IBM

大成建設株式会社

TAM(Tivoli Access Manager for e-business)により強力な電子認証システムを構築


掲載日 2003年5月9日

大成建設株式会社

大成建設株式会社
ゼネコン大手の大成建設では、IT戦略の元で展開される経営基盤システム化計画を策定。2002年4月には、経営のスピード化・効率化を実現するために、会社の経営資源情報(ヒト、モノ、カネ)を社員それぞれのパソコンなどから社内ネットワークやインターネットを介して発生時点入力、電子承認、検索ができる仕組みを構築した。

ここで極めて重要になるのが、この仕組みが決められた権限と責任のもとで正しく利用されること。すなわち、利用者の「本人確認」など利用者識別機能の強化が重要なポイントとなってくる。そして、ITによる利便性の向上とセキュリティー・レベルを維持するために、Tivoli® Access Manager for e-business(TAM)をベースにした本人認証のシステムを構築、2002年4月から稼働させている。そこで、同社社長室情報企画部課長代理白井俊二氏にTAMをベースにしたセキュリティー確保のための基盤づくりについてインタビューした。



お客様ニーズ ソリューション 導入効果

将来の展望 お客様情報 製品・技術情報

お客様ニーズ


業務の仕組み・流れを変えるため
全社員にトークンカードを配布、ポータルサイトをTAMで制御
 「2002年4月に、社員向けのポータルサイトを再構築しました。業務の仕組み・流れを変えるということで、例えば契約、経費精算などのシステムを一元的にアクセスできるようにポータルサイトに集約しました。このポータルサイトの本人認証システムのベースとして、TAMを導入したわけです」

社内LANや専用線などの社内ネットワークからのアクセスばかりでなくインターネットを介した拠点外からのアクセスも可能にした。 アクセス経路やトークンカードの有無といった認証方式によってアクセス権限を変える仕組みを構築したのである。


上に戻る

ソリューション

拠点内外どちらからもアクセス可能に

「社内LAN環境や専用線接続といった拠点内からでも、インターネットを介した拠点外からでもポータルサイトにアクセスする場合、同じ仕組みにしようということを考えたのです。現在の認証方式は、拠点内と拠点外からのアクセスに対応し、TAMを2つ設定、ユーザーは同じユーザーID、パスワード、トークンカードのワンタイムパスワードを使ってポータルサイトに入ることができます。トークンカードは全社員に配布しています」

もちろん、トークンカードがなければ使えないということではなく、ユーザーIDとパスワードだけでも拠点内からのアクセスはできるようになっている。この場合でも、トークンカードの使用の有無によって利用者が利用できる範囲に制限をつけており、正に万全のセキュリティー対策となっている。

例えば、拠点内からポータルサイトに入る時には、トークンカードを持っていれば、ユーザーID、パスワード(トークンカードの個人識別用暗証番号(PIN))、ワンタイムパスワードで認証され、トークンカードを持っていなければ、ユーザーIDとパスワード(TAMのLDAP)で認証される。システム的には異なるPINとLDAPのパスワードの同期を取っているのが特長で、どちらの認証方式でログインしたのかによって、利用できるシステムを制限している。

インターネットを介した拠点外からのアクセスでは、トークンカード不携帯ではポータルサイトに入れない。

「トークンカード不携帯では拠点外からのアクセスはシャットアウトされるだけでなく、拠点内からでもカード不携帯では制限を受けるわけです。セキュリティー・レベルを下げないためにも、これらをポータルサイトに入る前にTAMにより制限しているのです」


きっかけは海外駐在者や出向者でもポータル画面を見えるようにすること

同社とTivoli製品との関わりは、IT戦略スタートより約1年前、2001年8月にTAM(当時のTivoli Policy Director)を導入したのが最初。

白井氏写真

白井俊二氏
大成建設株式会社
社長室情報企画部
課長代理
「拠点外から社内システムへのアクセスをどうするかというのがきっかけでした。というのは、海外駐在の社員や一般企業等に出向している社員が、給与通知をパソコンから閲覧したり、人事・総務関連の申請処理をできるようにするには、どうしたらいいかというのが契機になりました。背景には人事関連の申請・閲覧のシステムのWeb化が完了していたのですが、社外にいる社員でも公平に利用できるようにしたい、また処理の二重化は避けたいという要望がありました。これまでVPNなどで接続していたのですが、先方のセキュリティー上不可能なこともあったわけです。この部分を、標準的なインターネット技術を使ってセキュリティーを保ちつつ実現することを目指したのです」。
このニーズにマッチした製品が当時のTivoli Policy Director(現在のTAM)だったと白井氏は語っている。 すなわち、本人認証ができ、インターネットを介するための暗号化(SSL通信)、外部からの社内ネットワークへのアクセスには不可欠なリバースプロキシ機能、さらにシングルサインオンというすべての要件を満たしていて、これらを一度に解決できる製品としてTAMが選定されたのである。このシステムの構築には、Tivoliのビジネスパートナーであるセコムトラストネットが当たり、TAMをベースとしたシステムは、製品名セコムセキュリティマネージャーとして導入されている。 2001年8月の段階では、セキュリティー・レベルを下げないようにパスワードを何ヵ月かに1回強制的に変えるということをTAMの機能で対応、まだトークンカードという発想はなかったという。

