導入事例

導入事例

米SOX法対応の基盤としてEnforciveの「ログ取得」機能に着目

クラリオン株式会社様

クラリオン

導入のポイントと評価

  • ログ取得機能を高評価
  • GUI画面による設定で、作業が容易
  • 使いこなしには、一定の習熟が必要

自社開発の予定をツール導入へ切り替え

車載機器のトップメーカーであるクラリオンは、2006年5月の新会社法の施行に伴い「内部統制システム方針」を策定。同年後半からは米SOX法に準拠する内部統制体制の整備を進めてきた。

日本版SOX法ではなく米SOX法への対応であるのは、米SOX法の方が日本より約2年早く実施され、かつ、米証券市場に上場する日立製作所の関連会社としてクラリオン本体と米国クラリオン、欧州クラリオン、クラリオン中国グループの 4社が対象となっていたからである。

内部統制の整備は、COBITをベースとする日立グループの基準に基づいて進められた。そして、IT統制に係る各種ログを 取得し保管する部分については、「当初、ツールを自社開発し対応する予定だった」(クラリオン経営推進本部情報システム部部長の 井上達佳氏)が、最終的にソルパックの「Enforcive」を導入した。その経緯を、井上氏は次のように振り返る。

「当社では、Power Systems(AS/400)に切り替える前のメインフレーム時代に、ジョブログを取得して異常終了の有無を 確認するための自動監視ツールを自社開発した経験があります。今回はそのことに加えて、 Message/400を使ってメッセージ監視システムを手作りしていたこともあって、 各種ログを取得するツールも自前で開発しようと考えていました。ところが、内部統制対応のそのほかの作業に 思いのほか人手を取られて余裕がなくなっていたことと、これとは別に進行させていたアジア地域の プラットフォームの統合化とその後の継続的な管理を考えると、市販のツールを採用する方が得策と考え、 Enforciveの導入に踏み切りました。」

導入にあたっては、別のツールも検討の俎上に載せた。そしてベンダーによるデモの後、 評価版を導入してテストを行い、問題点の洗い出しとレビュー・評価を繰り返して、最終的にEnforciveに決めている。

「ログ取得ツール」としての機能に着目

Enforcive自体はセキュリティを確保するための多様な機能を備えるが、クラリオンが着目したのは、IT統制の要請に 応え得る「ログ取得ツール」としてのEnforciveである。 「内部統制で最も問題になるのは、監査と監査の間の、長期間の稼動の証跡をきちんと残しているかという 点です。この点、Enforciveはシステムに対して人為的になされるすべての挙動のログを取得し 保存することが可能なので、IT統制の要請に充分に応え得るツールだと判断しました」(井上氏)。 また、ほとんどの操作をGUI 画面で行えることも、Enforcive採用の決め手となった。 「例えば、アクセスコントロールやログ収集の設定をWindowsライクなGUI 画面で行えますが、 これは直感的に分かりやすく、とっつきやすいものです。導入後の運用がスムーズに運ぶだろうと考えました」 と、クラリオンアソシエの出川幸雄氏(システム開発部開発・運用グループ)は説明する。さらに、同氏は、 「Enforciveのデータ変更履歴機能が、システムの稼働状況をたどる上で非常に便利」と次のように指摘する。 「この機能を使うと、データの変更前と変更後を簡単に対比できるので、疑わしいデータがあれば追跡が可能です。 システムのログを取得する観点からは有用な機能だと思います。」

疑似ユーザが大量のログを排出

Enforciveの利用開始は今年6月。ただし、最初からスムーズに運用できたわけではなく、 「スタート当初は大量にログが出てしまい、対応に追われた」(出川氏)という。

原因は、ユーザーがTelnet通信を行うと、あるモジュールがスプールファイルに作用しFAXやメールを送信する コマンドを自動的に発行してしまう点にあった。これは、全ユーザーのログを解析し、推奨値の設定を変更 (疑似ユーザーの削除)することで解決したが、出川氏は「最初は何が起きているのか、 まったく分かりませんでした。Enforciveを一段深く使いこなすには、それなりの習熟が必要と感じます。 細かいレベルでログを取るとすぐにファイルが満杯になってしまうので、 すべてのオブジェクトをログ取得の対象とするのではなく、特定のユーザーとひも付けるなどのチューニングが 今後の課題です」と語る。

