ベネトン ジャパン 株式会社


ベネトン ジャパン 株式会社
システム部 部長
大網 東市 氏
Delphi/400の導入により、当初の目的のExcel連携を実現し、さらに、営業部門にとって必須の販売管理システムも再構築することができました。 Windows開発に関する米国SOX法対応には工夫が必要でしたが、テスト環境のメニュー化や運用手順をうまく整理することで、SOX法監査をクリアできる管理手法を確立しました。 UpdateObjects/400は、運用手順を工夫することで、プログラムリリース作業の効率化とSOX法対応に有効に活用できました。
(大網 東市 氏)
会社概要
■本社所在地
 東京都渋谷区神宮前4-3-1
■URL
 http://www.benetton.co.jp
ベネトングループは、世界120カ国で6,000店のベネトン並びにシスレーのショップを展開。 ベネトンジャパンは、イタリア本社の100%子会社として、インターナショナルに発表されるシーズン毎のコレクションを、日本市場のネットワークで展開している。



運用の工夫と配布ツール活用により、Delphi/400による業務の効率化、
米国SOX法課題の解決、プログラムリリース作業の効率化を全て同時に達成

ベネトンジャパン株式会社は、世界的に有名なベネトングループの日本法人として、アパレル製品の輸入・販売業務を行っている。
同社の業務を大きく分けると、輸入〜入荷〜出荷の一連の流れを扱う「卸売業務」と、販売店での「小売業務」がある。基幹システムのIBM i (AS/400)は卸売業務を対象に稼動している。

2006年、同社は2つの課題に直面していた。 1つは、卸売システムの効率化で、具体的にはExcelを使ったデータのアップロード/ダウンロードによる入出力の改善要望があった。 2つ目の課題は、米国SOX法への対応である。J-SOX法施行に先立ち、2006年度中に米国SOX法に基づく監査基準の達成が必要だった。 1つ目のExcel入出力の課題への対応として、開発ツールDelphi/400を採用、また米国SOX法への対応として、様々な運用上の工夫を行いつつ配布ツールUpdateObjects/400を導入し、米国SOX法課題の解決とプログラムリリース作業の合理化を同時に実現した。
Delphi/400採用による業務課題の解決


同社は、1994年に他社メインフレームからIBM のAS/400に移行、その後、AS/400〜 IBM i を基幹システムとして主に卸売業務と卸・小売を含めた集計等に利用している。 Excelで作成したデータをIBM i の業務システムにアップロードすることにより入力を省力化したい、またIBM i データをExcel出力して自由に活用したい、という要望があり仕組みの検討を行った。 IBM i データをダウンロードできるBIツールもいくつか検討したが、自社仕様で自由に開発が行えるメリットを重視して、IBM i 開発ツールDelphi/400の採用を決定した。 堅牢なIBM i のセキュリティ特性を活用しながら、米国SOX法監査にも耐えられるセキュリティ機能が実現できることも、Delphi/400採用の理由である。
Delphi/400によるセキュリティ上のメリット
Delphi/400のクライアントサーバーシステムは、データベースサーバとしてIBM i を使用し、業務アプリケーションは各クライアントに配置する。Delphi/400には、以下のセキュリティ上のメリットがあるため、SOX法監査上も有利である。
IBM i のデータベースに直接に入出力を行うため、IBM i の仕組みでデータアクセス履歴管理が可能。また、BIツールのように中間サーバにデータを落とさないため、情報管理が容易。
IBM i のIDとパスワードでログインするので、ユーザープロファイルに基づくデータアクセス権限設定や、セッション管理が可能。
専用のミドルウェアでデータベースにアクセスし、ODBC等の汎用ドライバーは不要なため、正規以外のプログラムからのデータアクセスは出来ない。

