国内有数のシステムインテグレーターCTCが顧客への提案を踏まえて自社に構築した「eWork@CTC」
その基礎となる統合ID管理基盤に利便性とセキュリティの両立をもたらしたのは、エクスジェンのLDAP Managerだった

自社システムの質的向上と顧客向け提案力強化の一挙両得

企業統治や、より体系だったセキュリティ管理の必要性が広まり始めていた2004年、CTCでは「eWork@CTC」という考え方を導入していた。利便性や業務効率を損なわずにセキュリティを高めるITインフラの構築を自ら先駆的に実践することで、自社システムの質的向上を果たすと同時に、グランドデザインやポリシー整備、最適なソリューションの選定など幅広いノウハウを獲得、顧客にフィードバックすることで、提案力強化につなげるというのが、その眼目である。伊藤忠テクノソリューションズ株式会社 情報システム部インフラシステム課の阿部 友浩氏は、「当時急速に業務システムの拡大が進んでいたこともあって、eWork@CTCでは、セキュリティ、運用の両面で課題となっていたID管理基盤の整備に早急に取り組む必要がありました」と当時を振り返る。

活用が進むにつれ顕在化した3つの課題

2005年、初代のID管理基盤が構築されると、業務システムの数だけ分散したユーザ管理業務は一元化され、管理工数の削減に成功する。しかし、情報システムが複雑化すると同時に、ユーザ数が1万2千人を超え、ID管理基盤には新たな綻びが生じてきた。

• システムに大きな負荷がかかると、正しく動作しない
  重要なファイルの内容が削除される－ことがあった。
• パスワード変更の処理速度が遅い
  1件あたり数十秒単位の時間を要した。
• 経年による老朽化
  ソフトウェアのバージョンは古くなり、ハードウェアの更新時期も近づいてきた。

あまりに高額なバージョンアップコストゆえに、更新に慎重にならざるをえなかった。また、古いActive Directory連携モジュールの動作保証環境に引きずられて、Active Directory自体をバージョンアップできないという事態にも至った。

浮かび上がった3つの要件と3つの選択肢

当初は阿部氏を中心とした運用チームが様々な工夫を講じてきたものの、2010年に入ると、いよいよ統合ID管理基盤を刷新する必要性に迫られた。その年の秋、阿部氏を中心に統合ID管理基盤の刷新プロジェクトがスタートし、以下のような極めて現実的でシンプルな要件がとりまとめられた。

• 従来の機能を実現し、課題を解決すること
• 将来に向けて柔軟な拡張性を確保すること
• 導入・運用の両面においてコストを抑えられること

そして、これらの要件を満たすソリューションを、以下の3つのプランの中から選択することになり、各々のプランの長所、短所や想定される導入及び運用コストの検討が進められた。

• プランA : 現行製品をバージョンアップする
• プランB : 自社で独自に開発する
• プランC : 新たなパッケージソフトを選定して再構築する

明確な優位性に基づいてLDAP Managerを採用

このうち、プランCに必要な「CTCにとって最適なID管理ソフト」の選定には、社内でID管理ソリューションを取り扱っているITエンジニアリング室 ミドルウェア技術部の評価を参考にすることとなった。そのミドルウェア技術部が、以下の理由を挙げて最適解として推挙したのが、LDAP Managerだった。

写真：伊藤忠テクノソリューションズ株式会社 情報システム部 インフラシステム課 阿部 友浩 様

1. CTCで販売している（つまり、eWork@CTCのコンセプトに添っている）こと
2. 他社製品に比べて、SEが構築しやすいこと
3. 当時実現されていた機能がもれなく実装できること
4. 導入及び運用コストの大幅なコスト削減が見込めたこと
5. 連携対象が増えた際の追加コストが合理的であること

やがて、それぞれのプランの内容が固まり、評価が行われた。プランAの場合、バージョンアップに際してデータ形式の変換などで新規購入に匹敵するコストが生じ、年間保守費用がプランC（つまりLDAP Manager）の3倍にもなることがわかった。プランBについては、実績のあるパッケージソフトを活用するのに比べて、開発コストがかかる割には評価できる点がなかった。プランC のLDAP Managerは、ライセンス料や保守料が合理的なだけではなく、動作環境も高額なUNIXサーバに縛られないのでハードウェアコストも大幅に節約できることがわかった。こうして、プランCのLDAP Managerが選ばれた。

保守費用を3分の1に圧縮できて大いに満足

2011年5月、社内の最終承認を得て開発が始まった。といっても、構築に要した期間はおよそ半年、LDAP Managerに関する部分だけなら正味4ヶ月で終了した。「構築に際して問題となった点は特に思い当たりません」と情報システム部インフラシステム課の菅原 高道氏は言う。その後、Active Directoryのバージョンアップ完了を待って、年明けからパイロットを実施、繁忙期を回避して2012年5月本番稼働を迎えた。

実際に稼働してみての満足度を阿部、菅原両氏に伺った。

• 機能面
  従来できていたことが問題なく実現でき、さらに運用作業がやりやすくなったと高い評価が得られた。阿部氏からは「ツール類が直感的に利用でき、ログの確認もしやすくなった」、菅原氏からは「より厳格にパスワードポリシー（特に有効期限）を適用できるようになった^※1」と、それぞれ良好な評価をいただいた。
• 処理速度
  テストでLDAP Managerの導入効果は確認されているものの、最も真価を問われる繁忙期はこれからである。例年4月の人事異動への対応にひと月近くかかっていたという阿部氏は「実際にどれくらい短縮できるか楽しみ」と笑顔で語っている。
• コスト
  導入費用については、ハードウェア費用を含めても、他のプランのソフトウェア費用見込みを下回ったと、高い満足が得られた。保守費用については、これまでの年間保守費用を約3分の1に削減できたと、より高い満足をいただくことができた。

拡張性や柔軟性に定評のあるLDAP Managerだけに、たとえ今後状況の変化に伴って、新たな課題が顕在化しても、柔軟に対処していってくれるだろう。そして、そのノウハウは、CTCの顧客に対する提案やサービスに惜しみなく注ぎ込まれることだろう。

※1 従来は、パスワードポリシーの適用範囲が甘く、有効期限切れのパスワードでもWindowsへのログインが可能だったため、そうしたユーザのメール利用を制限できなかった。

---