クラリオンでは、米SOX法への「一次的な対応としてのログ取得環境の整備」を終えたが、 日本版SOX法に対しては「米SOX法への対応でカバーできる」(井上氏)と考えている。

「日本版SOX法施行後の監査で何を要求されるのか不明な点もありますが、ユーザーIDやパスワードの扱い、 管理者権限の管理といった基本的なポイントは米SOX法と大きく変わらないと見ています。 昨年の監査で、プログラムの変更と承認が適切にひも付いていない箇所があると指摘されましたが、 Enforciveの導入によって従来明示的に捉えることができなかった不具合のあるプロセスを明らかにし、 内部統制の整備を徹底していきたいと考えています」と井上氏は抱負を語る。

同社は2003年8月に、従来のメインフレームをPower Systems(AS/400)へ全面的に切り替え、現在、日米欧の各システムの 「3極統合」やアジア地域のプラットフォーム統合といった大がかりなシステム再構築を進行中である。 米SOX法への対応として、その一部のシステムに導入されたEnforciveは、今後、同社のワールドワイドのIT統制基盤として 利用されていくものと見られる。

 クラリオン株式会社 様

◇お客様プロフィール
  創業:1940年
  本社:東京都文京区
  資本金:261億円
  売上高:1283億円(単独)
      1810億4100万円(連結)
      (2007年3月期)
  従業員数:単独1086名
       連結:1万774名
      (2007年3月)

http://www.clarion.com/

より綿密な「個人情報保護法」対策として直観的操作が可能なEnforciveを導入

四電ビジネス株式会社様

四電

導入のポイントと評価

  • 各種事業で膨大な個人情報を扱う
  • 個人情報保護法へのより綿密な対応が不可欠
  • 対応ツールとして、GUIベースのEnforciveを選択
  • 基本設定の次は、顧客DBを対象に監視を拡大へ

個人情報保護法へのより強固な対応策として

四国電力の100%子会社である四電ビジネス株式会社は、四国4県を中心にさまざまなビジネスを展開する 総合商社である。主な事業は、ビル・不動産、土木・建設資材・電設資材・機械器具などの販売・ オートリース(商事事業)、環境、OA、広告、オフィス支援サービス、保険代理業、トラベルサービス、 ホテル、コンビニエンスストアの経営など。「ごく少数の分野を除いて、手がけていない事業はない」 (経理部システム課長の川上陽一氏)というほど幅広い。

システム化は、各事業のスタートに合わせて順次行ってきた。しかし、各事業の内容がそれぞれ独立している ため新規に一から構築するのが大半で、運用管理もそれぞれ別個に行ってきた。いわば事業の数だけシステムが あり、データベースも別々というのが同社のシステムの特徴である。(右図)

Power Systems(AS/400)の導入は1990年。以来、5年おきにリプレースを行い、現在のPower Systems(AS/400)モデル520への 切り換えのタイミング(2006年)でセキュリティツールの導入を検討した。それが今回のレポートの テーマである。

セキュリティツール導入の経緯について、川上氏は次のように説明する。 「念頭に置いていたのは、個人情報保護法へのより万全の対応でした。当社は、トラベル業務や オートリース、車両割賦販売などで非常に多くの個人情報をPower Systems(AS/400)上で扱っています。 従来からも、それなりの対応を行ってきましたが、Power Systems(AS/400)の入れ替えを機により強力な対応を 検討し、ツールの導入を決めました。」

「従来からの対応」とは、Power Systems(AS/400)のジャーナルを利用したシステムログの取得と管理である。しかし、 「必要な時に即座に必要な部分をチェックできない。追跡が困難で、CUIベースであるため見づらい」 (経理部システム課の志度谷俊二氏)という問題を抱えていた。同社では、冒頭で紹介した多数の システムを6名のシステム要員で運用しており、「運用管理全体の効率化や負荷軽減、省力化、 スピードアップが切実な課題」(川上氏)ということも、セキュリティツール導入の大きな要因だった。

