・Point 1	日本電技（株）は、利用しているデータセンターの出入口にLANShieldシリーズの「CS1000」を透過的に置き、通過するトラフィックをすべて可視化できるようにした。
・Point 2	LANShieldシリーズにより、ログ情報を残すだけでなく、アプリケーションの利用状況も把握。それをユーザーにアナウンスすることで、不正行為の抑止効果を期待。
・Point 3	LANShieldシリーズの導入は、ネットワーク構成の変更や機器のリプレイスが不要。また、エージェントレスのため、導入がしやすかった。

日本電技（株） 管理本部 情報システム部 主事 牧野直樹氏
日本電技（株） 経営企画室 主任 原田 大 氏

　日本電技（株）は1959年から山武ハネウエル（株）（現 （株）山武）と協調し、空調計装のパイオニアとして業界をリードしてきた老舗企業だ。創立当初より、空調の自動制御（空調計装）を専業とし、設計、機器の納入、施工、保守までを一貫してサポートしてきた。現場でのエンジニアリング能力の評価は高く、ファクトリー・オートメーションをはじめとした空調以外の分野にも展開している。従来より省エネルギー分野も推進。企業が抱える環境問題の解決にも大きく貢献している。

　経営企画室 主任の原田氏は「この規模の企業としては、かなりIT投資を積極的に進めてきました」と語る。2005年4月にはそれまで各支店に分散していた勘定系システムを（集約型の）ERPパッケージに置き換え、2007年からはソフトバンクテレコムの「IP-VPN」、「Managed Ether」を利用するとともに、ウイルスやスパム対策、コンテンツフィルタリングなども導入した。

　しかし、どうしてもセキュリティ関連の細かい個所には目が届かない傾向があったという。「もちろん、情報セキュリティポリシーや、インターネット・電子メール・パソコンの利用規定などを決めて社内制限を掛けていましたが、最終的にユーザーのモラルに頼るしかない場面もあり、セキュリティ対策への十分な配慮が後手に回っていた印象もありました」と語るのは牧野氏（管理本部情報システム部 主事）だ。

　とはいえ、同社は業務の特性上からフィールドエンジニアリングが中心となる。そのため、現場にノートPCを持ち込んで、図面を見ながら作業することも多く、あまりにもセキュリティを厳しくすると、実務に支障をきたすことになりかねない。そのため、どこまでセキュリティ対策を講じるか、そのバランスも重要だった。

　また、内部統制強化についても監査法人から厳しく要求されていたため、この問題にも対処していく必要があった。そこで、同社はさらなるセキュリティ対策や内部統制の強化を実施するために、ノックス（株）が提供する高速LANセキュリティアプライアンス「ConSentry Networks LANShieldシリーズ（以下、LANShield）」（写真1）を導入することにしたという。




　LANShieldは、ユーザーアクセスの監視から、ログをはじめとした監査証跡の収集、ネットワークアクセスコントロール（NAC）、マルウェア対策までを1台で実現する高速LANセキュリティアプライアンスだ。同シリーズには3つのラインナップがある。ネットワーク構成や機器の変更が不要な透過型（ブリッジ型）で、トラフィックを可視化・コントロールする「CS1000」（最大スループット4Gbps）と「CS2400」（10Gbps）、クライアント単位で運用・管理が可能な48ポートスイッチ「CS4048」（10Gbps）である。

　同シリーズの大きな特徴は、ユーザー名、IPアドレス、MACアドレスをひも付けて、いつ、誰が、どの端末を使用し、何をしていたか、そのすべてのトラフィックをレイヤ7まで可視化し、リアルタイムに詳細を把握できる点だ。もちろん収集したログは用途に応じてレポートとして出力できる。また、ネットワーク状況の把握だけでなく、既存の認証システム（RADIUS、LDAP、Active Directory（AD））などと連携し、ユーザー/グループごとのアクセスコントロールも行えるため、法令遵守や適切なデータ管理など、ニーズに合わせた段階的な内部統制が行える。このほか、ワーム、ボット、スパイウェアなど異常なトラフィックを瞬時に検知し、これらがネットワークを使用不能に陥れる前に、脅威の拡散を防止できるため、セキュリティ対策も万全だ。

　日本電技では、ADによって従業員のアクセスコントロールを管理している。LANShieldを導入したきっかけについて、同社の牧野氏は「どうしてもADだけではコントロールできないPCも存在していました。実際にADに参加していないPCから弊社のデータセンターへアクセスする必要もあり、まずはLANShieldによって、ネットワーク上を通るすべてのトラフィックを監視することにしたのです」と説明する。セキュリティ対策はもちろん、内部統制の礎となる環境を作るうえでも、ネットワークの利用実態を把握することが肝要だ。


　さて、同社の具体的なネットワーク構成について詳しく見てみよう（図1）。データセンター内には勘定系システムや、社内ポータルなどすべての情報システムが設置されている。そこで、データセンターの出入口にLANShieldの「CS1000」を透過型で置き、CS1000本体を通過するトラフィックをすべて可視化するようにした。最終的には、ADに参加していないPCからシステムが使えないようにアクセスコントロールをしようという方向だ。



　今回、CS1000を選定した理由は、主に使用回線の速度との関係からだという。いずれの機種も搭載機能については遜色はない。各拠点の通信速度は10Mbpsであるため、機器がボトルネックになる心配もない。「エージェントレスで導入がしやすく、ネットワーク構成の変更や機器のリプレイスが不要な点も負担が少なくて助かりました」（牧野氏）と、LANShieldの導入のしやすさについて強調する。同社では、まだLANShieldを導入してから間もないこともあり、現在はネットワークの可視化を中心に運用を開始したところだ。だが、牧野氏は「LANShieldを入れて、ユーザーが使用するアプリケーションが本当にすべて分かりました。禁止アプリケーションについても、ここまで分かってしまうのか、というのが正直な気持ちです。このように我々がきちんと監視をしている、あるいはログ情報がしっかり残っている点をアナウンスすることで、不正行為に対する大きな抑止効果を期待できます」と語る。

　現時点で、同社は事業所ごとに業務が完結しているため、事業所間では重要な通信はあまり発生していない。そのため事業所間同士の通信については、今回あえて監視の対象外としているが、必要に応じてLANShieldを設置する局面も出てくるかもしれない。その場合でも管理専用ツール「ConSentry InSight Manager」で、専用のWeb UIからポリシー設定や機器の管理が一元的に行える。今後よりいっそう複雑なネットワーク環境にステップアップする場合も、安心して取り組むことができそうだ。