経営トップの方針として情報セキュリティ対策に注力  1912年創業、1920年設立の株式会社荏原製作所は、国内トップのポンプメーカーとして実績を積みながら、各種の風水力機械、冷凍機、水処理装置、焼却炉、半導体製造装置等に進出し、産業機械の有力メーカーとして成長を続けてきている。そして同社はまた、循環型社会の実現を目指し、資源の消費を抑え、廃棄物を最小化することにより、地球環境への負荷を限りなくゼロに近づける「ゼロエミッション」に向けた技術開発やその事業化に力を注いでいる。 現在はカンパニー制を導入しており、コーポレートを核に風水力機械、環境事業、精密・電子事業のカンパニーがある。加えて、国内外113の子会社、20の関連会社で荏原グループを構成しており、その1社であるITエンジニアリング株式会社（千代田化工建設株式会社との折半出資）が情報システムを担当している。2007年3月末時点の従業員数は、単体で2,586名、連結子会社を含めると15,609名になる。 こうした多くの従業員を抱える荏原製作所は、情報セキュリティに真摯に取り組むという経営トップの方針のもと、社内規定とセキュリティ・ポリシーの整備を進めてきた。その一環として、ID管理とシングルサインオン（SSO）には早くから取り組んでおり、2001年12月には調達システム用として、社外（部品製造会社など）の利用者がアクセスするための認証システムを構築。そして、2003年1月には社内向けである荏原ポータル（Webアプリケーション型業務システムの入口）の社内認証システムが稼動している。 2つの認証システムは導入時期が異なっていたこともあり、全く別のシステムとして運用され、そこにユーザ管理システムを外付けするかたちで導入していた。認証システムが社内に並立することは、運用管理の面からしても決して好ましいとは言えない。また、ユーザ管理システムは手作りであったため、拡張を続けていくにつれて複雑になっていき、多くのメンテナンス・コストもかかるようになっていた。加えて、社外向けの認証システムはシステムの安定性も欠いていたという。

株式会社荏原製作所 IT戦略統括部 企画室 織田孝司 氏 ITエンジニアリング株式会社 E-IT事業部 ソリューションサービス部 基盤チーム チームマネージャー 磯田明宏 氏

機能と安定性を評価し富士通の提案を採用

このような状況を憂慮した荏原製作所は、認証システムを再構築することに決め、問題点の洗い出しと対策の検討を開始した。認証システム再構築プロジェクトを指揮した荏原製作所 IT戦略統括部 企画室の織田孝司氏は「2004年2月からの2か月で社内の状況を分析したところ、ID管理の重要性が分かってきました」と、振り返る。その結果、認証システムの再構築では次の5点を要件とした。

• 単一ベンダー製品で認証システムの安定運用
• ID管理／認証／SSOを社内外で一元化
• IDと人事との連携
• IDと業務システム／アプリケーションの連携
• 製品サポートを継続して受けられるベンダーの選定

要件が確定したことを受けて、荏原製作所はシステム構築に着手しようとしたが、当時は要件を満たすアイデンティティ管理製品を探すのに非常に苦労したという。そうした中で、富士通株式会社からサンのアイデンティティ管理製品を含む提案があった。

「当時、この要件に対し、標準機能で満たしていたのは、サンのアイデンティティ管理製品のみでした。他社の製品はカスタマイズが必要だったのです。また、安定性を考慮するとUNIX®が最適だと考えていましたし、サン製品で統一しましたから当然ながらOSやハードとの親和性も高く、さらにサポートが充実しているということも決め手になりました」と、織田氏は言う。なお、決定にあたっては、サンのアイデンティティ管理製品を導入した国内企業を訪問し、調査を実施することで、その有効性を確認している。

