トライネット・ロジスティクス株式会社様
interview トライネット・ロジスティクス株式会社様
Date 2007 . 04 . 12
『トライネット・ロジスティクス株式会社』は三井物産の物流関連子会社である、日東ロジスティクス株式会社、東神倉庫株式会社の一部部門、京義倉庫株式会社の3社が統合され、2007年4月にスタートした総合物流企業である。
原材料の調達から製造・保管・配送まで、同社は大手アパレルチェーンを顧客に総合物流サービスを提供している。また通信販売物流では業界トップクラスの実績を誇っている。
その実績を支えるのが情報システムである。物流企業にとって情報システムはビジネスの基盤であり、重要性は日々高まっている。こうしたなかで2006年10月、同社で情報システムの企画・推進を担っているIT推進部では米国SOX法への対応のひとつとして、「AssetView HYPER M(PCログ操作機能)」を導入した。同社 IT推進部 部長 足立 貞介様、同部 第一ITマネジメント室 左伴 英一様に AssetView HYPER Mの導入の背景、導入後の運用についてお話を伺った。
足立 貞介 様
IT推進部 部長
左伴 英一 様
IT推進部 第一ITマネジメント室
「米国SOX法404条に対応せよ。」
トライネットロジスティクス(当時は日東ロジスティクス)に親会社である三井物産から要求があったのは2005年10月のことである。三井物産は米国NASDAQ(店頭公開市場)に上場しているため、米国SOX法404条に対応する必要があったが、子会社である同社も適用対象となるためだ。
すでに2005年7月に ISMS、BS7799-2認証を取得していた同社にとっては、「IT全般統制」については、それまでのマネジメントシステムで培ったノウハウで対応できるだろう、と見通しがつけられた。また「業務処理統制」についても要求を受けた当時、同社 IT推進部では業務効率化のため純国産ERP「GRANDIT」の導入を進めていた最中だった。GRANDITには「業務処理統制機能」が備わっており、この機能を活用すれば大部分の要求はクリアできることが分かった。
しかし、アプリケーション自身ではアプリケーションサーバーに対して、誰が、いつ、どんな作業をしたのか?ということを管理することができない、という課題が残った。サーバーに対する操作の履歴管理はセキュリティマネジメントシステムでは必ず求められることである。また、ERPのシステム構築やメンテナンスはシステムインテグレータのアイディーエスに委託している。
足立氏
15年来の取引で厚い信頼関係で結ばれていますが、今の時代、お互いの『信頼』だけでは済まされない。いつ、だれが、何をしたのか。セキュリティポリシーから逸脱せず業務をしているのか、ということを外に対し見える形で証明することが必要になっています。
と足立氏はログ監視、証跡管理の必要性を語る。
このような背景からログ管理ツールの製品の導入を検討することとなった。
実際製品を検討するにあたっては、システムインテグレータ2社に製品をいくつかピックアップしてもらった。操作ログ取得・管理ツールは大規模で大掛かりなシステムがほとんど。今回はアプリケーションサーバーに対してアクセスするPCの操作ログを取る、という限られた要件だったので、そのニーズをクリアするシンプルなものを探した。最終的には3製品の機能を比較し、デモンストレーションをみて実際の操作性を確認した。
AssetView HYPER をデモンストレーションで見た印象を左伴氏は次のようにコメントした。
左伴氏
シンプルで直感的に分かりやすい画面ですぐに使いこなせそうな点が気に入りました。
使い勝手の良さ、そして価格面での優位性から、AssetView HYPER の導入を決めた。2006年10月のことである。
AssetView HYPER 導入後の運用は次のように行っている。
まず、アプリケーションサーバーに対して作業をするのは決まったPCからでしか行えないようにし、そのPCを監視対象とし、AssetView HYPER をインストールした。サーバーに対して作業をする際はそのPCを使うための申請書の起票が必要なルールにした。毎月初に AssetView HYPER Mで取得したPC操作ログから先月分のログを抽出し、申請書と付け合せ、不審なアクセスがないか確認する。また、操作内容から「ファイルの削除」等の不審なログがないかを重点的にチェックする、といった運用だ。運用ルールとツールをうまく組み合わせて的確な管理を実現している好例である。
左伴氏
カレンダーから日付を指定して、PC名を選択して、というとても簡単でシンプルな操作性がいいですね。運用のしやすさは購入前のデモンストレーションでの印象のままです。
と左伴氏は言う。
AssetViewHYPER を導入し、運用し始めた今の意見を足立氏に伺った。
足立氏
ソフトウェアはツールにすぎない、と改めて感じます。たとえば、今回のようにサーバーへのアクセスログについていうと、いつ、誰が、何をした、というのを台帳で手書きすることでも管理はできます。ただ、手間がかかるし、そのルールを徹底しつづけるのは大変です。記入漏れ、書き間違いが起こるリスクは残ってしまう。それならば、ログ管理ツールを導入しよう、という判断はあたりまえであるし、人手でやることを考えたら、AssetView HYPER の導入費用は大変安いものです。
セキュリティ、内部統制の構築には、うまくツールを活用する必要がある。同社の AssetView HYPER の導入はこのことの事例といえるであろう。
今後の課題を足立氏に伺った。
足立氏
3つの会社が統合したばかりなので、まずは各社のセキュリティポリシーを標準化することが第一の課題です。情報システムについてもそれぞれの拠点で培ってきたものを活かし、より良いものを構築していきます。
より強固なセキュリティをめざしていくトライネット・ロジスティクス株式会社。
株式会社ハンモックは企業のセキュリティ強化生産性向上を支援するソフトウェアを今後もリリースしていく予定だ。
PR:海外から国内エンドユーザーまで
~お客様に最適なロジスティクスをオーガナイズする総合物流企業~
東京・横浜・中部・神戸・福岡の日本の主要貿易港および首都圏を睨んだ北関東に本支店を配置、全国14カ所に物流センターを配した全国ネットワークを形成しています。三井物産株式会社のグローバルな海外ネットワークと、当社国内ネットワークがリンクした海外からの一貫したロジスティクス体制を構築しており、サプライチェーン・マネージメントを支援する最新ITソリューションを駆使し、海外からの国際輸送から国内での輸出入業務・保管・流通加工・エンドユーザーへの配送まで、お客様へ最適なインテグレイティド・ロジスティクス・サービスを提供しています。