課題と選択
リスクマネジメントとIT統制の観点から、特権IDの管理を見直したい
社員と委託先ベンダーで共有している特権IDの管理方法に課題意識
かねてより丸善石化では、化学メーカーとしての責務を果たすべく、製品の開発から廃棄に至るすべての過程において自主的に環境・安全・健康面の対策を行うレスポンシブル・ケアに長年取り組んできました。加えて2010年ごろから企業経営におけるリスクマネジメントの重要性がクローズアップされてきたことから、CSR活動の一環として、「コンプライアンス」「情報セキュリティ」「安全管理」の3つの領域でさまざまな取り組みを行っています。
基幹システム(以下、ERP)やワークフロー、メールなど情報系システムの企画から運用・管理までを担う丸善石化の情報システムグループでも、リスクマネジメントの観点から情報セキュリティの強化を進めていました。そうした中、2016年3月、丸善石化はコスモエネルギーホールディングスの連結子会社となることが決まったのです。
「上場企業の子会社となるわけですから、当社に対してもガバナンスの強化が求められることは確実でした。そこで、情報システムグループとしてIT統制の推進を図ることになったのですが、その際に課題の1つとして浮上してきたのが特権ID管理だったのです」(山下氏)
丸善石化の情報系システムは、外部のデータセンターで運用しています。このシステムに特権IDを用いてアクセスできるのは、情報システムグループの社員、社内に常駐している運用委託先のメンバー、リモートで保守等を委託しているERPやワークフローの開発元メンバーなど20名弱。当時は特権IDとパスワードをExcelシートで管理していましたが、これらは関係者全員で共有していました。
「基本的にはメンバーを信頼して運用しており、作業の申請・承認などのワークフローもありませんでした。つまり、いつ、誰が、どんな操作を行ったのかもわからない状態だったのです。これまで特に問題は発生していませんが、近年の情報漏えい事件は、外部からの不正アクセスだけでなく、内部者による情報漏えいも見受けられますので、特に強力な権限を持つ特権IDについて対策を実施することにしました」(山根氏)
採用の決め手は豊富な実績と使い勝手の良さ、管理対象システムの多様性
情報システムグループでは、丸善石化で契約しているITアドバイザリー企業に対し、特権ID管理ソリューションについての情報提供とアドバイスを求めました。すると10社以上の候補が挙がってきました。まず、製品選定のポイントとして、運用やサポートの面から海外製品を候補から外し、4~5社で比較検討を行いました。既存システムへの影響範囲の有無を重視していた丸善石化は、エージェント型の製品を候補から外して2社まで製品を絞り込み、最終的に2016年12月、ESS AdminControlの採用を決めたのです。
「ESS AdminControlには豊富な実績がある上、多くのユーザーから吸い上げられた意見が使い勝手の良さへ反映されている点に魅力を感じました。また、ドキュメント類がよく整備されており、技術者の説明がわかりやすかったのもポイントでした」(山根氏)
加えて、ESS AdminControlバージョン1.4から新機能としてアカウント簡易管理機能が追加されたことも高い評価につながりました。この機能は、クラウド上のWebサービスやアプリケーション、ネットワーク機器などにおいても、ワークフローを使った申請ベースの特権ID貸出など、一定の管理を行えるというものです。
「簡易的ではありますが『Office 365』のようなクラウドサービスや、スクラッチで開発したアプリケーションに対しても特権ID管理が可能になるため、対策範囲を広げることができます」(山根氏)
導入と効果
特権ID管理ツールと証跡管理ツールの併用により、情報セキュリティを強化
プロフェッショナルサービスを利用し、特権ID管理のプロセスとスキルを確実に
丸善石化では、ESS AdminControlと併せてESS RECも導入しています。その理由は、より強固なIT統制を実現するためには、特権ID管理だけでなく、サーバーにおける各作業内容を確実に記録・監視する必要があると判断したからです。
「別々の製品を使うよりも、同一ベンダーの製品を導入する方が、製品間で連携する機能や使い勝手、サポートの点で有利だろうと判断しました」(山根氏)
ESS AdminControlとESS RECを採用した丸善石化は、製品の導入に際し、設計・構築・テストから運用開始までのステップを確実に進めるため、プロフェッショナルサービスを利用しています。
「サービスの利用により、システムの構築やワークフローの作成についてトータルなサポートを受けられただけでなく、特権ID管理の申請・承認プロセスに対する理解も深めることができました。これを自分たちでやろうとしたら、どれほど手間や時間がかかったかわかりません。どんな設定をすればどのような動きになるのか、一つひとつ噛み砕いて説明してもらえたのはありがたかったですね」(蛯沢氏)
丸善石化では、2017年2月より構築およびスキルトランスファーを実施、5月から運用を開始しています。また、当初の適用範囲はERPと認証サーバーのみでしたが、後からライセンスを追加し、購買申請などのワークフローや人事給与システムにも範囲を広げています。
特権ID管理の理想形を目指し、段階的にワークフローを改善
現在、丸善石化における特権ID管理のワークフローは、事前に申請された作業を作業後に承認する形式をとっています。これは、今までのやり方をまったく変えてしまうと、業務が滞ってしまう可能性があり、かえってトラブルを招きかねないという判断からです。今後、丸善石化は社内外のメンバーに対する意識改革を進めつつ、最終的にはESS AdminControlとESS RECを活用し、より高度なリスク管理レベルまで、統制レベルを上げていく予定です。
「現状はあくまで移行期間における暫定的な処置であり、2017年末には新しいワークフローの運用を開始したいと考えています。とはいえ、これまでのExcelシートによる運用と比べれば、いつ、誰が、どんな操作を行ったのかわかるようになったのは大きいですね。情報セキュリティという意味からすれば、既に効果は出ていると言えるでしょう」(山根氏)
図 ESS AdminControl、ESS REC 導入後の丸善石油化学株式会社
展開
社会の重要インフラを担う事業者として、セキュリティのさらなる強化を目指す
将来的にはサーバー上のすべての操作を把握したい
情報システムグループでは、ワークフロー以外にも、アカウント簡易管理機能など他のさまざまな機能も使いこなすことで、順を追ってセキュリティを強化していく予定です。その上で、監視対象となるサーバーも増やしていきたいといいます。
「エンカレッジ・テクノロジからは、当社における特権ID管理の運用方法として、このようなご提案をいただきました(※図参照)。今後は、中継サーバー経由でのアクセスを徹底するための仕組みを改善したり、レポート等を活用した事後チェックや定期監査の仕組みを整備したりすることで、よりセキュアな運用を実現したいと考えています。こうなれば、何かあったときにはESS RECに記録されているログや動画を確認し原因をすぐに特定できますから、事後の検証に役立つだけでなく、不正行為を未然に防ぐ効果も期待できます」(山根氏)
サポートや情報提供など、さまざまなかたちでの支援を期待
丸善石化は今後も、社会の重要インフラを担う事業者として、セキュリティ対策については全社的に取り組んでいく必要があります。
「この際、より高度なセキュリティ対策を実施していくだけでなく、社員の意識向上も図らなくてはありません。エンカレッジ・テクノロジには、導入製品のサポートのみならず、情報セキュリティや製品に関する情報提供など、さまざまなかたちでの支援をお願いしたいですね」(山下氏)
※本内容は、2017年9月時点のものです。