Japan [変更] |アカウント |ユーザ登録 |シスコについて |日本のオフィス
Guest

Hierarchical Navigation

企業・官公庁向けセキュリティ ソリューション

クライアントPCの検疫システムとしてCisco NACを採用 グローバル企業としての基準を備えた情報セキュリティ対策を実施
ダウンロード

ユーザ事例




クライアントPCの検疫システムとしてCisco NACを採用
グローバル企業としての基準を備えた情報セキュリティ対策を実施

豊田通商株式会社
豊田通商株式会社

豊田通商は、トヨタ自動車を中心としたトヨタグループの商社として、グローバルに幅広い業務展開を行っている。同社では情報技術に関する運用や新技術研究には従来から力を入れており、情報セキュリティ対策にも積極的な対策を行ってきている。現在、「人に依存しない仕組みとしての情報セキュリティ対策」を目指し、Cisco NAC検疫ソリューションを展開中だ。

社員の自主的行動だけに頼る方式から仕組みとしてのセキュリティ対策へ

 豊田通商はトヨタグループの商社であり、国内外を問わずPCを持っての出張が多く、場合によっては長期にわたる。その間、社員は必要であればリモートアクセスを使ってPCを社内ネットワークに繋ぐ。そのためにセキュアな通信経路を確保できるモバイルツールを用意して社員に提供している。しかし出張先の国によっては、そのツールが使えない環境であるために、ホテルなどに用意されたインターネットへのパブリック アクセスを利用することがある。この行為には、ウイルスやワームといったセキュリティ脅威がPCに持ち込まれる危険が伴う。さらに絶対に避けなければならないのが、そのPCから社内ネットワークを介して別のPCに感染することだ。

 豊田通商には、出張から帰ってきた社員はITのヘルプデスクでPCの検疫を受けてから社内LANに接続するようにというルールがある。全員がこのルールをきちんと遵守していれば、この施策でセキュリティレベルは維持されるはずだ。しかし、検疫を受けずにPCを社内LANに接続してしまう社員もいるのが現実だ。

 同社には情報セキュリティ対策のためのガイドラインがあり、従来から十分なセキュリティ対策を行ってきた。しかし情報セキュリティの脅威は日進月歩で進化しており、ガイドラインの定期的な見直しとともに、新たな対策が必要となる場合も少なくない。

 「社員の自主的行動に頼る『性善説』にのっとった方式では、5,000名の社員を制御することはできない。“ついうっかり”の行動も含めたシステム的対策が必要になった」と、グローバルIT推進部 部長の中川裕二氏は語る。そして2008年、検疫システム導入に向けた機器選定などの検討が開始された。
導入の背景 / 課題
  • 出張の際に持ち出したPCがウイルスなどに感染していないかどうか、帰社後にヘルプデスクでチェックを受けるようなユーザに自発性に頼るセキュリティ運用からシステム的なセキュリティ対策への移行が必要だった。
  • 従来はMACアドレス認証によるトラステッドなネットワークを実現していたが、セキュリティ脅威の技術的な進化によって、さらに強固なセキュリティシステムを導入する必要がある。
  • 今後社内のセキュリティポリシーが変更され、社会情勢の変化、セキュリティ脅威の技術的進化が起こった場合にも、柔軟に対応できる拡張性のあるクライアントPC検疫の仕組みが欲しい。


導入ソリューション

  • シスコNAC検疫ソリューション


導入効果

  • テスト導入やポリシー違反PCを発見するモニタリング運用が、社内のPC環境を改善する機会となった。
  • 全社導入し安定稼働すれば、検疫自体も自動化できるので、エンドユーザ・IT管理者ともに作業負担が軽減することが期待される。

将来のポリシー変更に柔軟に対応する製品が必要

 いくつかのソリューションを検討した結果、シスコのNAC検疫ソリューションが採用されることになった。今回のシステム導入を担当したグローバルIT推進部ITマネジメントグルーブ狩野真人氏は、その理由として「コスト」「既存ネットワークとの親和性」「将来への柔軟な拡張性」の3つを挙げている。

 豊田通商の情報通信インフラは、コアスイッチを含めてシスコ製品で構成されている。新たに導入するネットワーク機能についても同一ベンダー製品にすれば、障害発生時の問題切り分けなど、運用面での利便性が高い。また、Cisco NAC検疫ソリューションの機能や設定の柔軟性も評価された。セキュリティの脅威はどんどん変化していくため、セキュリティ ポリシーもそれに合わせて対応させていく必要があるからだ。さらに、監査(モニタリング)のみを事前に行える点も重要だった。システムがポリシー違反と判断しても、その原因が導入済みの別のシステムにある可能性もあり、ポリシー違反と判断されたPCを強制的にネットワークから排除することは避けたかった。

 新しいシステム導入にあたってエンドユーザ自身による作業が発生しないようにするという方針もあり、PCのプロセスの起動状態をチェックできる「エージェント型」というのも採用理由の1つになっている。

豊田通商株式会社 グローバルIT推進部 部長 中川 裕二 氏

「人に頼る仕組みでは、5,000人の社員のPCを管理することはできない。自動的に検疫システムが働くような水際対策を、きちんと仕組みでカバーする必要がある」

豊田通商株式会社
グローバルIT推進部 部長
中川 裕二 氏

セキュリティ製品の導入は基礎的な管理運用が前提

 Cisco NAC検疫ソリューションの導入は、2009年2月から開始された。導入を担当したのは、豊田通商のグループ会社でシステムインテグレーションを担当する豊通シスコム。同社は、ネットワークの構築からアプリケーションの開発、PCなどハードウェアの調達・展開まで、一括で請け負うことのできる総合システムインテグレーターで、豊田通商のITインフラについてはすべてを理解しているという部隊だ。また、システム インテグレーター パートナーとして、シスコ製品に関する多くの導入実績と経験を持つ株式会社PFUも参画した。