セキュリティツールに対する3つの要件

セキュリティツールの要件として挙げたのは、次の3点であった。

ユーザーの操作履歴を正確に把握できる
情報漏えいが起きた場合、その経路を追跡できる
操作が簡単で、運用管理が容易

そこで、今回の導入を担当したシステム課では、IT事業を営むOA事業部に相談を持ちかけた。 その結果、提示されたのがソルパックのEnforciveである。OA事業部の吉村学氏(システムグループ主任)は 次のように振り返る。 「Enforciveは販売実績もあり内容を理解していましたが、システム課の要件を踏まえて、改めてもう1製品を 取り上げて、比較検討しました。そして、システム課の要望がGUIベースで操作しやすいこと、 操作履歴の把握や追跡を容易に行える管理機能を備えていることだったので、Enforciveが最適と考え 推薦しました。もう1製品の方は、部分的にCUIベースになるところがあり、システム課のニーズに 合わないと判断しました」

Enforciveは直観的な操作が可能で扱いが簡単

Enforciveは、モデル520の導入に続けてインストールを行った。そして2007年3月に、トラベル業務システム、 11月にオートリースシステム、燃料管理システムへの導入を終えた。順次導入を行っているのは、旧システムから520への移行が 業務システムごとに異なり、各業務システムが520に搭載された時点で導入を行っているためだ。

システム課では、Enforciveのインストールから各業務システムへの導入を自前で行っている。担当の志度谷氏は、 「各種設定方法を学習しながら作業を進めていますが、基本的な設定は難なく行えます。むしろ、Enforciveの 持っているさまざまな機能をいかに活用していくかが、運用管理者としての今後の課題になると 感じています」と言う。

管理面では、Enforciveが取得したログをCSV形式で取り出しExcelへ展開する一連の操作が「非常に簡単」という。 「Enforciveは直観的な操作が可能で、扱いが簡単です。従来は、紙にレポートを出力するには ログデータに手を加える必要がありましたが、Enforciveではそうした管理コストはほとんどかかりません。 コスト削減にもつながると感じています」(志度谷氏)

Enforciveへの目下の要望は「PDF化まで一連の操作で行えること」だが、ソルパックによれば、このPDF化は 2008年度初めにリリース予定の次期バージョン(Enforcive5.5)で対応するとのことだ。

顧客DBの操作・更新履歴へ監視対象を拡大

ここで、同社のセキュリティへの取り組みについて触れておきたい。

同社では、年2回、システム課が中心となって「情報セキュリティ報告書」をまとめている。 これは、ウイルスの感染量やサーバーの停止時間などの実態を半期ごとにレポートするもので、 「実情を示すことによってセキュリティ意識を高めてもらうのと同時に、事故や不正の抑止力とする」(川上氏) のが狙いだ。スパム対策では、実態の公開と対策ツール導入の両面作戦によって「97%の防御に成功している」(川上氏)という。 Enforciveの採用は、こうした高いセキュリティ意識の下でツールの選択が行われ、進められたというわけだ。

現在は、日次でログを取り、データベースへのログオン/オフを中心に監視している。この点だけでも 「セキュリティ周りの運用管理時間は大きく短縮されている」と川上氏は評価する。

今後は、その他の業務システムへの適用のほかに、顧客データベースに対する操作や更新履歴へ監視対象を拡大し、 さらに「きめ細かいアクセス制御を行う計画」(志度谷氏)。しかし、設定を細かく行えば管理工数はそれだけ増加する。 「そのバランスを見ながら、より緊密なセキュリティ対策を立てていく方針」という。そして、その先には 「内部統制への対応がある」(川上氏)。Enforciveが同社のセキュリティ基盤となったようだ。

四電ビジネス株式会社 様

◇お客様プロフィール
  創業:1961年
  本社:香川県高松市
  資本金:払込資本金 3億円
  売上高:342億円(2006年度)
  従業員数:525名(2007年3月)

ケース1:個人別ユーザー管理とファイル・アプリケーションアクセス制御の向上をさせたい

◇お客様プロフィール
  業種:不動産
  システム:i5-520(V5R3)X2
  年商:1,490億
  利用者数:1,500

1.Enforcive 導入の狙い

ユーザー個々のアクセス制御とその状況を見たい。
ファイル・アプリケーションへのアクセス制御。
個人情報保護法、日本版SOX対応につなげたい。

2.Enforcive 活用機能

監視、ロギング、レポート機能
セキュリティ違反履歴の取得
FTP使用制御

3.導入効果

ユーザー別アクセス状況が把握でき、不適切なユーザーアクセス防止につながっている。
セキュリティの基礎ができ、安心してアプリケーション・メニューのアクセス制御の開発を進められる。

