セキュリティーリスクへの新たな処方箋
成功事例に学ぶ
“任せる”ネットワークの運用術

　現在、多くの企業がDXを推進しているが、そこにはいくつかのハードルが立ちはだかる。その1つが人材不足だ。労働人口は年々減少しており、十分な人材を確保することは容易ではない。サイバー攻撃の増大も大きな課題だ。2014年からの10年間で、サイバー攻撃関連の通信数は実に31倍も増大した。

　セキュリティー上の脅威に対応するためには、常に最新の状態で機器を運用するため、日々の脆弱性管理が欠かせないが、ある調査によると、その対策頻度は「3カ月に1回程度」の企業が半数以上を占める。人手が足らずリスクの高まりに対応できないことが伺える。「人手に頼らない、セキュリティー上の脅威への対策強化が必要です」と日立システムズの加藤 優一氏は説く。

　既存のネットワークにも問題がある。DXを支えるプラットフォームやアプリケーションの多くはクラウド環境で提供されている。「ネットワークもクラウド利用に適切な構成に変えていく必要がある」と加藤氏は訴える。これらの課題を包括的に解決する手段として注目されているのが「NaaS（Network as a Service）」である。これはネットワークをサービスとして利用する形態だ。

　NaaS型サービスの1つとして日立システムズが提供するのが「SD-Branch」だ。これはソフトウエアによってネットワーク機器を集中制御する「SDN（Software Defined Networking）」技術を応用したサービス。「あらゆる人・端末が、どこからでも快適に、そしてセキュアに接続できるネットワークを提供します。Branch（支部・部門）という言葉を使用していますが、小規模拠点に限らず、中規模・大規模拠点にも適用可能です」と加藤氏は説明する。

　SD-BranchはFortinet社のファイアウォール「FortiGate」、ネットワークスイッチ「FortiSwitch」、無線アクセスポイント「FortiAP」を貸与し、これらをクラウド上の管理基盤「FortiGate Cloud」で集中管理する仕組みだ。

　「ネットワークサービスとその運用・管理機能をパッケージ化し、ワンストップで提供します。しかも初期費用は不要で、定額料金で利用できます」と加藤氏は強みを述べる。なお、セッションの経路は拠点側からクラウドに対してのみ。クラウド側から拠点側にアクセスするセッションは張らないため、外部からの侵入リスクが非常に低い。

　簡単、スピーディに利用を開始できるのも特徴だ。サービス申し込み時にファイアウォールポリシーや無線ネットワークの名称、パスワードなどのパラメータを簡易的に指定すれば、これを基に機器をセットアップしてお客様のサイトに発送する。届いた機器をつないでインターネットに接続すれば、利用を開始できる。

　利用と同時に日立システムズ側もFortiGate Cloudを通じて、機器の運用管理を始める。「設定変更が必要な場合は、当社に連絡いただければ、こちらで作業を代行します」と加藤氏は話す。機器の稼働状況や脆弱性情報なども日立システムズ側で管理する。「障害が発生した場合は切り分けを行い、暫定対策や、機器故障の場合は保守交換を行います。脆弱性対策が必要な場合も、当社側でバージョンアップを実施します」と加藤氏は続ける。

　自社で機器を有している場合、脆弱性対策は情報収集や最新プログラムの入手・適用などの作業が必要だ。ベンダーに依頼する場合はコストもリードタイムもかかる。SD-Branchの場合、日立システムズが機器を持つことになるため、こうした手間が不要な上、月額料金の中に含まれる。つまり、コストをかけず、迅速にアップデートでき、攻撃のリスクを大幅に低減できるわけだ。

　ネットワークの利用状況や稼働状況は、FortiGate Cloudのダッシュボードから参照可能。利用者自身がログを分析したり、様々なレポートも確認したりすることもできるという。

　「ネットワークをサービスとして利用できるだけでなく、脆弱性対策などのセキュリティーを含めてネットワーク運用をアウトソースできるのです。DXの大きな阻害要因である人材不足を補い、クラウド利用に適切なネットワークを実現できます」と加藤氏は力を込める。

　既に多くの企業がSD-Branchを導入し、ネットワーク及びセキュリティーの課題解決に成功している。情報通信業のA社はその1社だ。300近い拠点を展開し従業員2万名規模の同社のネットワークは、データセンターを中心として各拠点が企業WANで接続されている。

　Webやメールを使用するOA端末と、開発システムなどの非OA端末も混在していた。非OA端末はセキュリティー対策が十分に行えないため、OA端末経由でマルウエアが侵入すると、感染が急拡大する恐れがある。各拠点から企業WANとデータセンター経由でインターネットや各種クラウドサービスにアクセスする構成のため、帯域の大きい高価な回線を使用していたが、コスト負担も課題になっていた。

　これらの解決策としてSD-Branchを導入し、ゼロトラスト型のネットワークを実現した（図1）。これにより、OA端末でマルウエア感染が発生しても、開発環境に“飛び火”する心配がない。インターネット回線も拠点単位の安価なベストエフォート回線に移行した。「拠点からインターネットへ直接アクセスできる構成を実現し、企業WANを最適化することで、ネットワークコストも低減できました」（加藤氏）。 　脆弱性が検知された場合も日立システムズ側でアップデートするため、運用負荷を軽減しつつ、各拠点を安全に保つことができる。なお、今回のSD-Branchへの移行は無線LAN接続のOA端末を対象に実施したが、有線ネットワーク機器の更改タイミングでその移行も検討しているという。

　エンターテインメント事業を展開するB社の拠点は、1拠点のみで従業員130名ほどの規模。ネットワークやセキュリティーの知見を有する人材がいないため、脆弱性のアップデートや障害時の迅速な対応が難しい。興行開催日にトラブルが発生すると、事業の信頼に関わるため、早急に復旧できる仕組みを求めていた。

　そこでSD-Branchを導入し、既存環境を大幅に見直した（図2）。「これにより、セキュアで快適なクラウド利用を実現し、同時に回線コストも削減。24時間365日のオンサイト保守により、障害発生時の復旧スピードも迅速化。バージョンアップなどのサポートが受けられるため、人材不足の課題も解消できました」（加藤氏）。 　DXの推進には、自社のリソースをコア業務や企画・計画業務に注力させることが重要だ。これを実現するNaaSソリューションとして、SD-Branchは有力な選択肢といえそうだ。