Novell(クラウドコンピューティングのセキュリティ・仮想化ソリューションを実現)

朝日新聞社

朝日新聞社は、事業の基幹となる新聞製作システムの刷新に合わせ、全社のネットワークを包含した統合的な認証基盤の構築に着手した。セキュリティ強化とユーザ/管理者双方の負荷軽減を目指す同社では、ノベルのアイデンティティ管理製品を利用したメタディレクトリソリューションを導入。16システムに及ぶ認証情報を連携し、社内・社外合わせて8,000を超えるユーザアカウントの一元的な管理を実現している。

概要

1879年設立。創刊から実に130周年を迎え、日本随一のクオリティペーパーと評される「朝日新聞」の発行のほか、スポーツイベントの主催や文化事業にも積極的に取り組んでいる。デジタルメディアにも早くから参入し、同社運営のニュースサイト「asahi.com」は1日平均500万ビューの実績をもつ。本社従業員数は約5,500人、国内外に雑誌・書籍・放送など、約220社のグループ企業を擁している。

導入の経緯

同社の新聞製作システム「NELSON」は、導入当時 の1980年には世界最先端のソリューションであったが、メインフレームと専用端末による構成は情報のマルチユースには不向きで、老朽化も進んでいた。これを汎用性の高いオープンシステムによって刷新する構想が1999年ごろからスタートしたが、やがてプロジェクトは勘定系や販売系、情報系など、全社のシステムとネットワークを標準技術をベースに統合化するという、大規模な更新計画へと発展していった。これについて、同社製作本部 システムセクション サブマネジャー 金沢幸夫氏は次のように語る。「当時の我々のシステム環境は業務や部門ごとに個別に開発、運用されており、管理効率や利便性の問題に加え、情報の流通や共有という点でも不十分だった。そこで、基幹システムの更新を機会に全システムとネットワークを見直し、全社で情報を共有できる基盤の構築を目指すこととなった。」

プロジェクトは新聞製作の基幹システムを担当するメディア系、人事・経理・販売などのシステムを担当する経営営業系、そしてネットワークの構築と認証システムを担当するインフラ系の3つのチームに分かれ、同時並行で進められた。

課題

ネットワークの統合は、よりレベルの高いアクセス管理が必要となることを意味する。当時インフラ系チームの一員として実際のシステム構築を手掛けた同社製作本部 システムセクション コントローラ佐々木敏行氏は次のように語る。「新聞社では情報資源のセキュリティ対策には特に気を遣う必要があるが、そのためにユーザの利便性を損ねたり、システム管理者に過度な負担を強いたりすることはできない。強固なセキュリティを保ちつつ、ユーザ/管理者双方の負荷を最小限にとどめるためには統合的な認証基盤が必要という結論に達した。」

「その要件としてまず考えたのが、重要度やリスクに応じた2つの認証方式。具体的には、一般的なID/パスワードによる認証に加え、特にクリティカルなシステムに対してはICカードを利用したPKI認証を実施する。次に、ユーザの利便性を考慮し、1度の認証で許可されたすべてのシステムにアクセスできるシングルサインオンを可能とすること。そして、こうした仕組みの基となるユーザ情報を統合的かつ一元的に管理し、メンテナンス負担を軽減するディレクトリサービス。この3つを認証システムの柱とすることに決めた。」(佐々木氏)

選定のポイント

ディレクトリサービスの導入にあたり、候補として挙げられたのがNovell eDirectoryと他2社の製品である。「機能や費用を重視するのは当然だが、我々が特に注意を払ったのが基幹システムを担うために必要となる安定性と耐障害性。Novell eDirectoryには長い歴史と豊富な実績があり、他社製品と比較して圧倒的な安心感があった。」(佐々木氏)同社では以前からファイルサーバとしてノベル製品を利用しており、一定の信頼感があった。また、初期費用の点でも他の製品よりライセンスコストが低く抑えられることもわかった。

そして導入の決定的要因となったのが、Novell eDirectoryのオプション製品であるメタディレクトリソリューション、Novell Identity Manager(旧DirXML)の存在である。「今回の認証基盤で統合すべきシステムは16にも及んでおり、ユーザ管理の負荷とコストを抑えるためには、他システムとのデータ連携を実現するメタディレクトリの概念が必要となる。Novell Identity Managerには機能的に肩を並べる製品が存在しないうえ、国内に参考となる大規模な先行事例があり、事実上唯一と言っていい選択肢だった。」(佐々木氏)

ソリューション・導入の効果

認証基盤の構築は、2001年4月から実作業に入った。ノベルも構築の段階からコンサルティングやサポートを提供、初期段階につきもののトラブル発生時には連夜のオンサイトサポートも実施した。

