セキュアで安定した中堅中小企業のIT基盤。その解はプライベートクラウドにあり：ITコストにシビアな経営陣も納得

クラウドコンピューティングが注目される理由。それは、早く安価に、そして手軽にサービスを導入／運用できることに尽きる。そしてこれらは、不況下でコストに厳しい目を向ける中堅中小企業にこそ、生きる要素だ。プライベートクラウドサービス「マネージドイントラネット」を利用し、IT基盤を改善した日本の中堅中小企業――その成功事例を聞く。

[PR／ITmedia]

PR

“兼任情シス”でもIT統制強化を果たす――第一成和事務所

第一成和事務所 梅田泰則氏

　創業から50年以上にわたり、東京、日本橋の地で保険制度の総合代理業を営んできた第一成和事務所。より顧客の信頼を得られるよう、情報化社会に適応したネットワークインフラを構築し、業務環境を改善する取り組みが功を奏しているようだ。

　第一成和事務所では、損保や生保をはじめ、各種学校・団体向け保険制度を扱っている。当然、業務で扱う各種情報には、高い機密性が求められる。そこで品質マネジメントシステムであるISO9001:2008の認証はもとより、2007年10月にはプライバシーマーク（以下、Pマーク）を取得したという。

　従業員は普段からその業務において、メールやインターネットを利用していた。セキュリティを担保するために、PCへのアンチウイルスソフト導入をはじめ、添付ファイルにはパスワードを掛けるといった運用ルールを設けていたが、「Pマーク認定事業者としての責任を考えると、より根本的な対策が必要だった」と第一成和事務所の梅田泰則氏は振り返る。

　梅田氏の所属は“営業部 営業一課”。つまり、いわゆる情報システム部門担当者ではない。社員数30人程度の第一成和事務所において、「比較的コンピュータに詳しかったので」（梅田氏）、普段の業務で忙しい中、情シス的な業務を任されていたという。

　「コンプライアンス強化を視野に、社内のIT基盤を刷新する必要性は、経営陣も認めるところだった」と梅田氏は話す。2009年10月の監査を控えた2009年春頃から、検討が本格化したというが、「その手段をどうするかが、問題だった」（梅田氏）。

　本格的にウイルス／スパムチェックやコンテンツフィルタリングをしたり、アクセスログやメールアーカイブを取得したりするのであれば、自社で管理するサーバを立てる必要がある。だが上述の通り梅田氏には本来の業務があるため、導入構築や運用に時間を掛けるわけにはいかない上に、事務所内にサーバを置くスペースも必要になってしまう。故障の際のハードウェア保守にも手間が掛かり、また万一、サーバを立てた従業員が退職した場合、“ブラックボックス化”しかねない――これらの理由から梅田氏には、いわゆる“オンプレミス（情報システムを利用するに当たり、自社管理下にある設備に機材を設置し、ソフトウェアを配備・運用する形態のこと）”な環境は非現実的、という認識があったという。

　加えて、プロキシやフィルタリングを行うのであれば、その機能を提供する各ベンダーと、交渉していかなければならない。必要な機能を過不足なく提供してくれるベンダーを、そう都合よく見付けられるわけでもないだろう。そこで第一成和事務所では、各種サーバに加え、必要なアプリケーションをクラウド型で利用できるサービスについて、従来から社内情報システムの構築を依頼していたシステムインテグレーター、システムエグゼとともに検討した。その結果、bit-driveのマネージドイントラネットを選択したという。

Pマーク取得を目指す事業者に勧めたいプライベートクラウド型サービス

　もちろん、一般的なホスティングサービスを提供する事業者は数多い。だが「bit-driveのマネージドイントラネットのように、サーバ機能に加え各種のオプションアプリケーションまでクラウドで提供するというサービスは、ほかにないのではないか。第一成和事務所のIT基盤は、スモールオフィスにおける理想形として仕上がったと考えている」とシステムエグゼの滝沢氏は評価する。

