- 2007/11/09 掲載
【日本電技 事例】トラフィックを可視化し、全社的なセキュリティや内部統制の足がかりに!
記事をお気に入りリストに登録することができます。
空調計装のパイオニアとして業界をリードしてきた日本電技(株)。さらなるセキュリティ対策や内部統制の強化を進めるべく、ノックス(株)が提供する高速LANセキュリティアプライアンス「LANShieldシリーズ」を導入。自社情報を集約しているデータセンターの出入口にアプライアンスを配置し、トラフィックをすべて可視化した。
| ・Point 1 | 日本電技(株)は、利用しているデータセンターの出入口にLANShieldシリーズの「CS1000」を透過的に置き、通過するトラフィックをすべて可視化できるようにした。 |
| ・Point 2 | LANShieldシリーズにより、ログ情報を残すだけでなく、アプリケーションの利用状況も把握。それをユーザーにアナウンスすることで、不正行為の抑止効果を期待。 |
| ・Point 3 | LANShieldシリーズの導入は、ネットワーク構成の変更や機器のリプレイスが不要。また、エージェントレスのため、導入がしやすかった。 |
内部統制やセキュリティの
足がかりとして、LANShieldを導入
足がかりとして、LANShieldを導入
 |
|
日本電技(株) 管理本部 情報システム部 主事 牧野直樹氏 |
|---|
 |
日本電技(株) 経営企画室 主任 原田 大 氏 |
経営企画室 主任の原田氏は「この規模の企業としては、かなりIT投資を積極的に進めてきました」と語る。2005年4月にはそれまで各支店に分散していた勘定系システムを(集約型の)ERPパッケージに置き換え、2007年からはソフトバンクテレコムの「IP-VPN」、「Managed Ether」を利用するとともに、ウイルスやスパム対策、コンテンツフィルタリングなども導入した。
しかし、どうしてもセキュリティ関連の細かい個所には目が届かない傾向があったという。「もちろん、情報セキュリティポリシーや、インターネット・電子メール・パソコンの利用規定などを決めて社内制限を掛けていましたが、最終的にユーザーのモラルに頼るしかない場面もあり、セキュリティ対策への十分な配慮が後手に回っていた印象もありました」と語るのは牧野氏(管理本部情報システム部 主事)だ。
とはいえ、同社は業務の特性上からフィールドエンジニアリングが中心となる。そのため、現場にノートPCを持ち込んで、図面を見ながら作業することも多く、あまりにもセキュリティを厳しくすると、実務に支障をきたすことになりかねない。そのため、どこまでセキュリティ対策を講じるか、そのバランスも重要だった。
また、内部統制強化についても監査法人から厳しく要求されていたため、この問題にも対処していく必要があった。そこで、同社はさらなるセキュリティ対策や内部統制の強化を実施するために、ノックス(株)が提供する高速LANセキュリティアプライアンス「ConSentry Networks LANShieldシリーズ(以下、LANShield)」(写真1)を導入することにしたという。
| 写真1 LANShieldコントローラ CS1000 |
|---|
 |
|
最大4Gbpsのスループットでアプリケーションレイヤーでのユーザーコントロールを実現。 最大スループットが10Gbpsの「CS2400」や、クライアント単位での運用や管理が可能な 48ポートのスイッチ「CS4048」もある |
セキュリティ対策はもとより、
内部統制を実現する礎をつくる
内部統制を実現する礎をつくる
LANShieldは、ユーザーアクセスの監視から、ログをはじめとした監査証跡の収集、ネットワークアクセスコントロール(NAC)、マルウェア対策までを1台で実現する高速LANセキュリティアプライアンスだ。同シリーズには3つのラインナップがある。ネットワーク構成や機器の変更が不要な透過型(ブリッジ型)で、トラフィックを可視化・コントロールする「CS1000」(最大スループット4Gbps)と「CS2400」(10Gbps)、クライアント単位で運用・管理が可能な48ポートスイッチ「CS4048」(10Gbps)である。
