ISMS認証の取得を目指しMylogStar FileServerを導入
商材としても活用し、本格的に運用管理ビジネスの展開も進める
システム開発からインフラ構築、マネージドサービス、海外製品の販売・導入・保守など、ICTに関するさまざまなビジネスを展開しているオリゾンシステムズ。このたび同社はファイルサーバーの入れ替えに合わせ、金融業の顧客や官公庁に向けたサービスを提供する上で必須となるISMS認証の取得を目指すことにした。同社はラネクシーのファイルサーバーのアクセスログ・監査ログ管理ツール「MylogStar FileServer」を導入。スムーズなISMS認証の取得を実現した。今後同社は、MylogStar FileServerの導入・運用で得た知見をもとに、同製品シリーズを商材としても活用し、運用管理ビジネスの本格的な展開を進めていく。
使用製品:MylogStar FileServer
オリゾンシステムズ様の導入前の課題と導入後の効果
導入前の課題
ファイルサーバーのリプレースに合わせてISMS認証の取得へ取り組むことになり、その要求事項を満たすためにログを確実に取得・管理できるツールが必要となった。
導入後の効果
MylogStar FileServerの導入によって確実なログ管理が可能となり、ISMS認証のスムーズな取得を実現した。また、パフォーマンスの調査などさまざまな目的で活用している。
ISMS認証の取得を目的にサーバーログの確実な取得を目指す
ICTに関するさまざまなサービスをワンストップで提供しているオリゾンシステムズ。最近では、顧客のサーバーからネットワーク、アプリケーションまで、システムの総合的な運用支援および保守・監視を実施するマネージドサービスに注力している。
さて同社は2018年末、社内システムの老朽化に伴いファイルサーバーのリプレースを実施したが、これに合わせてISMS認証の取得に取り組むことにした。その背景について、執行役員 インフラサービス事業部 事業部長 菅野洋行氏は次のように説明する。
「当社はインフラ構築、システム開発、運用保守サービスを提供する事業者として、これまでさまざまな施策を実施してきました。中でも24時間365日体制の運用保守サービスを導入される顧客が増えてビジネスが成長していくに伴い、自社および顧客の情報資産を適切に管理し、情報セキュリティへの取り組みをより強化していくことの重要度が高まっていたのです。そこで、顧客が安心・安全にサービスを利用してもらうためにも、ISMS認定の取得は欠かせないものと考えました」
実際、金融業や官公庁などの顧客においては、サービス事業者の選定の際、ISMS認証の取得を必須要件としているケースも多い。そのためISMS認証がないと、そもそも入札などの舞台に上がることができないという。
「それまで取得していたPマークだけでは、今後さらにビジネスを拡大していく上で限界があると考えました」(菅野氏)
ISMS認証の取得を目指す上で、基準となるのがISMSの要求事項を定めた規格「JIS Q 27001(ISO/IEC 27001)」である。その具体的な管理策として策定されたISO27002には、イベントログの監視や取得という項目が設けられている。この点が重視されるのは、システムに対する操作ログやファイルへのアクセスログを記録し、インシデントが発生した際に即座にトレースしたり、分析して問題の解決に役立てることができるためだ。
「適切なリスクアセスメントを実施し、より確実な情報セキュリティを実現するためにも、今回のリプレースはISMSを取り入れる良い機会と考えました」(菅野氏)
MylogStarの信頼と実績に加えサービスから得た知見を活用できる点が決め手に
執行役員
インフラサービス事業部 事業部長
菅野 洋行 氏
ITアウトソーシング事業部 事業部長
兼 1部 部長
鈴木 健治 氏
ISMS認証の取得を目指す一連の取り組みの中、オリゾンシステムズはラネクシーのファイルサーバーのアクセスログ・監査ログ管理ツール「MylogStar FileServer(マイログスターファイルサーバー)」を採用した。その理由についてITアウトソーシング事業部 事業部長の鈴木健治氏は「実は当社は主力業務の一つである運用保守サービスにおいて、顧客環境へアクセスする社内のPC端末に『MylogStar Desktop※』を導入しています。これにより、金融業の顧客などから求められる厳しい監査要件にも対応できる環境を実現できました。その信頼と実績に加え、当社の運用保守サービスを利用されている顧客の中には、MylogStarを利用されている企業も少なくありません。当然、我々もサービスを通じて多くの知見を持っています。これが活用できる点などを評価し、MylogStar FileServerの採用を決めました」と説明する。
