ネットワーク機器まで含めた包括的な特権ID管理と証跡取得により
グループ各社の重要システムにおける情報セキュリティの管理強化を実現
セブン&アイグループのITシステム会社として、システム企画、デザイン、開発、運用などを通じ、グループ各社がお客様のさまざまなニーズに応えるためのデジタル戦略を支えている株式会社セブン&アイ・ネットメディア(以下、セブン&アイ・ネットメディア)。「ITとデザインによる新しい価値の創造」をミッションに掲げる同社では、グループ各社やパートナー企業と協力しながら、デジタル技術を活用し、サービス価値の最大化に向けたシステムの運用全般を手掛けています。
このたび同社はセキュリティガバナンス強化のため、エンカレッジ・テクノロジのESS AdminONEとESS RECを導入し、グループ各社における強固な情報セキュリティの管理体制を実現しました。
スマートITサービス本部
プラットフォーム・サービス部
ゼネラルマネージャー
竹内 健二 氏
スマートITサービス本部
カスタマー・ソリューション部
シニアエキスパート
原口 史 氏
スマートITサービス本部
プラットフォーム・サービス部
秋田 和大 氏
本事例のポイント
《課題と選択》
グループ企業としての高度なセキュリティ要求に合わせ、
特権ID管理や証跡取得の強化を目指す
グループ全体の最新のセキュリティ対策基準に対応
セブン&アイグループのデジタル戦略を支えるセブン&アイ・ネットメディア。同社は、グループ各社のホームページを展開する基盤システムや、CRM戦略などのグループ共通施策や個社ごとのさまざまなビジネスを支えるシステムの開発・運用をミッションとしています。
業務上、各社の重要システムを預かることから、かねてより同社は情報セキュリティ対策に力を入れてきましたが、近年のサイバー攻撃はますます巧妙化・複雑化しており、高まるリスクに危機感を抱いていました。
ちょうどこの頃、グループ全体のセキュリティ対策が進む中で、より強固なセキュリティの管理体制を確立するための各種ガイドラインと環境整備を進めていました。スマートITサービス本部 プラットフォーム・サービス部のゼネラルマネージャーである竹内氏は「検討したセキュリティ管理体制の中に特権ID管理があり、従来の人的リソースによる管理では運用が破綻すると考え、特権ID管理と証跡取得の強化に取り組むことにしました」と語ります。
よりセキュアな特権アクセス環境を、負担を抑えつつ実現するため特権ID管理ツールを検討
同社で管理・運用しているシステムの数は増え続けており、100アカウントほどの特権IDを社員や社外の常駐パートナーが利用しています。特権IDの種類は、OSやデータベース、SaaSからネットワーク機器まで多岐にわたります。従来、特権IDを使って作業を行う際には、プロジェクト管理ツールで事前に申請を提出し、承認後、厳重に入退室が管理されているセキュアルームで作業する流れでした。入退室記録が残るため、人の出入り自体は管理できていましたが、改善の余地がないか検討したところ、セキュアルームへ入室してしまえば別システムの本番環境にも直接アクセスできてしまう点が問題視されました。今回のプロジェクトで推進役を務めた原口氏は「例えば、『サーバーAで作業』という申請でセキュアルームに入り、実際はサーバーBやCで作業する…といったことも可能で、これでは本当の意味でセキュアな作業環境とはいえません」と当時の状況を振り返ります。
また、一部のシステムではテキスト形式のログを取っていたものの、テキストログでは証跡を確認しづらく作業内容の棚卸や突合に時間を費やしている課題がありました。加えて、多くのユーザーが特権IDを所持していることも、内部統制の観点から見直す必要がありました。
「新たなガイドラインには『貸し出した特権IDは返却後にパスワードを変更する』『本番環境にアクセスする作業者は一意の特権IDで管理する』といった項目もあったのですが、手作業での対応には限界があったことから、特権ID管理ツールの導入が必要だと考えました」(竹内氏)
ネットワーク機器まで含めた管理対象の幅広さを評価し「ESS AdminONE」を採用
ツールの選定に際しては、グループ会社が利用中のものも含め複数の製品を比較。申請内容と実作業のトレーサビリティが確保できること、同社の管理する多様なシステムの特権IDを包括的に管理できることを必須の要件としました。さらに、定期的なパスワード変更に対応でき、コストや使い勝手、展開のしやすさなども含めて検討を行いました。結果、これらの要件を満たしていたのが、エンカレッジ・テクノロジの特権ID管理ツール「ESS AdminONE」だったのです。
