お客様プロフィール

東邦ガス情報システム株式会社

東邦ガス情報システム株式会社

URL:http://www.togis.co.jp/

設立:1984年2月1日

従業員数:216名(2021年4月1日現在)

事業内容:コンサルティング・システム開発、情報インフラ整備、技術調査など

東邦ガス情報システム株式会社

背景

セキュリティ強化のために求められた「特権ID」の厳格な管理

 東邦ガス情報システムは、東邦ガスおよびグループ各社のITシステムの構築・運用を支援するとともに、そこで培った技術・ノウハウをもとに東邦ガスグループ外のお客さまに対してコンサルティングやシステム開発、情報インフラの構築・運用、技術調査などのサービスを提供している。

 同社は、東邦ガスの業務を支えるさまざまなシステムの開発・運用をしているが、そこで課題として挙がったのがサーバの管理者権限である「特権ID」の管理だった。

 特権IDでサーバにログインすれば、あらゆることができる。万が一、特権IDが不正もしくは誤って利用されることがあれば、東邦ガスの業務に大きな影響を与えるのは避けられない。特権IDの管理が課題だった2017~2018年当時の状況について、プロジェクトリーダを務めた保坂 泰広氏は次のように説明する。

 「当時は、サーバへのアクセス履歴や操作ログを取得する仕組みがある上で、サーバの特権IDを利用する時には、Excelで作った管理簿に利用するサーバや作業内容を事前に記入するルールとなっていました」(保坂氏)

 なお、事務所、サーバ室、サーバにアクセスする端末がある本番エリアは社員証がないと入室できない専用エリアとして独立している。そして、サーバにアクセスする端末にはICカードリーダが接続されており、専用のICカードで認証して、はじめて端末にログインできる仕組みとなっている。

 このように、サーバに関しては非常に高セキュリティな環境で運用されていたが、各サーバの特権IDの利用については、誰が、どういう目的で利用するか、別途管理簿を確認する必要があり、ルールを徹底することが難しい状態になっていた。そこで、より厳格なセキュリティを実現するため、特権IDを管理する新たな仕組みが求められたのである。

選定

特権ID管理ソリューションの選定で重視した「4つのポイント」

 そこで同社は、東邦ガスのセキュリティ部門とともに、ソリューションの検討を開始した。対象とするサーバは約700台で、各サーバの特権IDを一元的に管理できるソリューションを比較・検討した。プロジェクトメンバーの栗田 昇氏は「重視したポイントは4つありました」と次のように語る。

 「1つ目は誰が、いつ、どのサーバで作業したかを厳格に管理できること、2つ目はパスワードの定期的な変更が可能であること、3つ目がワークフローでの承認が実現できること、そして4つ目が作業内容のログを記録できることです」(栗田氏)

 特に3つ目については、Excelの管理簿を利用した運用となっていたため、上長が不在のとき承認できず、作業が滞ってしまうという問題もあった。このため、セキュリティ面はもちろん、業務の円滑化という観点でも新しい仕組みが求められていたのである。

 こうして同社は、2018年末、4つのポイントをすべて満たし、かつライセンスと製品保守のコストが最も手頃だったNTTテクノクロスの特権ID管理ソリューション「iDoperation」とログイン後の画面操作を録画記録する「iDoperation SC」の導入を決定した。2019年2月からシステムの構築を開始し、約700台のサーバについて、1台ずつ設定作業を進めた。栗田氏は、設定作業を次のように振り返る。

東邦ガス情報システム 栗田 昇氏

東邦ガス情報システム 栗田 昇氏

 「サーバの環境に合わせて1つひとつ条件を確認して、必要な設定を行いました。対象となるサーバはWindows、LinuxなどOSも異なれば、利用する部署も異なります。このため、サーバごとにポリシー設定や割り当てる部署を変えなければなりません。こうした作業を1つひとつ確認しながら進めました」(栗田氏)

