IT資産管理ツール・情報資産管理ソフト『AssetView』

IT推進部 部長<br>足立 貞介様<br>IT推進部 第一ITマネジメント室<br>左伴 英一様

トライネット・ロジスティクス株式会社様

「米国SOX法への対応」サーバーへの作業履歴を
AssetView HYPER M で取得
セキュリティポリシーどおりの操作を証明するログ管理

interview トライネット・ロジスティクス株式会社様

Date 2007 . 04 . 12

『トライネット・ロジスティクス株式会社』は三井物産の物流関連子会社である、日東ロジスティクス株式会社、東神倉庫株式会社の一部部門、京義倉庫株式会社の3社が統合され、2007年4月にスタートした総合物流企業である。

原材料の調達から製造・保管・配送まで、同社は大手アパレルチェーンを顧客に総合物流サービスを提供している。また通信販売物流では業界トップクラスの実績を誇っている。

その実績を支えるのが情報システムである。物流企業にとって情報システムはビジネスの基盤であり、重要性は日々高まっている。こうしたなかで2006年10月、同社で情報システムの企画・推進を担っているIT推進部では米国SOX法への対応のひとつとして、「AssetView HYPER M(PCログ操作機能)」を導入した。同社 IT推進部 部長 足立 貞介様、同部 第一ITマネジメント室 左伴 英一様に AssetView HYPER Mの導入の背景、導入後の運用についてお話を伺った。

Interviewed
インタビューをした方

足立 貞介

IT推進部 部長

左伴 英一

IT推進部 第一ITマネジメント室

米国SOX法への対応要求

「米国SOX法404条に対応せよ。」
トライネットロジスティクス(当時は日東ロジスティクス)に親会社である三井物産から要求があったのは2005年10月のことである。三井物産は米国NASDAQ(店頭公開市場)に上場しているため、米国SOX法404条に対応する必要があったが、子会社である同社も適用対象となるためだ。

すでに2005年7月に ISMS、BS7799-2認証を取得していた同社にとっては、「IT全般統制」については、それまでのマネジメントシステムで培ったノウハウで対応できるだろう、と見通しがつけられた。また「業務処理統制」についても要求を受けた当時、同社 IT推進部では業務効率化のため純国産ERP「GRANDIT」の導入を進めていた最中だった。GRANDITには「業務処理統制機能」が備わっており、この機能を活用すれば大部分の要求はクリアできることが分かった。

AssetView HYPER M【検索結果から操作追跡 例】

サーバーに対するPC操作ログ

しかし、アプリケーション自身ではアプリケーションサーバーに対して、誰が、いつ、どんな作業をしたのか?ということを管理することができない、という課題が残った。サーバーに対する操作の履歴管理はセキュリティマネジメントシステムでは必ず求められることである。また、ERPのシステム構築やメンテナンスはシステムインテグレータのアイディーエスに委託している。

足立氏

15年来の取引で厚い信頼関係で結ばれていますが、今の時代、お互いの『信頼』だけでは済まされない。いつ、だれが、何をしたのか。セキュリティポリシーから逸脱せず業務をしているのか、ということを外に対し見える形で証明することが必要になっています。

と足立氏はログ監視、証跡管理の必要性を語る。

このような背景からログ管理ツールの製品の導入を検討することとなった。

実際製品を検討するにあたっては、システムインテグレータ2社に製品をいくつかピックアップしてもらった。操作ログ取得・管理ツールは大規模で大掛かりなシステムがほとんど。今回はアプリケーションサーバーに対してアクセスするPCの操作ログを取る、という限られた要件だったので、そのニーズをクリアするシンプルなものを探した。最終的には3製品の機能を比較し、デモンストレーションをみて実際の操作性を確認した。

