課題と選択
自社サービスのセキュリティ強化とシステム運用の柔軟性を両立したい
出社を前提としたセキュリティ対策に代わる、新たな仕組みを検討
世界各国でさまざまなITサービスを展開しているグローバルカンパニーDXC Technologyの日本法人DXCテクノロジー・ジャパン(以下、DXC)は、2016年の設立以来、ITサービスマネジメントの提供を通じて数多くの国内企業のビジネスを支えてきました。
グローバルデリバリー統括本部
プロジェクトマネージャー
檀野 浩之 氏
そのうちの1社である大手金融系会社には、基幹システムの開発から運用までフルアウトソーシングでサービスを提供しており、国内外の複数のチームが24時間体制でシステムの安定稼働を支えています。セキュリティ対策について、本プロジェクトでプロジェクトマネージャーを務めた檀野氏は「基幹システムにアクセスする際は台帳を用いた特権IDの事前申請・承認フローを設け、パスワードの管理・払い出しには専任の特権ID管理者を立てて管理していました。アクセス時は社内のセキュアルームから作業者と確認者が2人1組になってアクセスすることで安全性を担保してきました」と語ります。
このように万全を期して特権IDのセキュリティ対策を行っていたDXCですが、課題を3点抱えていました。
「1つ目は特権ID管理者が属人化されていたため、緊急時においても特権ID管理者の承認を待った上での払い出しが必要でした。2つ目は基幹システムの運用環境がプライベートクラウドからパブリッククラウドへ移行することになり、安全で信頼できるネットワーク領域は存在しないというゼロトラストを前提とした対策を講じる必要性が高まっていました。3つ目はコロナ禍により在宅環境からのリモートアクセスとなったため、出社を前提としたセキュリティ対策に代わる、新たな仕組みを早急に構築する必要がありました」(檀野氏)
また、サービス利用企業も昨今急増している不正アクセスや情報漏えいに危機感があったといいます。そこでDXCは自社サービスの安全性をさらに高め、お客様に安心してご利用いただくため、プロジェクトチームを発足。特権IDの管理体制や運用フローを抜本的に見直し、より一層の対策強化を図ることになりました。
特権ID管理に必要な機能が網羅され、システム構成もシンプルなESS AdminONEを採用
検討を重ねた結果、DXCは特権ID管理製品の導入を決断。選定に際しては以下の3つの要件を定めました。
・申請・承認をシステム化し許可されていない不正なアクセスを検知できること
・作業の履歴と操作証跡を取得できること
・ファイルの持ち込みと持ち出しの制御ができること
グローバルデリバリー統括本部
クラウドプラットフォームサービス部
ソリューションアーキテクト
板谷 和幸 氏
これらの要件を満たす製品を探すべく、本プロジェクトのインフラ設計責任者であり、製品の評価・選定を実施した板谷氏は情報収集を開始。その一環としてエンカレッジ・テクノロジのWebセミナーに参加しました。
「ESS AdminONEは、求めていた要件を含む特権ID管理に必要な機能が全て網羅されていました。システム構成もシンプルで導入が容易であったことから採用を決めました。エンカレッジ・テクノロジの特権ID管理製品は国内の金融機関で豊富な実績があり、費用対効果が高かった点も採用の後押しになりました」(板谷氏)
プロジェクトのインフラ構築責任者として、ESS AdminONEの導入と運用プロセスの設計を担当した伊藤氏も、「従来は特権ID管理者から払い出されたパスワードを用いて管理対象へアクセスする仕組みでした。ESS AdminONEを導入すれば、ワークフローによる申請・承認が下りた後もパスワードは開示されることなく、製品が代行して認証情報を入力するため、非常にセキュアで有効なアクセス管理が実現すると考えました」と語ります。
導入と効果
手厚い導入支援とサポートのもと、特権ID管理の強化が実現
プロフェッショナルサービスの利用によりスムーズに導入完了
グローバルデリバリー統括本部
クラウドプラットフォームサービス部
インフラ運用責任者
伊藤 恭範 氏
2021年3月にESS AdminONEを導入したDXCは、エンカレッジ・テクノロジのプロフェッショナルサービス(導入支援サービス)を利用しました。
伊藤氏は「リモート環境から作業アクセスいただき、画面共有をしながら説明を受けたのですが、表示される画面や操作には使い勝手が良い印象を受けました。利用していく中で発生した課題についても短期間で的確な対応を取っていただき、サポート体制も厚く、安心して導入することができました」と振り返ります。
また、板谷氏も「導入後の打ち合わせには開発部門にも同席いただいたことがありましたが、その際にDXCの挙げた要望が次のバージョンアップで反映されるなど、その迅速な対応には驚きました」と語ります。
ゼロトラストと運用の柔軟性を両立した特権ID管理にESS AdminONEが貢献
ESS AdminONEのワークフロー機能は、Web画面上でファイルの持ち込み・持ち出しの制御ができるため、情報漏えい対策に貢献しています。また、事前承認を不要とする緊急申請のワークフローは、緊急時においても迅速かつ安全なアクセスが実現したといいます。
「お客様のシステムをお預かりしている以上、少しでも不具合や障害が起きた可能性がある場合は早急に状況を確認したいという思いがあります。このような状況下においても、人を介することなくアクセスできるようになりました。DXCに必要なワークフローの定義を柔軟に決められるのは非常にありがたいです」(伊藤氏)
また、日々特権IDの利用に関するレビューを行っているDXCは、実際の作業アクセス履歴と管理対象へのログイン履歴を突き合わせたレポートを確認しています。
「不審なアクセスはレポートで一目瞭然ですので、早期に発見することができます。さらに、特権ID利用時の全ての操作は動画で記録されるため、作業内容はエビデンスとして残り、後からトレースが可能です。お客様の監査対応という側面においても満足いくものだと認識しております」(檀野氏)
「従来実施していたセキュリティ対策がESS AdminONEで代替され、より強固になったことで、在宅や海外といったリモート環境からも安全にアクセスできるようになりました。性悪説前提、いわゆるゼロトラスト前提の状況でも、『システムは保護されています』とお客様にご説明できるのは大きな導入効果でした」(板谷氏)
図 ESS AdminONE 導入後のDXC 様
展開
エンカレッジ・テクノロジとの連携を深め、安全な特権ID管理の仕組みづくりに寄与したい
ITサービスの品質をさらに向上させるべく、他製品の活用も検討
今回DXCがESS AdminONEを導入したことで、さまざまなアクセス経路があってもパブリッククラウドにおける安全な特権ID管理が実現したといいます。「海外の拠点にも、より高いレベルの運用を任せていくことが可能になりました」(伊藤氏)
また、今後の展望について板谷氏は「お客様のニーズに合わせて他のエンカレッジ・テクノロジ製品を組み合わせることで、当社のITサービスの品質も高められるのではないかと期待しています」と述べ、檀野氏も「ESS AdminONEを利用して運用の現場に立つDXCと、ESS AdminONEを開発するエンカレッジ・テクノロジが協力することで、安全な特権ID管理の仕組みづくりに寄与していければと考えています。今後は他のお客様のITサービスにもESS AdminONEの適用を検討していくとともに、エンカレッジ・テクノロジの製品を活用し総合的なセキュリティを高めていきたいです」と語られました。
エンカレッジ・テクノロジはこれからもDXC様のシステムの安全と安定稼働の支援に努めてまいります。