特権IDソリューション

概要

総合商社の双日は、本社、グループ連結会社、海外拠点などと連携してコンプライアンスマインドの浸透・定着を徹底する企業として知られているが、J-SOX法対応に向けた取り組みで特に重要視したのが特権ID管理の厳格化だった。2008年度から手作業によるハイレベルな運用に挑戦し続ける中で、ID管理者の業務負担を改善するために活用されたのが、NTTソフトウェアの特権ID管理ソリューションだ。

課題

J-SOX法対応後に厳格化した手作業による特権ID管理業務が精神的・肉体的な負担に

双日では、子会社の双日システムズ(以下、SSC)を含む協力会社2社に開発から保守、運用までの実務を委託している。 J-SOX法対応以前は、システムの特権IDを子会社のシステム担当者が常に保持し、各自の裁量で使用していたが、J-SOX法対応時に特権ID管理を厳格化した。

具体的には、J-SOX対象の業務システム(約20)の全特権ID(約700ID)について、システム担当者は特権ID利用が必要な時に利用申請書を起票し、双日の特権ID管理者にメール送付する。特権ID管理者は、申請内容を確認の上、特権IDで作業を行う端末に対してWindowsのリモートアシスタンスにより代理でパスワードを入力する、という方法だ。

双日の特権ID管理者は、定常時間帯の他、夜間や休日も障害や定期保守が入れば特権ID貸出を迅速に行うよう対応が求められた。双日 情報企画部専門部長の伊良子和成氏は次のように振り返る。

「J-SOX法対応以前と比べると、申請から貸出までの手続きに時間がかかり、緊急性を要する障害対応に懸念が生じていました。幸いシステム障害対応が遅れるといったトラブルは生じませんでしたが、常にそのリスクを抱えたまま運用していることに限界を感じていたのです」

解決へのアプローチ

決め手は、業務との親和性とパートナーとしての信頼感

そこで双日は、手作業による特権ID利用申請~承認~貸出方法の他、その利用ログモニタリング、特権IDの棚卸や定期パスワード変更を含む特権ID運用管理全般の改善を目的としたプロジェクトを発足。定型業務を自動化する専用システムの導入を目指した。複数企業からの提案を検討し、その中からNTTソフトウェアの「ACTCenter & CSLGuard」を選んだ。「特権ID管理業務のシステム化で目標としたのは、特権ID貸出の迅速化や特権ID管理者の負荷軽減の他、システム担当者を含めて作業効率を向上する業務プロセスの改善でした。従って、当社が最適として描いた業務プロセスのTo-Be像と導入するシステムとの親和性が必要不可欠でした」(伊良子氏) ACTCenter & CSLGuardは、特権IDの利用申請から貸出までの申請業務、定期的なパスワード変更や棚卸などのID管理業務、さらには操作ログの蓄積とそのモニタリング業務までのサイクルがシームレスに連携しているため、導入するにふさわしい製品であると判断した。

また、双日 情報企画部 情報企画第一課 担当課長の松村行雄氏は、システムベンダーが信頼できるパートナーであるかも重要な要素だったと指摘する。

「NTTソフトウェアは国内での導入実績が多数あるほか、当社の課題を良く理解しようという姿勢が提案書の内容にも反映されていたため、パートナーとして末長く協力し合えるベンダーであると確信したのです」

システム導入に際しても、迅速な体制構築と十分な知見を有する人材をアサインし、プロジェクトの円滑な推進に大きく寄与したと評価する。

課題と効果イメージ図

ソリューションとその成果

特権ID貸出時間が4分の1に短縮し、 2名分の作業負担を削減

今回のプロジェクトを振り返り、伊良子氏は、「特権ID貸出業務の自動化が本当に実現できるのか半信半疑でしたが、品質・コスト・納期のいずれも計画通りに実現することができました。また、稼動後も大きな不具合もなく、作業効率面では当初の期待を超える効果が実現でき、非常に満足しています」と語る。従来は、申請から特権IDの貸出まで1時間ほどかかっていたが、システム導入後は承認のプロセスが自動化することでおよそ15分にまで短縮。作業の効率化に大きく貢献した。

また、特権ID貸出をシステムで厳格に統制しまたそのエビデンスを残せるようになったことから、双日の情報企画部で行っていた特権ID運用管理業務をSSCのデータセンターに移管し、24時間365日体制で対応することで、双日のJ-SOX法手順を踏襲した確実な特権ID貸出や管理業務が効率的に実行できるようになった。

「従来、手作業で行っていた貸出業務のほか、定期的なIDの棚卸やパスワード変更業務などを、ACTCenter & CSLGuardで自動化することにより、双日側と協力会社側で併せて約2名分の作業負担を削減することができました」と伊良子氏は分析する。

今後の展開

新たにJ-SOX法対象となるシステムにも拡大し、 利用されていない不要な特権IDの検知とその整理にも活用予定

今回のプロジェクトで重要だったのが、従来の手作業からACTCenter & CSLGuardの運用に移行したことについての監査法人の評価だ。「導入計画時、要件定義完了時、稼動開始直後などにおいて、ACTCenter & CSLGuardの固有機能やその運用方法について説明し、了解を得ながら導入準備を進め運用を開始した。その結果、正規の運用状況評価では、特権ID運用管理業務をSSCに移管したことを含めて、問題指摘や不備指摘は一切ありませんでした。それだけ特権ID管理ソリューションの完成度が高かったということでしょう」(松村氏)

今後、双日では、新たにJ-SOX法対象となるシステムや関係会社、人事関係システムなどの厳重な特権ID管理が求められるシステムにACTCenter & CSLGuardを適用するとともに、利用されていない不要な特権IDの検知とその整理にも活用していく考えだ。

「総合商社は個別システムが多く、一般ユーザーのID統制も大きな課題となっています。これからもNTTソフトウェアの経験と知見の惜しみない提供を期待しています」(伊良子氏)

お客様プロフィール

 お客様プロフィール
設立 2003年4月1日
事業概要 2003年4月に旧日商岩井と旧ニチメンが持ち株会社制に移行し、翌年に両社が合併することで双日が誕生。多くの事業を分社化してコア分野に特化した機能型総合商社として新たにスタートを切った同社は、機械(自動車、航空機、発電事業など)、エネルギー・金属(石炭、石油、鉄鉱石など)、化学(レアアース、メタノールなど)、生活産業(穀物取引、木材、不動産開発など)を主体とする営業部門で独自の強みを確立し、国内外に97拠点、500社を超えるグループ会社を擁しグローバルネットワークを構築。世界約50カ国で事業を展開する。
資本金 1603.39億円
従業員数 2278名(単体)、1万6614名(連結)

※2013月6月時点現在