運用イメージ2

ケース2:LPAR(関連会社)毎のユーザーアクセス制御の現状を把握し、セキュリティ強化対策を考えたい

◇お客様プロフィール
  業種:不動産
  システム :i5-520(V5R3)X2
  年商:450億
  利用者数:600(含関連会社)

1.Enforcive 導入の狙い

ユーザー個々のアクセス制御とその状況を見たい。
不正アクセス検知時の警告メッセージの表示
個人情報保護法、日本版SOX対応につなげたい。

2.Enforcive 活用機能

監視、ロギング、レポート機能
不正アクセスへの警告メッセージ機能

3.導入効果

ユーザー別アクセス状況が把握でき、更に不適切なユーザーアクセス検知時の警告メッセージは、より有効に不適切なアクセスの防止につながっている。
日本版SOX、個人情報保護法へのシステム対応ができ、今後は、セキュリティ保護への管理の仕組に力を入れて行きたい。

ケース3:現行セキュリティ状況を把握し、セキュリティ強化対策を考えたい

◇お客様プロフィール
  業種:保険
  システム : 270(V5R2)
  年商:450億
  利用者数:300(社内)

1.Enforcive 導入の狙い

ユーザー個々のアクセス制御とその状況を見たい。
不正アクセスの可能性を知りたい。
個人情報保護法対応につなげたい。

2.Enforcive 活用機能

監視、ロギング、レポート機能
不正アクセスへの履歴取得機能

3.導入効果

ユーザー別アクセス状況が把握でき、更に不適切なユーザーアクセス検知情報は、今後のセキュリティ対策に大変役立つ。
FTPの使用等使われていないと思っていた機能が動いており、ログ取得によりシステム全体の動きが見渡せ、システム運用面でも大いに役立つ。

ケース4:Power Systems(AS/400)不正・誤操作の抑制・防止と全社的なセキュリティ意識の向上をさせたい

◇お客様プロフィール
  業種:書籍販売
  システム :i5-520(V5R3)

