課題と選択
サービス提供当初からU-Cloudを支えるセキュリティ基盤
U-Cloud運用のセキュリティ基盤としてのRemote Access Auditor
日本ユニシスは、2008年から企業の重要な基幹システムのマイグレーション先として利用可能なクラウドサービス「U-Cloud」の提供を開始。SaaSでの利用形態も含め、現在700社以上のお客様にご利用いただいています。
U-Cloudは東京と福井のデータセンターで管理されている数千台規模の仮想サーバーやストレージ、ネットワークデバイスなどのリソースで構成され、これらの基盤の運用管理を東京と大阪の2拠点が担当しています。 仮想サーバーやネットワークの設定変更などすべての作業は、ゲートウェイサーバーを経由して行われ、作業内容は、ゲートウェイサーバー上で稼働するRemote Access Auditorによって、動画形式の記録として保存されます。
セキュリティ対策は設計時から計画
日本ユニシスではU-Cloudの立ち上げ時、セキュリティ対策は当然対応すべきものとして計画していました。
「当時、多くのお客様がクラウドサービスの利便性を認識されつつも、セキュリティ上の懸念を同時にお持ちであり、その懸念を払しょくするための取り組みが必要でした。特に大手企業の基幹システムをU-Cloud上で稼働させるためには、セキュリティ基盤の構築は必須として捉えていました」(廣田氏)
「金融機関のお客様も多く、セキュリティ監査やISO27001(ISMS)の認証取得、FISCガイドラインなどにもきちんと対応する方針でした」(布村氏)
日本ユニシスでは、お客様のセキュリティ上の懸念を払しょくするため、不正な操作が行われていないことを証明・開示できる仕組みの構築は、極めて重要であると認識していました。
選択できる最良の製品を採用
U-Cloudの基盤構築にあたり、日本ユニシスでは機能性、構築、運用、保守のしやすさなどを総合的に判断する「ベスト・オブ・ブリード」というコンセプトに基づいて製品を選定しました。
このベスト・オブ・ブリードのコンセプトに基づき、システム操作の正当性を担保する証跡管理については、エンカレッジ・テクノロジのRemote Access Auditorを採用しました。選定の際に日本ユニシスは以下の2点に注目しました。
・GUI管理画面を含む操作内容が克明に記録され、監査においても有効に活用できること
・大規模なシステムに対応でき、規定された記録の保存期間をクリアできること
また、Remote Access Auditorは、従来のSIプロジェクトにおいても、多くの実績があり、設計・構築・運用管理に関するノウハウがすでに社内に蓄積されていたことも、大きな選定理由でした。
導入と効果
操作証跡の取得により安全・安心な運用を実現
SIerとしての実績を活かしたスムーズな導入
前述したとおり、日本ユニシスでは、多くのSIプロジェクトにおいて、Remote Access Auditorの導入と運用を行ってきた実績があり、U-Cloudへの導入も非常にスムーズでした。
「U-CloudではISO27001(ISMS)やFISCのセキュリティのガイドラインに沿って操作証跡の保存期間を決めています。大量の操作証跡を長期間保存する必要性やU-Cloudの事業拡大に合わせて、現在は2台のRemote Access Auditorで操作証跡を記録しています」(大熊氏)
Remote Access Auditorがもたらすメリット
Remote Access Auditorによる証跡管理の仕組みは、お客様からの要求事項を満たすU-Cloudの付加価値のひとつです。
「基盤システムの操作内容に関する証跡の取得と保管は、お客様から要件としていただく場合が多いですが、U-CloudではRemote Access Auditorを使いあらかじめその仕組みが実装されています」(大熊氏)
加えてRemote Access Auditorによる証跡管理の仕組みは各種認証取得や監査対応にも貢献しています。U-Cloud IaaS の運用・保守では、ISO27001(ISMS)およびISO20000(ITSMS)を取得していますが、認証取得の審査においても、Remote Access Auditorによる証跡管理の仕組みは有効です。さらにシステム監査、業務監査などの内部監査においても、Remote Access Auditorによって取得した操作証跡は一定の評価を得ており、関連する分野に対する指摘事項はこれまでのところありません。
また日々の運用管理業務においては、より具体的なメリットを享受しています。
最も大きなメリットは作業内容がはっきりと確認できるという点です。GUIの管理画面の操作を正確に把握し、確認するには動画形式の記録が欠かせません。システムの運用担当者にオペレーションミスの自覚がない場合でも、Remote Access Auditorの動画記録を見直すことでミスの内容やミスが起きた原因を確認することができます。特に「作業をしていないこと」を証明できるため、お客様への説明責任をしっかりと果たすことが可能であり、メリットとして大きな要素を占めます。
「従来のログでは、ある作業をしたことを確認することは容易ですが、作業をしていないことを証明することは困難でした。Remote Access Auditorの動画記録では、操作内容をすべて記録していますので、作業をしていないことも容易に確認できます」(大熊氏)
他にも運用担当者に対する抑止力が働くという点もメリットとしてあげられます。
作業内容が常に記録されることで、運用担当者の意識が変わり、より注意して操作に臨むことで誤操作や不正操作に対する抑止力が働きます。
展開
U-Cloudによるより柔軟なシステム環境の提供を目指して
DR対策も提供するクラウドサービス
日本ユニシスでは2012年4月にクラウドの基盤を収容するデータセンターの拡張を行い、同年12月からはDR対策のサービスの提供も開始しています。今後は太平洋側の東京拠点と日本海側の福井県のデータセンターの運用を通して、DR対策にも本格的に取り組んでまいります。
「Remote Access Auditorに対しては現在でも十分に満足のいく機能だと考えています。今後このようなU-Cloud事業の展開に伴い、リモートによる関東と関西、双方向からのオペレーションがあります。その中でエンカレッジ・テクノロジのRemote Access Auditorは益々活躍の場が出てくるのではないかと考えます」(廣田氏)
※本内容は、2012年12月時点のものです。