お客様プロフィール

ヤマハ発動機株式会社

ヤマハ発動機株式会社様

URL:https://global.yamaha-motor.com/jp/

設立:1955年7月1日

従業員数:10,564人(2017年12月末現在)

事業内容:二輪車やボート・船外機などのマリン製品、産業用機械などの開発・生産・販売など


背景

ビジネス環境が変化する中、「IT全般統制」の維持が喫緊の課題

 二輪車、ボート、電動アシスト自転車や各種産業用ロボットまで多様な製品を開発・生産・販売するヤマハ発動機。同社の製品は200以上の国や地域に広がり、連結売上高の海外構成比は約90%に達する。

創業以来50年以上にわたり、モノ創りやサービスを通じて多様な価値の創造を追求してきたヤマハ発動機。常に「次の感動」を期待される企業、“感動創造企業”を目指し、現在もなお成長中だ

 成長を続けている同社では、日本版SOX法(J-SOX法)が定める内部統制の一つ「IT全般統制」の監査のため、2009年より特権ID管理ソリューションを導入、運用してきた。IT全般統制では、開発担当者と運用担当者の「職務分離」が求められる。

 この点について、IT全般統制を担当する同社の吉田 智津子氏は「開発担当者が本番環境にアクセスできる環境にあると、承認されていないプログラムを本番環境に投入してしまうリスクが高まるため」だと説明する。

ヤマハ発動機 吉田 智津子氏

ヤマハ発動機 プロセス・IT部 ITマネジメント戦略グループ 主事 吉田 智津子氏

 こうした要件に対応するため、本番環境にアクセスできる人を認証、制御する特権ID管理ソリューションを運用してきた。

 しかし、導入当初の2009年と比べビジネス環境が大きく変化し、企業ITに求められる要件も変わってきた。ITインフラの企画を担う同社の和田 いづみ氏は、「以前は、本社敷地内である静岡県磐田市にサーバが集中していた」と説明する。

BCP対策で進むクラウド化、「必ずそこを経由する」ゲートウェイ型では限界に

 だが、2011年の東日本大震災をきっかけにBCP対策を検討し始めると、本社のある静岡県磐田市は、南海トラフ地震が懸念されているため、サーバが本社に集中していることはリスクが高いと気付かされる。そこでBCP対策の一環として、クラウドの利用を推進したという。

 「結果として、IT全般統制対象のサーバも国内外のクラウドに移行されました。一方で、従来使っていた特権ID管理ソリューションは、本番サーバの手前に専用の物理サーバを設置する『ゲートウェイ型』。ゲートウェイサーバはクラウド化できず、磐田市に残り、IT全般統制対象のサーバと泣き別れてしまいました。また、特権IDを管理するにはこのゲートウェイサーバを経由する必要があるため、ネットワーク機器の経路制御が複雑化し、運用にかかる負荷が高まっていったのです」(和田氏)

ヤマハ発動機 和田 いづみ氏

ヤマハ発動機 プロセス・IT部 IT技術戦略グループ 主務 和田 いづみ氏

 さらに「こうした状況は、BCP対策としても問題がある」とヤマハ発動機の情報子会社であるヤマハモーターソリューションの織田 英吾氏は指摘する。

 「災害対策としてサーバのクラウド化が進んでいるのに、ゲートウェイサーバが地震リスクのある磐田市に残ったままでは、真のBCP対策が取れているとは言えません」(織田氏)

ヤマハモーターソリューション 織田 英吾氏

ヤマハモーターソリューション ITサービス事業部 ITサービス企画部 企画・設計グループ 織田 英吾氏

そこで、従来のソリューションの保守契約切れのタイミングを見据え、新たな特権ID管理ソリューションの検討が開始された。いくつもの製品を検討していく中で、今後のビジネス環境への対応力や実績、サポートの安心感、既存環境への影響が少ない点などから、1つのソリューションに絞ったという。

