ゼロトラストネットワークアクセス(ZTNA)導入
エムエム建材株式会社 様
VPNアプライアンスからZTNAクラウドへの移行により
セキュリティや運用性、ユーザビリティを向上
- 企業
- セキュリティ
エムエム建材株式会社 様
ポイント
- VPNからゼロトラストモデルへ移行し、セキュリティを強化
- PoC環境から1000ライセンス超の本番環境へシームレスに移行
- サービス停止なしの自動アップデート、使いやすい管理UIで運用性向上
導入製品
- ZTNA : HPE Aruba Networking SSE Foundation
- オンボーディング支援
VPNアプライアンス装置の脆弱性対応が重い運用負担に
エムエム建材株式会社は、建設鋼材や製鋼原料等を取り扱う"鉄"の専門商社。土木・建築用資材の販売から加工、工事請負まで手掛け、国内外にサプライチェーンを展開する。社会インフラ整備に加え、老朽化に伴う解体や工場から発生するスクラップを回収・選別し、製鋼原料として国内外の鉄鋼メーカーに販売する循環型ビジネスも展開。近年は脱炭素時代に向け、CO2排出を抑えた「グリーンスチール」関連の技術開発や、鉄・ステンレス以外の素材リサイクル高度化にも取り組んでいる。
これらの取り組みを進めるうえでも、情報セキュリティに対する検討は重要な課題だ。同社情報システム部では、従業員のセキュリティ教育をはじめ、システムのリニューアルや情報資産の整理、リモートワーク対応のためのVPN環境、サイバー保険など、さまざまな施策を講じているという。情報システム部 部長の川口 正貴氏は、以下のように語る。
「当社は鉄鋼メーカーと特約店、施工店をつなぐ商社です。われわれの業務が止まってしまうと、鉄鋼業界や建築業界などにも大きな影響が及びかねません」(川口氏)
このうちVPNに関しては、以前から外回り営業担当者などが利用していたが、コロナ禍でリモートワークを行う社員が大幅に拡大し、2020年にキャパシティー拡張などのためアプライアンス装置を更新。コロナ禍後も一定範囲のリモートワークを認めるルールが定着し、社員の多様な働き方を支えるインフラとしてVPNアプライアンスを維持し続けてきた。しかし、その運用には負担も大きかったと川口氏は語る。
「アプライアンスの運用には手間が掛かります。具体的な作業としてはインフラチームの担当者が、コンピュータセキュリティインシデントに対応する情報提供機関『JPCERTコーディネーションセンター』から送られる脆弱性情報メールを常にチェックし、もし当社で使っている製品が含まれていた場合には、メーカーのパッチを適用しています。ですが、脆弱性の公表からパッチ提供までのタイムラグが懸念されますし、パッチ適用のたびに導入ベンダーに作業を依頼し、計画を立てて作業してもらうなど、手間も相当なものでした」(川口氏)
情報システム部 部長
川口 正貴氏
VPNの脆弱性を補完するZTNAのアプローチを採用
コロナ禍で導入したVPNアプライアンスの更新時期を迎える頃、ネットワーク・セキュリティではゼロトラストネットワークアクセス(ZTNA)の考え方が広まっていた。それを受け、エムエム建材でもクラウドベースのZTNAの検討を進めたという。そうした中、出会ったのが「HPE Aruba NetworkingSSE Foundation」(以下、Aruba SSE)であった。
SSE(セキュリティサービスエッジ)とは、包括的なセキュリティ機能をクラウドベースで提供し、VPNの脆弱性を補完するサービスだ。ZTNAのアプローチでユーザーの認証とアクセス制御を厳密に管理するため、既存のVPNよりセキュリティリスクを大幅に低減できる。加えてクラウドサービスであることから、アプライアンス製品の買い換えなどに比べコストも抑えられる。
これらの特徴に加え、同社が着目したのはPoC環境に関する点だったという。
「Aruba SSEはPoC環境の構築が可能で、しかもそのまま本番環境へ移行することができます。レスポンスの面でも既存VPNアプライアンスに劣らないことや、クラウドならではの費用感や運用性なども踏まえ、正式採用を目指し、PoC環境で試してみることにしたのです」(川口氏)
Aruba SSEのPoC環境は、クラウドベースならではの迅速さで、わずか2日間ほどで接続可能となった。既存VPNのパラメータやアクセスコントロールリストを整理してAruba SSEに適用し、使用感などの検証を開始した。
