数万人規模の端末認証および検疫ネットワークの仕組みを整備
有線・無線の統合的なポリシー制御を実現するClearPass
お客様プロフィール
NTTデータは、豊かで調和のとれた社会づくりを目指し、世界50ヵ国以上でITサービスを提供しています。 デジタル技術を活用したビジネス変革や社会課題の解決に向けて、お客さまとともに未来を見つめ、コンサルティングからシステムづくり、システムの運用に至るまで、さまざまなサービスを提供します。- 業種・業態: 情報・通信業
- ロケーション: 東京都
- 導入規模: 5万名以上
ユースケース
数万人規模の端末認証および検疫ネットワークの仕組みを整備
有線・無線の統合的なポリシー制御を実現するClearPass。課題
- ランサムウェア「WannaCry」の感染で、さらなるセキュリティ強化が求められた
- 既存ネットワークへの影響を最小限にできる対策が必要だった
- 端末に対するセキュリティポリシーの順守が共生できる仕組みの構築が望まれた
- ネットワーク接続時の端末認証および検疫の仕組みを検討した
- インターネット接続時に行う検疫同等の仕組みをエッジ領域に展開したい
- セキュリティ対策を強化しながら使い勝手を落とさない仕組みが理想
- 有線・無線双方でポリシーの集中管理が可能な仕組みを望んだ
効果
- 有線・無線含めた端末認証や検疫処理が統合的に実施できるようになった
- ポリシー適用の徹底とガバナンスの強化を図ることができた
- 既存ネットワーク構成を大きく変更せずに導入できた
- 利用者の使い勝手を犠牲にすることなくセキュリティ強化につなげることができた
- ポリシー適用のための管理業務の効率化に貢献
- ポリシー適用の徹底でリスクを最小限におさえることができた
日本最大級のシステムインテグレータである株式会社エヌ・ティ・ティ・データでは、大小合わせて180 を超える国内拠点で利用されている有線・無線端末における統合的な認証基盤を導入し、ポリシーに合致しているかどうかをチェック、課題があれば隔離・治癒を行うための検疫ネットワーク環境を整備している。
このネットワークアクセスでの円滑な制御を行うための認証基盤および検疫の仕組みとして、Aruba が提供するClearPassが採用されている。
検疫のスピードが圧倒的、利用者のUXが大きな決め手に
あらゆる分野において高付加価値なITサービスを提供している株式会社エヌ・ティ・ティ・データでは、グループビジョン「Trusted GlobalInnovator」を掲げてグローバルな事業基盤を展開しており、世界50を超える国と地域で10万人を超える社員が在籍しているなど、情報技術によって新たな仕組みづくりや価値創造を推進。最新技術を駆使してビジネスイノベーションを実現することで、世界中に広がる多くの顧客からの信頼を獲得している。
そんな同社において、競争力の源泉となるさまざまな技術の構築から各事業に対する技術支援を行っている技術革新統括本部では、顧客のセキュリティに貢献する活動とともに、グループ全体のセキュリティ向上に資する活動も展開している。なかでも、社内のセキュリティ強化に取り組んでいるシステム技術本部 セキュリティ技術部情報セキュリティ推進室では、現在リスクベースを前提としたセキュリティ対策を積極的に推し進めている。「最新の技術を駆使して多層防御を行ってはいるものの、現時点では脅威を100%防御することは難しい。そこで、インシデントの早期発見・対策を実施するための仕組みづくりに取り組んでいます」と同部 技術部長 本城 啓史氏は説明する。そのきっかけとなったのが、同社でも感染経験のあるランサムウェア「WannaCry」の脅威だった。具体的な被害は発生しなかったものの、セキュリティインシデントの発生を受けて、新たなセキュリティ対策に乗り出すことになったのだ。
インシデント発生によって浮き彫りになった課題を解決するべく、接続端末に関するアセット管理の強化やEDRによるレスポンス対応の迅速化、そしてクライアントの挙動を把握する振る舞い検知のソリューションなどを導入してきた同社。「既存のネットワーク環境を大きく変更せずとも導入できるものから先行して実装しましたが、そもそも正しい端末だけを社内ネットワークに接続させるための認証基盤や課題のある端末を隔離して対処する検疫の仕組みも求められていたのです」と本城氏。実は、同社のネットワーク環境は階層立てて構築されており、端末が接続されるエッジ環境などは事業部ごとの裁量となっていた。「基幹ネットワークは強固なセキュリティ対策が実装されていますが、エッジ領域に関してはセキュリティポリシーやルールは設定されているものの、それを強制する術がなかったのが実態でした」と同社ならではの環境について説明する。このポリシー適用やルールをしっかりと強制する環境として、端末認証や検疫の仕組みが必要になったという。
