特権IDソリューション

概要

社内のIT化に先駆的に取り組んできた三井農林では、内部統制対応の一環として特権ID管理システムを導入した。 自社の抱える課題を解決できるシステムを選定できたことで、内部統制の強化と業務効率向上の両方が実現できた。

課題

多様なシステムの統制強化で管理業務が急増

「日東紅茶」や「三井銘茶」のブランド名は、誰もが一度は目にしたことがあるはずだ。三井農林は、ティーバッグなどのコンシューマー向けの製品のほか、ペットボトル飲料メーカー向けの原料や、業務用・自動販売機用の製品も多く取り扱っており、紅茶の取扱量では国内最大手のメーカーである。

1980年代、三井農林では様々な種類のお茶関連製品を展開し始めた。そのため、製品が多様化し、製造・物流の業務が拡大していった。その対象業務の効率化を図るため、当時から積極的にIT化を進めてきた。

SOX法が施行されると、2006年から三井農林でも内部統制の強化が必要となった。同社が保有する様々なシステムに対する厳格な管理が求められ、その中でも特にサーバーメンテナンスなどで利用する特権IDの管理が重視された。

同社では作業のたびにActiveDirectory(以下AD)上の特権ID のパスワード変更を行い、作業者への貸し出し、回収、パスワード変更を行っていた。さらに、特権IDに関しては、毎月の監査レポートの作成も義務付けられていた。特権 IDの使用頻度が増加するとともに、パスワード貸し出し、変更の運用、作業申請などの管理負担も増大するという課題が浮き彫りになった。

解決へのアプローチ

リスクを可視化して対策の優先順位を明確に

「内部統制の強化にあわせて特権IDの管理規定や手続きを定め、 ID貸し出しなどの管理作業はすべて手作業で行っていました。そのため、特権IDの申請、貸し出し、パスワード変更などの作業量が膨れ上がり、担当者の本来の業務を圧迫する状態が続いていました。人員を増やすことなく、内部統制の強化を実現するためには、特権ID管理業務のシステム化しか方法はないと考えました」と情報システム部の黒鳥義宣氏は当時を振り返る。

セキュリティ対策としてのシステム導入は、ほかの業務システムと比較してコスト削減などの効果が見えにくい。そのために、必要性は理解していても、なかなか導入に踏み切れないという企業が少なくない。

そこで三井農林はリスクの見える化を実施し、費用対効果を見極めることとした。同社は、情報セキュリティのリスクは情報資産の価値、脅威の大きさ、脆弱性の度合いの3要素で評価できると考えた。リスクを定量的に分析・評価することは、システム導入の費用対効果だけでなく、自社に必要な対策やその優先順位を明らかにすることにもつながった。

情報セキュリティリスクの評価イメージ

ソリューションとその成果

選定のポイントは「背景を考慮した総合的な提案力」

2010年、三井農林は複数社からの提案を選定した結果、NTTソフトウェアの特権ID管理ソリューションの導入を決定した。選定のポイントは3点あった。
(1)ADやデータベースなどの特権IDの管理ができること
(2)自社開発の国産ソフトウェアでサポート体制が万全であること
(3)特権IDの貸し出し運用の申請機能もあわせ持っていること
が三井農林に評価された。さらに、黒鳥氏は、「NTTソフトウェアは三井農林の要求を理解するだけではなく、その要求の背景を考慮した提案をしてくれるので非常に助かりました」と評価している。

導入にあたって算出したリスク評価から、三井農林では、利用頻度の高いADやデータベースなどの特権ID管理ができることがシステム採用の必須要件となった。しかし、検討初期は、具体的な要求仕様が固まっているわけではなかった。

黒鳥氏は、「検討していく過程で当社にとって重要となる要件が新たに見えてきました」と語る。IDの貸し出しに伴う申請業務の負担や、貸し出しパスワードの値設定など特定のシステム担当者に偏った属人的作業を強いられる業務への対応、作業者による報告書作成の手間など、複数の運用課題が浮き彫りになっていった。ADやデータベースなどの特権ID管理必須の要件とあわせて、新たに明確になった課題も解決することが求められた。

NTTソフトウェアの特権ID管理ソリューションは三井農林の抱える課題をすべて解決できた「。ADなどに対し、期間を限定した特権IDを自動で貸し出すことで、業務の効率化が図れました。特に、管理者だけではなく、作業者にも大きな負担となっていた作業申請・承認、作業報告書の作成・承認をワークフロー化したことで、運用負担を大幅に軽減することができました。同時にパスワードの偏った値など属人的要素を極力排除できるので、内部統制の厳格な運用の実現が期待できます」と評価している。

NTTソフトウェアのSEの対応力の高さにも黒鳥氏は満足している。「導入して1年が過ぎましたが、トラブルらしいトラブルはありませんでした。当初はかなり身構えていましたが、あっけないほど順調です。不具合が生じても、“とりあえず”の応急処置を施した後に、抜本的な解決方法を提案するといった柔軟性のある対応にも感謝しています」

今後の展開

豊富な実績に裏付けられた技術力と対応力を評価

同社は今後、社内のコミュニケーションツールや受発注システムとしてクラウドの活用や、コンシューマー向けEC強化のためのシステム構築にも取り組んでいく予定だという。NTTソフトウェアの技術力と対応力を高く評価する黒鳥氏は、「今後も積極的なシステム化を進めていきます。その際にはNTTソフトウェアの力を貸していただきたいと考えています」と期待を示す。

多くの企業では内部統制強化や監査対応に伴い、特権IDの取り扱いについて課題を抱えている。特権IDはセキュリティリスクの高い分野であるため、厳格な管理を行う必要がある。しっかりとした管理を行おうとすると、その分、情報システム部門の運用負担が増加してしまう。特権IDの管理を見直す際には、定量的な導入効果を見積もり、そのデータに基づきシステム化を検討することが有効だ。 NTTソフトウェアでは、企業の特権ID管理の課題に対して、セキュリティ強化と運用負担の軽減を同時に実現するソリューションを提供している。三井農林をはじめとした多数の導入ノウハウをベースに、企業に最適な解決策をこれからも提案していく予定である。

システム構成図

お客様プロフィール

 お客様プロフィール
設立 1974年(創業:1909年/明治42年)
事業概要 食品事業では、家庭用紅茶・緑茶などの製造販売、ホテル・レストランチェーン、カップベンダー(自動販売機)への製品供給、および各種茶系飲料の原料供給を手がける。機能性素材事業として、茶抽出物/茶カテキンの研究・開発および原料供給・製品販売を展開している。
資本金 74億2475万円
従業員数 565名(2013年3月31日現在)
日東紅茶ロゴ

デイリークラブパッケージイメージ
人気定番商品のティーバック「デイリークラブ」

※2013年5月時点現在

※ ここに書かれた情報は、2017年3月時点の情報です。
  NTTソフトウェア株式会社は、2017年4月1日よりNTTテクノクロス株式会社に社名を変更しました。

※ ページに記載した会社名、製品名などの固有名詞は、一般に該当する会社もしくは組織の商標または登録商標です。