SecureCube Access Checkの導入事例【日本精工株式会社様】

少ない負荷でJ-SOXに準じたアクセス制御と監査を実現

導入企業

日本精工株式会社様

業種: 業務用機械器具製造業
事業内容: 一般産業向けの軸受、精密機器関連製品の製造販売自動車及び自動車部品メーカー向けの軸受、自動変速機部品及びステアリング等の製造販売等 ※本文中の組織名、職名、概要図は取材当時のものです。

導入前の課題: 内製ツールと手作業の組み合わせによる特権ID管理

▼

導入後の結果: J-SOXで求められる特権IDの適切なコントロールを、少ない工数・負荷で実現

NRIセキュアテクノロジーズ株式会社のSecureCube Access Checkについて詳しく知りたい方はこちら

製品の詳細を見る＞

SecureCube Access Check導入前の課題

内製ツールと手作業の組み合わせによる特権ID管理

負荷の大きさが顕著に

加澤氏：日本精工におけるIT活用の歴史は古く、メインフレームの時代から自社でアプリケーションを開発してきました。以前は、システムの変更管理や保守運用の際に必要な特権IDの払い出しも内製志向で、内製したパスワード払い出しシステムと手作業を組み合わせて管理していました。この内製システムは特権IDの払い出しに特化しており、J-SOX対応で求められる監査についてはあまり考慮されておらず、手作業で実際のアクセスログと付き合わせてチェックする必要がありました。運用負荷が高く、「人間のやる仕事じゃない」というのが正直な感想でした。にもかかわらず後追いでの検知となるため、よりセキュアで安全な仕組みが求められていました。小林氏：管理対象となるOSやデータベースが70〜80台あり、1000件を超える特権IDのパスワード払い出しを行っていました。毎月、申請内容とログとの付き合わせ作業だけに費やす日もあるほどで、この先システムが増えていけばさらに工数が増える懸念がありました。

デジタル変革本部ITガバナンス部副部長　加澤靖氏

SecureCube Access Check選定ポイント

求める機能を十分満たすSecureCube Access Checkを採用

サービス版の開始が最後の一押しに

加澤氏：我々はリスク全体を俯瞰した上で、過度ではなく、適切で、合理的に説明できるセキュリティ投資を行うべきだと考えており、その意味で、求める機能を十分満たしているSecureCube Access Checkを選択しました。高度な統制を利かせたい場合はオプションで追加機能も提供されているため、今後の発展的な運用を見据えても最適だと判断しました。小林氏：セキュリティ対策ではさまざまな可能性を考慮して過剰な統制に傾きがちですが、利用者の目線に立つと運用に耐えられない可能性があります。ゲートウェイ型というシンプルな構成で複雑な作り込みを行う必要がなく、運用負荷を軽減できる点も評価しました。加澤氏：もう一つのポイントは、サービス版の提供が開始されたことです。オンプレミスでは運用負荷が高く、運用そのものにリスクがはらんでいました。継続的にITの運用負荷を減らしていきたいと考えていたところに、折良くNRIセキュアから、新たにサービス版の提供も開始することを聞き、これが最後の一押しとなって導入を決定しました。

デジタル変革本部ICTソリューション部　小林文宏氏

SecureCube Access Check導入後の結果

J-SOXで求められる特権IDの適切なコントロールを、少ない工数・負荷で実現

実績あるソリューションを活用することで、対外目線からの信頼を獲得

小林氏：運用開始後は、適切なID統制を実現しつつ、これまで社員やアウトソース先に多大な負担を強いてきた、ログの付き合わせをはじめとする特権ID管理に関わる運用負荷が軽減できることを期待しています。当初は画面遷移を挟むHTTP中継自動ログイン機能は未対応だったため、どうしたものか悩んでいました。しかしSecureCube Access Checkは頻繁に機能追加がなされており、ちょうどリリースされた新バージョンで対応されたことから機能実装にこぎ着けました。関連してサポート窓口に何度か問い合わせを行いましたが、レベルの高い回答を迅速にいただくことができ、助けられています。加澤氏：セキュリティ面では、特権IDの運用をシステムでコントロールできるようになり、確実に強化されると期待しています。監査関連の機能も充実しており、付属するダッシュボードやレポート機能を活用し、日次・月次で確認を行う形です。これならば監査人にも安心して見てもらえると期待しています。