事例紹介
Tripwire Enterprise 導入事例 「兼松エレクトロニクス株式会社様」
システムの変更管理、IT全般統制への取り組みを強化
導入ソリューション:改ざん検知・セキュリティ可視化「Tripwire Enterprise」
IT(情報通信技術)を基盤に企業の情報システムに関する設計・構築、運用サービスおよびシステムコンサルティングとITシステム製品、ソフトウェアの販売等を事業の主体としている兼松エレクトロニクス株式会社。より強固なIT統制への移行に伴い、ファイルやプログラムの変更を監視し管理可能なソリューションについてリサーチした結果、Tripwire Enterpriseが最も適しているとの判断に至った。
課題
ISMSとJSOX施行に伴うIT全般統制への対応強化のため、既存のプロセスをシステム的に行うことで、確実なシステム変更管理体制を構築する必要があった。
解決
人に依存した作業ミス、確認ミスを排除することに加えて無許可のシステム更新も自動で検出することでIT統制の強化と運用業務の効率化を実現した。
導入の背景
IT全般統制への対応強化のため、確実なシステム変更管理体制が必要に
日本全国に販売拠点や保守サービス網を整え、海外でも中国・ASEAN地域・インドに拠点を設置するITソリューションとサービスを提供する兼松エレクトロニクス株式会社。1968年の創立から、「お客様第一主義」、「新しい価値の創造」、「CSRの追及」を理念として、企業価値の向上に邁進している。同社は、企業が本来果たすべき社会的責任とITを活用するうえで備えるべき体制という観点からISMSやJSOX法への対応も積極的に推進してきた。
情報システム室
室長 小林邦夫 氏
JSOX法への対策におけるIT全般統制では、ITの開発、保守に関する管理、システムの運用管理、アクセス管理、外部委託に関する契約管理などIT基盤に関する統制活動全般が求められる。
同社では、自社で利用する顧客情報や会計、販売管理情報などの多くのアプリケーションプログラムが存在している。そのアプリケーションの品質は同社の信頼の証でもあり、自社システムの障害は「上場企業として株主への信用失墜などの影響がもたらされる」との判断に基づき、決められた運用プロセスにより行われていたシステムの変更管理体制を強化することに乗り出した。具体的にはアプリケーションの修正や変更に対し「変更検知の自動化」を導入し、「正確なオペレーション」、「オペレーションミスの早期検知」、「移行手順ミスの抑制」を中心とする体制の強化とアプリケーションの品質向上を目指した。
導入の経緯
Tripwire Enterpriseの導入実績が豊富な東芝情報システムにプロジェクト参加を依頼
同社が2006年6月にISMS認証を取得した当時は、プログラムの変更管理において運用マニュアルなどを作成し業務フローと組み合わせた人手による運用体制を整えていた。その後、より強固なIT統制への移行の検討から、ファイルやプログラムの監視・管理が可能なソリューションを2007年から探し始めた。市場での評価や実績などを判断し、Tripwire Enterpriseが適していると判断した。
導入にあたっては、専門的な知識と実績のあるシステムインテグレータに依頼することが短期間で運用を実現できると判断し、Tripwire Enterpriseの導入実績が豊富で同製品の認定SEが在籍している東芝情報システムにプロジェクト参画を依頼した。
導入作業は、大きく次の3つの作業工程に分類された。
情報システム室
佐藤由知 氏
- 監視対象サーバーおよび変更監視対象の洗い出し
- 監視の設計およびルール策定とテスト
- 製品の導入およびルール等の設定
項目1の作業は同社が中心となって行い、その情報を元に項目2について、東芝情報システムが作業を実施した。同社の環境ではなく、東芝情報システム側のテスト環境にて、策定したルールのテストまでを実施し、テスト済みの定義を同社の本番環境へ適用したため、1週間あまりの短期間で本番展開作業は完了した。
また、その後ルールの微調整は行ったが、大きな問題を生じることなく安定稼働を行うこととなった。
導入の効果
運用の透明性と品質の確保を実現
Tripwire Enterpriseを導入する以前は、システム開発から本番移行までの変更に関わる承認は、すべて社内のワークフローで管理し、決められたプロセスに則り運用されていた。例えば、開発者が新しいコードを開発、変更、本番移行を行うためシステムに変更を加える場合は、社内のネットワークフローによって承認を得る。承認が得られたプログラム等は、運用チームに渡され、そこで、本番への移行が行われる。実際に変更されたかどうかは、人手による判断に委ねられていた。
Tripwire Enterprise導入後は、本番環境に何らかの変更が行われると、自動的にチーム全員に変更を通知するメールが配信されるようになった。そのため、関係者全員が、変更を確認できるようになった。
現在、本番移行に関わるプロセスは、次のように管理されている。
- 事前にシステムの更新を申請
- 変更後にTripwire Enterpriseが検知した変更のログと照合
- 申請された内容と合致していることを確認
- 内容と適合しない場合、調査対応が行われる
Tripwire Enterpriseで変更内容の確認を実装したことで、正しく更新が行われているかを判断できるようになる。また、更新漏れや申請のない、計画外の更新も同時に検知されるため、システムに対する不正なプログラムの置き換えなどの発見にもつながり、IT統制だけではなく、システムの品質を高めることが可能になった。
IT統制を確実に行う環境の構築と意識の向上
以前は人手を介した作業に依存していたため、移行もれや未承認のプログラムリリースなどによるシステムトラブルに見舞われることもあった。今ではシステムの変更がTripwire Enterpriseにより検知され、自動的に報告されているため、正規の許可を得ずに作業をすることへの牽制にもつながっている。IT統制を確実に行う環境を整えることができた。
同社は2008年のTripwire Enterpriseのファイル整合性監視機能を採用したが、今では導入サーバー数を増やしながらシステム運用を続けている。
今後の活用
セキュリティを可視化し、改ざん検知、情報漏えい、標的型攻撃対策を検討
Tripwire Enterpriseは、オープンシステムを構成する幅広いデバイスやソフトウェアに対し、セキュリティを維持するための変更監視やコンフィグレーションアセスメントを実現するセキュリティ構成管理(SCM)製品である。Tripwire Enterpriseの導入によりファイルシステム、ディレクトリサービス、データベース、ハイパーバイザー、ネットワーク機器など幅広く整合性を監視することが可能になる。
同社は、今後、Tripwire Enterpriseのポリシー管理機能や、データベース、仮想化環境なども含めたITシステムへの徹底した変更管理でセキュリティを可視化し、改ざん検知、情報漏えい、標的型攻撃対策を検討できると考えている。
「導入をサポートしてくれた東芝情報システムには、当社のシステム構成などに精通したSEがいるので、今後もいろいろな提案を期待しています」とプロジェクトに携わった両氏より今後の期待を込めたコメントをいただいた。
顧客情報
顧客名 | 兼松エレクトロニクス株式会社 KANEMATSU ELECTRONICS LTD. |
---|---|
設立 | 1968年(昭和43年)7月23日 |
所在地 | 東京都中央区京橋2-13-10 京橋MID ビル |
事業内容 | IT(情報通信技術)を基盤に企業の情報システムに関する設計・構築、運用サービスおよびシステムコンサルティングとIT システム製品およびソフトウェアの販売、賃貸・リース、保守および開発・製造、労働者派遣事業 |
URL | |
導入プロダクト |
*この記事は2016年4月に取材した内容をもとに構成しています。記事内における数値データ、組織名、役職などは取材時のものです。