とぴあ浜松農業協同組合 様
JAとぴあ浜松 迫る公認会計士監査に向け、特権ID管理を強化した方法とは
お客様プロフィール
とぴあ浜松農業協同組合様
設立:1992年4月1日
URL:http://jatopia.ja-shizuoka.or.jp/
職員数:1,520人(2017年4月1日現在)
事業概要:営農指導地域の農畜産物の販売などの営農事業、信用事業、共済事業、生活事業など
背景
平成31年に向けた農協改革により浮上した「JAとぴあ浜松」のセキュリティ課題
JAとぴあ浜松は、JA(農業協同組合)の主たる業務である営農指導や、農薬・肥料の供給を行う購買事業、地域の農畜産物の販売を行う販売事業などの営農事業、信用事業、共済事業、生活事業など幅広いサービスを手掛けている。特にJAとぴあ浜松は、全国的に見ても多様な作物を取り扱っており、農産物の取扱高が大きいことが特徴だ。実際に平成28年度の実績では、農畜産物の販売では240億円もの売上があり、そのうち約半分の122億円が野菜関係で占めているという。
JAとぴあ浜松が現在取り組んでいるのが、政府による農協改革への対応だ。中でも、平成31年に実施する「公認会計士監査」が大きなトピックとして挙げられる。
この内容については、従来、全国農業協同組合中央会(以下、全中)が、全国各地にあるJAに対して独占的に有していた監査権を廃止するというものだ。今回の改正では、全中の監査権や指導権という強力な権限の一部が廃止され、新たな組織に移譲される。これにより、全中の監査部門は新たな監査法人として独立することになった。
これに伴い、「各地域の農協は自身の組織の外部監査を、一般監査法人からも選べるようになる(全中から独立した監査法人も選択肢の1つに含まれる)ため、セキュリティに対する意識がJAとぴあ浜松ではいっそう高まってきました」 と語るのは、JAとぴあ浜松の総合企画部 情報管理課 藤森 尚人氏だ。
JAとぴあ浜松は、静岡県内のJAで唯一、情報システム部門を持っている組織である。当課はJAの上位システムを補完する役割を担っており、たとえば各支店の実績報告システムや、顧客管理システムなどを開発しているという。
もともとJAとぴあ浜松の情報管理課では、VDI(Virtual Desktop Infrastructure)を取り入れるなど、以前からセキュリティへの意識は高かった。システムを担当する情報管理課の山崎昌則 氏は、「我々は県内最大のJA組織なので、万が一何か起きるとなれば、そのインパクトも非常に大きなものになります。組合員の個人情報や取引情報など、重要な個人データを持っているため、セキュリティ面は特に重視しています」と説明する。
さらに平成31年から外部監査に切り替わると、大きな課題になるのが特権IDの管理だ。特権IDを持つユーザーは、システムの全権を掌握できる“万能の存在”だからだ。また、情報管理課の職員7名以外にも、外部ベンダーがリモートアクセスでシステムに入るケースもある。
そこでJAとぴあ浜松では、外部監査にも対応できる内部体制とシステム構築が急務となっていたのである。
選定
JAとぴあ浜松が、特権ID管理に「iDoperation」を選択した理由
そこでJAとぴあ浜松が、新たなシステム構築とともに、特権IDを管理するソリューションとして選んだのが、NTTテクノクロスが提供する「iDoperation」であった。
とはいえ、一口に特権ID管理ソリューションといっても、世の中には数多くの製品が存在する。なぜJAとぴあ浜松は、iDoperationを選択したのだろうか? 実は製品選定にあたっては、iDoperationを含めた3製品から比較・検討を試みたという。
山崎氏は「1つの製品は、かなり高額で予算的に見合いませんでした。もう1つの製品はiDoperationと同価格帯でしたが、求めていた機能が足りないと感じました。iDoperationは候補の中でも機能が豊富で、操作が最も分かりやすく、簡単に扱えるという印象を受けました」と振り返る。
iDoperationの大きな特徴は、特権IDの管理(ID管理)、特権IDの貸出し(ワークフロー・アクセス制御)、点検・監査(ログ管理)まで、一貫してサポートしてくれるということだ。その際の運用面での簡便さが導入の決め手となった。
「iDoperationは、スモールスタートが可能だったこともポイントになりました。現在、データセンターで約50台のサーバを利用していますが、重要なサーバ5台から管理を始めています。あとから必要に応じて展開できるため、導入の敷居も低かったのです」(山崎氏)
効果
紙ベースの特権ID申請の電子化で、申請の迅速化とセキュリティを強化
正式にiDoperationの導入が決まったのは、2017年9月だ。現在、今年4月の実稼働に向けてシステム構築中である。構築しているシステムは図1のとおりだ。iDoperationを適用しているのは、ファイルサーバとアクティブディレクトリサーバで、ソリューション適用にあたっては、リリースされるiDoperationの最新バージョンを採用する計画になっているという。
このiDoperationを活用することで、これまで紙の帳票ベースだった特権IDの申請管理が電子化され、厳格になることが期待できる。
藤森氏は「申請フローの電子化により、承認書を回す手間が省けるようになります。特権IDが必要になるときは、緊急を要する場合が多いのですが、上長がつかまらないこともあり、緊急利用申請によるメリットは大きくなります。また、これまでのように稼働中のサーバのログを1台ずつ調べて、アクセス状況などをチェックする必要もなくなります」と評価する。
iDoperationでは、特権IDの承認プロセスを職務分掌に沿って実施し、承認から特権IDの貸し出しを承認ステータスに基づいて行える。また特権ID管理者が実施する仕事を自動化し、申請・承認と連動したユーザーへの特権IDの貸し出しと回収の権限付与や、定期的に実施するパスワード変更、アカウント棚卸作業を自動化してくれる。さらに、アクセスログを網羅的に収集したうえで、作業申請と自動突合してくれるため、後の確認も楽になる。
今後の展開
次のシステム更新時に、残りのサーバにもiDoperationの展開を検討
前出のように、JAとぴあ浜松では、今のところ5台のサーバにiDoperationを採用しているところだが、今後は残りのアプリケーションサーバなどにも、iDoperationを展開していく予定だ。
今後の計画について、山崎氏は「残りのサーバには古いOSを使っているシステムもあるため、その更新時にiDoperationの追加導入を検討することになるでしょう」と説明する。
実はiDoperationには、画面操作を録画できるオプションも用意されている。ただし、JAとぴあ浜松ではサーバ更新にプライオリティを置いているため、この機能の活用は今のところ予定されていない。今後、外部ベンダーとのやりとりがさらに求められることになれば、こういった機能も必要になるかもしれない。
JAとぴあ浜松の今後のICT戦略について、藤森氏は「これからクラウドサービスも積極的に活用していく必要があるでしょう。オンプレの場合はシステム更新サイクルが早く、運用管理も大変です。やはりクラウドサービスによって、コストを削減していく方向になると思います」と説明する。
農業分野では、これまでの勘と経験による世界から「スマートアグリ」と呼ばれる、ICTとデータを活用した効率的な農業への移行も期待されている。JAとぴあ浜松は「未来の地域農業のために」というスローガンを掲げており、今以上に農家に寄り添いながら、地域に必要とされる農協を目指している。
近い将来、農業にもICTの大きな波が押し寄せることは間違いない。もちろんJAには、指導的立場として農家を適切にサポートする役割が求められる。そのときに備え、特権ID管理も含めて、システムのセキュリティ対策を万全に整えておく必要があるだろう。