課題と選択
お客様のシステムを預かるクラウド基盤について、運用・管理のセキュリティ強化を目指す
クラウド基盤のアクセス管理を徹底し、作業内容も確実に監視したい
クオリカでは創業以来、製造業や流通・サービス業の顧客に向けて、業務用システム開発、パッケージソフト開発、システム運用、情報端末製造など幅広いサービスを提供してきました。
その中のひとつに、リソース・オン・デマンドというコンセプトに基づく、高品質で安定したクラウドサービス「Qualica Resource Service(以下、QRS)」があります。QRSは単なるクラウドサービスや運用サービスとは異なり、そのときの最適なサイズでサーバーを稼動させ、後のリソース追加にも柔軟に対応できる、自由なサイジングが特長です。
QRSはクオリカがデータセンター内で運営しており、その安定稼働のため運用担当技術者によって24時間体制でクラウド基盤の保守・運用を実施しています。障害発生時の対応をはじめ、お客様のリクエストに沿ったリソースの増強やバックアップ作業などを毎日のように行っています。そのためクラウド基盤にアクセスする際は、メールや申請書で申請・承認の手続きをすることにより保守運用作業を管理し、セキュリティを担保していました。
その他、セキュアな保守・運用のために承認手続きのルール整備やISMSなどの認証を取得するなど、一定の対策を講じてきましたが、これらには改善の余地があったといいます。
「操作端末に対するアクセス制御製品の導入や、保守・運用で使用するアカウントのパスワード管理の実施など、従来から一定の対策は実施していました。しかし、より安全な運用環境を確立するため、現状を常に見直し、必要に応じて強化することを日々心がけています」(久野氏)
そこでクオリカは、クラウド基盤に対する保守・運用業務の操作内容を確実に記録・監視するためのしくみを構築するとともに、特権IDの管理方法を見直し、セキュリティの強化を図ることにしました。
ESS REC:採用の決め手は動画で操作を克明に記録できること
2015年1月、クオリカはまず操作内容を記録・監視するツール3~4製品の比較・検討を始めました。このときひとつの指標としたのが、ISMS※1認証のセキュリティ要件である「操作内容の監視」を強化できるという点です。
「万が一の際にも操作証跡を確実に後追いできることを重要な条件としました。そのためにも、単純に操作ログを取得するだけでは不十分で、どのような操作をしたか克明に記録できる機能が必須だと考えました」(小林氏)
そのような条件の中、クオリカはデスクトップ画面で操作される作業内容を動画によって克明に記録できるESS RECに着目し、採用を決定しました。
※1 ISMS=情報セキュリティマネジメントシステム
ESS AdminControl:特権IDのパスワード秘匿機能とエージェントレスを評価
続いて、クオリカは特権IDやアクセス管理に関する製品の検討も開始しました。その結果、同じエンカレッジ・テクノロジの製品であるESS RECとの親和性の高さに着目し、ESS AdminControlの採用を決めました。
「採用の決め手となったポイントは3つあります。1つ目は特権IDを使用する際に作業者へパスワードを知らせないまま貸与できるということです。これにより、内部者による不正ログインや、パスワードが第三者に漏えいすることによるなりすましなどをより確実に防止することができると考えました。2つ目のポイントはESS AdminControlがエージェントレス型であるため、導入時のシステム停止やサーバーごとのインストール作業などが不要という点です。運用開始後もシステムに余計な負荷をかけないだけでなく、システム側でバージョンアップがあっても、その対応にいちいち煩わされず済むなど、運用面での負担が軽減できる点を評価しました。3つ目は製品間の連携機能により、操作記録とアクセス記録の紐づけが簡単に監査レポートで確認できるのは大きなメリットだと考え、採用を決定しました」(久野氏)
導入と効果
堅牢なセキュリティ環境を実現するだけでなく、サービス品質の向上にも大いに貢献
操作証跡の確実な後追いと、作業申請のワークフロー化で業務の厳重な管理が実現
