メルトピア

経営基盤を強化するIT戦略

三菱電機メルトピア。様々な事例がご覧いただけます。

  • カスタマーリポート

  • 導入事例
  • 2010年 6月号(No.157)
  • 伊藤忠テクノソリューションズ株式会社
  • 統合ログ管理ソリューション「LogAuditor」導入事例
  • 先進的な要素を盛り込んだ新基幹システム構築により
    内部統制強化ログ管理の中核にLogAuditorを採用

伊藤忠テクノソリューションズ株式会社(CTC)は、旧伊藤忠テクノサイエンス株式会社と旧株式会社CRCソリューションズが2006年10月に経営統合して誕生しました。コンサルティング、製品の調達、インフラ構築からシステム開発、データセンターの運用・保守まで、ITライフサイクルの全フェーズを深く、広くサポートするCTCは、特に大規模インフラの構築・運用を得意としています。同社は、ERPパッケージで構築した新基幹システムのログ管理に三菱電機インフォメーションテクノロジー株式会社(MDIT)の統合ログ管理ソリューション「LogAuditor」を採用し、最小限の工数で高い統制レベルの仕組みを作り上げています。

図:ITライフサイクル

ITライフサイクルを支える力でトータルにサポートする伊藤忠テクノソリューションズ株式会社

人物写真

情報システム部
竹中 博政

人物写真

情報システム部
塚原 英幸

人物写真

エンタープライズシステム事業グループ
エンタープライズビジネス第1本部
特命プロジェクト担当
赤城 潤一

ERPパッケージで基幹系を刷新
先進的な経営インフラを構築

 システムインテグレーター大手のCTCは、2008年7月に新基幹システムを稼働させました。ERPパッケージを活用し、30ほどあった旧システム群を統合。見積もりから保守までの商流を一元管理し、会計、経営支援へとつなげるものです。
 このインフラを担当した情報システム部の塚原英幸氏は「新基幹システムは、お客様に示す経営インフラの“モデルケース”の意味もあり、先進的な要素を盛り込んでいます。特に、時代の要請に合わせ、セキュリティーやコンプライアンスにこだわっています」と語ります。
 セキュリティー、コンプライアンスの面で重要な要件となったのがログ管理です。情報システム部の竹中博政氏は「従来のログ管理はシステムごとに行っていましたが、新基幹システムではログ管理も一元化して内部統制を強化、日本版SOX法に対応させる必要がありました」と振り返ります。

▲ ページトップに戻る

顧客への提案・導入実績から
ログ管理に「LogAuditor」を選択

 2005年末からプロジェクトがはじまり、1年ほどかけて要件定義、基本設計を行うなかで、ログ管理のあり方も議論されました。ERPパッケージ本体のみならず、アドオン、ミドルウェア、OSの各レイヤーから、顧客情報など機密性の高い情報へのアクセスログを統合的に収集。特に、ダウンロード・印刷のログに関しては事後のレビュー・承認を行うため、既存の承認ワークフローシステム(独自開発)へ出力することにしました。
 問題は、形式が違う各種ログの抽出・整形・転送プログラムを個別開発すると工数がかかり、仕様変更に伴う修正にも労力を要することです。そこで、エンタープライズシステム事業グループ エンタープライズビジネス第1本部 特命プロジェクト担当の赤城潤一氏が、MDITの統合ログ管理ツール「LogAuditor」の活用を提案しました。
 「ログ管理機能を特別な開発言語でスクラッチ開発し、保守することを検討しているお客様に『LogAuditor』を提案し、採用していただいた実績もあり、『LogAuditor』の有効性の高さを認識していました」
 「LogAuditor」は、あらゆる形式のログを1つのデータベースに格納し、コード変換、正規化など所定の変換処理を行い、分析用データマートを作成するツールです。GUIベースのフロー作成、設定で開発でき、プログラミングがほとんど不要なのが特徴。必要なマスターデータを取り込み、ログに付加し、任意の項目で複数種のログを横串で分析することも可能です。

▲ ページトップに戻る

プロト開発で機能を検証
本開発はわずか1ヵ月で完了

 情報システム部では赤城氏の提案を受け、セキュリティー担当や内部統制担当、IS部門とも意見を調整。内部統制の強化を図るうえで、ベストな形に近づけることができるログ管理ツールとして「LogAuditor」の導入を内定。2007年夏から秋にかけ、MDITの支援のもと「LogAuditor」を核とするログ管理システムのプロトタイプを開発し、機能検証を行いました。
 「開発の容易さもさることながら、付属のExcelアドインツールで非定型分析もでき、管理のしやすさを実感できました」(竹中氏)
 実際の開発は2008年初頭からスタートしました。当初予定で新基幹システムは同年4月本稼働だったため余裕はほとんどありませんでしたが、プロトタイプのベースもあり、1ヵ月ほどで開発を完了しました。スクラッチ開発した場合と比較して工数を大幅に削減できたことは間違いありません。

▲ ページトップに戻る

「LogAuditor」と自社ツールを連携
運用ノウハウ込みで顧客にも提供

 新基幹システムにおけるログ管理の仕組みのうち、ERPパッケージに関わる部分は図に示した通りです。「LogAuditor」がERPパッケージのDBサーバ上の監査ログテーブルから設定されたタイミング(日次・週次・月次)で自動的に各種ログを取り込みます(ERPパッケージ側からのログ出力はスクリプト言語で開発)。「LogAuditor」に蓄積したログは、セキュリティー監査のために長期間オンライン保存されます。
 さらに、承認ワークフローシステムでのレビュー・承認が必要なログに関しては、ERPパッケージから取り込んだマスターデータと付き合わせてテーブルを整形し、CSV形式でバッチ転送。承認ワークフローシステムのテーブルに取り込みます。従来、承認ワークフローシステムで承認を行っていたのは、ファイルサーバのアクセスログだけでしたが、新基幹システムでは、ログ管理の一元化により内部統制の強化が実現できました。
 塚原氏は「運用開始から半年以上経ちますが、新しいログ管理の仕組みは安定運用できています。これから運用ノウハウも蓄え、外部のお客様にもこの仕組みを提案していこうと考えています」と語ります。
 CTCにとって、新基幹システムのログ管理の仕組みは、自社の内部統制を強化するとともに、お客様に示す先進的な事例にもなりました。CTCは、これからもお客様をはじめとするステークホルダーの価値を創発し、社会のより良い発展を目指していきます。

▲ ページトップに戻る

説明図

新基幹システムにおけるログ管理の仕組み

▲ ページトップに戻る