6000ユーザに30以上のシステムを提供するにはひとつ上のID管理を目指す必要があった
東ソー情報システム株式会社様
システム毎に分散管理されていたIDのセキュリティ対策が課題となっていた総合化学メーカの東ソー。
同社では、その課題に対してIDを統合的に管理するID管理システムを2007年10月に導入した。これにより、ID管理に対するセキュリティの向上と業務効率の改善が図られ、今後の東ソーグループにおける新たなIT戦略の推進が可能となった。
ID 管理に係る脆弱性
本システムの導入を担当した東ソー情報システムのシステムサービス事業部では、国内の東ソーグループ26社、6000ユーザに対して、ASPサービス、ネットワークサービスと運用管理サービスをワンストップソリューションとして提供している。
提供する30以上のシステムで利用されるIDは、東京、南陽、四日市の各事業所のシステム担当者により管理されていた。申請情報により手作業で行うID管理は管理負荷が大きいばかりでなく、ID の登録・変更・削除における作業ミスの危険性が考えられた。また、システム単位で存在するIDを覚えられずに、メモ書きして運用するユーザもおり、これら管理者とユーザにおけるID の煩雑な管理に起因するセキュリティが以前から危惧されていた。そこで、東ソー情報システムでは、人事情報に基づいたポリシーを動的に各システムのIDに反映する統合ID 管理システムとシングルサインオン(SSO)の導入を決定した。
ひとつ上のID 管理に対応した製品を選択
ID 管理を実現するための製品の選定に関して、本システム導入の責任者である東ソー情報システム ネットワーク・グループリーダー岡 幸一氏は次のように紹介する。「ユーザが追加や削除された場合に、ユーザ情報を配信するだけの安価なパッケージ製品も存在した。
しかし、ID 管理に係るセキュリティの向上を目的としたため、単純なID 情報の連携だけでは満足できなかった。一元管理したポリシーをいかに柔軟に各システムのID 情報として反映できるのかという点に重点をおいて、ひとつ上のID管理を目指した製品選定を行いました。」「例えば、新入社員が入社した場合に、配属部署などの情報は人事システムから反映することができますが、IDに関してその人のWindowsログインスクリプトの設定や権限が自動的に反映されないのであれば、結局手作業で設定することとなり作業ミスを招く恐れがあるのです。」とシステムサービス事業部 内田 和哉氏は続けた。
そこで、最終的に国内での導入実績も考慮した結果、Novell Identity Manager(NIM)とSSOとしてRSA Access Managerを採用した。
設計・構築に2 年を要した。その理由は・・・SAP の導入
「導入には連携する人事システムやActiveDirectory(AD)の導入の影響もあり、これらシステムとの調整に苦労した。」と岡氏は振り返る。ID 管理システムの導入計画の直後に、人事システムとしてSAP の導入が決定したのだ。
これが今回のID管理システムの導入に大きな影響を与えることとなった。ID 管理システムでは、人事情報を源泉として他システムへポリシーに基づいたID 情報を配信する。源泉データとなるSAP のインターフェース部分の仕様が決定するまで設計に入ることができずに、運用開始まで2 年の期間を必要とした。
また、Windows NT4.0からAD 統合化によりPCのプロファイルの移行作業を行ったばかりであったが、ID 管理システムから新たなID情報をADに連携すると、再度プロファイルの変更が必要となるという問題が生じた。再度のプロファイル変更作業の実施は許されないため、AD 管理者によるこのID 情報のギャップを埋めるためのコンバート作業が必要となった。
「更に、東ソー社員である4200 名の情報は、ID 管理システムに対して自動入力されるが、関連会社の2000ユーザの情報は、紙データからの手作業による入力を与儀なくされた。
これには、ID 管理チームを編成して入力対応したが、一時的ではあったが大変だった。」と内田氏は運用開始までの苦労を紹介する。現在は、Web ベースのID 申請用のワークフローを作成しこのような対応は不要となっている。
ID 管理システムが他システムの基盤となる
図のように源泉とする人事情報からID管理システムに対して、異動や退職といった人事イベントの情報を投入し、その情報を基に各システムにID情報が連携される構成である。ここでNIMの前段にID源泉情報の精査と連携のタイミング調整を目的としたDBが配置される。管理者によるID のメンテナンスもこのDBを通して行われることとなる。
連携システムとしては、AD、SSL-VPN、SSOが直接連携し、連結決算システムにはCSV 連携する構成とした。
「今後もサービスしているシステムをこのID管理システムへ連携していく方向で考えている。」(岡氏)とのことで、将来的にもこのID管理システムが各システムの基盤として運用されていく予定である。
東ソー「ID管理システム」構成図
SAPの権限付与や内部統制対応にも
これまで各システム管理者に任せていたID 管理は、ユーザ毎の人事イベントに連携してタイムリーに反映できることとなり、人為的な作業もなくなったことでセキュリティは確実に向上し、管理負荷も大幅に軽減された。
特に、SAPでの細かな権限付与に関しても、本システムに連携することで容易に行うことが可能であった。
導入計画時には、日本版SOX法に対してどこまで対応する必要があるのか判断できない状況であったが、セキュリティ対策として管理者の特権IDも含めたIDの一元管理を可能としたことで、現在では内部統制対応に大きく貢献している。監査時に各システムへのアクセス権の正確性を証明することも容易となった。
アクシオの対応について
「特に今回のシステム導入では、並行してSAP 導入などの大きな外的要因に対して、自分達と同じ立場に立って対応してもらうことで乗り越えることができたと感じています。最後まで対応してもらい非常に助かりました。」(岡氏)と笑顔でお答えいただき、アクシオのスローガンである“Standing on yourViewpoint”を実感した。
お客様プロフィール
- 法人名
- 東ソー情報システム株式会社
- 本社
- 東京都港区芝2-5-10 芝公園NDビル
- 設立
- 2000年1月11日
- 資本金
- 406億円(2008年3月末現在)
- 事業内容
- 東ソー株式会社およびグループ会社に対して情報システムサービスを提供する
・ビジネスソリューションサービス
・システムマネジメントサービス
・システムコンサルティングサービス
・プロダクト提供サービス - 売上高
- 3,029億66百万円
[連結3,732億9百万円](2011年3月期) - 従業員数
- [連結]11,088人
(2008年3月末現在) - 御担当者様
-
東ソー情報システム株式会社
システムサービス事業部
ネットワーク・グループリーダー
岡 幸一 氏
東ソー情報システム株式会社
システムサービス事業部
内田 和哉 氏
- *記載されている内容は予告なしに変更される場合があります。