1.Enforcive 導入の狙い

Power Systems(AS/400)での誤操作・不正操作を抑制、防止したい。
Pマーク、ISMS認証取得対応のベースにしたい。

2.Enforcive 活用機能

監視、ロギング、レポート機能
セキュリティ違反履歴の取得

3.導入効果

誤操作・不正操作履歴に基づく利用者への警告を通して、防止効果が出来てきている。
監視ログレポートを通して、全社的な意識が向上している。

運用イメージ1

世界での導入事例

導入事例一覧

お客様 システム Enforciveの狙い お客様特有の要望 お客様ご感想(Enforcive導入して)
日本版SOX法対応 個人情報対応
1.
不動産
5-520 V5R3 ・個人別ユーザー管理を行いたい。
・アプリケーションメニュー
・アクセス制御を実現したい。
Enforcive導入により、ユーザー管理が容易になると同時に、監視、ロギング、レポートにより、アクセス状況が見える様になった。
2.
サービス業
i5-520 V5R3 不正があった際に、不正アクセスに対するログの追跡が可能 個人情報保護法への対策として導入し、アクセスログの取得を第一目的としていたが、それ以外にユーザープロファイルの登録状況も改めて認識することができたり等、目的以上の成果を得ることができた。
3.
製造業
i5-520 V5R3 アクセスログの定期的なレポート作成 不正アクセスがあった場合、そのログを残すことを目的にこのツールを導入したが、ログを残すだけでなく、アクセスを制御することまでの機能を使用することになり、よりセキュリティ強化が達成できたと考えている。 特に不正アクセスがあった時点で、警告が管理者の端末に表示される機能が有効であると思う。
4.
運送業
820 V5R2 とにかくセキュリティツールを導入し個人情報対策をとりたい Enforciveを導入したことにより、何よりもエンドユーザーの意識が改革され、その点でもセキュリティ強化がなされたと感じる
5.
製造業
i5-520 V5R3 Power Systems(AS/400)技術者がいなくても運用できるようにしたい Enforciveの導入を機会に、何ヶ月何年もの期間使用していないユーザープロファイルを削除する等、システムの整理ができたことは、狙い以上の成果であると思う。
6.
サービス業
i5-520 V5R3 通常業務に追われているので、導入・設定に時間をかけられなくてもよいセキュリティツールが欲しい 親会社からの指令で、個人情報保護法に対応できるログ取得の機能を持つツールということでEnforciveを導入したが、短期間で導入設定ができよかった。ログ取得以外の機能について説明を受けたので今後それらの機能の使用を検討したいと思う。
7.
不動産
i5-520 V5R3 2台 関連会社数社と共同で使用しているため、手間のかかるセキュリティは一括で管理を行いたい。 GUIのコンソールから複数台の筐体、LPARを管理することができ、ログやレポートも自動処理されるので、運用のワークロードがほとんどゼロで大変助かっている。
8.
保険業
270 V5R2 Power Systems(AS/400)でどのような操作が行われているのか、まったく把握できていないので、ログを取得し、セキュリティ対策を行いたい FTPの使用など、使われていないと思っていた機能が動いており、ログを取ることでセキュリティだけではなく、Power Systems(AS/400)全体の動きが見渡せ、システムの運用面でも大変役立つツールである。
9.
製造業
820 V5R2 810 V5R2 プログラムからしかアクセスしてない個人情報が保存されているライブラリーやオブジェクトに不正なアクセスがないかどうか確認したい。 アクセスログを取得し、ライブラリーやオブジェクトのアクセルログ監視で、不正アクセスや不正の兆候を確認することが容易になった。また、ログを取得することで、従業員の抑止効果が高まった。
10.
書籍販売
・誤操作、不正操作を抑制、防止したい。
・個人情報、Pマーク、ISMS認証取得対応のベースにしたい。
・誤操作、不正操作履歴に基く利用者への警告を通して、防止効果が出ている。 
・監視ログレポートを通して、全社的なセキュリティ意識が向上して来た。
・個人情報保護法、Pマーク、ISMS認証取得へのシステム対応ができた。
11.
製造業
i5-520 V5R3 Power Systems(AS/400)のセキュリティがまったくわからないので、ツールを導入し対策を施したい GUIの操作でログ閲覧、権限設定が可能で、Power Systems(AS/400)のセキュリティを知らなくても監査が簡単に行えた。また、設定後の見直しも、GUIだとセキュリティ機能を画面を一括表示できるので、5250のようにセッションを複数張る必要もなく運用管理が簡単で驚いた。
12.
不動産業
270 V5R1 当社のセキュリティへの意識改革と脆弱性をつかみたい。 監視、ロギング、レポートにより、セキュリティへの関心度が高まって来た。又何をどのように保護すれば良いかも見えてきた。セキュリティ強化策を推し進められそうだ。
13.
サービス業
i5-520 V5R3 810 V4R5 Power Systems(AS/400)のセキュリティへの不安が強いが、アクセス状況が分からない。導入・運用が容易なツールを利用して、先ずは実体を把握して、セキュリティ強化策を考えたい。 短期間の導入とGUI操作の容易性には、感心した。システムへのアクセス状況が見える様になり、セキュリティの弱さが分かって来た。今後は監視・レポート機能を利用して説得力ある、全社的なセキュリティ対策と意識高揚に望める。
14.
サービス業
820 V5R2 当社のPower Systems(AS/400)のセキュリティ状況がまったくわからない。ツールを導入し実体を把握したい。 GUIの操作でログ閲覧、権限設定が可能で、Power Systems(AS/400)のセキュリティを知らなくても監査が簡単に行えた。セキュリティ現状を踏まえて、今後対策を推し進める。
15.
金融業
i5-520 V5R3 情報漏洩対策を行いたい。 Enforcive導入により、システムへの不正侵入、アクセス制御等が容易に行えるようになった。今後これを基礎として、情報漏洩を中心に、更にセキュリティレベルを上げる対策の確立と具現化に望める。
16.
保険業
i5-520 V5R3 先ずは当社のPower Systems(AS/400)のセキュリティ状況を把握したい。、ツールを導入し対策を施したい。 Enforcive導入により、FTP利用の多さが分かった。又監視・ログの更なる有効活用を計りながら総合的なセキュリティ強化を推し進める自信がもてた。