TOP>事例>電力/水道/ガス>PISOとCA Access Control(現:CA Privileged Identity Manager)の活用で、職務分掌による権限分離を果たした、きめ細かなアクセスログ管理を実現。

PISOとCA Access Control(現:CA Privileged Identity Manager)の活用で、職務分掌による権限分離を果たした、きめ細かなアクセスログ管理を実現。

株式会社ケイ・オプティコム

導入製品/サービス…
PISO  CA Privileged Identity Manager(旧 CA ControlMinder)  

内部統制上のリスクの洗い出しの結果、アクセスログの適切な管理への早急な対応がケイ・オプティコムの課題としてあがった。職務分掌を行い個人の職務権限に応じたきめ細かなアクセスログ管理を行うために提示された3つの必須条件。この必要条件をすべて満たしたのが、CA Access ControlとPISOだった。

「光をもっと、あなたのそばに。」独自の高品質な光ファイバーネットワークを基盤に、コンシューマ、法人を対象にネットワーク環境を提供するケイ・オプティコム。関西電力グループの企業として、関西地域においてFTTHサービスでは大きなシェアを獲得しており、顧客満足度でも高い評価を得ている。

数多くの顧客にサービスを提供している同社では、個人情報の取り扱いには十分な配慮を行ってきた。しかしながら、継続的なさらなる対応強化の必要性があったという。また、ケイ・オプティコムは、非上場企業で日本版SOX法の規制対象ではない。しかし、親会社である関西電力の日本版SOX法対応を機に、同社においても内部統制の強化が求められた。関西電力の財務諸表に影響を与える決算業務および資産管理について、ケイ・オプティコムにおいても監査に耐えうるIT全般統制の強化の必要がでてきたのだ。

きめ細かなアクセスログ管理を実現するにはツールが必要


日本版SOX法対応は、平成18年度にプロジェクトがスタート。セキュリティ管理、運用管理、システム開発保守管理、インフラ導入保守管理、外部委託といったIT全般統制に関わる業務プロセスを選定し、プロセスの文書化を行うと同時に、内部統制上のリスクの洗い出しが行われた。

「洗い出しの結果、アクセスログの適切な管理をどうするのかという課題が浮かび上がりました。」(松井氏)

総合経営本部 ITシステムグループ システム計画チーム リーダーの松井 浩氏は、早急に対処すべきリスクが、アクセスログ管理だったと言う。リスクによっては運用を見直すことで回避できるものもあったが、アクセスログ管理には新たな仕組みが必要だった。同社では個人情報を対象に、強化した独自のログ収集の仕組みもあったが、管理目的と対象システムの違いもあり、新たな仕組みが必要と判断されたのだ。

株式会社ケイ・オプティコム
総合経営本部 ITシステム
グループシステム計画チーム
リーダー
松井 浩 氏

対象プロセスである決算業務、資産管理については従来「管理者」アカウントでさまざな作業を行っていたが、監査に耐えうる仕組みにするには、管理者ではなく「個人」を特定し、どういった運用を誰が行うかを明確にしなければならない。

職務分掌を行い個人の職務権限に応じたきめ細かなアクセスログ管理を行うには、運用の見直しだけでは対処できない。何らかのツールによるアクセスログ管理の強化が必要となった。

必要なログを取得してもシステムに負荷を与えない


製品選定に当たり、情報漏えいを防ぐ観点から3つの必須条件があったと松井氏は言う。

「ログは管理者であっても改ざんできないこと、必要なログの取得漏れがないこと、そして、いつ誰がどこからアクセスし、何に対しどのような操作を行ったかが漏れなく記録できるものでなければなりません。」(松井氏)

上記条件を満たしても、そのために負荷が上がるようでは、既存システムに手を入れそれを解消しなければならない。条件を満たすと同時に、システムに負荷を与えない必要もあった。これらの条件をもとに、データベース監視ツールの比較が行われた。データベースのAudit機能を利用するタイプのツールは、必要なログは取得できるがサーバに大きな負荷が発生する。また、パケット取得型は負荷は発生しないものの、管理者がコンソールから直接アクセスするような、もっとも監視したいログを取得できない。

最終的にはデータベースが利用するメモリ空間を直接監視する、エージェント利用型のPISOが選ばれた。PISOは必要なログが取得できることに加え、監視するデータベースの負荷が極めて少ない点が大きな評価ポイントとなる。さらに、他方式の製品に比べ、コストパフォーマンスでも高い評価を得たのだ。

必要条件を満たしOSよりもきめ細かいアクセス制御も行えるCA Access Control


「OSアクセスを監視するツールとしては、監視対象としてWindowsは必須でした。さらにシステム管理者によるなりすまし操作をきちんと監視できることも重要です。」(松井氏)

