JapanEnglish

事例・レポート

事例

アプリケーションを制御 ファイアウォール(Palo Alto Networks)を導入

自社導入事例

「運用負担を3割削減。セキュリティ機材の統合でコスト削減」

現在、クラウド上に様々なアプリケーションが提供されており、音声/動画配信、コラボレーション、ストレージ共有などもクラウドで提供されている。そういった中、従来のファイアウォールでは、これらアプリケーションの制御・可視化ができないといった問題などが生じてきた。その課題を解決すべくCTC総合検証センター(TSC)は、次世代ファイアウォール「Palo Alto Networks PAシリーズ」を導入。本製品は、パフォーマンスを劣化することなく正確にアプリケーションを識別。URLフィルターなどを利用して、従来手作業で行っていた詳細な設定が簡単にできるようになった。また、IPSなど既存のセキュリティ機器を統合して、コスト削減にも貢献できる。

伊藤忠テクノソリューションズ株式会社 ITエンジニアリング室 プロダクトプロモーション部 TSC企画運用課 課長 藤澤 学

伊藤忠テクノソリューションズ株式会社 ITエンジニアリング室 プロダクトプロモーション部 TSC企画運用課 課長
藤澤 学

伊藤忠テクノソリューションズ株式会社 ITエンジニアリング室 プロダクトプロモーション部 TSC企画運用課 朝岡 容子

伊藤忠テクノソリューションズ株式会社 ITエンジニアリング室 プロダクトプロモーション部 TSC企画運用課
朝岡 容子

導入背景

日本最大級の総合検証センター

TSC

今回、「Palo Alto Networks PAシリーズ」を導入したCTC総合検証センター「テクニカルソリューションセンター(TSC)」は、お客様の信頼をかたちにすることをコンセプトとし、サーバ台数は400台以上、ストレージ70テラバイト以上、ネットワーク機器500台以上、また、測定器・負荷試験ツール20台を提供している。「当センターでご用意している機材を利用することもできますし、お客様の機材を持ち込んでの検証も可能です」と、ITエンジニアリング室 プロダクトプロモーション部 TSC企画運用課 課長 藤澤 学は紹介する。

「TSCはCTCのショールーム的な役割も果たしており、お客様向けの見学ツアーなどを行っています。また、デモ体感サービス“Advanced Experience Service(AES)”というメニューを用意しており、クラウド、仮想化、ユニファイドコミュニケーション、次世代ネットワークなど各分野でCTCが提供するソリューションを体感いただけます」(藤澤)。

クラウド時代における検証センターの課題

CTCは早くからクラウドに着目し、米国での最新動向を追っていた。国内でもいち早く構築に着手、実績を重ねている。2010年10月には全社統一ブランド「cloudage(クラウデージ)」を発表。クラウド導入に関するコンサルティング・企画・開発・構築・運用・保守サポートに至る全てのフェーズを網羅するクラウドソリューションを整備・体系化した。

TSCでもクラウドサービスでの検証が増加し、様々な課題もでてきた。「それまでは閉じられたネットワーク内での検証で十分でした。しかし、クラウドになると、GoogleやAmazonなど、インターネットを介した外部のアプリケーションも含めてのシステム構築となります。そのため、ファイアウォールを越えての検証が求められています」と、藤澤は説明する。

従来のファイアウォールでは、プロジェクトごとにポートやプロトコル単位、あるいはURLフィルタリングでの設定を繰り返すこととなり、これが大きな負担となっていた。「加えて、従来のファイアウォールではフィルタリング機能に限界があり、禁止されたサイトにアクセスができたり、情報が外部に漏れてしまう危険性も十分考えられました」と、同課 朝岡 容子は語る。つまり、これらを解決する新たな仕組みが必要となった。

