フリーワード検索


タグ検索

  • 注目キーワード
    業種
    目的・課題
    専門家
    国・地域

NRI トップ ソリューション・サービス NRIセキュアテクノロジーズのアクセス管理ツール

お客様事例

NRIセキュアテクノロジーズのアクセス管理ツール

出光興産株式会社 様

  • Facebook
  • Twitter
  • LinkedIn

第1話 内部統制のために取り入れたアクセス管理ツール

米国のSOX法に準じて2008年度から適用が開始された「金融商品取引法」の特徴の一つは、情報システムに関する内部統制を明確な形で取り入れたことです。石油の精製や販売の大手企業である出光興産株式会社では、この対応の一策として、情報システム基盤へのアクセス管理に「SecureCube/Access Check」を導入し、効率的なセキュリティ管理策を経済的に実現しています。

情報セキュリティ運用上の苦労

出光興産株式会社 情報システム部グループ ITセンター システム品質グループ 准主任部員 大洞 正量氏
出光興産株式会社
情報システム部グループ
ITセンター
システム品質グループ
准主任部員
大洞 正量氏

 現在、世の中のあらゆる業務は、何らかの形で情報システムとかかわり、あるいは情報システムを活用しています。出光興産では、石油の精製や販売を中心に、石油化学製品、電子材料、環境保全設備など、幅広く手がけていますが、これらすべての分野で情報システムを活用しています。そして、これら情報システムのほとんどは、千葉県市原市の計算センター(グループITセンター)で運用・維持管理されています。
 同社の情報システム部グループITセンターシステム品質グループ准主任部員の大洞正量氏は次のように語ります。
 「旧来は、基幹的な業務に限定してホストコンピュータ上のシステムを利用していましたが、オープン系システム技術の発達により、サーバへのダウンサイジングや新たな業務への情報システムの適用が近年になり活発に行われたことで、旧来は数台のホストコンピュータの管理で済んでいたものが、短い期間の中で数百台のサーバ機の運用・維持管理を行う状況に変化しています」
 次々と新たな情報システムが増える中で、効率的な運用・維持管理の実現を目指しているものの、「急な展開に追いつくのに苦労しており、特に情報システム基盤となるサーバのOSやDBへの管理者や開発者によるアクセスに関する管理は、個々のサーバに対して人的な対応を行うしかなく、対象台数分(数百台)の管理可能なセキュリティレベルには限界がありました」と大洞氏は言います。
 このため同社では、効率的かつ効果的なサーバのアクセス管理策の導入は、情報セキュリティ管理上の主要課題となっていました。

迫られた内部統制への対応

 2008年4月から適用された金融商品取引法において、情報システム基盤におけるアクセス管理が重要事項とされたことから、強化策の適用が必要不可欠な状況となりました。具体的には、次の3点への対応が必要でした。

  • (1)サーバ上のOSやデータベースへのアクセス制限
  • (2)サーバ上のOSやデータベースへのアクセス記録の監視
  • (3)サーバ上のOSやデータベースにおける操作記録

 従来からよく知られた対応技術は、導入費用が高価であるだけでなく、運用に未だかなりの手間がかかるものでした。しかし当時は、これらの技術を導入し、少しでもレベルアップするしかない状況にありました。
 そのような折に、出光興産社内の情報セキュリティの推進と併せてITに関する内部統制の対応を担当していた大洞氏は、NRIセキュアテクノロジーズ主催のセミナーにたまたま参加し、SecureCube/Access Checkと出会います。それによって、最終的にはこれらの問題を打開することができました。
 大洞氏は、「最初にSecureCube/Access Checkの紹介を受けた時に、利用者とサーバの間にチェック用のゲートを設けるというシンプルな発想に感心した」と言います。これにより計算センター内の大規模なサーバ群も大きな手間も掛けずに管理でき、導入や運用のコストパフォーマンスもかなり良いものになるだろうと感じたからです。
 ただし、この時点のSecureCube/Access Checkは本来求められる機能が不足しており、大洞氏は「従来の技術の補完として考えていた」そうです。
 その半年後、正式な引き合いを行うためにSecureCube/Access Checkの内容を確認した際、大洞氏はかなり驚き、喜びました。
 NRIセキュアテクノロジーズは、他社の要望もあり、大幅な機能改善を行っており、新たに提示された製品は、出光興産における内部統制対応ツールとして必要な機能をほぼ兼ね備えていることが明らかでした。「同様の技術が他に類を見ないこと、機能が充実していることに加え、導入や運用の経済性も他システムより大幅に良いことなどから当該システムの単独導入を正式に決定した」と大洞氏は話します。
 このソリューションは、既存のサーバへ手を加えることなく、ゲートウェイというアクセスの入り口を設置し、そこで特権IDの認証をしてアクセス制限、記録、監視を実現する仕組みです。数百台のサーバを管理する出光興産にとって、すべてのサーバへのアクセス管理が一元的にできることが最大の利点でした。

SecureCube/Access Checkの仕組み     

出光興産における利用状況

 SecureCube/Access Checkは、管理者や開発者のPCと情報システムの本番環境サーバとのアクセスルートの中間に設置し、各PCから各サーバへアクセスするための「ゲートウェイ」として「正しい利用者か?」「正しいPCか?」「アクセス先は登録通りか?」「アクセス時間帯は申請通りか?」などを確認して不要なアクセスを制限し、記録し、監視する機能を持っています。出光興産のように多種の業務に対応したさまざまな情報システムのための多数のサーバのアクセス管理を、的確かつ効率的に実施できる仕組みになっているといえます。
 出光興産では、本システムの導入に当たり、ネットワークの構成を変更する必要が生じましたが、個々のシステムには何も手を加えることなく導入できました。
 運用を開始するに当たり、事前の説明会などを十分に行ったこともあり、利用者への浸透は極めてスムーズに進みました。その後の運用においても、利用者にかなり手間を強いることになりましたが、大きな問題もなく利用されています。
 内部統制への対応としては、十分機能を発揮し、内部統制監査においてシステムの機能にかかわる問題も出ていません。
 大洞氏によれば、具体的な運用は次のとおりです。

  • ●利用者の限定
     業務上、アクセスが必要な者を限定し、システムに登録する。
    • ・利用者名の登録
    • ・利用PCの登録
    • ・アクセス先のサーバ/ポートの登録
  • ●利用時間帯の限定
     利用前にシステム上で利用時間帯などを申請。
    • ・利用時間帯の申請 → 申請した時間内でしかアクセスできない
    • ・利用目的の申請
     申請内容は、都度上司が点検し許可している。
  • ●アクセス結果のモニタリング
     日々のアクセス記録を翌朝に運用管理部署が点検し、不審な記録については、上司に通知し確認している。

 最後に、SecureCube/Access Checkの導入効果として、大洞氏は次の3項目を指摘します。
 「一つ目は、懸案となっていた情報システム基盤の多数のサーバへのアクセスに関するセキュリティ強化が実現できたことです。なんとか内部統制の対応として間に合いました。二つ目は、大幅なコストダウンです。当初の予定を大幅に下回る費用でシステムの構築が実現できました。そして三つ目は、効率的な運用が実現できたことです。これまでは人に全面的に頼った管理でしたが、アクセス先や時間帯など含め、システムで制限し管理されるようになり、1カ所ですべて管理することで当初想定したより大幅に管理効率が良くなりました」

※本文中の組織名、職名、構成図は公開当時のものです

NRIセキュアテクノロジーズのアクセス管理ツール支援関連情報

SecureCube/Access Check

  • Facebook
  • Twitter
  • LinkedIn