同シリーズの大きな特徴は、ユーザー名、IPアドレス、MACアドレスをひも付けて、いつ、誰が、どの端末を使用し、何をしていたか、そのすべてのトラフィックをレイヤ7まで可視化し、リアルタイムに詳細を把握できる点だ。もちろん収集したログは用途に応じてレポートとして出力できる。また、ネットワーク状況の把握だけでなく、既存の認証システム(RADIUS、LDAP、Active Directory(AD))などと連携し、ユーザー/グループごとのアクセスコントロールも行えるため、法令遵守や適切なデータ管理など、ニーズに合わせた段階的な内部統制が行える。このほか、ワーム、ボット、スパイウェアなど異常なトラフィックを瞬時に検知し、これらがネットワークを使用不能に陥れる前に、脅威の拡散を防止できるため、セキュリティ対策も万全だ。
日本電技では、ADによって従業員のアクセスコントロールを管理している。LANShieldを導入したきっかけについて、同社の牧野氏は「どうしてもADだけではコントロールできないPCも存在していました。実際にADに参加していないPCから弊社のデータセンターへアクセスする必要もあり、まずはLANShieldによって、ネットワーク上を通るすべてのトラフィックを監視することにしたのです」と説明する。セキュリティ対策はもちろん、内部統制の礎となる環境を作るうえでも、ネットワークの利用実態を把握することが肝要だ。
ネットワークの全トラフィックを
可視化し、監視することで、不正の抑止効果に期待
可視化し、監視することで、不正の抑止効果に期待
さて、同社の具体的なネットワーク構成について詳しく見てみよう(図1)。データセンター内には勘定系システムや、社内ポータルなどすべての情報システムが設置されている。そこで、データセンターの出入口にLANShieldの「CS1000」を透過型で置き、CS1000本体を通過するトラフィックをすべて可視化するようにした。最終的には、ADに参加していないPCからシステムが使えないようにアクセスコントロールをしようという方向だ。
| 図1 日本電技のシステム構成図 |
|---|
 |
| データセンターの出入口にLANShieldシリーズのCS1000コントローラを透過型で配置し、 通過するすべてのトラフィックを可視化する。 |
今回、CS1000を選定した理由は、主に使用回線の速度との関係からだという。いずれの機種も搭載機能については遜色はない。各拠点の通信速度は10Mbpsであるため、機器がボトルネックになる心配もない。「エージェントレスで導入がしやすく、ネットワーク構成の変更や機器のリプレイスが不要な点も負担が少なくて助かりました」(牧野氏)と、LANShieldの導入のしやすさについて強調する。同社では、まだLANShieldを導入してから間もないこともあり、現在はネットワークの可視化を中心に運用を開始したところだ。だが、牧野氏は「LANShieldを入れて、ユーザーが使用するアプリケーションが本当にすべて分かりました。禁止アプリケーションについても、ここまで分かってしまうのか、というのが正直な気持ちです。このように我々がきちんと監視をしている、あるいはログ情報がしっかり残っている点をアナウンスすることで、不正行為に対する大きな抑止効果を期待できます」と語る。
現時点で、同社は事業所ごとに業務が完結しているため、事業所間では重要な通信はあまり発生していない。そのため事業所間同士の通信については、今回あえて監視の対象外としているが、必要に応じてLANShieldを設置する局面も出てくるかもしれない。その場合でも管理専用ツール「ConSentry InSight Manager」で、専用のWeb UIからポリシー設定や機器の管理が一元的に行える。今後よりいっそう複雑なネットワーク環境にステップアップする場合も、安心して取り組むことができそうだ。
| 名称 | 日本電技(株) |
|---|---|
| 本社所在地 | 東京都墨田区 |
| 創業 | 1959年 |
| 事業内容 | 自動制御システム(ビルディング・オートメーションおよびファクトリー・オートメーションなど)の設計・施工・調整・保守/監視盤・制御盤などの設計・製作/各種自動制御機器類の販売 |
| 従業員数 | 616人 |
| URL | http://www.nihondengi.co.jp/ |
| 名称 | ノックス(株) |
|---|---|
| 部署名 | ネットワーク事業部 |
| TEL | 03-5731-5551 |
| URL | http://www.nox.co.jp/ |
あなたの投稿
PR
PR
PR
