TOP>事例>官公庁/団体/協会>“特権は付与するが操作を記録”少数精鋭組織がIT統制で選んだCA Privileged Access Manager

“特権は付与するが操作を記録”少数精鋭組織がIT統制で選んだCA Privileged Access Manager

株式会社埼玉県農協総合情報センター

導入製品/サービス…
CA Privileged Access Manager  


株式会社埼玉県農協総合情報センター CA Privileged Access Manager

株式会社埼玉県農協総合情報センターでは、本番系サーバへのアクセスに関して、申請・承認管理と画面操作ログ取得がワンソリューションで実現するCA Privileged Access Manager(PAM) を導入しました。
その結果、申請・承認・監査といった手続きが効率化されるとともに、社内のIT内部統制の整備を進める中で、特権ID管理に関して高い統制レベルを達成しました。

株式会社埼玉県農協総合情報センター

導入のPOINT


1.本番系サーバアクセスへの申請・承認管理と画面操作ログ取得をワンソリューションで実現
2.直感的に使える管理ツールで、権限管理の下、申請・承認・再生の全てを行い業務生産性が向上
3.特権ID管理に関して、JAの公認会計士監査に対しても証跡提出できる体制が整備

課題

  • 特権ID管理の一環として利用してきた製品のうち、画面操作ログ取得ツール部分のサポートが終了することになった
  • 画面操作ログ取得に関して他社代替製品の導入を検討したが、既存製品含めサポートが複数企業になることを懸念
  • 本番系サーバアクセスの申請・承認フローに一部ばらつきがあり、以前から一元化を検討していた

対策

  • 本番系サーバアクセスの申請・承認管理、画面操作ログ取得に加え、監査業務の生産性向上をワンソリューションで実現するPAMを導入
  • アシストが要望実現に向け、積極的にメーカーと交渉
  • アシストは申請・承認フロー一元化の過程で生じた、不可避の要件変更にも柔軟に対応

効果

  • 特権ID管理が、適切な権限の下、使いやすいツール1つで行えるようになり効率的になった
  • 製品導入と並行して進めたIT統制フローの一元化でルールがシンプルになった
  • 特権ID管理に関して、IT統制上問題ないレベルになった

システム概要



特権ID管理の一環として利用してきた画面操作ログ取得ツールがサポート終了に


株式会社埼玉県農協総合情報センターは、埼玉県下JAグループの一翼を担う企業です。埼玉県内のJAグループが展開する信用事業、経済事業、共済事業などで利用する情報システムやJAグループの管理業務システムを、連合会と連携しながら開発するとともに、システム基盤業務、運用管理業務、システム受託推進業務を行っています。

同社では、社員はJAグループ各団体から赴任し、主にシステム企画やプロジェクト管理を担います。実際のシステム開発については、外部システムインテグレーターに協力を仰いでいます。JAグループ事業の特性上、情報システムで金融情報や顧客の個人情報など機密性の高いデータを扱うことから、各種コンプライアンスの整備・遵守はもちろんのこと、全業務従事者を対象に年数回のセキュリティ啓蒙活動を行うなど、同社は徹底したセキュリティ対策を講じています。

同社 運用部では、数十台の本番系サーバを維持管理しています。時折、必要があって開発部の委託を受けた開発者がこれらのサーバにアクセスします。IT統制上の観点から、申請・承認管理とともに、いざという時に何が発生したか確認できるよう画面操作ログを取得した方がよいと判断、アシストの販売するCA Shared Account Manager(以下、SAM)、これと連携する画面操作ログ取得ツール「CA Session Recording」(以下、SR)を利用してきました。

2016年夏、2年後の2018年8月にCA社でのSRサポートが終了することになり、同社はその機能を代替する製品を調査し始めました。


アシストの提案活動を評価してCA Privileged Access Managerを導入


当初、同社はSAMと別の画面操作ログ取得ツールの併用を検討しました。ただ、それではサポート企業が2社になります。できればそれは避けたいと株式会社埼玉県農協総合情報センター 運用部 次長 恩田智男氏は考えました。

恩田 智男 氏

恩田氏  SAMと別の画面操作ログ取得ツールを併用すると、何かあった時に問題をこちらで切り分けなければなりません。当社は少人数で多くの業務をこなしているため、そこに工数は割けません。問題が生じた時の連絡企業を1つに絞りたいという思いがありました。