プロジェクトが大規模なものとなったため、実際のプロセスではネットワークと認証基盤をまず構築、個々のシステムは順次実装という形式を取った。「基盤の完成から全システムの接続まで、足かけ2年にわたる作業となった。当然運用を続けながらのことであったが、Novell eDirectoryの拡張性の高さが功を奏し、新システムを接続した際のパフォーマンス低下なども起こることはなかった。」(佐々木氏)

完成したシステムでは、人事データをユーザ情報の一元的なソースとし、社員・グループ会社・外部スタッフを問わず、朝日新聞社のネットワークを利用する約8,000人のユーザすべてをここで登録・管理する。その情報はメタディレクトリに送られ、部署や属性に応じたアクセス権限がPKI認証局やシングルサインオンシステムなど、各システムに配布される。認証情報はシングルサインオンシステム経由で共有されるため、ユーザは一度のサインオンで許可されたすべてのシステムにアクセスが可能になる。「このシステムが完成したことで、当初からの目的であったセキュリティ強化とユーザの利便性向上、管理負荷の軽減を高いレベルで実現することができた。また、認証基盤の統合/共通化により、これまでシステムごとに必要だった認証・権限管理に関する開発・運用コストも大幅に削減できた。」(佐々木氏)

メタディレクトリの導入は、プロビジョニング作業にも絶大な効果を発揮した。「当社では毎年4月と9月に人事異動や組織変更があり、3,000件にも及ぶ大規模なアクセス権の付与や変更が発生する。従来のシステムごとの個別設定では異動後にアクセス権が反映されるまで数日を要することも珍しくなかったが、Novell Identity Managerによる自動化と高速処理のおかげでこうした配布作業が4~5時間で済むようになった。また、退職者の情報も人事で一元管理できるため、無効とすべきアカウントが全システムから即日削除でき、セキュリティ確保の面でも向上した。」(佐々木氏)

ソリューション選定にあたって最も重要視した耐障害性の面でも、期待通りの成果が上がっているという。「今回のシステム更新は、従来大規模拠点ごとに構築・管理されていたシステムを東京本社に集約、大阪本社にバックアップサーバを置き、随時データ同期することで大規模災害に備えるという設計方針で構築した。こうしたディザスタリカバリの概念は、当時はまだ珍しかったが、Novell eDirectoryには充実したレプリケーション機能があり、東京-大阪間でリアルタイムにデータ同期を行うマルチマスタ環境を構築できた。」(佐々木氏)

今後の展開

初期稼働から6年が経過した現在も、本システムは順調な稼働を続けている。「当初予定していたシステムに加え、新しいシステムも随時追加されているが、高い柔軟性と拡張性のおかげで大きな問題もなく統合できている。この点からもNovell eDirectoryをベースとした統合的な認証基盤はユーザ/管理者双方に受け入れられ、利用価値が高いものとなっていると言える。稼働開始から6年を経た現在でもソリューションとして陳腐化することはなく、価値ある選択であったと考えている。」(佐々木氏)

現在運用管理を担当している同社製作本部 システムセクション コントローラの平田勝裕氏は「導入当初は多少トラブルに見舞われることもあったが、現在は完全に安定稼働に入り、存在を忘れるまでになった。」と語る。また、同職にある製作本部システムセクション 滝澤博樹氏も「2007年にハードウェア更新に合わせて実施した2度目のバージョンアップ後は、システム的にはほぼ完成の域にあると思う。新設されたグループ会社のアカウント連携を手掛けた際にも、当初の設計が的確だったためか、トラブルもほとんどなくスムーズに進んだ。」と語っている。

平田氏は「あえて課題を挙げるとするなら、むしろシステム面よりも運用方法になってくると思う」と語る。「かつては当社の一部門だった雑誌・書籍の出版や印刷工場などが、事業の活性化を目的に分社化を進めている。組織上、社外からアクセスするユーザが次々に増加しているわけで、こうした環境の変化にどう対応していくか。」滝澤氏も「もともとグループ企業を含めたすべてのアカウントを本社人事部で一元管理することを目的としたシステムではあったが、今後はある程度権限を委譲した分散管理のニーズも出てくることが考えられる」と語っている。

「企業体としての構造が変化し、ネットワークに参加するグループ会社や外部ユーザが急増した。その意味では「朝日新聞社のネットワーク」から「朝日新聞グループのネットワーク」という新しい認識が、将来必要になると思う。内部統制と絡めた運用フローが検討材料となるが、我々の構築したシステムの柔軟性・拡張性は、それに十分に対応できるであろうと自負している。」(金沢氏)

[an error occurred while processing this directive]

関連製品&ソリューション

© Copyright Micro Focus or one of its affiliates