導入事例

業種:情報・通信

導入製品:Remote Access Auditor

日本ユニシスグループ 様

700社以上のシステムを預かるU-Cloud®

そのセキュリティ基盤を担うRemote Access Auditor

日本ユニシスグループ(以下、日本ユニシス)は、コンピューター黎明期から時代のニーズにいち早く呼応したITサービスを常に提供し、日本のITを支え続けてきたソリューションプロバイダーです。50年以上におよぶ経験とノウハウを活かして、現在も幅広い分野のお客様に経営課題の「分析」から「解決」に至るまで一貫したサービスを提供しています。
日本ユニシスは、企業にとって最適なシステム環境を創造するエンタープライズ向けクラウドサービス「U-Cloud IaaS」(以下、 U-Cloud )を2008 年から提供しています。Remote Access Auditorはサービスの提供開始時からU-Cloudの安全かつ安定的な運用をサポートしています。

課題と選択

サービス提供当初からU-Cloudを支えるセキュリティ基盤

U-Cloud運用のセキュリティ基盤としてのRemote Access Auditor

日本ユニシスは、2008年から企業の重要な基幹システムのマイグレーション先として利用可能なクラウドサービス「U-Cloud」の提供を開始。SaaSでの利用形態も含め、現在700社以上のお客様にご利用いただいています。
U-Cloudは東京と福井のデータセンターで管理されている数千台規模の仮想サーバーやストレージ、ネットワークデバイスなどのリソースで構成され、これらの基盤の運用管理を東京と大阪の2拠点が担当しています。 仮想サーバーやネットワークの設定変更などすべての作業は、ゲートウェイサーバーを経由して行われ、作業内容は、ゲートウェイサーバー上で稼働するRemote Access Auditorによって、動画形式の記録として保存されます。

img_uni_ill.png

セキュリティ対策は設計時から計画
img_uni_h.jpg
日本ユニシス株式会社
U-Cloud事業部
U-Cloud推進部長
廣田 博美 氏

日本ユニシスではU-Cloudの立ち上げ時、セキュリティ対策は当然対応すべきものとして計画していました。
「当時、多くのお客様がクラウドサービスの利便性を認識されつつも、セキュリティ上の懸念を同時にお持ちであり、その懸念を払しょくするための取り組みが必要でした。特に大手企業の基幹システムをU-Cloud上で稼働させるためには、セキュリティ基盤の構築は必須として捉えていました」(廣田氏)
「金融機関のお客様も多く、セキュリティ監査やISO27001(ISMS)の認証取得、FISCガイドラインなどにもきちんと対応する方針でした」(布村氏)
日本ユニシスでは、お客様のセキュリティ上の懸念を払しょくするため、不正な操作が行われていないことを証明・開示できる仕組みの構築は、極めて重要であると認識していました。

選択できる最良の製品を採用
img_uni_f.jpg
ユニアデックス株式会社
マネジメントサービス事業本部
U-Cloudサービスセンター
運用サービス部 運用チーム
布村 知靖 氏

U-Cloudの基盤構築にあたり、日本ユニシスでは機能性、構築、運用、保守のしやすさなどを総合的に判断する「ベスト・オブ・ブリード」というコンセプトに基づいて製品を選定しました。
このベスト・オブ・ブリードのコンセプトに基づき、システム操作の正当性を担保する証跡管理については、エンカレッジ・テクノロジのRemote Access Auditorを採用しました。選定の際に日本ユニシスは以下の2点に注目しました。

・GUI管理画面を含む操作内容が克明に記録され、監査においても有効に活用できること
・大規模なシステムに対応でき、規定された記録の保存期間をクリアできること

また、Remote Access Auditorは、従来のSIプロジェクトにおいても、多くの実績があり、設計・構築・運用管理に関するノウハウがすでに社内に蓄積されていたことも、大きな選定理由でした。

