Success Story 東ソー株式会社 グループ合わせて30システム/6,000ユーザのアカウント管理と、煩雑なログインに 起因するセキュリティ問題の解決に乗り出した東ソー株式会社。システムごとのポリ シーを反映する統合的なアカウント基盤の構築を目指した同社では、ノベルのアイ デンティティ管理製品を導入、ID管理負荷の劇的な削減とセキュリティ強化、ユーザ ビリティの大幅な向上を実現している。 東ソー株式会社 概要 日本有数の総合化学メーカー ■ Industry: 化学工業 ■ Location: 日本 概要 1935年、 「東洋曹達工業」として山口県にて設立。 ソーダ製品を中心とした無機化学分野を皮切りに、 石油化学、金属と事業を拡張、総合化学メーカー へと発展。国内、海外合わせて120のグループ企業 を擁し、売上規模は全体で7,300億円を超える。 プロジェクトが開始されたのは、ちょうど内部統制 の必要性が浮上してきた時期でもあった。 「当時 はまだガイドラインベースというタイミングで、各社 対応を模索中の状態ではあったが、システムセキュ リティにおいて個人の証跡管理が重要となること は明白で、共通IDの解消とそのための対策はコン プライアンスの面からも必須と言えた。」 (岡氏) ■ Solutions: Novell eDirectory Novell Identity Manager ■ Results: −グループ内6,000ユーザのアカウントを統合 −シングルID/パスワードでセキュリティを強化 −0.8人年にのぼる管理作業がほぼゼロに 課題 同社の情報部門子会社である東ソー情報システム 株式会社は、国内のグループ26社6,000ユーザへの ITソリューションの提供と運用管理を実施している。 ユーザはシステムごとに異なるアカウントで認証を 行っていたが、すべてのID/パスワードを覚えき れず、メモ貼りや共通IDの使用など、セキュリティ 上の懸念が発生していた。管理面においても、30 を超えるシステムへの個別対応と毎年1,000人規模 で発生する変更作業は大きな負荷となっていた。 導入の経緯 こうした状況を改善すべく、 「ひとりにひとつの統合 アカウント」をキーワードとしたID管理の抜本的な 見直しが開始された。利便性とセキュリティの面では ID/パスワードの統合とシングルサインオン、運用面 ではシステム間のアカウント連携を行うメタディレ クトリが具体的なソリューションだったが、 「まずは 特定の製品を意識することなく、統合アカウントの 要件とその効果について、約半年をかけて綿密な 調査と検討を実施した。特に運用面に関しては、 現在の管理工数を具体的な数値で算出し、統合 アカウントによって可能となるコスト削減効果を 明確化した」 (システムサービス事業部 ネットワーク・ グループリーダー 岡幸一氏) 「全30システムのうち、スタート時で必須と思われる 基幹システムやActive Directory、認証用ポータル など計6種を対象に算出した現状での工数は0.2 人年。さらに共通IDを解消し、ひとりにひとつのアカ ウントを付与した場合の試算は0.8人年に達した。 システム担当者1人分の労力をほぼ消費する計算 で、自動化の必要性を裏付ける結果となった。」 (システムサービス事業部 内田和哉氏) 選定ポイント 統合アカウントの基盤となるメタディレクトリ製品の 選定にあたり、最も重視されたのはポリシー管理 の機能だった。 「単純にアカウントをそのまま配信 するだけの製品では、システムごとのポリシーが 反映されず、結局は後から個別の作り込みが必要 になってしまう。我々が求めていたのは、メタディレ クトリ側で配信先システムに合致したポリシーを事前 に生成したうえで送信する、プロビジョニング機能 を持ったソリューションだった。」 (内田氏) また、もうひとつの重要な要件として上げられたのが、 マルチプラットフォームへの柔軟な対応だった。 「統合アカウントの対象となるシステムでメインと なるのはWindowsだったが、我々の環境にはさま ざ ま な プ ラットフォー ム が 混 在 し て おり、非 Windows OSに対しても同等の機能が必要だった」 (内田氏) システムインテグレータからの複数の提案のうち、 機能・実績ともにこの要件に最も合致した製品が Novell Identity Managerだった。 ソリューション・導入の効果 構築開始から約1年後、システムは初期稼働に入っ た。人事システムを一元的な源泉とし、ここで発生 したイベント情報がNovell Identity Managerを通 じてActive Directoryや認証ポータル、外部アクセス などの各システムへ、それぞれのポリシーを反映 した状態で配信される。ユーザは認証ポータルに 単一のID/パスワードを入力、パーソナライズされた メニューから必要なシステムへシングルサインオン でアクセスできる。また、認証サーバは拠点を変えて 設置し、eDirectoryのレプリカ機能を用いて冗長化 が図られている。 「人事異動のたびに発生していた手動 によるアカウント変更作業がほぼゼロに なった。以前は人事月報で通知される異 動の人数をみるたび憂鬱な気分だった が、いまではまるでそれが他人事のよう に感じられるほどだ。」 