Checkがさらに加速させていきます。
※本文中の組織名、職名、概要図は公開当時のものです。(2020年3月)
