ソフトバンク株式会社
移動通信サービスを中心に、固定通信、インターネット、クラウド、IoTなど多様なICTサービスを提供する通信事業者。AIをはじめとする先端技術を活用した新たなサービスの創出や企業のデジタル化支援にも注力している。
複数PCの使い分けを解消し社内LAN運用を変革
セキュリティ要件から業務ごとにPCを使い分けていたソフトバンクの社内LAN。複数PCの運用負荷や持ち歩きの負担を軽減するため、同社はCisco ISEを導入し、Cisco TrustSecを実装しました。IPアドレスではなく「業務」に基づくアクセス制御へと転換し、既存基盤を活かしながら利便性と運用効率を高めています。
課題
セキュリティ要件により、業務内容ごとにPCを使い分ける必要があった
PC の使い分けは台数の増加にもつながりOS などのライセンスコストが増大していた
ACL によるアクセス制御では更新作業が多く、運用面での負担が大きかった
解決策
Cisco ISEを導入しCisco TrustSecを実装。ACL ではなく業務を軸にしたアクセス制御へ移行
既存のネットワーク機器を活かし、最小限の投資で課題を解決
技術的な課題をシスコと協力して解決し、VDIにもCisco TrustSecを適用
社内LANの課題だったPC使い分けの手間
ソフトバンクのIT&AIクラウド開発統括部 ネットワーク開発部は、同社の事業を支える重要なネットワークの構築と運用を担っています。社内LANも同部門が構築し、運用しているネットワークの1 つです。約2 万人の従業員が日々利用する業務基盤として、性能、安定性、運用性を考慮した設計となっています。
セキュリティの観点では、ファイアウォールの適切な設置などに加え、情報の機密性に応じてネットワークを物理的に3つに区分。IPアドレスに基づくACL(Access Control List)制御で許可されたデバイスのみが各ネットワークにアクセスできるようにしています。「区分間の通信も原則として許可しない方針です」とソフトバンクの前田 高尚氏は言います。
しかし、この構成は、業務上、複数のネットワークにアクセスする必要がある従業員は、PC を複数台持ち歩き、VDI (Virtual Desktop Infrastructure)を含めて使い分けなければなりません。「その使い分けの手間や複数のPC を持ち歩く負担が大きいという声が上がっていました」と同社の澁谷広軌氏は話します。
また、複数PC の運用はOS やアプリケーション、セキュリティソフトのライセンスコストの増大、PC ごとのVPN設定といった運用管理負荷の増大にもつながるため、コストや運用面でも課題となっていました。
業務内容に応じてネットワークアクセスを制御
そこで、同社はPC を使い分けずとも、従業員が必要なネットワークにだけアクセスできる仕組みの実現を目指しました。検討を経て、ソフトバンクが着目したのがデバイスではなく「業務」に基づいてアクセス制御を行う方法です。業務内容や役割を識別子として扱い、従業員が業務を切り替えた際、その情報がネットワーク側の属性として自動的に切り替わるようにすれば、1 台のPC で複数の業務ネットワークにアクセスでき、PC を使い分ける必要がなくなるからです。
それを実現する仕組みとして選んだのがシスコのCiscoTrustSec です。Cisco TrustSecは、SGT(Security Group Tag)というタグでアクセス制御を行う仕組みです。ソフトバンクの場合なら、従業員の業務内容や役割などを属性としてタグに設定すれば、同社が構想する「業務」によるアクセス制御を実現できます。「既存のネットワークを活かしながら導入できる点も大きな利点でした」と西村 優氏は言います。
PC使い分けの手間、コスト、運用管理負荷を軽減
アクセス制御はネットワーク部門だけでなく、デバイス部門、セキュリティ部門などにも関係する領域となります。そのため同社のCisco TrustSecの導入は部門横断のプロジェクトとして進められました。
「一斉導入ではなく段階的に導入を進めていますが、導入を終えた従業員は業務に応じてPC を使い分ける手間から解放されています。ネットワーク区分によってはVDI を使うポリシーとなっていますが、他の業務で利用しているPCからVDI にログインし、最初の画面で行う業務を選択する仕組みにしています。オフィスに出社していなければ行えない業務の場合は、入館記録とも連携して認証を行います。この仕組みによって、従来のように複数PC を持ち歩く必要はなくなり、業務もシンプルになったと好評です」と前田氏は話します。
PC の使い分けが不要になり、PC 台数が削減されれば、当然OS やアプリケーション、セキュリティソフトのライセンスコストや運用管理負荷の削減にもつながります。「デバイスごとのVPN 設定といった作業も減ります。導入範囲が広がるにつれて、このようなメリットは大きくなるはずです」と澁谷氏は言います。
SGT の運用は想像していた以上にシンプルだと西村氏は言います。「Active Directory と連携させて業務グループにタグを割り当てるだけで、IP アドレスを管理したり、大量のルールを記述したりする必要はありません。従業員の異動や組織再編があっても、個人の業務が変わらなければタグを更新する必要もなく、長い目で見ると、かなりの運用工数を削減できると考えています」。
PC 使い分けの課題を解消したソフトバンクの社内LAN において、次の検討テーマとなるのがゼロトラストセキュリティへの移行です。インターネットアクセスを制御するSASE は、ゼロトラストを実現するための重要な技術です。複数の選択肢がありますが、シスコのSASE ソリューションであるCisco Secure Accessも有力な選択肢となります。Cisco Secure Accessを利用すれば、Cisco TrustSec で設定したSGT を社外からのアクセスやクラウドサービスの利用、インターネットアクセスの制御にも応用できるからです。さらにユーザーやデバイスのセキュリティ状況に応じて割り当てるSGTを変更することで、アイデンティティセキュリティの観点でも効果的な施策となる可能性があります。「社内LAN をどのように進化させるかは常に重要なテーマです。具体的な検討はこれからですが、シスコからのよい提案を期待しています」と前田氏は語りました。