ESS RECの導入により、クラウド基盤に対する保守運用業務の操作記録・監視が可能になりました。
「クラウド基盤に対する保守運用業務の操作内容は、ESS RECで動画とテキストにより自動的に記録されるため、確実に操作証跡を後追いすることが可能となりました」(小林氏)
また、クオリカではリアルタイム検知やアラート機能も効果的に活用しています。たとえば、社外秘書類を印刷しようとすると警告のポップアップが開き、作業者に対して書類の取り扱いについて注意喚起をします。これはイベントとして記録されるため、万一の際にはいつ・誰が印刷を行ったのか確認できます。USBメモリの利用があったときも、管理者に即時にメールで通知がされるため、徹底的な管理を実現しています。
一方、QRSの保守・運用の作業申請は、メール・申請書ベースからESS AdminControlのワークフローに基づいた体制に変更しました。ワークフローは各担当者の職務や権限に合わせ、柔軟にカスタマイズされています。
「ESS AdminControlの導入により、クラウド基盤に対する業務の厳重な管理を実現したため、セキュリティレベルを大きく向上することができました。また、ワークフローを利用することで申請から承認までの一連のプロセスが効率化し、シームレスな作業申請も可能になりました」(久野氏)
加えて、保守運用業務を行う際はESS AdminControlから作業者にパスワードが貸与され、申請した作業時間を過ぎると自動でリセットされるようになりました。
「これにより、パスワードの台帳管理で起こり得た特権IDの不正使用のリスクが解消されました。台帳によるパスワードの管理も不要になりましたので、セキュリティレベルの強化だけでなく、管理そのものも簡易になりました」(久野氏)
動画による作業記録を活用して作業手順を見直すことで、サービスの品質向上にもつなげる
クオリカによれば、ESS RECの導入は保守運用業務における誤操作の再発防止にもつながっているといいます。
「万一オペレーションミスがあった場合でも、実際の作業内容を記録した動画を用いることで、詳細な振り返りが可能になりました。これをもとに作業手順を見直すことで、サービスの品質向上につながっています」(小林氏)
また、ESS AdminControlの監査用レポートによって、特権IDの詳細な利用状況を容易に確認できます。深夜など、緊急対応時の特権IDの使用もESS AdminControlを用いて管理ができるため、「いつ・誰が・どのように」特権IDを使用したのか明確に把握できるようになりました。
「かつては、こうしたシステムの利用状況も細かく把握できていませんでした。今では当社で決まっているルールに沿って運用されているのかはもちろん、緊急対応など例外的な業務の状況まで含めて『見える化』できています」(久野氏)
「実際、ISMSやITSMS※2、PMS※3といった認証機関による合同監査が実施されたときも、確実に証跡が記録されている点、IDの管理が徹底されている点が高く評価されました」(福永氏)
※2 ITSMS=ITサービスマネジメントシステム ※3 PMS=個人情報保護マネジメントシステム
図 ESS RECとESS AdminControl 導入後のクオリカ
展開
ESS AdminControlとESS RECを連携させ、統合的なリスク管理の実現を目指す
国産メーカーならではの充実したサポートを高く評価
クオリカは、ESS AdminControlとESS RECの活用範囲を拡大し、管理対象にするサーバーを増やしていくとともに、今後も製品間の連携機能を活用することで、更なる統合的なリスク管理の実現を目指すといいます。
「このたびエンカレッジ・テクノロジの製品を採用した理由の一つに、国産メーカーということがあります。実際、サポートのレスポンスも良く、細かな対応をしてくれたことで、満足のいく成果を得ることができました。当社はISMSやITILなど、リスク対策や運用管理に即してPDCAを回し、常に改善を進めています。ですから、優れた製品やサービスがありましたらぜひ紹介してほしいですね」(福永氏)
エンカレッジ・テクノロジでは、今後もクオリカ様の取り組みのサポートに努めてまいります。
※本内容は、2017年7月時点のものです。