そこで注目したのが、Arubaが提供するアクセス制御基盤であるClearPassだった。「以前からインターネットに抜ける通信に対しては検疫的な処理は行われていました。この検疫レベルと同等に近いものをエッジ側でもできるようにしたいというのが当初の考えでした」と本城氏。ClearPassが持つ検疫機能であるOnguardを利用すれば、これまで行っていたレベルに近い形で検疫が可能な点はもちろんだが、最も高く評価されたのは従業員に対するUXが圧倒的に優れていている点だ。「端末を起動して業務に必要な通信が可能になるまでの速度を計測して比較したところ、他社の検疫に比べて4 ~50秒ほど高速に処理できました。いくらセキュリティ強化のためとはいえ、それほど待たせるわけにはいきません。ArubaであればこれまでのUXを損なうことなく検疫可能なことが判断できたのです」と同推進室 室長 河本 敏宏氏は評価する。
またネットワーク構成を変更することなく端末認証や検疫ネットワークが構築できる点も高く評価したポイントだ。「Arubaの標準的な構成ではないものの、既存環境への影響を最小限にできる構成が提案され、選択できたのはArubaだからこそ」と河本氏。既存環境に固執するメーカーの論理ではなく、同社の課題に真摯に応える姿勢を高く評価したという。さらに、同社では以前からArubaの無線LANソリューションを導入していたことも要素の1つだった。「無線端末自体の認証は以前から行っていましたが、数多くの拠点を持っているため、いずれは有線・無線ともにポリシーを集中管理し、適用できるようになる点は運用を考えてもメリットが大きい」と本城氏。 結果として、同社初の統合的な認証認可のプラットフォームとして、ArubaのClearPassが採用されることになった。
このネットワークアクセスでの円滑な制御を行うための認証基盤および検疫の仕組みとして、Aruba が提供するClearPassが採用されている。
ClearPassによって使い勝手を犠牲にせずにセキュリティ強化を実現
現在は各部門単位に構成されているネットワーク内に設置されたL3スイッチ配下に、拠点規模に最適なモビリティ・コントローラーを設置し、無線LAN導入時に設置したモビリティ・コンダクターを活用して集中管理を実現。現場でL2スイッチに接続されたVDI環境以外、具体的には4万台ほどあるシンクライアント端末や1万台ほどある一般的なファット端末が接続された段階でClearPassにて認証を行う運用だ。
そしてファット端末に関してはClearPass Onguardで端末内の状況を確認、ポリシーに合致しないものは検疫ネットワーク側に隔離して必要な環境を揃えたうえで社内ネットワークに接続できる環境となっている。現状は本社ビルだけでモビリティ・コントローラーが冗長構成で300台ほど、今後全国180 ほどある拠点に展開していくなかでは最終的に700台ほどがトータルで導入される予定だ。また、無線LAN環境は以前からArubaのモビリティ・コントローラーを経由して認証が行われていたが、今後は検疫処理も同時に行っていく計画となっている。なお、グループ会社はネットワーク構成が異なる部分も少なくないため、調整しながら展開できるかどうか検討を進めていくという。
ClearPassによる統合的な認証認可のプラットフォームが整備されたことで、有線・無線含めた端末認証や検疫処理が統合的に実施できるようになった。「全拠点への展開が終われば、社内ネットワークにつながるあらゆる端末に対してポリシー適用が可能です。全社的にガバナンスの効いた環境が整備できることが何よりの効果です」と本城氏は評価する。また河本氏は「ネットワーク構成を大きく変えずに導入できたことはもちろん、検疫がスピーディに実施できるため、環境を刷新したことさえ気づいていない人が多い。UX的に優れたArubaによって使い勝手を犠牲にすることなくセキュリティ強化につなげることができました」と驚きを隠せない。
以前はコンプライアンスを満たしていない端末を調査し、きちんとパッチ適用するよう働きかけを行う必要があったが、今では接続時に自動的に隔離されて必要な対策が実施可能だ。「こちらから連絡することが一切なくなり、管理業務の効率化にも貢献しています。ただし、セキュリティ対策は管理工数が減らせたことよりも、対処までの時間がどれだけ短くできるかが重要です。これまでは対策を施すまでに何日も必要でしたが、今ではリアルタイムに近い対処が可能となるなど、効果の大きさを実感しています」と河本氏は評価する。実は、定期的に配信されるOSのパッチ適用を行ってもらうため、これまでインターネットに抜ける際に行う検疫でも1週間ほどの猶予期間を持たせていたが、今後は端末を接続した段階でパッチ適用を義務付けることが可能になる。「最近は脆弱性が見つかってから24時間以内に攻撃手段が出回ってしまう時代です。すぐに対処できる環境が整備できたことで、リスクの軽減にも大きく役立っています」と本城氏は力説する。