富士通とサンで2万人規模対応の統合ID管理システムを構築 

2005年5月にスタートした開発プロジェクトは、富士通がプロジェクト管理、サンのサン・プロフェッショナル・サービスが実装を担当し、これにITエンジニアリングの技術者が参加する体制で進められた。サンは平均4名の技術者をプロジェクトにアサインし、他システム連携などの詳細検討にあたらせた。

サブリーダーとしてプロジェクトに参加したITエンジニアリング E-IT事業部 ソリューションサービス部 基盤チーム チームマネージャーの磯田明宏氏は、「構築にあたっては、基本機能とシステム間連携機能の実装に加えて、既存認証システムからのスムーズな移行にも心掛けました」と語る。

完成した新認証システムは「統合ID管理システム」と名付けられ、2006年4月に本稼動を開始した。完成当初の登録ID数は約6,000、対象のシステムは約20だったが、現在は登録ID数が8,000を超え、対象のシステムは50ほどになっている。また、数年後には荏原グループの全従業員と派遣社員等を含む約2万人が、管理の対象になることを見込んでいる。

導入されたSun Fireサーバのほとんどは社内LAN上に配置されており、ID管理はSun Java System Identity Manager、統合LDAPはSun Java System Directory Server、認証とSSOはSun Java System Access Managerがそれぞれ担当している（図1）。

論理的には、統合ID管理システムは同社の情報インフラストラクチャー内の認証、ディレクトリ、ID管理の各レイヤーを受け持ち、他の業務システムやアプリケーションとの連携およびアクセス制御は、Sun Java System Access Managerのエージェントで行う（図2）。

運用面では、「人」と「役割（ロール）」の2つの属性に基づいてID管理を実現していることが最大の特長である。荏原ポータルへのアクセス可否は人属性によって決まり、入退社や人事異動などに関する変更は、人事システムからSun Java Identity Managerへと自動的に送り込まれる。また、役割属性は業務システム単位のアクセス権を規定するもので、各システムの運用担当者（システム・オーナ）が変更するという運用になっている。

セキュリティ・レベルとID情報の品質が向上 

統合ID管理システムの運用状況について、織田氏は「ベースに使われているSolaris 10 OSを含めて非常に安定稼動しており、サンのサポートにも満足しています。人と役割の属性に基づくID管理を全社統一したことによって、セキュリティ・レベルとID情報の品質が高まりました」と語る。これにより、退社や人事異動などで対象外となっているはずの“幽霊ユーザ”がいなくなった。また、磯田氏は「業務システムの利用権限と人事システムとの連携をプロビジョニングで自動化した結果、システム管理者の負荷が大幅に軽減されました」と話す。

コスト面の効果について、織田氏は「セキュリティは水道と同じようなもので、一定のコストはどうしてもかかります。要は、セキュリティ品質の向上がセキュリティ・コストを上回ればよいのではないでしょうか」と、控えめな感想を漏らす。それでも「今後開発する業務システムには、認証機能を作り込む必要がありませんから、その分だけでも非常に大きな節約になります」（織田氏）と、トータルではコスト効果が生じると考えている。

ID管理の基盤が確立したことで、パスワードに期限を設定し、セキュリティの強度を高める新しい運用方式も始まった。期限になる前に対象者に予告メールを数回送り、セルフサービスで変更してもらうやり方だ。「メール送信も自動化しましたから、システム管理者の手間は増えていません」と、磯田氏は言う。

荏原ポータルとの連携が無事に完了したことを受けて、同社は他の業務システムやアプリケーションとの連携にも着手し始めた。Microsoft Active Directory（AD）とはSun Java System Identity ManagerのADアダプタで接続することにしており、2007年秋には完成の見込みだ。メール・サーバや非Webアプリケーション型業務システムとの連携についても、2008年度以降の実施が予定されている。そのため、サンのソリューションに対する期待は、今後も高まるばかりである。

ご意見・ご感想をお聞かせください

この記事は参考になりましたか？ 参考にならない   参考になった   非常に参考になった コメントがございましたらご記入ください

ページ先頭へ