日信電子サービス株式会社様(Hybrid SECURITY)
日信電子サービス株式会社
LANSAのオブジェクト変更管理を重点にセキュリティ製品を選定・導入
会社概要
| 社名 | 日信電子サービス株式会社 |
|---|---|
| 創立 | 1967年 |
| 資本金 | 8億3320万円 |
| 売上高 | 151億5964万円(2008年3月) |
| 従業員数 | 952名(2008年3月) |
| 本社 | 東京都台東区 |
財務会計や販売・在庫管理など4システムをログ管理の対象に
日信電子サービスが展開する事業の柱は2つある。
1つは親会社である日本信号が製造・販売する各種製品の保守サービス。即ち、ATCなど鉄道信号や交通情報システム、自動改札機や自動券売機といった各種の駅務自動化システムだ。
そしてもう1つは、クライアントPCからサーバー、ネットワークおよびセキュリティ製品など広範なOA機器を対象にした保守サービス、いわゆる「独立系サードパーティ・メンテナンス」である。
さらに昨年7月、このOA機器に関する保守サービスを本稼働させている。
これは全国のサービス拠点を対象に、保守業務の受付から見積もりの作成、受注処理、保守契約の管理、作業計画の策定と作業指示、サービスに必要な技術情報の共有、そして売上・原価の確定など、保守の現場で発生する多様な業務を支援するシステムだ。
このシステムの開発では、Javaフレームワークである「intra-mart」(NTTデータイントラマート)を新たに採用し、ワークフローを備えた大規模なフロントシステムとして完成させた。現在は取引先との間で作業依頼データをインターネット経由でやり取りするための機能追加が進められている。
2年がかりの大規模プロジェクトをひとまず完了した経営情報システム部が現在取り組んでいるのは、J-SOX法への対応作業である。同社では2007年3月にJ-SOXプロジェクトチームが発足しており、経営情報システム部では、IT業務統制(ITGC)、ITアプリケーション統制(ITAC)等の評価やウォークスルーテストの実施など、2009年3月期決算に向けて山場を迎えている。
また今年7月には、アクセス管理やオブジェクトの変更管理を目的に、セキュリティ管理ツール「Hybrid SECURITY」(ヴィンキュラムジャパン)を導入し、System iのセキュリティ管理機能を強化した。2007年末から導入の検討を開始したという。
J-SOX法では財務諸表の適正性を確保するのに必要な監査証跡、つまりデータベースの更新トランザクションといった操作ログの一元管理・分析が求められるが、同社ではこの監査証跡に必要なデータとして、売上・売掛金・棚卸資産の3種類のデータを定義した。
そしてこれらのデータを処理するシステムとして、財務会計システム、販売管理システム、在庫管理システム、サービス支援システムの4つをログ管理の対象システムとしたのである。
このうち財務会計システムについては、Windowsサーバー上で財務会計パッケージ「SuperStream」を利用。販売管理および在庫管理システムは7年ほど前に、開発ツールとして「LANSA」(ランサジャパン)を使って開発し、その後、改良を加えながら、現在はSystem(i 9406-520)上で運用している。そして前述したように、サービス支援システムはintra-martを使いJavaアプリケーションとして構築し、別のSystem (i 9406-550)上で稼働している。ちなみに同社ではこれら2台に加えてSystem (i 515 Express)をもう1台導入しており、合計3台のSystem iが稼働中である。
LANSAのオブジェクト変更を管理するセキュリティ製品
セキュリティ製品の要件としては、以下の点が検討された。
財務会計システムについてはSuperStreamというパッケージ製品自体がログ管理機能を備えているので、導入予定のセキュリティ製品の対象から外す。サービス支援システムはintra-martが基本的なログ管理機能を備えるのに加え、開発要件としても独自にセキュリティ機能を盛り込んでいたのでアクセス管理およびデータベース操作ログについては問題ない。しかしオブジェクトの変更管理および特権ユーザー管理には対応できないので、導入予定のセキュリティ製品でサポートすることとする。
そして最も重視されたのが、LANSAで開発された販売・在庫管理システムに関するアクセス管理、データベース操作ログおよびオブジェクト変更管理であった。
「当初、どのセキュリティ製品を導入しても、LANSAのアクセス管理およびオブジェクト変更に関する部分については何らかのカスタマイズが避けられないと判断していました。そこで販売・在庫管理システムの開発を支援したエス・イー・ラボに相談したところ、Hybrid SECURITYの導入を提案されました」と語るのは、経営情報システム部の皆上秀樹部長である。
LANSAおよび販売・在庫管理システムの内容を熟知するエス・イー・ラボとヴィンキュラムジャパンが協力して対応を進めることで、同社はHybrid SECURITYの導入を決断したという。
「LANSAオブジェクトへの対応に加え、実際のところHybrid SECURITYの導入価格が他製品に比べて半分以下であったことも採用理由になりました」(経営情報システム部の市川善康課長)
導入決定は2008年4月であった。
「ログを取得するタイミングを決定するため、必要とするイベントを定義する導入準備を2~3カ月で終え、7月にはログ取得を開始しました」(経営情報システム部の番場修治氏)
現在は1カ月に1回、ログ分析の帳票を出力しているが、モニタリングポイントの詳細など運用ルールについては今後も改良していく方針である。J-SOX法の事実上の本番となる2009年3月期末に向けて、同社も最終離陸体制に入っているようだ。
本記事は、i Magazine 8号に掲載されたものです
(C)2008 アイマガジン株式会社 www.imagazine.co.jp