 社内への展開については、テスト導入から始めて、問題を解決しながら導入範囲を徐々に拡げていくという方式を採った。最初のテスト導入は、グローバルIT推進部と、直接豊田通商のネットワークに繋がっている豊通シスコムのカスタマー サービス グループの2部門にあるPC 80台で行われた。そこでCisco NAC導入のために必要な環境を確認したり、動作の検証を行い、続いて名古屋本社に2〜3フロアごとに分けて4日間で導入。その4ヶ月後には東京、大阪などの大規模拠点に導入した。

 導入および展開の途中で発生した問題の多くは、検疫ソリューション側ではなく、各クライアントPCの状態にあったという。たとえば導入開始直後には、PCの時刻同期が完全にできていなかったことが指摘された。その後にも、ネットワーク ドライバのバージョンが古いために検疫動作時にPCが止まってしまうといった問題にも直面した。このようなトラブルへの対応には苦労はしたものの、「検疫ソリューションのような高レベルなシステムを導入するためには、そのインフラとなるIT機器へのケアが100%行き届いていなければいけない」(狩野氏)という意識の向上という副次的効果をもたらすこととなった。

豊田通商株式会社 グローバルIT推進部 ITマネジメントグループ 狩野 真人 氏

「レベルの高いセキュリティ システムを入れるには、足下がしっかり固まっていないと運用できない。そういう部分を見直すいい機会にもなった」

豊田通商株式会社
グローバルIT推進部 ITマネジメントグループ
狩野 真人 氏

セキュリティ対策には中央集約化されたIT管理が必須

 セキュリティのような全社統一の対応が必要な施策では、すべてのIT機器およびシステムの管理が1か所に集約されていることも重要な要素となる。とくにセキュリティ対策製品は、エンドユーザに不便を強いることになる可能性がある。セキュリティと利便性は多くの場合二律背反だからだ。豊田通商ではここ数年、各事業部門で個別にネットワークや情報システムを構築や運用しないように、システムの集約化を徹底してきた。さらに同社内にあるCSR(Corporate Social Responsibility:企業の社会的責任)委員会のグループの1つとして、IT部門では「情報セキュリティの強化」というテーマを掲げている。社長をトップとした組織で認められている目標であるため、目標やスケジュールについて、全社的な協力を得られる環境になっていたのだ。

 とはいえ、Cisco NAC検疫ソリューションの導入についてのエンドユーザからの不満がなかったわけではない。Cisco NACではエージェントをPCにインストールする形を取っているため、PC自体に処理負荷がかかる。最新型のPCを使っていれば気にならないだろうが、何年か前の仕様のPCを使っているユーザからは「起動に時間がかかるようになった」といった苦情があったという。しかし、「万が一重大な事案が発生した場合、それは当社のビジネス全体に多大な影響を与えることになることを説明し、エンドユーザの理解を求めていかなければならない」と、中川氏は言う。さらに狩野氏は、「検疫システムは健康診断のようなもの。健康な人にとっては面倒なだけに見えるだろう。健康診断の後に結果が知らされるように、検疫システムの結果報告をエンドユーザに行うようなコミュニケーションが必要」と加えた。

セキュリティ対策には中央集約化されたIT管理が必須

※画像をクリックすると、大きな画面で表示されますpopup_icon

Profile

豊田通商株式会社

本社所在地: 名古屋市中村区名駅四丁目9番8号(センチュリー豊田ビル)
設立日: 1948年7月1日
資本金: 649億3千6百万円
従業員数: 3,081名 (出向者を含み、受入出向者を除く)
売上高: 6兆2,869億9千6百万円


※以上、データはすべて2009年3月末現在のものです。

1948年の設立以来、豊田通商グループは、グローバルな視野で事業を展開し、「付加価値の創造」を基本として商品やサービスを提供してきました。現在では世界中のグループ会社が連携して製造、加工、リテール、サービスなど各地の状況やニーズに応じた事業を行っています。豊田通商グループは、世界中に持つネットワークと国際協業のノウハウ、また、トヨタグループの中で培った強みを十分に発揮し、柔軟な発想と的確な提案を行う新しい商社像を目指していきます。
http://www.toyota-tsusho.com/index.cfm





今後の予定

 豊田通商では、Cisco NAC検疫ソリューションを2010年3月末までに国内にある約30か所の全拠点へと展開していく計画だ。現時点では監査だけでポリシー違反PCの隔離やクリーンアップといった動作は行ってないが、今後、PCの隔離やクリーンアップも自動化されれば、IT部門・エンドユーザともに大きく負担を軽減できることとなる。
「セキュリティは1か所だけを強化しても意味はない。全体としてそのレベルを維持しなければならない。これからも、約250か所の海外拠点も含め、豊田通商グループ全体のセキュリティ強化に取り組んでいく」(中川氏)。

株式会社豊通シスコム
本社所在地:名古屋市中村区名駅四丁目5番28号
設立日:1994年3月15日
資本金:4億5000万円
従業員数:570名(2009年4月1日現在)

株式会社豊通シスコム
グローバルIT事業本部
グローバルオペレーションサービス部
インフラ企画グループ

片山 明美 氏
「長く使い続けたいシステムなので、今後のポリシー変更の際には早急に柔軟に対応できるような機能の追加と、エージェント動作の軽量化をシスコに期待している」
株式会社PFU
本社所在地:石川県かほく市宇野気ヌ98-2
設立日:1962年5月17日
資本金:49億8,000万円
従業員数:4,177名(PFUグループ、2009年3月現在)


お問い合わせ

0120-092-255
(導入ご検討のお客さま)
お問い合わせ先一覧はこちら