米国SOX法の課題


ベネトン本社はニューヨーク証券取引所に上場していたため、海外子会社であるベネトンジャパンでも2006年度中にシステム対応を含む米国SOX法の基準達成が必要となった。 イタリア、日本、米国の監査法人から、SOX法対応のポイントをヒアリングする事前監査を受けた結果、米国系の監査法人は、オープン系開発についてもIBM i と同レベルの厳格な管理を要求した。
Windowsのオープン開発管理は、特にJ-SOX施行前の2006年においては、IBM i の開発管理のような標準的な手法が確立されていなかった。 従って、Delphi/400のオープン開発の運用ルールの確立に焦点をあてて、SOX法対応に取り組むこととした。
SOX法対応では、「プログラムを本番環境に導入するまでのプロセス」が問われる。特に、特権IDの管理、職務分掌、変更管理などの観点が重要になる。

具体的には、
1. プログラムリリースでの Administrator 権限不使用
2. 開発とリリースの役割分離
3. プログラムバージョン管理
4. プログラムリリース履歴管理 の各課題の対応を中心に行った。

米国SOX法課題の解決
Delphi/400のクライアントサーバーシステムでは、各エンドユーザーのPC端末上でプログラムが稼働する。 Delphi/400プログラム配布を効率よく行うために、「UpdateObjects/400」(以下UD400)を導入した。上述の「米国SOX法の課題」に対しては、以下の対応を行った。
1. プログラムリリースでのAdministrator権限不使用
WindowsにおけるAdministrator は、全ての事が可能な強い権限をもつため、Administrator 使用によるプログラム変更禁止は、監査での重要なチェックポイントである。具体的に以下の対応を実施した。
(1) Administrator 作業をPC初期設定時に限定
各ユーザーが業務システムにログインする前に、UD400が自動的 に起動されて更新プログラムを取得する仕組みとした。 プログラム 配布作業は自動化され、リリース工数を削減できた。UD400の運 用に関しては、専用ID(IBM i のログインID)の設定、Program FilesのUD400による更新権限を予め設定、等の工夫を行うことにより、各PCに設定したPower User 権限だけでプログラム配布が可能となり、Administrator 権限を使用する必要がなくなった。 例外として、Delphi/400とUD400の初期導入にはAdministrator 権限が必要となるが、この作業は最初のPCセットアップ作業の中 で完了させる運用ルールとしたことが、工夫したポイントである。
(2) テスト環境のメニュー化
当初は、ユーザーテストの度にシステム担当者が各ユーザーの PCに出向いて、Administrator権限で本番モジュールとテストモ ジュールの置き替えを行っていた。 対応として、本番環境とテスト 環境をユーザーメニューに組み込み、メニュー選択だけでユー ザー自身が自由に環境を切り替えられるようにした。
2. 開発とリリースの役割分離
リリース作業は、UD400を使って運用管理者にて行うルールとした。UD400の管理者モジュールを運用管理者端末のみにインストールすることにより、運用管理者だけがプログラムリリース可能となり、開発とリリースの役割分離を達成できた。
3. プログラムバージョン管理
(1) 配布プログラムのフォルダ構成をユーザーメニューと一致させた。 そして、各フォルダ中のプログラムに1箇所でも変更があれば、該当フォルダ全体を次バージョンとしてリリースするルールとした。 UD400を使ったリリース作業は、フォルダ単位の置き換えでよいため、効率よく行うことが可能となった。
(2) ユーザー画面上に、稼働中のバージョンを表示し、使用バー ジョンがわかるようにした。
4. プログラムリリース履歴管理
UD400の履歴管理機能により配布のログが取られており、PDF帳票の出力機能もある。期間などの条件を指定して自由にログを検索したい場合は、配布ログを使ってQuery抽出も可能である。
導入後の効果
以上の対策後に受けた米国SOX法監査では、Delphi/400のオープン開発管理についても、問題なく監査をクリアできた。 今回確立した運用ルールは貴重なノウハウとして、監査だけでなく、システム運用の効率化や、開発リスクへの対策としても大いに役立っている。 オープン系の開発管理手法について、お手本の無い中で試行錯誤を重ねたが、様々な運用上の工夫により、課題を解決することができた。UpdateObjects/400は、運用方法を工夫することにより、Delphi/400プログラムの配布ツールとしてリリース作業の効率化に役立っている。