 設定が完了したサーバからiDoperationの管理下に置き、順次、iDoperationとiDoperation SCによる運用に切り替えていった。そして、2021年4月、最後のサーバの登録を完了し、当初の予定であった約700台のサーバすべての登録を完了したのである。

効果

特権ID管理の厳格化、柔軟な申請・承認フローを実現

 特権IDを管理する新しい仕組みが完成したことで、当初の目的はすべて達成できた。最も大きな成果は、事前の確認が強化されたことだ。

 「これまでは、Excelの管理簿に記入してから、上長から本番エリアの作業者端末にログインするICカードを受け取り、サーバにログインするステップを踏んでいました。万が一、管理簿の記入忘れや記入漏れがあった場合、サーバへのログインを厳格に制御することは難しかったですが、新しい仕組みではiDoperationで事前に申請しなければログインできないため、管理が徹底されました」(保坂氏)

東邦ガス情報システム 保坂 泰広氏

東邦ガス情報システム 保坂 泰広氏

 また、iDoperationには、事前に設定したパスワードポリシーとスケジュールに沿って、パスワード変更を定期的に自動実行する機能が用意されている。この機能により、パスワード変更に伴う管理者の負担は大幅に低減されることにより、特権IDのパスワードの定期的な変更運用が実現可能となる。

 ワークフロー機能により、より柔軟な申請・承認が可能になったのも大きな成果だ。

 「特権ID管理ソフトを導入すると上長が不在のとき承認できず、作業が滞ってしまうという懸念がありました。しかし、iDoperationは承認者を複数登録したり、緊急時は事後承認で利用させたりできるので、急なトラブル対応でサーバにログインする必要があるときでも、迅速に対応することができました」(保坂氏)

 サーバに接続するときに利用するアプリケーション「iDoperation Client」への評価も高い。利用可能なサーバが分かりやすく一覧表示されて、そこからサーバを選択するだけで自動的にログインできる。保坂氏も「利用者の多くが、IDやパスワードの入力が省力され、スムーズにサーバにログインできるようになったと評価しています」と述べる。

申請、利用、ログ点検の利用イメージ

申請、利用、ログ点検の利用イメージ

 また、iDoperationと合わせて導入したiDoperation SCにより、ユーザの操作を動画で確認が可能となったのも大きいという。

 「以前も、サーバへのアクセス履歴や操作ログは取得していましたが、iDoperation SCで操作内容をすべて動画で確認できるようになったので、より容易に操作内容の確認ができるようになりました。現在は、特権IDの利用点検レポートを毎日出力し、必要に応じて、動画ログを確認するようにしています」(保坂氏)

今後の展開

今後はクラウドサービスの特権ID管理も

 今回、約700台のサーバの特権ID管理の仕組みが完成したことで、東邦ガスのセキュリティレベルは大きく向上した。ただし、まだやることはあると、プロジェクト責任者の原田 喜夫氏は次のように述べる。

東邦ガス情報システム 原田 喜夫氏

東邦ガス情報システム 原田 喜夫氏

 「東邦ガスでは、オンプレミスだけでなく、クラウドのさまざまなサービスも活用しています。このため、今後はクラウドサービスの特権IDについても管理していきたいと考えています」(原田氏)

なお、iDoperationはAWSやMicrosoft Azureなどパブリッククラウドの特権ID管理にも対応し、オンプレミスとクラウドが混在したハイブリッド環境でも特権IDを一元的に管理することが可能だ。

 「我々は、東邦ガスはもちろん、グループ会社のITも支援しています。今後は、iDoperationをこれらの会社にも展開するなどして、グループ全体としてのセキュリティ強化に貢献したいと考えています」(原田氏)

 最近は、製造業や電気・ガスなどのインフラ企業を狙ったサイバー攻撃が増えている。特にデータを暗号化して身代金を要求するランサムウェアの被害が多い。こうした攻撃では、システムの特権IDが狙われるケースが多い。その点でも、700台ものサーバの特権ID管理を実現した同社の取り組みは、多くの企業の参考になるのではないだろうか。

概要