ゼロトラスト ネットワーク アクセス(ZTNA)構成図
思わぬアクシデントにも関わらずスムーズにPoCから本番環境へ移行
ところが、このPoC期間の終了間際、思わぬアクシデントに直面する。既存のアプライアンス製品のVPN機能に関して、脆弱性情報が公表されているのにパッチが提供されないという事態に陥ったのだ。これを受け、エムエム建材ではセキュリティを優先して既存アプライアンスでのVPN運用停止を決断したが、その影響で全社員がリモート業務を行えなくなってしまった。
「セキュリティ上やむを得ない措置ではあるものの、多数の社員の業務に支障が生じ、問い合わせが殺到するありさまでした。本番サービスインは2025年5月の予定だったのですが、急きょAruba SSEの正式ライセンスを調達し、予定を大幅に前倒ししてPoC期間終了直後の4月12日から本番環境へ移行することにしたのです」(川口氏)
1000ライセンス超の大規模本番運用を大幅に前倒しで開始するという状況ではあったが、Aruba SSEはPoC環境の設定をそのまま引き継ぐ形で移行でき、PoC環境で設定を作り込んでいたことも功を奏し、大きな混乱もなくサービスインを実現した。
「エイチ・シー・ネットワークスおよびHPEのサポートもあって、リモート業務の停止を約1週間と短期間に抑えられたことは幸いでした」(川口氏)
こうしてAruba SSEの稼働を始めた同社では、管理性とユーザビリティの向上という導入効果を得ている。
「脆弱性対応は、以前のVPNアプライアンスでは3カ月に1回ほど行っていたのですが、Aruba SSEを導入してからは自動アップデートが行われるようになりました。担当者によると、管理画面のGUIも使いやすく、扱いが簡単になったと言っています。また各端末のエージェントも自動でアップデートされ、再起動が必要な場合にはユーザーに通知してくれるので、その点でも情報システム部の手間が減りました」(川口氏)
自動アップデートで運用負担軽減
二要素認証でセキュリティも強化
エイチ・シー・ネットワークスは、本番サービスインの後も3カ月間のオンボーディング支援を実施、運用チームへの移行をサポートした。
「運用チームへの引き継ぎに際し、運用マニュアルやパラメータシートの作成に、エイチ・シー・ネットワークスがサポートしてくれました。またPoC構築の際には、アクセスコントロールリストの整理などもサポートしてもらい、大いに助かりました」(川口氏)
Aruba SSEへの移行により、セキュリティも向上している。これまでのID・パスワードに加え二要素認証も可能となり、エムエム建材では新たにワンタイムパスワードでのログインを取り入れた。また、従来のVPNではログイン時に社内のActive Directory認証でログインする形となっていたが、Aruba SSEではIDaaSのSSO(シングルサインオン)機能を利用し、社内ネットワークに完全に入らず各システムを利用する形態に変更した。特に、社外のベンダーがシステムの保守などで利用する際には二要素認証とリモートアクセスをアプリ単位で制御することによりセキュリティ強化にもつながった。
「ユーザーの使い勝手としては以前のVPNと大差ありませんから、ユーザーの負担を増やさずセキュリティを向上させるという点でも効果があったと言えるでしょう。とはいえ、脅威は人間を通じて入ってくることが多いものですから、引き続きセキュリティ教育などには手を抜かず臨むつもりです」
そして、エムエム建材の情報システム部では、2027年3月に保守期限を迎えるSWG(セキュアWebゲートウェイ)の更新も検討中だ。
「まだ確定してはいませんが、Aruba SSEのSWG機能導入、既存製品の更新など、さまざまな選択肢を検討しています。今回はVPNのときのように緊急対応とはならないでしょうから、じっくり検討する方針です。エイチ・シー・ネットワークスには、製品に関する情報提供など、引き続きご助力を期待しています」(川口氏)
お客様情報
エムエム建材株式会社 様
エイチ・シー・ネットワークス
第二営業本部 第一営業部 第一グループ 重綱隼人
同プロダクト技術本部 ソリューション企画部
第一グループ マネージャー 蝶野佳和
メタルワングループと三井物産グループの建設鋼材事業と製鋼原料事業の統合により、2014年11月に誕生した、国内最大級の建設鋼材および製鋼原料を取り扱う鉄の専門商社。グループ会社と連携しながら、国内外での建設鋼材の販売や在庫・加工、各種工事の施工を手掛ける。