AssetView HYPER をデモンストレーションで見た印象を左伴氏は次のようにコメントした。

左伴氏

シンプルで直感的に分かりやすい画面ですぐに使いこなせそうな点が気に入りました。

使い勝手の良さ、そして価格面での優位性から、AssetView HYPER の導入を決めた。2006年10月のことである。

運用ルール × AssetView HYPER = 的確な管理

AssetView HYPER 導入後の運用は次のように行っている。
まず、アプリケーションサーバーに対して作業をするのは決まったPCからでしか行えないようにし、そのPCを監視対象とし、AssetView HYPER をインストールした。サーバーに対して作業をする際はそのPCを使うための申請書の起票が必要なルールにした。毎月初に AssetView HYPER Mで取得したPC操作ログから先月分のログを抽出し、申請書と付け合せ、不審なアクセスがないか確認する。また、操作内容から「ファイルの削除」等の不審なログがないかを重点的にチェックする、といった運用だ。運用ルールとツールをうまく組み合わせて的確な管理を実現している好例である。

左伴氏

カレンダーから日付を指定して、PC名を選択して、というとても簡単でシンプルな操作性がいいですね。運用のしやすさは購入前のデモンストレーションでの印象のままです。

と左伴氏は言う。

AssetViewHYPER を導入し、運用し始めた今の意見を足立氏に伺った。

足立氏

ソフトウェアはツールにすぎない、と改めて感じます。たとえば、今回のようにサーバーへのアクセスログについていうと、いつ、誰が、何をした、というのを台帳で手書きすることでも管理はできます。ただ、手間がかかるし、そのルールを徹底しつづけるのは大変です。記入漏れ、書き間違いが起こるリスクは残ってしまう。それならば、ログ管理ツールを導入しよう、という判断はあたりまえであるし、人手でやることを考えたら、AssetView HYPER の導入費用は大変安いものです。

セキュリティ、内部統制の構築には、うまくツールを活用する必要がある。同社の AssetView HYPER の導入はこのことの事例といえるであろう。

今後の課題を足立氏に伺った。

足立氏

3つの会社が統合したばかりなので、まずは各社のセキュリティポリシーを標準化することが第一の課題です。情報システムについてもそれぞれの拠点で培ってきたものを活かし、より良いものを構築していきます。

より強固なセキュリティをめざしていくトライネット・ロジスティクス株式会社。
株式会社ハンモックは企業のセキュリティ強化生産性向上を支援するソフトウェアを今後もリリースしていく予定だ。

トライネット・ロジスティクス株式会社

トライネット・ロジスティクス株式会社

http://www.trinet-logi.com/

PR:海外から国内エンドユーザーまで
~お客様に最適なロジスティクスをオーガナイズする総合物流企業~
東京・横浜・中部・神戸・福岡の日本の主要貿易港および首都圏を睨んだ北関東に本支店を配置、全国14カ所に物流センターを配した全国ネットワークを形成しています。三井物産株式会社のグローバルな海外ネットワークと、当社国内ネットワークがリンクした海外からの一貫したロジスティクス体制を構築しており、サプライチェーン・マネージメントを支援する最新ITソリューションを駆使し、海外からの国際輸送から国内での輸出入業務・保管・流通加工・エンドユーザーへの配送まで、お客様へ最適なインテグレイティド・ロジスティクス・サービスを提供しています。

運輸・運送の関連事例

導入企業

AssetView 導入企業ロゴ
業種・規模問わず様々な企業様に
ご導入いただいております
Panasonic
Kawasaki
山形市役所
デジタル・アドバタイジング・コンソーシアム株式会社
学校法人 慶應義塾
学校法人 拓殖大学
JA広島総合病院
地方独立行政法人 堺市立病院機構 堺市立総合医療センター
Panasonic
Kawasaki
山形市役所
デジタル・アドバタイジング・コンソーシアム株式会社
学校法人 慶應義塾
学校法人 拓殖大学
JA広島総合病院
地方独立行政法人 堺市立病院機構 堺市立総合医療センター
今後もお客様からいただいたご要望をもとに、サービス向上・機能強化に努め、お客様のIT資産管理やセキュリティ強化をご支援してまいります。
お電話でのお問い合わせも受付中 平日9:00〜12:00 | 13:00〜17:00(休業日を除く)
0120-922-786

携帯電話からは03-5291-6121