Arubaについては、同社が抱えていた課題に対して最適な解決策を提示しただけでなく、検疫スピードなどUXの検証に向けた実環境を再現するための機器貸出など、導入プロセスにおいても多方面での支援を行っている。「しっかり課題を把握いただき、検証のための環境整備にも尽力いただけました。いろいろな面で多大なるご協力をいただきながら進めることができて感謝しています」と河本氏は語る。
全拠点への展開を進めながら、エッジスイッチまでのポート可視化にも期待
今後については、全拠点への展開を進めていくことで有線端末における認証及び検疫の仕組みを国内に展開し、その後は無線端末の検疫も実施していく計画となっている。また、社内の仕組みをモデルケースに、外部への展開も視野に入れているという。「今回は既存環境であっても大きく構成を変更することなくセキュリティを高めていくことができました。この実績をベースに、外販に向けた活動に向けての環境も整えていきたい」と本城氏。
今後はエッジ側にあるL2スイッチについても更改のタイミングでArubaに切り替えることも選択肢の1つとして考えているという。「今回は社内のセキュリティの観点で我々が主体的に導入を進めましたが、L2スイッチ含めたネットワーク全体は別の部門が管理しています。実際の工事も含めると相当の時間とコストが発生するだけでなく、運用管理とセットで考えていく必要があります。すぐには難しいものの、セキュリティの観点からエッジスイッチのポートまで可視化できるようにできればうれしい」と河本氏は期待を寄せている。
たとえセキュリティ対策であっても、今ではユーザーエクスペリエンス(以下、UX)についても我慢してもらうことは難しい。Arubaだからこそ、使い勝手とセキュリティを両立することができたのです
株式会社エヌ・ティ・ティ・データ 技術革新統括本部 システム技術本部 セキュリティ技術部 技術部長 本城 啓史氏 お客様プロフィール
NTTデータは、豊かで調和のとれた社会づくりを目指し、世界50ヵ国以上でITサービスを提供しています。 デジタル技術を活用したビジネス変革や社会課題の解決に向けて、お客さまとともに未来を見つめ、コンサルティングからシステムづくり、システムの運用に至るまで、さまざまなサービスを提供します。- 業種・業態: 情報・通信業
- ロケーション: 東京都
- 導入規模: 5万名以上
ユースケース
数万人規模の端末認証および検疫ネットワークの仕組みを整備
有線・無線の統合的なポリシー制御を実現するClearPass。課題
- ランサムウェア「WannaCry」の感染で、さらなるセキュリティ強化が求められた
- 既存ネットワークへの影響を最小限にできる対策が必要だった
- 端末に対するセキュリティポリシーの順守が共生できる仕組みの構築が望まれた
- ネットワーク接続時の端末認証および検疫の仕組みを検討した
- インターネット接続時に行う検疫同等の仕組みをエッジ領域に展開したい
- セキュリティ対策を強化しながら使い勝手を落とさない仕組みが理想
- 有線・無線双方でポリシーの集中管理が可能な仕組みを望んだ
効果
- 有線・無線含めた端末認証や検疫処理が統合的に実施できるようになった
- ポリシー適用の徹底とガバナンスの強化を図ることができた
- 既存ネットワーク構成を大きく変更せずに導入できた
- 利用者の使い勝手を犠牲にすることなくセキュリティ強化につなげることができた
- ポリシー適用のための管理業務の効率化に貢献
- ポリシー適用の徹底でリスクを最小限におさえることができた
日本最大級のシステムインテグレータである株式会社エヌ・ティ・ティ・データでは、大小合わせて180 を超える国内拠点で利用されている有線・無線端末における統合的な認証基盤を導入し、ポリシーに合致しているかどうかをチェック、課題があれば隔離・治癒を行うための検疫ネットワーク環境を整備している。
このネットワークアクセスでの円滑な制御を行うための認証基盤および検疫の仕組みとして、Aruba が提供するClearPassが採用されている。
検疫のスピードが圧倒的、利用者のUXが大きな決め手に
