シスコセキュリティソリューションによる多要素認証、内部通信と端末状態の可視化など、複合的なセキュリティ強化施策を実行
北陸コンピュータ・サービスは、地元北陸に根差したICTのプロフェッショナル企業です。コンサルティングからシステム開発、導入支援、システム運用に至るまで、ビジネスに求められるICTサービスをワンストップで提供しています。同社はCisco Catalyst Centerをはじめとするシスコ製品を自社ネットワークで利用するユーザー企業であると同時に、顧客に対し提案、販売するシスコ登録パートナーでもあります。
業種: テクニカルサービス
所在地: 富山県富山市、石川県金沢市
従業員数: 646名
ウェブサイト: hcs.co.jp
今回のプロジェクトのきっかけを、コーポレート本部 総合企画部 上席マネージャー 経営・システム企画グループ長の池田一成氏は、次のように話します。「当社のようなIT 企業にとってセキュリティ事故による信用の喪失は、企業の存続にも関わる大きな問題です。しっかりとした備えは顧客への安心感にもつながり、事例として販売面でもアピールできます。これまで当社では出入口での防御対策を行ってきましたが、脅威が進化し続ける中でゼロトラストの考え方に基づいた対策が必要と判断しました。特にテレワーク増加など働き方も多様化し、イントラ接続時のなりすまし防止、社外ネットワーク接続時の端末監視、社内ネットワーク状態の可視化などが求められました。」
同社はセキュリティ対策強化をシスコに相談。その経緯を情報サービス本部 インフラソリューション部 上席マネージャーの高井史裕氏は「当社はネットワーク製品でシスコを多く利用しており、セキュリティの統合管理においても頼れるメーカーだと判断しました。使うものが増えると運用や管理の面でも複雑化します。つぎはぎではなく、トータルでの効果や管理性でシスコ製品に期待しました。また、当社はVPNにAnyConnect を、有線と無線の認証にCisco ISE (Identity Services Engine) 使用しており、既存環境との親和性も考慮しました。」と語ります。
シスコとの協議を重ね、同社はCisco Duo(以下、Duo)による、多要素認証の導入に着手します。その理由を高井氏は「VPN(AnyConnect)において従来は、ID とパスワードにクライアント証明書を組み合わせて利用していましたが、万一それらが流出することを危惧していました。そこで、従来の認証プロセスに登録済スマートフォンでの承認操作を加え、知識+所有の二要素認証の実現を目指しました。」
高井氏はDuo選定の理由として、VPN のAnyConnect との親和性を挙げます。「既存のものを活かしつつセキュリティを高めていく方針のもと、運用管理のオペレーションを変える必要がないDuoを選択しました。デバイスについても、社給スマートフォンに指紋認証機能があり、別のものを用意しなくて済むことも、優位点でした。」
「自社でしっかりと対策を検討して構築、運用できていること、さらに当社の実働部隊が多くの技術的な知見を得ることができたことが、大きな成果です。」
コーポレート本部 総合企画部 上席マネージャー 経営・システム企画グループ長 池田 一成 氏
もう1 つ同社が取り組んだのが、Cisco Secure Network Analytics を用いた、内部通信状態の可視化です。「当社はISE による端末の種別や保有する属性値などによりアクセスを細かく制御、制限しています。エンドポイントの可視性に優れ、端末情報を細部にわたって吸い上げられるところもISE の利点。有線、無線LAN 接続時にISE を用いることで、いつ誰がどこからどのような端末でどの期間アクセスしていたのかが分かり、セキュリティの大幅な向上につなげることができました。一方、当社は開発も行っており、さまざまなデータが社内で飛び交います。各事業所を広域イーサネットと光回線でつなぎ、インターネットの出口は本社に集約している仕組みのため、時折、妙に通信が重くなることがありました。そのため、ネットワークの各機器からフロー情報を吸い上げて状態を可視化、制御する仕組みとしてCisco Secure Network Analytics に着目しました。ISE と連携させることで、デバイスから通信状態までを俯瞰して把握できるようになります。さらに、Cisco Secure Network Analytics はセキュリティのアドオンの機能によってマルウェアも検知できる。万一の際の侵入および、その後の状態把握という役割にも期待しました。」(高井氏)
導入後、同社では幸いにも重要インシデントは発生していない。池田氏はその成果について「自社でしっかりと対策を検討して構築し、運用できていることが現時点での成果と考えます。また、当社の実働部隊が多くの技術的な知見を得ることができたことも、大きな成果です。」と語ります。
高井氏は「異常なデータ量の通信やネットワーク負荷など、これまで見えなかったことがデータとしてリアルタイムに見える化したことで、利用者への注意喚起や設備増強の根拠として有効に活用できる期待があります。実際に拠点間で大きなデータがやり取りされていて、全社の通信を圧迫していた事象を捉えて改善した事例もあります。また、社内ネットワークに接続する端末の識別ができるようになり、どの端末がどこから接続したか、またどのようなOS や機種を利用しているか、といったことも把握できるようになりました。」とその効果を評価します。
提案から導入、運用に至るシスコの対応と支援について、情報サービス本部 インフラソリューション部 部長の惣田和彦氏は「初期段階では複数回にわたる打ち合わせで当社要望を汲み取っていただき、最適な提案をいただきました。その後、内製での設計、構築を行いましたが、シスコのエンジニアとの質疑応答の場を設けていただき、不明点について具体的に回答、設定例をご教授いただけてとても助かりました。概要だけでなく技術的な質問にも詳細に答えていただけたので設計のイメージがしやすく、技術的な裏付けを得たうえで導入することができました。また、運用においてもシスコのCXチームにサポートいただき、安心でした。」と評価します。
今後について、高井氏はCisco SecureX による統合管理に期待を寄せていると語ります。「当社にはシスコ製品以外に他社ソリューションもあり、それぞれ役割が異なる製品をCisco SecureX によって俯瞰し、効率的、効果的な運用ができればと期待しています。」
最後に池田氏は、社外への展開およびシスコへの期待について、次のように結びました。「セキュリティへの関心、必要性の認識は北陸地域においても高まっており、自社の事例を紹介し拡販につなげていきたい。そのうえでシスコにはさまざまな製品の相互連携と統合管理および、AI などを活用した自動制御などにより、さらに効率的、効果的なソリューション提供と、変わらぬ情報提供、支援に期待しています。」
多くのお客様が、コネクト、セキュリティ、そして変革のためにシスコのソリューションを活用しています。