「トークンカード採用については、より一層のセキュリティー・レベル度を向上させることが理由で、製品選定については、TAMでの実績もポイントになりました」
経営基盤システム利用のための新しい仕組み


上に戻る

導入効果

1万4000ユーザーで1日平均3万ログイン

現在、ポータルサイトを利用するユーザーが約1万4000人となっている。これは、グループ会社や協力会社の社員も含んでいる。

「利用状況ですが、2003年1月で、拠点内からの利用が延べ1日平均3万ログイン、拠点外からの利用は、1日平均500ログインです。特に、給料日等には、拠点外からの利用は多くなります。これは、当初の導入目的を達成していることになると思います」

現在、ポータルサイトの中には、グループウエア、人事申請閲覧システムをはじめ、契約関連のシステム、経費精算システム、各部門ごとのホームページなどがある。

  注目すべきは、本人認証について、人事情報データベースと連携していること。

「社員が退職しますと、翌日からポータルサイトの利用はできなくなる仕組みになっています。また、社内の異動があった場合でも、その利用者の見ることができていた範囲も自動的に変わるような仕組みになっています。これはTAM側でなく、ポータルサイト側で実行するようになっています」

もちろん、TAMによる本人認証と連携しているので、万全のセキュリティーなっているといっていいだろう。
現在、社内LANの環境では、ログインして数秒でポータルサイトが表示されるようになっている。

「ログインした場合、TAM側からポータルサイトに画面遷移するのに一画面入れなければならないので、最初は余計な処理が増えると感じていましたが、使用している内に、ここに利用者への告知メッセージを挿入できるので有効だと思うようになりました。特に拠点外からの利用者は孤立した環境にいる個人が多いわけですが、伝達事項をここで徹底できるのでメリットは大きいといえるでしょう」

利用者はログインすると即メッセージが出るので必ずチェックしてくれる。例えば、何日何時から何日何時まで、メンテナンス等でシステムが停止するといったメッセージも確実に伝わるというわけである。

海外を含めた社外からのアクセスが可能に

TAM活用の環境は着実に進んだことで、社員がセキュアIDカードを携帯していれば、出先からや自宅からでもアクセス可能になっているのも大きなメリットだろう。海外も含めて休日でも300ログインの利用があるのがその証明だ。建設会社の場合、工事作業所からのアクセスも可能なので極めて快適な利用が実現しているといえる。

「結果的には、本人認証の仕組みはうまく運用されていると思います。セキュリティーポリシーの導入、トークンカードの配布、認証システムの変更を全社一斉にスタートさせたことが、スムーズにいった大きな要因だといえます」

ルールづくりは、本人認証実現の最重要基盤の1つ。同社では、この点をクリアして成功している。
また、本人認証システム構築については導入決定後、3ヵ月という短期間で旧システムからこのシステムに移行している。この点について、白井氏は、パートナーの重要性を次のように語っている。

「これだけのシステムづくりには、いいパートナーが不可欠です。当社では、セコムトラストネット社の2001年8月からの実績やTAMの機能を熟知されている点を評価、パートナー選びに成功したと思っています。ただ製品を取り扱っているというだけではだめですね。やはり実績のあることがポイント。セコムトラストネット社は、利用者が意識することなく、PINとLDAPのパスワードのいずれかでログインできる仕組みの実現など、われわれの期待に十分に応えてくれたと思います」






上に戻る

将来の展望


「今、新しいポータルサイトが稼働して1年目ということでインフラはほぼ完成しています。今後の課題としては、業務アプリケーションの整備に注力していきます。例えばわれわれのパートナーである施工業者やお客様との連携のシステムを強化していくこと。セキュリティ面では、パソコンの運用管理、資産管理の充実にも注力していく考えです。」

本人認証をはじめ、社内ポータルでは先進ユーザーである大成建設、今後の展開が大いに注目されるところである。


上に戻る

お客様情報

お客様名: 大成建設株式会社

上に戻る

製品・技術情報

 ソフトウェア:
Tivoli Access Manager 詳しくはこちら

上に戻る

本事例中に記載の肩書や数値、固有名詞等は初掲載当時のものであり、閲覧される時点では、変更されている可能性があることをご了承ください。
事例は特定のお客様での事例であり、すべてのお客様について同様の効果を実現することが可能なわけではありません。

IBM、IBMロゴおよび Tivoliは、IBM Corporationの商標。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標。
上に戻る