あらゆる分野において高付加価値なITサービスを提供している株式会社エヌ・ティ・ティ・データでは、グループビジョン「Trusted GlobalInnovator」を掲げてグローバルな事業基盤を展開しており、世界50を超える国と地域で10万人を超える社員が在籍しているなど、情報技術によって新たな仕組みづくりや価値創造を推進。最新技術を駆使してビジネスイノベーションを実現することで、世界中に広がる多くの顧客からの信頼を獲得している。
そんな同社において、競争力の源泉となるさまざまな技術の構築から各事業に対する技術支援を行っている技術革新統括本部では、顧客のセキュリティに貢献する活動とともに、グループ全体のセキュリティ向上に資する活動も展開している。なかでも、社内のセキュリティ強化に取り組んでいるシステム技術本部 セキュリティ技術部情報セキュリティ推進室では、現在リスクベースを前提としたセキュリティ対策を積極的に推し進めている。「最新の技術を駆使して多層防御を行ってはいるものの、現時点では脅威を100%防御することは難しい。そこで、インシデントの早期発見・対策を実施するための仕組みづくりに取り組んでいます」と同部 技術部長 本城 啓史氏は説明する。そのきっかけとなったのが、同社でも感染経験のあるランサムウェア「WannaCry」の脅威だった。具体的な被害は発生しなかったものの、セキュリティインシデントの発生を受けて、新たなセキュリティ対策に乗り出すことになったのだ。
インシデント発生によって浮き彫りになった課題を解決するべく、接続端末に関するアセット管理の強化やEDRによるレスポンス対応の迅速化、そしてクライアントの挙動を把握する振る舞い検知のソリューションなどを導入してきた同社。「既存のネットワーク環境を大きく変更せずとも導入できるものから先行して実装しましたが、そもそも正しい端末だけを社内ネットワークに接続させるための認証基盤や課題のある端末を隔離して対処する検疫の仕組みも求められていたのです」と本城氏。実は、同社のネットワーク環境は階層立てて構築されており、端末が接続されるエッジ環境などは事業部ごとの裁量となっていた。「基幹ネットワークは強固なセキュリティ対策が実装されていますが、エッジ領域に関してはセキュリティポリシーやルールは設定されているものの、それを強制する術がなかったのが実態でした」と同社ならではの環境について説明する。このポリシー適用やルールをしっかりと強制する環境として、端末認証や検疫の仕組みが必要になったという。
そこで注目したのが、Arubaが提供するアクセス制御基盤であるClearPassだった。「以前からインターネットに抜ける通信に対しては検疫的な処理は行われていました。この検疫レベルと同等に近いものをエッジ側でもできるようにしたいというのが当初の考えでした」と本城氏。ClearPassが持つ検疫機能であるOnguardを利用すれば、これまで行っていたレベルに近い形で検疫が可能な点はもちろんだが、最も高く評価されたのは従業員に対するUXが圧倒的に優れていている点だ。「端末を起動して業務に必要な通信が可能になるまでの速度を計測して比較したところ、他社の検疫に比べて4 ~50秒ほど高速に処理できました。いくらセキュリティ強化のためとはいえ、それほど待たせるわけにはいきません。ArubaであればこれまでのUXを損なうことなく検疫可能なことが判断できたのです」と同推進室 室長 河本 敏宏氏は評価する。
またネットワーク構成を変更することなく端末認証や検疫ネットワークが構築できる点も高く評価したポイントだ。「Arubaの標準的な構成ではないものの、既存環境への影響を最小限にできる構成が提案され、選択できたのはArubaだからこそ」と河本氏。既存環境に固執するメーカーの論理ではなく、同社の課題に真摯に応える姿勢を高く評価したという。さらに、同社では以前からArubaの無線LANソリューションを導入していたことも要素の1つだった。「無線端末自体の認証は以前から行っていましたが、数多くの拠点を持っているため、いずれは有線・無線ともにポリシーを集中管理し、適用できるようになる点は運用を考えてもメリットが大きい」と本城氏。 結果として、同社初の統合的な認証認可のプラットフォームとして、ArubaのClearPassが採用されることになった。
このネットワークアクセスでの円滑な制御を行うための認証基盤および検疫の仕組みとして、Aruba が提供するClearPassが採用されている。
ClearPassによって使い勝手を犠牲にせずにセキュリティ強化を実現