OSアクセスログ管理の必要条件すべてを満たしたのが、CA Access Controlだった。安価な他社製品もあったが、すべての必要条件を満たしていないツールは、たとえ安くても対象外。CA Access Controlは、単にアクセスログのきめ細かな監視が行えるだけでなく、さまざまなアクセス制御を行える点も加点要素となった。アクセス制御機能はこのときの選定要件にはなかったのだが、CA Access Controlを活用すれば、OSレベルよりもきめ細かな設定が可能であり、OSが異なる環境でもアクセス制御の一元管理が可能となる。

アシストの関西SE部隊が専任で導入をサポート


PISOおよびCA Access Controlの導入は、2007年10月に決定された。そして、これらツールの導入作業は、12月から開始される。選定時の製品情報提供から、ツール導入の支援までを行ったのが、PISO、CA Access Control双方を取り扱っているアシストだった。1ヶ月ほどかけ設定に必要なヒアリングを十分に行い、ソフトウェア導入自体はほんの1日ほどで終了した。その結果、2008年1月には試験運用が開始され、翌2月からは早々に本番稼動となった。

「導入ではほとんど苦労しませんでした。唯一問題となったのが、将来的に監視対象システムを増やす予定があり、それに対応するためにPISOのコンソール機能を動かすハードウェアスペックをどの程度にするかでちょっと悩んだくらいです。」(松井氏)

このハードウェア選定でもアシストと協力し、将来的な運用拡大に対応できるハードウェアを速やかに選定した。また、PISOの製品仕様に起因する懸念点もあったが、アシストからメーカーであるインサイトテクノロジーに要望事項として上げられ、将来的に製品そのものの改善で対応される予定である。

CA Access Controlは、導入後に印刷処理に時間がかかる問題が発生。アシストのSEと協力し原因究明を行った結果、印刷時に特定ファイルへのアクセスが集中することが判明する。そのファイルを、監視対象から外してセキュリティ的に問題がないかの検討した結果、問題なしと判断されこのトラブルも速やかに解消している。

「アシストは関西にもSE部隊があり、我々のリクエストに迅速に対応してくれました。」と松井氏。関西に専任の技術部隊がいることは、ケイ・オプティコムのように関西を基盤としている企業にとっては、きわめて心強い存在だと松井氏は言う。

将来的には、他システムにもPISOとCA Access Controlの適用を拡大する予定とのこと。このときに、できるだけ統合的にログ管理できる仕組みを構築したいと松井氏は言う。システムだけでなく、オフィスへの入退室管理なども統合できれば、横断的にログを分析し、なんらかの問題が発生した際に誰がいつどういう行動をとったかを瞬時に把握できるようになる。

アクセス制御だけでなく障害通知のログなども一元化できればと、さらに松井氏の展望は広がりを見せる。こういったことの実現に、どういった製品を組み合わせればいいのか、新たな提案が今後もアシストには求められている。

※本資料は2008年9月末現在の内容となります。
※記載されている会社名、製品名は各社の商標または登録商標です。

この事例で採用された、アクセス制御製品の資料を無料プレゼント

この事例で採用された製品の1つであるアクセス制御製品、CA Access Control(現:CA Privileged Identity Management、略称:PIM)の関連資料を無料でダウンロードいただけます。

貴社の実現したいアクセス制御の実現イメージを、もう一歩具体化していただける資料集です。お気軽にご利用ください。

この事例でご紹介したお客様情報

会社名 株式会社ケイ・オプティコム
本社 大阪市北区西天満5丁目14番10号 梅田UNビル
創業 昭和63年4月2日
資本金 330億円(関西電力100%出資)
URL http://www.k-opti.com/
事業内容 関西電力グループビジョン“総合生活基盤産業”の情報通信分野を担う企業として設立。関西一円に独自の光ファイバーネットワークを構築し、高付加価値な通信サービスを、高品質かつ低価格で関西のお客様に提供。パーソナルからビジネスにいたる幅広いシーンで、インターネット接続、通信ネットワークの構築、ITソリューションなどの事業を展開している。

関連製品/サービス

PISO

PISOは、データベースのアクセスログを取得し、不正アクセスを即座に発見できるデータベース監査ツールです。パフォーマンスに影響を及ぼすことなく、正確なログを取得できます。

  • Oracle DBへのアクセスを記録・監査
  • 不正なアクセスに対する柔軟な警告
  • パフォーマンスに影響を与えずSQL全文を取得

詳細へ

CA Privileged Identity Manager(旧 CA ControlMinder)

CA Privileged Identity Managerは、OSユーザのアクセス管理を行なう製品です。アカウント管理、アクセス制御、アクセスログの取得などにより、重要なデータやアプリケーションを保護します。

  • OS機能では不可能な特権IDのアクセス制御を実現
  • 監査対応に有効な詳細で解りやすいアクセスログ
  • 特権/共有ID管理を低コストで実現

詳細へ

事例に関するお問い合わせ

資料請求/お問い合わせはこちら(専門の担当者が確認し、ご対応します。)

ご興味のある事例がございましたら、お気軽にお問い合わせください。より詳しい情報をお届けします。

ページの先頭へ戻る