　必要な設定などは、あらかじめシステムエグゼ側でも行ったというが、「導入に要した期間は1週間程度」（梅田氏）。メール、プロキシ、ログ管理の各種サーバをマネージドイントラネット上に分散配置し、ウイルス／スパムチェックやWebフィルタリング、そしてメールアーカイブなどのオプションアプリケーションも併せて導入した。

第一成和事務所のマネージドイントラネット利用イメージ

　マネージドイントラネットで利用する各種サーバへはVPNでアクセスでき、bit-driveの基本アプリケーションとして用意されたマネージメントツールで、手元のPCから運用管理できる。「情報システム担当者ではない自分にも、容易に導入、管理できる。導入したサービスについて経営陣にデモするのも簡単だった」と梅田氏は振り返る。

　最終的に“マネージドイントラネット上に構築した各種サーバに、必要なオプションアプリケーションを付加し、VPN経由で管理。ハードウェアは所有せず必要なサービスだけ利用する”という、いわゆる“プライベートクラウド型”の構成を採ることで「コンプライアンス強化に当たっての運用課題は払底できた」（梅田氏）という。

　梅田氏は、今回の導入には「3つの指標があった」と話す。それは外部からの脅威に対するセキュリティ、内部に対する統制および証跡の取得、そして顧客情報が取引先経由で漏えいした場合に自社の潔白を証明するための証拠保全だといい、「それらは、ほぼ完璧に実現できた」と梅田氏は胸を張る。

　これらはある意味、守りを固める施策だといえる。だがIT基盤のマネージドイントラネット化によって、「例えばオプションアプリケーションのメールアーカイブは、添付ファイルフィルタ機能を備えている。従来は“添付ファイルは暗号化する”とルールを定め、手作業で運用していたが、それを自動化できた。ポリシーの徹底とともに普段の業務効率も改善したことになる」と梅田氏は話す。また「顧客データベースがセキュアに管理できるようになったため、CTI（Computer Telephony Integration：電話とコンピュータを連携したシステム）導入の検討も開始した」（梅田氏）という。

　また現在、第一成和事務所のWebサイトは企業情報を掲載するにとどまっているが、（保険商品）決済システムを実装する構想もあるという。一連の取り組みを通じ、守りから攻めの経営へと移行する、基盤固めができたと評価できよう。

　「特に、Pマークを取得している、または取得を目指している中堅中小企業にとって、マネージドイントラネットは最適。きっと“こんなに簡単だったのか！”と驚くだろう。Pマークは取得だけでなく、その理念に基づき運用し続けることが顧客の信頼につながる。コンプライアンス強化を図ろうとしている企業は、bit-driveを検討してみては」（梅田氏）。

株式会社 第一成和事務所

株式会社 第一成和事務所

・所在地　〒103-8214 中央区日本橋人形町2-26-8 サンマルコビル7F

・設立　1957年11月

・事業内容　損害保険代理業、生命保険代理業

変わらぬ運用負荷でよりセキュアに――ガステック

ガステック 大川正司氏

　検知管式気体測定器――この名称を目にしたことはあるだろうか。検知剤が充てんされたガラス管と、気体の採取器を組み合わせて、簡単に気体を検知・測定できるものだ。

　産業用だけでなく、教育機関（小学校の理科の授業など）でも幅広く使われており、児童の認知も高い。この検知管式気体測定器をはじめとし、（気体や液体などの）各種簡易測定機器の開発、製造、販売、輸出入を手掛けるリーディングカンパニー――それがガステックである。

　同社総務部 情報システム担当の大川正司主事は、本社を含め国内3事業所／約150人にのぼるガステックのIT基盤を一手に支える“縁の下の力持ち”。「前任者の退職に伴い、急遽現業務を引き継ぐこととなり、手探りで業務を開始した」と、就任当初を笑いながら振り返るが、実際には苦労も多かったようだ。

　ガステックが、本格的なインターネット利用を開始したのは2001年のこと。　まずはスモールスタートという形で、業務にインターネットを取り込んでいったガステックだったが、ある日トラブルが発生した。Webサーバの脆弱性を突かれてしまい、コーポレートサイトにアクセスしたユーザーがウイルスに感染する事態になったのだ。

