大手総合商社が検疫ネットワークを強化。エージェントレス検疫の「CounterACT」を全社展開し、利便性維持とセキュリティをバランスよく両立。

丸紅株式会社
  • 利便性維持とセキュリティ向上の両方を実現する検疫システム
  • エージェントレスと柔軟な設定で、早期導入が可能
  • リモートから端末の状態を把握、管理者の運用負荷を低減
導入製品
 CounterACT
目次

  1. 1.既存の検疫製品を使い続けるか、新しい検疫製品に乗り換えるか
  2. 2.利便性維持とセキュリティ強化のバランスの良いCounterACT
  3. 3.統合管理アプライアンスを冗長導入、セキュリティを下げずにDRを実現
  4. 4.CounterACT管理画面で状態把握、問題発生前にアクションが可能

既存の検疫製品を使い続けるか、新しい検疫製品に乗り換えるか

丸紅株式会社(以下、丸紅)は、創業から150年以上を経た現在も、資源・エネルギー、電力開発、食料、紙パルプ、機械などの重点分野を中心に経営資源を配分し、 常に事業領域の拡大と商社機能の高度化・多様化に取り組むなど、攻めの姿勢で持続的な成長を実現している。

その積極姿勢は同社のセキュリティ方針にも引き継がれている。総合商社ならではのセキュリティポリシーが複数細部にわたり文書化され、その要求レベルも非常に高いことが知られているからだ。その1つが検疫の実施である。丸紅 情報企画部 IT推進課長の加藤 淳一氏は、その導入経緯について次のように振り返る。

「当社が検疫システムを導入したのが2006年。当時は検疫がブームになっていた頃です。検疫によってセキュリティレベルの低い端末を社内LANから隔離し、一定のセキュリティ基準を満たした端末のみ、全社LANにアクセスさせるというポリシーで国内の支社・支店を対象に運用していました」

そして、運用5年を経て償却時期を迎えた検疫システムは、バージョンアップして使い続けるか、他社の製品に移行するかの2つの方法が検討された。

従来の検疫システムは、危険と判断した端末はネットワークからシャットアウトされ、ユーザー自身が必要なセキュリティパッチを適用したり、ウイルス定義ファイルの更新を行ったりしなければならなかったため、その負担軽減が大きなポイントとなった。

そこで、丸紅の情報企画部では新たな検疫システムの導入を検討。その選定にあたり、a)エージェントレスで運用できること、b)問題の端末でも一時的に接続を許可すること、c)自動で端末の治癒が可能なことの3つを不可欠な条件とした。

利便性維持とセキュリティ強化のバランスの良いCounterACT

「ユーザーの利便性を損なわず、高いセキュリティレベルを維持できる製品を複数検討したところ、ソリトンシステムズの『CounterACT』が最も要件を満たし、またコストメリットもあると分かったのです」と語るのは、丸紅 情報企画部 IT推進課の鈴木 喜美子氏だ。

鈴木氏が望んだのは、治癒を自動的に行うことで、ユーザーがブロックされることを意識させない柔軟な運用だった。

「検疫は利便性維持とセキュリティの強化といったせめぎ合いの中で落としどころが難しいのですが、CounterACTは自動治癒やログイン可能な運用など、バランスを保って丁度良い運用ポイントを見つけ出してくれると考えました」(鈴木氏)

また、CounterACTは、端末のコンディションをチェックする機能と、ブロックするアクションの機能を別々に設定できるため、違反端末をネットワークから切り離さずに端末のコンディションチェックのみ実施することもできる。つまり、PC検疫のチェック機能が問題なく動作することを十分に確認した上で、ブロック機能を有効にするというソフトランディングが可能なのだ。

丸紅は2012年8月にCounterACTの採用を決定。国内はトータルで9台を配置した。10月に東京・竹橋の本社にCT-4000/A、多摩データセンターにCT-1000/AとCEM-10/A、大阪バックアップセンターにCT-100/AとCEM-10/A、代々木、名古屋、大阪、九州の各拠点にCT-100/Aが設置され、状況確認と動作検証のうえ12月末に検疫システム切替を実施、2013年1月に既存検疫システム撤去によって移行が完了した。

統合管理アプライアンスを冗長導入、セキュリティを下げずにDRを実現

当初は切替えを2ヶ月ほどかけ、拠点ごとに段階的に進めていく計画だったと打ち明けるのは、丸紅の情報子会社で、丸紅情報システムズ(以下、MSYS)エンタープライズソリューション事業本部 カスタマーサービス事業部 CS 二課担当課長の中田 浩氏だ。

「ソリトンシステムズが事前に入念なテストを行ってくれたおかげで、タイトなスケジュールにも関わらずスムーズに展開が可能になり、本番移行作業が2週間ほどで完了できたのは嬉しい誤算でした」

従来はネットワーク機器の切断や接続など、1週間前から申請をして、深夜や休日に作業をしなければならなかったが、CounterACTはネットワークのスイッチのミラーポートに接続するだけなので、作業申請を提出して昼間の業務時間内に作業が行えたという中田氏は、その取り扱いの容易さが早期導入を可能にしたと振り返る。

さらに、多摩データセンターと大阪バックアップセンターには、域内のCounterACTを統合管理する「Enterprise Manager CEM-10/A」を各1台設置。これにより、全社的なガバナンスを有効化するとともに、DR(災害復旧)対策として罹災拠点以外の管理を継続できるよう冗長化した。

鈴木氏は「CounterACTならセキュリティレベルの低い端末でも自動で治癒を行ってくれるので、災害時もセキュリティ条件を下げずに業務が維持できるようになりました」と説明する。

CounterACT管理画面で状態把握、問題発生前にアクションが可能

「CounterACTによる大きな変化のひとつは、管理者の負担が軽減されたこと」と話すのは、MSYS エンタープライズソリューション事業本部 カスタマーサービス事業部 CS二課 常磐 苗代枝氏だ。これまで違反端末は内部ネットワークに接続できず、システム管理者が都度現地で対応しなければならなかったが、現在はリモートで対応できるようになったという。

「以前は、不合格となったPCの詳細がリモートからは確認できず、また接続が出来ない端末は深夜や休日でも現場に赴き対処していました。 CounterACTで運用を始めてからはリモートで確認や対処ができ、運用の負担が大幅に軽減しました」(常磐氏)

また、パッチ未適用などのコンディションの悪い端末があれば、CounterACTの管理コンソールのステータス管理画面ですぐに判別できるので、問題が発生する前に端末のユーザーに対して警告や指導などのアクションを起こすことが可能になったという。「無断で私用端末が持ち込まれても、リセットパケットの投入で瞬時に遮断するとともに、管理コンソール上でもドメイン外端末として確認できるので、管理者が状況を把握しやすくなりました。これもエージェントレス運用の効用です」(中田氏)

一方、セキュリティシステムは製品ありきで実現できるものではなく、そのシステムをどのように活用するがが重要と語る加藤氏は、「CounterACTはその機能要件はもちろんですが、ソリトンシステムズが惜しみなく支援してくれたからこそ、運用設計の部分で当社の要求するレベルを達成できたのだと考えています。今後も引き続きその力を貸していただきたい」と語り、より一層の支援に大きな期待を寄せている。

お忙しい中、有り難うございました。

製品・サービス

Forescout CounterACT

Forescout CounterACT

エージェントレスでシステム全体を可視化・ポリシーコントロール
脆弱性対策としても有効なセキュリティアプライアンス

お問い合わせ

フォームからのお問い合わせ

お問い合わせ