TOP > 導入事例 > 王子エンジニアリング株式会社様(Hybrid SECURITY他)

王子エンジニアリング株式会社

IT内部統制とDR対策を同時に推進
連携性を重視し、複数のシリーズ製品を導入


会社概要

社名 王子エンジニアリング株式会社
創業 1964年
資本金: 8億円
売上高 432億円(2006年度)
従業員数 672名(2007年3月 現在)
本社 東京都中央区


王子製紙グループを一貫する内部統制規定への対応

管理部 主任 練合純一氏  管理部 川上是好氏

 王子製紙株式会社の100%子会社で、紙パルプ製造設備のコンサルティングから設計・製作、施工、サービスまでをカバーする王子エンジニアリングは、2007年にIT内部統制への対応に着手し、2008年3月までにバックアップ機の敷設なども含めて本番移行を終えた。このスピーディな移行は、同社システム担当者の精力的な活動に加えて、連携性に優れた複数ツールの同時採用が最大の要因である。
 今回のプロジェクトは、親会社の王子製紙がグループ各社の情報システムの開発・保守・運用面での情報システムリスクを管理するルールを内部統制およびセキュリティ管理の視点から規程として策定し、その実施をグループ各社に要請してきたことに始まる。
 王子エンジニアリングでは1989年に、当時登場して間もないAS/400を導入し、基幹システムを構築した。それまでのシステム/38上の会計システムがRPGで作られていたのがAS/400採用の理由で、その後2度のリプレースを経て(AS/400 600→iSeries 820)現在に至っている。
 基幹システムは、工事受注売上管理、仕入支払管理、工事原価管理、会計管理、手形管理のサブシステムから成る。また、プログラムの総数はRPG621本、その他CL等含めて総数3351本で、「全てRPGを使った自社開発」(管理部の川上是好氏)である。


3項目について統制項目の洗い出し

 プロジェクトでは最初に、基幹システムを搭載するSystem i環境の「セキュリティ」「障害」「開発運用」の3項目について統制項目の洗い出し作業を行った。
 セキュリティについては同社ではそれまで、基幹システムにアクセスするためのユーザーIDを拠点単位に付与しており、個人別にしていなかった。そこで、個人ごとにユーザープロファイルを整理し、パスワードやオブジェクトに対するアクセス権の設定を行った。また並行して、データベースやファイル/データへのアクセスを制限したり、監視や監査ログを取るためのツールの選定にも取りかかった。
 一方、障害については、新規にSystem i 520を導入し、従来のiSeries 820をバックアップ機とする高可用性システムの構築を決めた。これについてもHAツールの検討を進めた。
 ここで、同社の旺盛な行動力と選択眼が発揮される。というのは、各ツールの選定にあたって、スタッフ自らが足を使い、目で確かめるという方法を取ったのだ。「カタログでは詳細が分からないので、各ツールベンダーを訪問し、実際に目で見て話を聞いて検討しました」と管理部主任の練合純一氏は振り返る。検討対象は「数社の数製品」となり、うち1社については東京から大阪にまで足を伸ばして製品の確認を行っている。
 導入するツールは、最終的にヴィンキュラムジャパンの「Hybrid SECURITY」「JOURNAL/400」「MESSAGE/400」の3製品に決定した。Hybrid SECURITYは外部アクセス管理やログ取得の機能を持つ統合セキュリティツール、JOURNAL/400はリアルタイムのミラーリングツール、MESSAGE/400はメッセージ監視・通知ツールである。
 1社の製品に絞ったことについて川上氏は、「IT統制の対象項目は多岐にわたり、その個々について正確な管理と統制が要求されます。ヴィンキュラムジャパンのツールは相互に自動的な連携機能を持つため、運用管理を効率化できると考えました」と語る。具体的には、Hybrid SECURITYとMESSAGE/400の連携により異常メッセージの時間外通知や外部通知が行え、Hybrid SECURITYとJOURNAL/400の連携により各種ジャーナル情報のバックアップ機へのリアルタイム退避が可能となる。
 また、練合氏は「JOURNAL/400の機能の1つとして、本番環境のデータベースや監査ログをPCサーバーへ退避できる点も評価しました。これにより本番機やバックアップ機のディスクを圧迫する懸念がなくなり、管理工数を軽減できます」と語る。不採用とした他製品は、画面が英語表示になる点やシステム規模が大きすぎる点などがマイナスの評価となった。


今後は関係4社のIT内部統制対応を実施

 システムは、本番機のSystem i 520にLPARにより「本番用」と「開発用」の2区画を設け、この2区画とバックアップ機のそれぞれにヴィンキュラムジャパンの3製品を導入し、セキュリティと障害監視と二重化を行うこととした。各リソースの監査ログの退避先はPCサーバーである。  2008年1月から各ツールの導入を進め、3月に完了し、サービスインした。3製品のほぼ同時期の導入でありながら、「問題はほとんどなく、スムーズに完了した」(練合氏)という。また、従来は朝一番に監査ログを手動で取得していたが、現在は自動的にPCサーバーへ吐き出されるので「ログを取得するという意識がなくなり、負担が消えた」(川上氏)と評価する。  同社のシステムには、関係会社4社の基幹システムも搭載されている。この4社の基幹システムについても今年度中に、IT内部統制対応を進める計画。練合氏は、「今回のプロジェクトによって、IT内部統制の基盤がほぼ整備できたと考えています。今後は、障害発生時の運用手順書の整備や、バックアップ機への切り替えテストなども実施して問題点の洗い出しを行う予定です」と語っている。

王子エンジニアリングのシステム概要 王子エンジニアリングのシステム概要 王子エンジニアリングのシステム概要 王子エンジニアリングのシステム概要
王子エンジニアリングのシステム概要 王子エンジニアリングのシステム概要 王子エンジニアリングのシステム概要 王子エンジニアリングのシステム概要
王子エンジニアリングのシステム概要 王子エンジニアリングのシステム概要 王子エンジニアリングのシステム概要 王子エンジニアリングのシステム概要


本記事は、i Magazine 7号に掲載されたものです
(C)2008 アイマガジン株式会社 www.imagazine.co.jp