東ソー情報システム株式会社 システムサービス事業部 ネットワーク・グループリーダー 岡 幸一 氏 東ソー情報システム株式会社 システムサービス事業部 内田 和哉 氏 「認証ポータルの設置と同時にひとりにひとつのアカウントが実現し、 ユーザは複数のID/パスワードを使い分ける必要がなくなったため、 以前のようなメモ貼りは皆無になった。ポータルには権限のあるシステムのみが 表示されるため、不正アクセスの不安が解消されるだけでなく、 ユーザのセキュリティ意識を高める効果もあった。」 東ソー情報システム株式会社 システムサービス事業部 ネットワーク・グループリーダー 岡 幸一 氏 導入のきっかけとなったセキュリティ面での効果に ついて、岡氏は次のように語っている。 「認証ポー タルの設置と同時にひとりにひとつのアカウントが 実現し、ユーザは複数のID/パスワードを使い分ける 必要がなくなったため、以前のようなメモ貼りは皆無 になった。ポータルには権限のあるシステムのみ が表示されるため、不正アクセスの不安が解消 されるだけでなく、ユーザのセキュリティ意識を高 める効果もあった。」 管理面では、その効果はより劇的なものだった。 「人事異動のたびに発生していた手動によるアカ ウント変更作業がほぼゼロになった。以前は人事 月報で通知される異動の人数をみるたび憂鬱な気 分だったが、いまではまるでそれが他人事のよう に感じられるほどだ。」 (内田氏) また、 「以前は異動する社員のアカウントをユーザ 側の窓口担当者がそのつど申請する必要があった が、人事システムで発生するイベントがすべてのシス テムに自動で反映されるため、こうした手間もなく なった。」 (岡氏) さらに、内部統制に関わる監査の点でも大きな成 果が得られた。 「人事情報を源泉とした統合アカ ウントシステムでは、所属している組織・役職に対 して権限が割り当てられているという、明解なルール を示すことができる。監査が最も厳格に実施される のは会計システムに対してだが、経理部担当者に のみ権限が与えられていることがシステムとして 証明できたため、監査の手間と時間が大幅に短縮 された。監査に必要なサンプリングも、手動ベース の場合には整合性の確認のために全体の数十% 程度が必要になるが、管理システムの正当性を示 すことで数点のピックアップで済んだ。監査法人に よる総合的なチェックにおいても、当社のアカウント 管理システムは高い評価を得ることができた。」 (内田氏) www.novell.com 今後の展開・まとめ カットオーバーから1年半、システムは大きな問題 もなく順調に稼働している。運用面でひとつだけ 課題として浮上しているのは、集中管理と分散管理 の問題だ。 「稼働開始段階にも苦労したことだが、 人事システムを源泉としている関係上、そこに登録 されない外部関連会社の社員情報は別途入力する 必要がある。集中管理だけではカバーしきれない 領域で、実際に運用していく中で改善していく必要 があると感じた。」 (内田氏) また、 「現在の統合アカウントシステムでは反映され ない、個人レベルで例外的な権限を持たせたいと いうニーズもあり、現状では申請ベースでの手入力 対応が基本となっている。ユーザ側の責任窓口に 対して一定の情報登録の権限を与え、我々が事後 それを確認する、これを安全に実行する仕組みが 持てれば、より効率的な運用が可能になるだろう。」 (岡氏) 最後に、今回のプロジェクトについて岡氏は次の ように振り返る。 「統合アカウントのあるべき姿と その要件に関しては、初期構想の段階から一切妥協 することはなかった。コストの制約に対しては稟議 を何度も書き直し、費用対効果の立証に努めた。 また、ユーザに対しては、地位・役職に関係なく初期 アカウントを一斉に配布、これを忘れたらPCが使え なくなる旨、告知を徹底した。ユーザにとっては厳 しい通達だったと思うが、運用から利用環境までを 一連の流れとしてとらえていた我々にとっては、譲 れない一線だった。結果的に、我々自身が最後まで 揺るぎない信念を持ち続けることが、上層部やユーザ の理解を得ることにもつながり、プロジェクトを成功 に導く要因になったのだと考えている。」 MC09002SS-09|© 2009 Novell, Inc. All rights reserved. *Novellは米国Novell, Inc.の登録商標です。 *その他の製品名および会社名は、各社の商標または登録商標です。 *Linux is a registered trademark of Linus Torvalds. All other third-party trademarks are the property of their respective owners. ノベルのユーザ事例について詳しくは、 こちらをご覧ください http://www.novell.com/ja-jp/showcase/ ノベルのソリューションに関するご質問は、 こちらのお問い合わせフォームをご利用ください。 http://www.novell.com/ja-jp/home/ ノベル株式会社 〒141-8551 東京都品川区西五反田3-6-21 住友不動産西五反田ビル
© Copyright 2024 Paperzz