現在は各部門単位に構成されているネットワーク内に設置されたL3スイッチ配下に、拠点規模に最適なモビリティ・コントローラーを設置し、無線LAN導入時に設置したモビリティ・コンダクターを活用して集中管理を実現。現場でL2スイッチに接続されたVDI環境以外、具体的には4万台ほどあるシンクライアント端末や1万台ほどある一般的なファット端末が接続された段階でClearPassにて認証を行う運用だ。
そしてファット端末に関してはClearPass Onguardで端末内の状況を確認、ポリシーに合致しないものは検疫ネットワーク側に隔離して必要な環境を揃えたうえで社内ネットワークに接続できる環境となっている。現状は本社ビルだけでモビリティ・コントローラーが冗長構成で300台ほど、今後全国180 ほどある拠点に展開していくなかでは最終的に700台ほどがトータルで導入される予定だ。また、無線LAN環境は以前からArubaのモビリティ・コントローラーを経由して認証が行われていたが、今後は検疫処理も同時に行っていく計画となっている。なお、グループ会社はネットワーク構成が異なる部分も少なくないため、調整しながら展開できるかどうか検討を進めていくという。
ClearPassによる統合的な認証認可のプラットフォームが整備されたことで、有線・無線含めた端末認証や検疫処理が統合的に実施できるようになった。「全拠点への展開が終われば、社内ネットワークにつながるあらゆる端末に対してポリシー適用が可能です。全社的にガバナンスの効いた環境が整備できることが何よりの効果です」と本城氏は評価する。また河本氏は「ネットワーク構成を大きく変えずに導入できたことはもちろん、検疫がスピーディに実施できるため、環境を刷新したことさえ気づいていない人が多い。UX的に優れたArubaによって使い勝手を犠牲にすることなくセキュリティ強化につなげることができました」と驚きを隠せない。
以前はコンプライアンスを満たしていない端末を調査し、きちんとパッチ適用するよう働きかけを行う必要があったが、今では接続時に自動的に隔離されて必要な対策が実施可能だ。「こちらから連絡することが一切なくなり、管理業務の効率化にも貢献しています。ただし、セキュリティ対策は管理工数が減らせたことよりも、対処までの時間がどれだけ短くできるかが重要です。これまでは対策を施すまでに何日も必要でしたが、今ではリアルタイムに近い対処が可能となるなど、効果の大きさを実感しています」と河本氏は評価する。実は、定期的に配信されるOSのパッチ適用を行ってもらうため、これまでインターネットに抜ける際に行う検疫でも1週間ほどの猶予期間を持たせていたが、今後は端末を接続した段階でパッチ適用を義務付けることが可能になる。「最近は脆弱性が見つかってから24時間以内に攻撃手段が出回ってしまう時代です。すぐに対処できる環境が整備できたことで、リスクの軽減にも大きく役立っています」と本城氏は力説する。
Arubaについては、同社が抱えていた課題に対して最適な解決策を提示しただけでなく、検疫スピードなどUXの検証に向けた実環境を再現するための機器貸出など、導入プロセスにおいても多方面での支援を行っている。「しっかり課題を把握いただき、検証のための環境整備にも尽力いただけました。いろいろな面で多大なるご協力をいただきながら進めることができて感謝しています」と河本氏は語る。
全拠点への展開を進めながら、エッジスイッチまでのポート可視化にも期待
今後については、全拠点への展開を進めていくことで有線端末における認証及び検疫の仕組みを国内に展開し、その後は無線端末の検疫も実施していく計画となっている。また、社内の仕組みをモデルケースに、外部への展開も視野に入れているという。「今回は既存環境であっても大きく構成を変更することなくセキュリティを高めていくことができました。この実績をベースに、外販に向けた活動に向けての環境も整えていきたい」と本城氏。
今後はエッジ側にあるL2スイッチについても更改のタイミングでArubaに切り替えることも選択肢の1つとして考えているという。「今回は社内のセキュリティの観点で我々が主体的に導入を進めましたが、L2スイッチ含めたネットワーク全体は別の部門が管理しています。実際の工事も含めると相当の時間とコストが発生するだけでなく、運用管理とセットで考えていく必要があります。すぐには難しいものの、セキュリティの観点からエッジスイッチのポートまで可視化できるようにできればうれしい」と河本氏は期待を寄せている。
たとえセキュリティ対策であっても、今ではユーザーエクスペリエンス(以下、UX)についても我慢してもらうことは難しい。Arubaだからこそ、使い勝手とセキュリティを両立することができたのです
株式会社エヌ・ティ・ティ・データ 技術革新統括本部 システム技術本部 セキュリティ技術部 技術部長 本城 啓史氏
