導入事例

業種:情報・通信

導入製品:ESS REC、ESS AutoAuditor

株式会社エヌ・ティ・ティ・データ
ITマネジメント室 様

基幹システム「INFOGRID」に対するシステム操作の統制レベルの

均一化と効率化を実現

株式会社エヌ・ティ・ティ・データ(以下 NTTデータ)は、旧日本電信電話公社のデータ通信部門が独立して設立された日本を代表するシステム・インテグレータです。
中央省庁や地方自治体など公共分野のシステムから、金融、製造、流通、通信、医療・ヘルスケアなどの法人向けシステム、さらには業界横断的な社会インフラサービスまで、人々の暮らしや社会を支え、そして変えていく、さまざまな情報システムやサービスを提供しています。
社内情報システムへの戦略的IT投資も積極的に行われており、2006年4月に基幹系システムを刷新し、新基幹システム「INFOGRID」の稼働を開始しました。

背景

米国SOX法と日本版SOX法への対応

NTTデータは東証一部上場企業であるとともに親会社が米国市場に上場しているため、米国SOX法および日本版SOX法(改正金融商品取引法)が適用されます。財務会計処理を行う基幹系システムであるINFOGRIDはこれら法の対象システムとしてIT統制の強化が求められました。INFOGRIDのシステム運用を担当するITマネジメント室では、IT全般統制強化の一環として以下のような取り組みを策定しました。

■職務分掌の仕組み: 開発と運用部隊の組織の分離

■アクセスコントロール: 特権アカウントを利用する際の運用手順とルールの見直し
 ・作業内容に対する事前承認に基づく作業者への権限付与の徹底
 ・体制表とログイン履歴の突き合わせ分析をすることで不正アクセスの有無の点検を実施
 ・作業申請内容と実際の操作ログの突き合わせによる不正操作・誤操作への対処
 ・定期的なアカウントの棚卸しによるアカウント管理不備によるリスクの低減

課題

正当性を確認するログ分析のための大きな負荷

ところがこれらの取り組みを実際に運用してみると、いくつかの課題が顕在化しました。

ワークフローによるコントロールと実作業に矛盾
職務分掌をコントロールするワークフローとアカウント発行・作業等の実作業が独立しているため、実際には承認作業が事後になるケースもあり、作業申請のワークフローの承認日時と実際の作業日時に矛盾が発生することがあった。

突き合わせ作業の負荷と点検レベルの属人性
本番環境に対して作業をする都度、その操作内容のログを収集し、正しい操作であるかモニタリングする作業が想定以上に稼動のかかるものであった。さらに、人による突き合わせ作業では点検レベルにばらつきが発生していた。

Windows GUI 操作の記録が不完全
GUIを中心に操作を行うWindowsサーバーでは、OSの機能だけはすべての操作をログとして取得することが困難であり、操作内容のモニタリング作業の完全性が不十分であった。

アカウント管理の負荷
作業の都度発行するIDの削除忘れがないか定期的なアカウントの棚卸作業の稼動が負担になっていた。

img_nttdata_ill01.jpg

選択

エンカレッジ・テクノロジの手厚いサポートもあり、ESS AutoAuditorを採用

img_nttdata_t.jpg
ITマネジメント室
システム管理担当
課長
髙橋 正明 氏

これらの課題を解決するために選択されたのがエンカレッジ・テクノロジの自動突合製品「ESS AutoAuditor」でした。
製品選定の経緯についてNTTデータ ITマネジメント室 システム管理担当課長の髙橋氏は「ログ分析を行う製品は他にも多数あり、機能的には一長一短でした。」と述べています。
「しかしどの製品もログを収集し分析する機能が中心で、ログ分析と同時に権限管理などを行う予防的統制機能を備える製品は見つかりませんでした。」(髙橋氏)
NTTデータが導入検討している時点では、実はESS AutoAuditorは企画・開発段階でした。
「実績のない製品を選択する不安もありましたが、それでも当社がESS AutoAuditor を選択した理由は、ワークフローとアカウント管理といった予防的統制とログ突き合わせという発見的統制が組み合わされた製品であることに加え、当社の要件をESS AutoAuditorの仕様に反映しながら開発を進めていくといった対応をはじめとするエンカレッジ・テクノロジ社の手厚いサポートがあったからです。」(髙橋氏)
NTTデータでは2009年7月 正式にESS AutoAuditorの導入を決定、2009年10月より稼働を開始しました。インフラ設計については、新規製品と言うことでエンカレッジ・テクノロジの提案が採用され、システムの柔軟性と可用性を考慮し、仮想化技術を用いて構築しました。現在、日々ESS AutoAuditor の申請承認ワークフローと自動突き合わせ機能を利用し、100台を超えるサーバー群のシステム操作に対する統制活動を実施しています。

効果

開発・運用業務におけるセキュリティガバナンスを維持しつつ効率化を実現

img_nttdata_ill02.jpg髙橋氏は、ESS AutoAuditor により統制レベルの均一化と統制活動の効率化の両立を実現できたと、導入効果について評価しています。具体的には以下のような改善がみられました。

ワークフローによる申請・承認が確実な権限発行のコントロールを実現
承認を得なければ作業用ゲートウェイサーバにログインできないため、確実な事前承認手続きが実行されるようになり、後付けで申請を行うことによる日時の矛盾を解消できた。

Windows GUIの操作も確実に記録
課題だったWindows GUI 上操作も確実に記録を取得、記録するだけでなく、ESS AutoAuditor のブラックリスト定義により要注意操作を容易に検出できるようになった。

ログ分析・突き合わせ作業の効率化と点検レベルの均一化
ログの分析作業は、ブラックリスト定義により検出された要注意操作を中心に確認するだけになり、操作ログの確認工数の削減を実現できた。

アカウントの管理の自動化を実現
ESS AutoAuditor の承認ベースで発行され、作業終了後に削除されるアカウント管理機能により、人によるIDの発行・削除および定期的な棚卸作業の必要性がなくなった。

img_nttdata_n.jpg
ITマネジメント室
システム開発担当
システム管理担当 兼務
部長 中島 雄作 氏

NTTデータ ITマネジメント室 システム管理担当部長の中島氏は、今後の取り組みについて以下のように語っています。
「健全な企業経営を実現するために内部統制の確立と維持は重要な課題である。特に継続した統制活動を行うにあたり、人海戦術による力技ではコスト面で壁に突き当たる。内部統制レベルを高い水準で維持しつつ、PDCAサイクルを繰り返し行うことで、常に「効率化」「省力化」を意識した改善をしていかねばならない。今回、INFOGRIDのシステム運用に、ESS AutoAuditor を導入することにより、統制レベルの向上と、統制活動の「効率化」「省力化」という両立が困難な課題を一度に解決することができた。今後もINFOGRIDの内部統制について、より効果的な方法を模索しながら、お客様の信頼を勝ち取り、企業価値の向上を追求していきたい。」

PROFILE:株式会社エヌ・ティ・ティ・データ

○設立
1988年 (昭和63年) 5月23日
○本社所在地
東京都江東区豊洲3-3-3 豊洲センタービル
○URL
http://www.nttdata.co.jp/
○事業内容
日本のインフラシステムを支えている大手システムインテグレーター。
近年は多様化・高度化するニーズに対してグローバル企業としての視野と規模を活かしたサービスを提供している。
○導入製品
ESS REC、ESS AutoAuditor

※本内容は、2010年11月時点のものです。

img_pdf.jpg

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時