選定

クライアント型で、既存環境を阻害しない拡張性の高さが導入の決め手

 そのソリューションが、NTTテクノクロスの「iDoperation (アイディーオペレーション)」だ。採用の決め手として和田氏は「内部統制、J-SOX監査などの統制強化に対する実績はもちろん、本番サーバへのアクセスを1つのゲートウェイに集中せず、クライアント型(クライアントから直接サーバへのアクセスを制御する方式)で利用できる点が決め手となった」と説明する。

 また、織田氏は「今後のビジネス環境の変化にスピーディに対応するため、ITデザインを邪魔しない拡張性や柔軟性も大きなポイントになった」と述べる。これまで必ず経由しなければならなかったゲートウェイサーバが不要になるため、煩雑なネットワーク設定が必要なくなり、変化する企業ITへのニーズに柔軟に対応していくことが可能になるのだ。

 そして、国内製のソリューションということで、サポートに対する安心感もあった。

 「グローバルに展開する企業なので、必ずしも国内製品にこだわってはいないものの、J-SOXは海外の子会社も監査対象に含まれます。そのため、必要であれば海外へ速やかに展開して国内のノウハウを活用でき、かつ国内製ソリューションならではの手厚いサポートが期待できるという点もポイントでした」(和田氏)

 導入は2018年1月から準備を行い、同7月に新環境に移行が完了し、運用が開始となった。中国の子会社でも一部現地メンバーがiDoperationを利用するが、日本と同様に説明会の実施や現地語のマニュアルを配付するなど、国内外で移行に向けた準備を丁寧に行い、大きな混乱なく移行できたという。

ヤマハモーターソリューション 織田 英吾氏

「iDoperation」利用の構成図


効果

IT全般統制の強化とインフラ運用の負荷軽減、セキュリティレベルの向上を実現

 2018年7月の導入以降、「2019年度の監査に向けた本格的な運用はこれからの状況」と吉田氏は話すが、すでに現れ始めた効果としては、「ツール切り替え後も、従前の統制行為が行える体制が維持できている点を最も評価している」という。細かいところでは、ビジュアル面が刷新されたことにより、出力される各種レポートが見やすくなった点もポイントとして挙げられる。

 そしてiDoperationでは、特権IDの利用申請と、サーバに対するユーザーのアクセスログを自動的に突き合わせ、不正なアクセスがないかを自動的に点検する機能がある。これにより、監査の際の実務上のメリットが得られるとともに、運用チームの不正アクセス対策という観点からも「セキュリティ面の向上につながっている」と織田氏は説明する。

 「これまでのようにネットワーク機器の複雑な経路制御が必要なくなり、たとえばクラウド側に統制対象サーバが追加されたときも、スピーディに準備できるようになりました」(織田氏)

 また製品の機能改善やサポートについて織田氏は「NTTテクノクロスさんは、製品の改善受付フォームを通じてこちらの機能改善の要望を聞いてくれ、柔軟に対応してくれました」と振り返った。


今後の展開

今後は個人情報保護要件やセキュリティ要件への対応なども見据え、導入対象サーバを拡大していく

 iDoperationの導入によって、特権ID管理の透明化、可視化の体制は強化された。今後の展望について、和田氏は「今後は導入対象サーバを拡大し、個人情報保護要件への対応も視野に入れていく」と述べる。

 加えて、サイバーセキュリティ対策という観点からも、特権ID管理の強化はセキュリティリスクへの備えとして重要な位置づけとなっている。

「サイバー攻撃は、年々高度化しており、同社におけるサイバーセキュリティ対策の重要性も一層高まっています。今後は、iDoperationを活用することで、誰が、どの機器に接続しているかを可視化するとともに、不正アクセスを早期に検出し、サイバーセキュリティ対策での活用にも期待したいです」(和田氏)

 今後ますます、グローバルで個人情報保護の対応が求められる。内部統制のIT全般統制における特権IDの管理を含め、同社のデータ保護、ITシステムのサイバーセキュリティ対策の整備に、iDoperationが果たすべき役割はますます大きくなっていくに違いない。

>事例ダウンロードはこちら[ PDF:0.8MB ]

概要