　「取引先から連絡を受け、事態に気付いた」という大川氏はまず、問題のあるファイルの消去を試みた。しかしコーポレートサイトをホスティングしているサーバは海外の事業者が管理しており、時差の問題から迅速な対応を取れなかった。

　加えて、ユーザーとしてアカウントを持っていたのは大川氏のみ。海外の事業者と交渉するにも、自身だけが窓口を務める必要があるのと同時に、時差の問題もあり、スムーズに対策を進められなかったという。「結果として、問題のあるファイルを消去するまで、1日半程度を要してしまった」（大川氏）。

　またあるシステム開発案件では、外部システムインテグレーターと、業務委託内容の認識が相違しトラブルに発展したことがあったという。このような場合は、契約に関するメールログが証跡になり得るが、「当時はそのような環境を設けていなかった。必要性を痛感した」と大川氏は話す。

　ガステックではこれらの反省から、IT基盤刷新の検討を開始した。「bit-driveのマネージドイントラネットについては、ソニー主催のセミナーへ参加し、情報を集めていた。Webサーバは実績のあるbit-drive上に移行したかった。また、アクセスログやメールアーカイブといった機能を、自社で構築する必要なくクラウド型サービスとして利用出来ることが魅力だった」と話す大川氏は、2009年夏にマネージドイントラネットが、グループウェア製品desknet’sに対応したことを機に、その導入を決意したという。

マネージドイントラネットのサーバ上でサービスを再配置し、レスポンスが改善

　導入に要した期間は、ほぼ2カ月。そのうち1カ月は、従来環境と並行運用しながら、順次マネージドイントラネットに切り替え、2009年の10月末には完全に切り替えた。2カ月という構築期間について大川氏は「各ユーザー（社員）の環境切り替えのために時間的余裕を持たせたが、実際の作業に手間取ったことはなかった」と話す。

　マネージドイントラネット上で利用しているのは、メール／Web／プロキシ／ログ管理の各種サーバに加え、ウイルス／スパムチェック、Webフィルタリング、メールアーカイブ。IT基盤のセキュリティを一気に充実させるとともに、リモートからマネージドイントラネット上の各種サービスや社内サーバにアクセスできるPRA PLUSも導入した。もちろん、これまで社内で使ってきたdesknet’sや、コーポレートサイトも、マネージドイントラネット上へ移行している。

ガステックのマネージドイントラネット利用イメージ

　セキュリティの強化は、効果を可視化しにくい部分でもある。しかし稼働直後から実感できた効果として、「メールやグループウェアのレスポンスが改善した」（大川氏）。

　従来のガステックの環境は、あるオールインワンパッケージサービスで構築されていた。“オールインワン”という利便性と引き換えに、特定のサーバで複数のサービスを動かす形態だったため、例えば朝の出勤時など社員が一斉にスケジューラやメールにアクセスした場合、負荷によりレスポンスが低下することもあったという。

　だが移行後の環境では、マネージドイントラネット上にサービスを分散配置しているため、負荷の集中を避けられる。「オンプレミスな環境で、サーバとサービスを再構成するとなると、ハードウェアの選定やサービスの配置などに大変な手間が掛かる。1人で作業することを考えると、まったく現実的ではなかった」と大川氏は振り返る。「今のIT基盤があるのは、プライベートクラウドの手法でサービスを構築できるbit-driveだからこそ」（大川氏）。

　「従来とほぼ変わらない運用負荷で、セキュリティなど幅広い範囲をカバーできるようになった」と現在のIT基盤を評価する大川氏だが、その目は既に、先を見据えているようだ。

　「マネージドイントラネット上に、ネットワーク対応の業務会計ソフトや、ログイン連動型の勤怠管理システムを導入することも検討している。これまでより、経営や業務の改善に割ける時間を、多く取れるようになった」（大川氏）。

株式会社 ガステック

株式会社 ガステック

・本社・工場所在地　〒252-1195 神奈川県綾瀬市深谷中8-8-6

・設立　1970年9月

・事業内容　気体・水質等簡易測定機器の開発、製造、販売、輸出入