「運用負担を3割削減。セキュリティ機材の統合でコスト削減」
現在、クラウド上に様々なアプリケーションが提供されており、音声/動画配信、コラボレーション、ストレージ共有などもクラウドで提供されている。そういった中、従来のファイアウォールでは、これらアプリケーションの制御・可視化ができないといった問題などが生じてきた。その課題を解決すべくCTC総合検証センター(TSC)は、次世代ファイアウォール「Palo Alto Networks PAシリーズ」を導入。本製品は、パフォーマンスを劣化することなく正確にアプリケーションを識別。URLフィルターなどを利用して、従来手作業で行っていた詳細な設定が簡単にできるようになった。また、IPSなど既存のセキュリティ機器を統合して、コスト削減にも貢献できる。
課題と効果
- 課題
-
- クラウドサービスに求められるアプリケーション監視
- URLフィルタリングの限界
- 柔軟なポリシー設定への対応
Palo Alto Networks PA シリーズの導入
- 効果
-
- セキュリティレベルの強化
- 運用負担の軽減
- コスト削減
導入事例インタビューデータ
-
伊藤忠テクノソリューションズ株式会社
ITエンジニアリング室 プロダクトプロモーション部 TSC企画運用課 課長
藤澤 学
-
伊藤忠テクノソリューションズ株式会社
ITエンジニアリング室 プロダクトプロモーション部 TSC企画運用課
朝岡 容子
導入背景
日本最大級の総合検証センター
今回、「Palo Alto Networks PAシリーズ」を導入したCTC総合検証センター「テクニカルソリューションセンター(TSC)」は、お客様の信頼をかたちにすることをコンセプトとし、サーバ台数は400台以上、ストレージ70テラバイト以上、ネットワーク機器500台以上、また、測定器・負荷試験ツール20台を提供している。「当センターでご用意している機材を利用することもできますし、お客様の機材を持ち込んでの検証も可能です」と、ITエンジニアリング室 プロダクトプロモーション部 TSC企画運用課 課長 藤澤 学は紹介する。
「TSCはCTCのショールーム的な役割も果たしており、お客様向けの見学ツアーなどを行っています。また、デモ体感サービス“Advanced Experience Service(AES)”というメニューを用意しており、クラウド、仮想化、ユニファイドコミュニケーション、次世代ネットワークなど各分野でCTCが提供するソリューションを体感いただけます」(藤澤)。
クラウド時代における検証センターの課題
CTCは早くからクラウドに着目し、米国での最新動向を追っていた。国内でもいち早く構築に着手、実績を重ねている。2010年10月には全社統一ブランド「cloudage(クラウデージ)」を発表。クラウド導入に関するコンサルティング・企画・開発・構築・運用・保守サポートに至る全てのフェーズを網羅するクラウドソリューションを整備・体系化した。
TSCでもクラウドサービスでの検証が増加し、様々な課題もでてきた。「それまでは閉じられたネットワーク内での検証で十分でした。しかし、クラウドになると、GoogleやAmazonなど、インターネットを介した外部のアプリケーションも含めてのシステム構築となります。そのため、ファイアウォールを越えての検証が求められています」と、藤澤は説明する。
従来のファイアウォールでは、プロジェクトごとにポートやプロトコル単位、あるいはURLフィルタリングでの設定を繰り返すこととなり、これが大きな負担となっていた。「加えて、従来のファイアウォールではフィルタリング機能に限界があり、禁止されたサイトにアクセスができたり、情報が外部に漏れてしまう危険性も十分考えられました」と、同課 朝岡 容子は語る。つまり、これらを解決する新たな仕組みが必要となった。
「Palo Alto Networks PAシリーズ」がまさにその答えであった。
システム概要
レポートを確認し効果を確信
2010年6月に検証用の「Palo Alto Networks PAシリーズ」を導入し、3カ月の性能検証、試験運用でレポートを出力。「どのIPアドレスからどんなURLへアクセスしているのかがレポートにより把握できました。アプリケーションレベルでも誰がアクセスしているかも分かります。確実に可視化できるというレベルのレポートでした」と、朝岡は振り返る。
それまではブロックが必要なサイトやアプリケーションを発見する度に、手動で登録しており、いたちごっこのような状態に陥っていた。「外部からの攻撃を防ぐことも大切だし、内側からの情報流出を防ぐことも不可欠です。アプリケーションレイヤで制御することで、単純なURLフィルターでは設定できないセキュリティレベルを実現できます」(藤澤)。
「実際飛びついたという感じです。通常ならば他の機種などと比較して導入しますが、“Palo Alto Networks PAシリーズ”に関しては、即決でした」と、藤澤は語る。
9月から本番環境で利用しているが、既存ファイアウォールを撤去したわけではない。「従来の製品は外からのブロックに利用しています。現在、構築の過渡期であり、将来的には“Palo Alto Networks PAシリーズ”のみで運用できればと思っています」(朝岡)。
導入効果
クラウド時代に向けてフレキシブルな設定が可能
「クラウドサービスが普及すれば、誰がどのようなアプリケーションを使っているかを監視し、制御する必要があります。従来のファイアウォールを超える新しい運用方法が必要となってきています。“Palo Alto Networks PAシリーズ”はそこを解決できると思っています」と、藤澤は「Palo Alto Networks PAシリーズ」の位置付けと重要性を語る。
Palo Alto Networks社ではPAシリーズを「次世代ファイアウォール」と提唱している。その“次世代”がまさにクラウド時代のことなのである。
また、「Palo Alto Networks PAシリーズ」があれば、利用できるサービスの登録や排除も簡単にできる。「運用時間でいえば、3割程度は軽減されています」と、朝岡は満足している。
現在、移行中であり、既存機器も並行して利用しているが、これらをなくしていくことで省電力や省スペース化も期待できる。また、一般にUTM製品の多くは、複数の機能を利用すると、パフォーマンスが大きく低下してしまう。だが、「Palo Alto Networks PAシリーズ」は独自開発したストリームベースのエンジンを搭載しており、各セキュリティ機能を動作させてもパフォーマンスを維持する。
今後の展望
詳細なレポートに期待
「Palo Alto Networks PAシリーズ」は極めて多機能であり、TSCでも全てを活用しているわけではない。それら未使用の機能の中で注目しているのが、ユーザーレベルによる“制御機能”だ。
「Palo Alto Networks PAシリーズ」は、Active Directory/LDAPからユーザー名とIPアドレス情報を取得し、送信者をIPアドレスのみではなく、ユーザー名で認識できる。「つまり誰がどのアプリケーションをいつ使ったか。どのサイトにどのような情報を送ったかのログを残すことができ、レポートとして一覧できます」と朝岡は語る。
「“Palo Alto Networks PAシリーズ”は極めて柔軟なポリシー設定が可能で、甘くも厳しくも、企業ごとに自由に設定できます。実際に厳しくするかどうかは別にしても、レポートで可視化されると宣言するだけで、不正利用の大きな抑止力になるのではないでしょうか」と、藤澤も語った。
用語解説
ファイアウォール
企業内のネットワークと外部との通信を制御し、ネットワークの安全を維持するシステム。
URLフィルター
特定のWebサイトへのアクセスを禁止するシステム。
IPS
サーバやネットワークへの不正侵入を阻止する侵入防止システム。
UTM
セキュリティ機能が統合された機器。ファイアウォールやアンチウイルス、不正侵入防御、Webコンテンツフィルタリングなどの機能を持つ。