課題と選択
SaaSシステム本番環境へのリモートアクセスの安全性を確保し、
システム担当者のより柔軟な働き方を可能にしたい
物理セキュアルームがシステム担当者の働き方改革の障壁に
クオリカのビジネスイノベーション事業部は、同社の新規ビジネスを創出する事業部門であるとともに、社内及びグループ企業のITシステムの運用・管理を行う情報システム部門としての役割も担っています。実際に先進テクノロジーセンターのセンター長である番氏は「新技術の検証・評価や全社への展開という本来の業務はもちろん、新たなシステムの各部門への展開や、災害時などに事業を止めない仕組みづくりも重要だと考えています。例えば東日本大震災の直後には、BCP対策として約1200台のVDIを導入したり、BYODの制度も取り入れたりすることで、オフィスが被災したときにも従業員が生産性を維持できる体制を実現しました」と説明します。
こうした環境の整備は、コロナ禍においても威力を発揮しており、在宅勤務などのテレワークにも有効だっただけでなく、全社的に進めている働き方改革="ニューノーマルプロジェクト"を支えるシステム基盤ともなりました。
その一方で、システム担当者自身は、その恩恵を受けられないという矛盾が生じることになりました。というのも、顧客にSaaS提供している本番サーバーなどで行う作業については、情報漏洩などのリスクを回避するという観点から、社内の物理的なセキュアルームから特権IDを用いてアクセスしていました。クオリカは生産管理ソリューション「ATOMS QUBE」や、IoTを活用した遠隔監視・予防保全システム「Care Qube+」、外食産業向け営業支援システム「TastyQube」、小売専門店向けトータルソリューション「SpecialtyQube」などのさまざまなSaaSを提供しているため、SaaSシステムを構成するサーバーは約150台あります。当然ながら、システムの安定的な運用や、サービスの安全性確保、品質の担保が最優先であるため、本番環境については必ず出社してセキュアルームで作業する必要があり、テレワークへ移行できなかったのです。結果的に、顧客向けのシステム担当者は、働き方改革から取り残されるかたちになってしまいました。
“仮想セキュアルーム”の構築に向けて、ESS AdminONEを採用
そこでクオリカでは、テレワーク用のサーバーを構築。被災時などの緊急時でもこれを経由することで、システム担当者が自宅などからSaaS提供している本番サーバーへアクセスできるようにしました。
しかし、テレワーク用サーバーの仕組みだけでは、いつでもアクセスできてしまうだけでなく、作業内容を監視できない、ファイルの持ち込み・持ち出しの制御ができないといったセキュリティ上の課題がありました。同社のCTOである坪口氏は「社内のセキュアルームは、静脈認証や暗証番号による入室管理だけでなく、監視カメラによるモニタリングを行っており、さらにセキュリティの観点から、ルームの外から中の様子が見えるようにしています。このような物理セキュアルームでの高いセキュリティレベルをリモートアクセスでも実現するため、"仮想セキュアルーム"という当社独自の仕組みを考案することにしました」と語ります。そのために必要な機能をメンバーで検討した結果、最終的に以下の3つの要件にまとまりました。
・ 承認ベースで仮想デスクトップ環境(VDI)へアクセス許可する仕組みを有すること
・ VDI上でのシステム担当者の操作内容を録画・監視できること
・ VDI環境へのファイルの持ち込み/VDI環境からのファイル持ち出しについて制御できること
この要件を基に各ベンダーの製品を比較した結果、エンカレッジ・テクノロジの次世代型特権ID管理ツール「ESS AdminONE」がすべての要件を満たしていました。さらに、別部門でエンカレッジ・テクノロジの製品を長らく利用しているなど、製品・ベンダーともに信頼があり、ライセンス体系も柔軟でコストを抑えられることから採用を決めました。
導入と効果
作業の場所を選ばない、システム担当者の柔軟な働き方が実現
仮想セキュアルームを構築し、SaaSシステムの本番環境への安全なアクセスを実現
こうしてクオリカは仮想セキュアルーム構築のプロジェクトをスタート。新たに構築した仕組みでは、ESS AdminONEがそれぞれのシステム担当者が利用する仮想デスクトップ環境を管理しており、承認を受けなければ対象システムにアクセスできないようになっています。また、ログイン後の作業はすべて記録されており、何らかのインシデントが発生した場合にはさかのぼって操作内容を確認可能。さらに、作業の際にはファイルの持ち込みや持ち出しの制御ができる仕組みが実現しました。太田原氏は「一般的なESS AdminONEの使い方とは異なることもあって、構築にはやや工夫が必要でしたが、エンカレッジ・テクノロジが提供する導入支援サービス『プロフェッショナルサービス』を利用することで、スムーズに完了させることができました」と当時を振り返ります。
2022年8月、VDIとESS AdminONEを組み合わせた仮想セキュアルームの構築は無事完了しました。こうしてSaaS提供している本番サーバーのメンテナンスに、仮想セキュアルームが活用され、最大では同時に150名のシステム担当者が利用する時期もありましたが、これまでに大きなトラブルは起きていません。
システム担当者が場所を選ばず作業可能に、より働きやすい環境が実現
今回の仮想セキュアルームの構築により、システム担当者の働き方は大きく改善されました。例えば、顧客の本番環境のメンテナンスは業務処理の合間を縫って行う必要があるのですが、早朝に行う場合、従来はシステム担当者がオフィス近くのホテルへ前泊を強いられることもありました。また、流通業では年末・年始も店舗が開くことが多く、これに合わせてメンテナンスも発生するため、システム担当者のシフトを組むのも一苦労でした。
こうした問題も、自宅などの社外から場所を選ばずセキュアに作業することが可能になったことで、システム担当者は柔軟に対応できるようになり、より働きやすい環境が実現しました。
図 ESS AdminONE 導入後のクオリカ 様
展開
顧客の理解を深め、完全な仮想セキュアルームの実現を目指す
ニューノーマルプロジェクトの推進に向けて、エンカレッジ・テクノロジの協力に期待
クオリカで仮想セキュアルームの運用は始まったものの、顧客の個別システムによっては現在でも社内のセキュアルームからのアクセスが必要な場合があり、完全な廃止には至っていないといいます。
「とはいえ、その道筋は見えてきたと感じています。仮想セキュアルームの仕組みがあれば、物理的なセキュアルームと同等のセキュリティが担保できますので、そのあたりをお客様に丁寧に説明することで、ご理解を深めていきたいと考えています」(坪口氏)
物理的なセキュアルームを廃止できれば、さまざまなメリットが期待できます。例えばクオリカのオフィスではフリーアドレス制度を採用していますが、フロア中央に位置しているセキュアルームがなくなれば、これまで以上に快適で生産性の高いレイアウトが実現することになります。
また、今回の取り組みでは、ESS AdminONEは仮想セキュアルーム内で、クオリカデータセンターに存在する本番環境へのアクセス管理として活用していますが、今後はクラウドプラットフォーム上の本番環境へのアクセス管理にも活用していくことを検討しています。そうすることで、ESS AdminONEの機能をさらに有効活用したいといいます。
「こうした将来への期待もあって、今回のプロジェクトは2022年度上期の社長表彰を受けることができました。今後も社内の期待に応えていくためにも、エンカレッジ・テクノロジにはニューノーマルプロジェクトの推進を支援するような新たな提案に期待しています」(坪口氏)