「Palo Alto Networks PAシリーズ」がまさにその答えであった。

課題と期待効果

課題と期待効果

課題と期待効果

システム概要

レポートを確認し効果を確信

システム構成図

システム構成図

2010年6月に検証用の「Palo Alto Networks PAシリーズ」を導入し、3カ月の性能検証、試験運用でレポートを出力。「どのIPアドレスからどんなURLへアクセスしているのかがレポートにより把握できました。アプリケーションレベルでも誰がアクセスしているかも分かります。確実に可視化できるというレベルのレポートでした」と、朝岡は振り返る。

それまではブロックが必要なサイトやアプリケーションを発見する度に、手動で登録しており、いたちごっこのような状態に陥っていた。「外部からの攻撃を防ぐことも大切だし、内側からの情報流出を防ぐことも不可欠です。アプリケーションレイヤで制御することで、単純なURLフィルターでは設定できないセキュリティレベルを実現できます」(藤澤)。

「実際飛びついたという感じです。通常ならば他の機種などと比較して導入しますが、“Palo Alto Networks PAシリーズ”に関しては、即決でした」と、藤澤は語る。

9月から本番環境で利用しているが、既存ファイアウォールを撤去したわけではない。「従来の製品は外からのブロックに利用しています。現在、構築の過渡期であり、将来的には“Palo Alto Networks PAシリーズ”のみで運用できればと思っています」(朝岡)。

導入効果

クラウド時代に向けてフレキシブルな設定が可能

「クラウドサービスが普及すれば、誰がどのようなアプリケーションを使っているかを監視し、制御する必要があります。従来のファイアウォールを超える新しい運用方法が必要となってきています。“Palo Alto Networks PAシリーズ”はそこを解決できると思っています」と、藤澤は「Palo Alto Networks PAシリーズ」の位置付けと重要性を語る。

Palo Alto Networks社ではPAシリーズを「次世代ファイアウォール」と提唱している。その“次世代”がまさにクラウド時代のことなのである。

また、「Palo Alto Networks PAシリーズ」があれば、利用できるサービスの登録や排除も簡単にできる。「運用時間でいえば、3割程度は軽減されています」と、朝岡は満足している。

現在、移行中であり、既存機器も並行して利用しているが、これらをなくしていくことで省電力や省スペース化も期待できる。また、一般にUTM製品の多くは、複数の機能を利用すると、パフォーマンスが大きく低下してしまう。だが、「Palo Alto Networks PAシリーズ」は独自開発したストリームベースのエンジンを搭載しており、各セキュリティ機能を動作させてもパフォーマンスを維持する。

今後の展望

詳細なレポートに期待

「Palo Alto Networks PAシリーズ」は極めて多機能であり、TSCでも全てを活用しているわけではない。それら未使用の機能の中で注目しているのが、ユーザーレベルによる“制御機能”だ。

「Palo Alto Networks PAシリーズ」は、Active Directory/LDAPからユーザー名とIPアドレス情報を取得し、送信者をIPアドレスのみではなく、ユーザー名で認識できる。「つまり誰がどのアプリケーションをいつ使ったか。どのサイトにどのような情報を送ったかのログを残すことができ、レポートとして一覧できます」と朝岡は語る。

「“Palo Alto Networks PAシリーズ”は極めて柔軟なポリシー設定が可能で、甘くも厳しくも、企業ごとに自由に設定できます。実際に厳しくするかどうかは別にしても、レポートで可視化されると宣言するだけで、不正利用の大きな抑止力になるのではないでしょうか」と、藤澤も語った。

用語解説

ファイアウォール
企業内のネットワークと外部との通信を制御し、ネットワークの安全を維持するシステム。

URLフィルター
特定のWebサイトへのアクセスを禁止するシステム。

IPS
サーバやネットワークへの不正侵入を阻止する侵入防止システム。

UTM
セキュリティ機能が統合された機器。ファイアウォールやアンチウイルス、不正侵入防御、Webコンテンツフィルタリングなどの機能を持つ。

お問い合せはこちらから

お問い合わせフォーム

記載内容は掲載当時のものであり、変更されている場合がございます。

トップに戻る