サーバー1,000台を超える大規模環境で特権ID管理システムを再構築。統制強化と運用負荷低減を両立

株式会社中電シーティーアイ（以下、中電シーティーアイ）は、既存の統制管理システムの性能劣化や、運用負荷増大の課題を解消するためにiDoperation を導入し、管理者の負荷軽減とともにユーザーの利便性向上を実現。クラウドやSaaSへの統制対象の拡大など新たなセキュリティ要件に対応できる基盤を得て、IT全般統制の取り組みを強化していきます。

中部電力グループ唯一のIT企業である中電シーティーアイは、中部電力のITに関わる企画設計から導入・保守運用まで、一貫してサポートしています。

同社が重視する分野は、情報漏洩対策や監査対応において不可欠なIT全般統制の取り組みです。中部電力グループでは、約1,100台にも及ぶ本番システムへの予防的統制（適切なアクセス制御）と発見的統制（作業証跡管理）を必要としており、これらを担保するため統制管理システムを利用しています。

しかし、2015年から9年間稼働していた統制管理システムでは、性能劣化やリソース不足が顕在化し、特権IDの払い出し処理の遅延や、処理エラーが多発するようになりました。技術本部 プラットフォームリージョン ハイブリッドクラウドセンター サービス技術グループリーダーの斉藤隆明氏は当時の状況を次のように振り返ります。

斉藤氏　 2021年から3年間でユーザーからの申請数は3倍に急増。申請の増加により処理負荷が集中し、エラー件数も増加する悪循環が発生していました。また、特権IDの申請から利用までに30分以上かかるため、ユーザー側では、使うかどうかに関わらず、緊急時に備えて、事前に多数の特権IDの発行申請を行う運用が定着していました。

そのため、発行したIDに対する利用率は約10％程度にとどまっていたと言います。

そこで次期システムの構築に着手し、まずはAs-Is／To-Be分析を実施して現行システムの課題を整理した上で、新たな要件を明確化しました。

統制管理システムという性質上、不可欠である「申請・承認プロセス」、「アクセスコントロール」、「作業証跡記録」の3機能を踏襲することを前提に、追加の必須要件として「処理能力向上」、「運用負荷軽減」、「セキュリティリスク排除」を掲げました。

斉藤氏　 最終的に、要件への合致性と、サポートも含めたトータルコストの観点から選定したのがiDoperationです。大量申請の原因となっていた特権IDの都度払い出しから脱却できるとともに、今後の利用展開も見据えたクラウドやDBMSなど、特権ID管理の適用範囲が非常に広い点も優位性がありました。

また、ユーザーとサーバーの紐付けができるなど、機能的な柔軟性も評価したポイントです。従来のシステムでは、ユーザーが全てのシステムにアクセス申請できてしまう状態でしたが、iDoperationではユーザーとサーバーを適切に紐付けることで、自身の保守対象でないサーバーへの誤申請を未然に防止することができます。さらに、実装方法についても利点があったと言います。

斉藤氏　 当社の場合、ユーザーとサーバを紐付ける場合、約350本程度のワークフローを設定しなければなりません。もし、その操作を画面上のGUIのみで行わなければならなかったとしたら、作業が煩雑化して保守できなくなることが想定され、実装をあきらめていたと思います。しかしiDoperationには、CSV一括取り込み機能が用意されているため、初期設定からメンテナンスまで、少ない作業工数で実装することができます。また、アシストから提供を受けたサンプルを参考にしてCSVを作成することで、初期設定をスムーズに行えました。

iDoperationを採用した統制管理システムの再構築作業は、1,100台を超えるサーバーを対象に、設計から構築・テスト・移行まで約8ヵ月間のスケジュールで実施しました。

斉藤氏　 約100名のインフラ保守要員との調整やスケジュール管理を地道に実施して移行作業を推進しました。最も苦労したのは、約1,100台の統制対象サーバーと統制管理システムをつなぎこむ作業です。旧システムにて統制対象であったサーバーは自動的に抽出可能でしたが、抜け漏れが生じる可能性があるため、運用部門やインフラ保守部門と連携しながら一つ一つ精査していきました。

この統制管理システム再構築プロジェクトにおいて、アシストは、要件ヒアリングから設計・構築・テストまで支援を行いました。また、中電シーティーアイが実施する移行作業では、お問い合わせに対応しながら、製品を正しく理解・活用できるよう伴走しています。

斉藤氏　 他のベンダーでは、質問や相談に都度対応していただけることはあっても、アシストのように、ベンダーからの能動的なアプローチで計画的にフォローしていただけることはありません。しっかりした運用をしているという印象を受けました。また、運用開始日の3日前になって、技術的な問題が発覚したときの対応が忘れられません。アシストの技術者が、東京から名古屋に駆けつけてくれて、たった2日間で迅速に問題を解決してくれたおかげで、無事に運用を開始できました。このときの協力的な支援には本当に感謝しています。

新しい統制管理システムでは、特権IDの払い出しにかかる時間が30分以上から5分未満へと短縮され、ユーザーの利便性が劇的に改善しました。また、月間16,000件発生していた処理エラーも大幅に削減でき、管理者が不具合に対応する作業負荷を大きく軽減しています。

さらに「もしかしたら利用するかも」という理由で申請されていた特権IDの払い出しも減少し、特権IDの利用率も4倍程度に向上しました。過剰に払い出されていた特権IDが減ったことで、不用なIDが残存するセキュリティリスクや、その削除作業を行う管理者側の負荷も軽減されました。

iDoperationを通じて、統制管理業務の高度化と省力化を実現した中電シーティーアイですが、日々変化するシステム環境に追随しながら統制強化を図っていくと斉藤氏は語ります。

斉藤氏　 今後は統制対象を拡大していきます。2024年7月の運用開始後からすでに第1弾の利用拡大として、Azureポータルへのアクセス制御に対応しました。DBMSの対応も完了し、現在はAWSコンソールに対応中です。今後は、新たに生じるニーズに対応しながら統制強化に向けた取り組みを進めていきます。

iDoperation について詳しく知りたい方はこちら

iDoperation の「 詳細機能 」がよくわかる iDoperation 紹介資料を
ダウンロードする

費用感や活用イメージがわかる 無料で問い合わせる