注:本記事はiMagazine No.11に掲載されたものです

IT全般統制への対応

アイシン化工株式会社

本番リリース時の全操作ログを管理して
開発と運用の職務分離を実現


[point画像]
  • Security+++の活用で本番リリース時の特別IDをログ管理
  • 限られた人員体制の中で事実上、開発と運用の職務を分離
  • 必要ログの適切な取得で、プログラムの不正変更を監視する仕組みづくり
! IT全般統制への対応を視野にログ管理ツールを選定
 1952年に創業したアイシン化工は、アイシングループの中で唯一、化学分野を担うメーカーである。
 主力分野は化成品、摩擦材、樹脂部品の3つ。オリジナル商品である塗布型制振材、構造用接着剤、防錆塗料、耐チップ材などの開発・製造を行うほか、自動車の走行に最も重要な駆動系摩擦材の開発から生産までを一貫体制で提供。さらに、従来は金属製部品が主流であった機能部品の樹脂化を積極的に推進している。
 同社は12年前に汎用機からAS/400へ移行して以来、販売管理・生産管理・購買管理・財務会計の各システムをSystem i上で運用してきた。汎用機からの移行時に、ある業務パッケージ製品を徹底的にカスタマイズして、自社要件に即した基幹業務システムとして完成させている。
 情報システムグループの人員は6名おり、そのうち5名がRPG開発者。一般的に標準化が進んでいるようなシステム分野については、パッケージ製品の利用を始めた。しかし基本的には、現場からの開発依頼に対して社内人員で迅速に応えられるよう、RPGによる“内製主義”を掲げている。
 同社は2007年4月、生産システムのインフラ整備とJ-SOX法への対応を視野に入れ、System iを現行モデルである520へリプレースした。
 生産システムのインフラ整備とは、部品表の一形態であるBOM(Bills of Material)を生産工程で活用する「製造BOM」(M-BOM)の構築を意味する。BOMは、製品の見積もり時点から設計・調達・製造・メンテナンスに至るまで、多岐にわたる工程で利用される部品表データであり、近年のものづくりでは、生産効率を左右する極めて重要な存在として注目されている。
 同社では2006年から5ヵ年計画のプロジェクトとして、BOMをベースとした生産管理システムの再整備を進めており、実行計画の立案からリードタイムの短縮、工程内在庫の管理、厳密な原価管理などの目標に向けて、現在もSystem i上でRPGを使用した開発が進行している。

! ツールをうまく利用して開発と運用を職務分離
 一方、J-SOX法への対応については、2006年11月から、アイシングループのメンバー企業として具体的にプロジェクトが動き出した。
 同社の情報システム部門が真っ先に検討したのは、IT全般統制の整備項目の1つである「開発と運用の職務分離」である。それには、何らかの手段による厳密なログ管理が必要であると考えられた。
「System iではOSの基本機能としてシステム全体のログを取得できる機能が備わっています。しかしシステム担当者ではなく、監査担当者が参照できる形式のログとして出力しなければなりません。そこで当初から、System i上で運用できるログ管理ツールの導入を検討しました」と語るのは、経営企画部情報システムグループの榎木田真一グループマネージャーである。
 2006年末当時は、System i上で利用できるログ管理ツールの数は限られていたが、同社では生産管理システムの開発業務を委託していたエスツーアイからの提案を受け、「Security+++」(三和コムテック)の採用を決定した。
 情報システムグループの杉山茂氏は、「System iで運用している本番業務にパフォーマンス低下などの影響を一切与えないこと、アイシングループの1社で運用実績があることのほか、当時すでに導入実績が豊富であったなどの点を評価して、採用を決めました」と語る。
 2007年8月に520への切り替えが終了して、本番稼働がスタート。同年10月から、Security+++を利用してログの出力・管理を開始した。
 IT全般統制では、プログラムソースを触る開発担当者と、本番環境に自由にアクセスしてプログラムをリリースする運用担当者を分離するのが原則である。しかし一般に企業のシステム部門では人員が限られており、開発と運用を職制で分離するのは物理的に難しいのが現状だ。同社もその例外ではない。
 そこで開発者5名に対し、プログラムリリース時にのみ、システム管理者が各自の申請に基づいて、本番環境へアクセスできる特別なユーザーIDを時限的に付与。そのIDに関しては、コマンド操作からプログラム変更、コンパイルまでの全操作ログを、Security+++の“キャプチャログ”として取得・管理することで、事実上、開発と運用の職務分離を実現したのである。
 同社では平均して、プログラム変更が年に約50件、オペレーションの変更依頼が30〜40件、不具合への対応が20〜30件発生している。それらに関する本番環境へのプログラムリリースはすべて、上記の仕組みでログ管理されている。
 Security+++の運用がスタートしてから約1年半。その間に、J-SOX法の整備状況に関する運用監査が2回実施された。親会社の監査部門からは、「ツールをうまく使ってログを適切に取得し、プログラムに事実上不正な変更がないことを定期的に確認できる仕組みが確立されており、IT全般統制の基準を満たしている」との高い評価を受けているようだ。

アイシン化工での統制環境の整備

榎木田真一氏 杉山茂氏
COMPANY PROFILE
設立:1952年
本社:愛知県豊田市
資本金:21億1800万円
売上高:373億円(2008年度)
従業員:809名
http://www.aisin-chem.co.jp/