「導入後のトラブルを防ぐため、自社の環境で製品のトライアルを実施しました。結果的に問題ないと判断できたことから、正式に採用を決めました」(原口氏)
選定のポイントとなったのは、ネットワーク機器を含めた管理対象の幅広さにありました。ESS AdminONEには、ネットワーク機器メーカーの主要な製品ごとに管理のためのコマンドシークエンス定義ファイルが用意されており、さらに現場の機器に合わせて独自定義を追加することも可能です。OSだけでなく、ネットワーク機器やデータベース、SaaSなどを含めて多様なシステムの特権IDを包括的に管理できることが大きなメリットだったといいます。
また、特権IDを使った作業の記録や操作内容の突合にはシステム操作証跡管理ツール「ESS REC」を導入。テキスト形式と動画形式の両方で操作を記録できることが、ESS RECを採用するポイントとなりました。
《導入と効果》
ESS AdminONEとESS RECでガイドラインの求める強固な特権アクセス管理体制を確立
特権IDの一元管理と、操作ログの確実な記録により、情報セキュリティをさらに強化
ESS AdminONEとESS RECの導入作業に際しては、エンカレッジ・テクノロジのスタッフが一連のプロセスを支援する「プロフェッショナルサービス」も活用。スムーズな導入が実現できたとのことです。
この導入により、ガイドラインの求める強固な情報セキュリティの管理体制が実現しました。同社が管理する多様な特権IDも、新たなシステムではESS AdminONEによって一元管理されることとなりました。作業は、ESS AdminONEの作業申請ワークフローで許可を得た作業者のみが、一時的に貸与された特権IDで作業を行っています。また、手作業では実現が困難であったパスワードの都度変更も、作業完了後にESS AdminONEによって行われています。さらに、セキュアルーム内での本番環境の作業は全てESS RECによって記録され、万が一のことが起きても対象操作をコマンドなどの画面表示文字列を条件に検索し、動画形式で直感的に確認できるため、迅速な原因究明が可能となりました。運用を担当している秋田氏は、製品導入後について「使い勝手にも満足しています。ユーザーから操作方法や使い方について問い合わせが来ることはありませんし、私自身、ユーザーインターフェイスを含めとても使いやすいと感じています」と語ります。
《展開》
ESS AdminONEを活用し、グループ各社における重要システムの情報セキュリティをさらに強化・効率化
今後について同社は、社外パートナーのシステム操作時のファイル授受にESS AdminONEのファイル入出力管理機能を利用できないか検討しており、セキュリティレビューを経て、社内で検証を進めています。この仕組みを全社的に展開できれば、セキュリティを担保しつつ、ファイルの受け渡しに使っているオンラインストレージのアカウントを削減できることから、コストカットが期待できます。
また、同社では今後もESS AdminONEの機能を活用・カスタマイズし情報セキュリティ対策のさらなる強化と現場の負担軽減に取り組んでいく方針です。
「弊社はグループ各社の重要システムの運用を担う立場にあるからこそ、より一層の情報セキュリティ対策を進めていかねばなりません。その意味では、やはり社員一人ひとりの意識が重要です。今回の取り組みを機会に、全社的な啓発活動やテストの実施なども推進していきたいと考えています」(竹内氏)
エンカレッジ・テクノロジは、今後もセブン&アイ・ネットメディア様のセキュリティとガバナンスの強化を支援してまいります。
※本内容は、2025年5月時点のものです。
PROFILE:株式会社セブン&アイ・ネットメディア 様
| 設立年月日 | 2008/07/11 |
|---|---|
| 本社所在地 | 東京都千代田区二番町4-5 住友不動産二番町ファーストビル2F |
| URL | https://www.7andinm.co.jp/ |
| 事業内容 | セブン&アイグループのデジタル戦略を支えるシステム企画、デザイン、開発、運用 |
| 導入製品 | ESS REC・ESS AdminONE |