MylogStar FileServerは、監視対象をファイルサーバーに絞ってログ管理を行うソフトウェアである。セキュリティ対策として、ファイルサーバー内のデータの入出力やユーザーの操作の監視に利用できる。MylogStar FileServerは、サーバー内における操作を時系列かつ連続的(いつ・誰が・何をした)にログとして記録することができるため、ISO27002の項目にあるイベントログの監視や取得へ確実に対応することが可能となる。
ISMS認証のスムーズな取得を実現
ビジネスの拡大にも貢献
オリゾンシステムズは、MylogStar FileServerの導入によりファイルサーバーにおける確実なログの取得が可能となったことで、ISMS認証の申請を実施。無事に認証を取得した。鈴木氏は「申請と時を同じくして高度な情報セキュリティを求める顧客からの引き合い、大手SIerからの委託が目に見えて増えてきたので、スムーズなISMSの取得には非常に大きな意義がありました。ISMS認証があるとないとでは、顧客にサービスの提案をする上での説得力が違ってきます」と導入のメリットを語る。
なお、ISMSは認証を受けて終わりではない。導入後も計画通りに運用がなされているかの確認作業を3カ月ごとに実施していく必要がある。
「MylogStar FileServerが無ければスムーズな運用はできず、認証の維持は難しかったと思います」(菅野氏)
同社は操作ログのチェック以外にも、OSのログを確認してトラブルの有無を調べたり、不審な挙動がないか確認したり、パフォーマンスを調査したりなど、さまざまなかたちでMylogStar FileServerを活用している。
「一例を挙げると、サーバーのパフォーマンスが低下した際、その原因を究明していくうちに、あるユーザーが大量のバックアップを取っていたことが操作ログを解析することで判明しました。そうしたイレギュラーな使い方が可視化され、サーバー利用のマナーが守られるようになったこともメリットの一つです。不要なアラートも無くなり、運用負荷も軽減しました」(鈴木氏)
これまでの導入・運用で培った経験、ノウハウをMylogStarの外販に活用していく
今後についてオリゾンシステムズでは、これまでの導入・運用で培った経験、ノウハウをMylogStarの外販ビジネスに役立てていく方針だ。
「例えば、前述したようなシステム部門として想定していないユーザー操作や挙動についての事例をベースに、セキュリティ対策や管理のあり方、運用などを他の商材と絡めて提案していきたいですね」(菅野氏)
特に、MylogStarは他社製品と比べて導入の敷居が低く、ログに特化しているぶんだけ低コストで導入できるというメリットがある。よって同社は、システム管理に多くのリソースを割けない中小企業にも広く適応できるソリューションだと評価する。
「アフター・コロナでもテレワークという働き方は継続していくでしょうから、端末が実際どう使われているのかを把握し、働き方改革につなげていきたいというニーズは高まっていくと思います。こうした要望に対しても、MylogStarシリーズの活用を提案していきたいと思います」(鈴木氏)
管理サーバー不要! ピンポイントで実現するサーバーアクセスログ管理!
MylogStar FileServerは、ファイルサーバー内のファイル操作の履歴やイベントログをはじめとする、 各操作ログを取得します。サーバーの重要データに「いつ、誰が、何をしたか」を記録することは、不正の抑止となり、 有事の際はその証拠と原因追及を実現します。
管理用のサーバーを別途用意する必要がなく、PCへのエージェントをインストールも不要の為、低価格で手軽なログ管理を実現します。
詳細資料
ご担当者様のインタビュー取材記事を掲載したPDFをダウンロードしていただけます。
お客様概要
- 所在地:東京都新宿区新宿6-27-56 新宿スクエア7F
- 設立:1998年6月
- 資本金:4000万円
- 従業員数:240名(グループ会社含む)
- 事業内容:ソフトウェア開発およびICTシステムの設計・構築・運用保守
- URL:https://www.orizon.co.jp/