そうした中、2017年にSAMの機能と画面操作ログ取得機能を合わせ持ったファミリー製品 CA Privileged Access Manager(以下、PAM)が登場します。これはアシストが販売するため、全ての対応をアシストへ一任できます。また、アシストの営業担当者は同社の要望に耳を傾け、メーカーと熱心に交渉を行いました。同社は一連のアシストの提案活動を評価し、PAMの導入を正式に決定しました。

また、アシストには「顧客が最終的に達成したいゴールがアシストのゴール」との考えがあります。運用部では、この製品リプレースと並行してIT統制フローの一元化を行っていたのですが、それに伴って生じた要件変更にもアシストは柔軟に対応しました。

恩田氏  最初に要件定義を固めきれればいいのですが、なかなかそうはいきません。変わっていく要件に対して、アシストは「当初の話にはなかった」などと杓子定規なことを言いませんでした。これはとてもありがたかったですね。


申請・承認・監査業務の生産性が向上、特権ID管理における内部統制が強固なものに


2018年5月、PAMを搭載するサーバインフラが整いました。その後アシストが導入作業を実施。同9月にはPAM利用が始まりました。同11月にはIT統制フローの一元化も完了しています。導入から約半年経った現在では、開発部が本番サーバにアクセスする際は、直属の上長経由で運用部に申請書を提出するとともに、PAM上でも申請を行い、運用部承認後にPAM上でサーバアクセスが承認されるというフローに統一されました。

星野 智弘 氏

株式会社埼玉県農協総合情報センター 運用部 主任 星野智弘氏は、PAM導入による効果を次のように語ります。

星野氏  SAMを使用していた時は、この操作をする時はWebブラウザで、動画を再生する時はSRを立ち上げてと、複数のツールを使い分けていました。PAMになって、申請・承認・監査といった全ての作業が適切な権限の下にPAMクライアント1つでできるようになり、手続きの効率化が図られました。また、PAMクライアント自体もSAMと比較して操作性がシンプルになって使いやすいですね。開発部のユーザーからもそういう声が届いています。

PAMで実現した特権ID管理に関して、同社のコンサルティング企業からはIT統制において一定の評価が得られました。また、来年度よりJAグループで公認会計士監査が導入されますが、いつでも直ちに証跡を提出できる体制が整いました。恩田氏は語ります。

恩田氏  IT統制上、最大のカギとなるのはサーバの特権ID管理です。権限を細かくロール化し、それをこまめにメンテナンスしながらその都度付与するのが理想でしょうが、いかんせん専任者を置けません。その点、“特権は付与するかわりに適切な申請承認の実施および利用時の証跡取得”というPAM方式とすることで効率的な特権ID管理を実現できると思います。

同社では今後、サーバ環境の物理セキュリティの強化、インターネット分離、生体認証と連動したSSO導入など、様々な施策の導入を予定しており、さらに厳格性が求められるIT統制の実現に注力していきます。


埼玉県農協総合情報センター様の事例記事(PDF)をダウンロード



本事例をまとめたPDF資料を今すぐダウンロードいただけます。印刷や社内共有等にご活用ください。



本事例でご紹介したお客様情報

会社名 株式会社埼玉県農協総合情報センター
概要 埼玉県内JAグループの信用事業、経済事業、共済事業などの事業に対して、連合会と連携しながら情報システムを開発・提供するIT企業です。少数精鋭主義ながら、業務の特性上、常に高いセキュリティレベルの実現に注力しています。
本社 埼玉県さいたま市浦和区高砂3丁目12番30号
設立 1977年6月29日
従業員数 41名(2019年3月現在)
取材日 2019年3月

関連製品/サービス

CA Privileged Access Manager

CA Privileged Access Managerは、重要なサーバに対する高水準の特権アクセス管理を実現する製品です。これからの日本企業で求められる多様なIT環境とニーズの変化に備えた多彩な管理機能を一元的に提供します。

  • OS機能では不可能な特権IDのアクセス制御を実現
  • 監査対応に有効な詳細で解りやすいアクセスログ
  • 特権/共有ID管理を低コストで実現

詳細へ

事例に関するお問い合わせ

資料請求/お問い合わせはこちら(専門の担当者が確認し、ご対応します。)

ご興味のある事例がございましたら、お気軽にお問い合わせください。より詳しい情報をお届けします。

ページの先頭へ戻る