導入と効果

操作証跡の取得により安全・安心な運用を実現

SIerとしての実績を活かしたスムーズな導入

前述したとおり、日本ユニシスでは、多くのSIプロジェクトにおいて、Remote Access Auditorの導入と運用を行ってきた実績があり、U-Cloudへの導入も非常にスムーズでした。
「U-CloudではISO27001(ISMS)やFISCのセキュリティのガイドラインに沿って操作証跡の保存期間を決めています。大量の操作証跡を長期間保存する必要性やU-Cloudの事業拡大に合わせて、現在は2台のRemote Access Auditorで操作証跡を記録しています」(大熊氏)

Remote Access Auditorがもたらすメリット
img_uni_o.jpg
ユニアデックス株式会社
マネジメントサービス事業本部
U-Cloudサービスセンター
サービスオフィス部 統制チーム
大熊 かほ里 氏

Remote Access Auditorによる証跡管理の仕組みは、お客様からの要求事項を満たすU-Cloudの付加価値のひとつです。
「基盤システムの操作内容に関する証跡の取得と保管は、お客様から要件としていただく場合が多いですが、U-CloudではRemote Access Auditorを使いあらかじめその仕組みが実装されています」(大熊氏)
加えてRemote Access Auditorによる証跡管理の仕組みは各種認証取得や監査対応にも貢献しています。U-Cloud IaaS の運用・保守では、ISO27001(ISMS)およびISO20000(ITSMS)を取得していますが、認証取得の審査においても、Remote Access Auditorによる証跡管理の仕組みは有効です。さらにシステム監査、業務監査などの内部監査においても、Remote Access Auditorによって取得した操作証跡は一定の評価を得ており、関連する分野に対する指摘事項はこれまでのところありません。
また日々の運用管理業務においては、より具体的なメリットを享受しています。
最も大きなメリットは作業内容がはっきりと確認できるという点です。GUIの管理画面の操作を正確に把握し、確認するには動画形式の記録が欠かせません。システムの運用担当者にオペレーションミスの自覚がない場合でも、Remote Access Auditorの動画記録を見直すことでミスの内容やミスが起きた原因を確認することができます。特に「作業をしていないこと」を証明できるため、お客様への説明責任をしっかりと果たすことが可能であり、メリットとして大きな要素を占めます。
「従来のログでは、ある作業をしたことを確認することは容易ですが、作業をしていないことを証明することは困難でした。Remote Access Auditorの動画記録では、操作内容をすべて記録していますので、作業をしていないことも容易に確認できます」(大熊氏)
他にも運用担当者に対する抑止力が働くという点もメリットとしてあげられます。
作業内容が常に記録されることで、運用担当者の意識が変わり、より注意して操作に臨むことで誤操作や不正操作に対する抑止力が働きます。

展開

U-Cloudによるより柔軟なシステム環境の提供を目指して

DR対策も提供するクラウドサービス

日本ユニシスでは2012年4月にクラウドの基盤を収容するデータセンターの拡張を行い、同年12月からはDR対策のサービスの提供も開始しています。今後は太平洋側の東京拠点と日本海側の福井県のデータセンターの運用を通して、DR対策にも本格的に取り組んでまいります。
「Remote Access Auditorに対しては現在でも十分に満足のいく機能だと考えています。今後このようなU-Cloud事業の展開に伴い、リモートによる関東と関西、双方向からのオペレーションがあります。その中でエンカレッジ・テクノロジのRemote Access Auditorは益々活躍の場が出てくるのではないかと考えます」(廣田氏)

PROFILE:日本ユニシスグループ

○設立
1958年(昭和33年)3月29日
○本社所在地
東京都江東区豊洲1-1-1
○URL
http://www.unisys.co.jp/
○事業内容
コンピューター黎明期から日本のITを支え続けるソリューションプロバイダー。現在は金融、製造をはじめ、幅広い分野で経営課題の「分析」から「解決」まで一貫したサービスを提供している。
○導入製品
Remote Access Auditor

※本内容は、2012年12月時点のものです。

img_pdf.jpg

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時