Symantec

JFE システムズ株式会社様

PDFダウンロードはこちら

（565KB/2P）

社員の利便性を確保し、高速で安全なリモート接続と
PC のセキュリティ強化を実現

PC のセキュリティ強化も含めて安全で高速な リモートアクセス環境構築を計画

JFEシステムズ株式会社（以下、JFEシステムズ）は約40年にわたり、大規模で難易度の高い鉄鋼業システムを手がけ、その中で培ってきたシステム構築、運用技術力を様々な業界の企業に提供している。その中でICT基盤センターは、JFEスチール、そのグループ会社、および一般顧客のITインフラの企画、構築、運用を担当する部門だ。JFEグループと一般顧客での経験を融合させて事業を進める同センターでは、顧客企業のインフラの隅々まで配慮した運用段階までを見越した設計を行うと共に、データセンターでの24時間365日運用を始め、上流から下流まで一気通貫での運用ビジネスも展開している。

JFEシステムズでは、以前からINS回線を使って社内のシステムにダイアルアップ接続するRAS（Remote Access Service）を利用していた。しかし、データ量が増え、通信時間が長くなり、通信コストがかさむよう になったことから更新計画を立てた。

「この数年社内システムがWeb化し、アプリケーションが進化、業務スタイルも大きく変わりました。しかし、INS回線ではそれらのアプリケーションは動かず、特に営業系では業務に支障が出かねない状況になったのです」と説明するのはJFEシステムズ 開発本部 ICT基盤センター 第1ソリューショングループ グループ長峯岸氏。

加えてPC端末にはセキュリティ強化が求められていることもあり、新たなリモートアクセスの仕組みは、セキュリティの強化も含めて検討することにした。そこで最も意識したのは、接続先の社内ネットワークを守るだけでなく、接続した端末自身を守ることである。そしてそのためには、ファイアウォールやIDSなど社内のインフラが持っている機能をPC端末が凝縮して持つことが必要になる。

ロケーションを自動判定して接続する機能で、シマンテックのSSEP5.1 を選定

一方、リモートアクセス環境の構築を考えていたあるお客様の案件で、同様の調査をしていた結果、シマン テックのエンドポイントソリューション「Symantec Sygate Enterprise Protection（SSEP）5.1」が最適と判断し、導入を決めた。

「SSEP 5.1採用の決め手は、ロケーションすなわちネットワーク接続環境を自動判定してPCのセキュリティ設定を変更するオートロケーションスイッチング機能でした。自宅、出向先から会社が支給するPCを利用してリモート接続で勤怠報告をオンラインで行いたいというニーズがありましたが、ゲートウェイ型ファイアウォールで守られている社内同様に強固なセキュリティをPC上に実現できるかが課題でした。リモート環境でも、クライアントファイアウォールをONにすれば社内同様の強固な環境にすることは可能でしたが、そのままの設定で社内に持ち込むと、社内システムと接続できなくなるなどの懸念があり、リモート接続の許可に踏み切れず、長らく悩んでいました。オートロケーションスイッチング機能を利用すれば、リモート接続する場合はクライアントファイアウォールをONにし、社内にもどればそれをOFFにするということを、自動的に切り替えることが可能であることがわかり、リモート接続の許可を進める大きな要因となりました。ユーザーが接続環境に応じて手動で設定を変更するなど負担を強いるような仕組みは使われません。SSEP5.1であれば、ユーザーには利便性をもたらし、セキュリティに関してユーザーに負担させることなく、安全、安心を提供できると評価しました」（横田氏）。

こうしてSSEP5.1と検疫システムを組み合わせて、リモートアクセスの仕組みを作ることを決めたJFEシステムズでは、ポリシーを変更し、持ち出しPCのアクセスルールを明確化した。具体的には、今まで禁止していた会社支給PC端末の社外利用を見直し、ハードディスク暗号化ツールや管理ソフトの導入を前提に、PC端末の外部からの社内ネットワークに対するリモート接続を認めることにした。

「それでも、便利なことは分かるが、社内ネットワークへアクセスさせるのは危険ではないかという声が社内から出ました。そうした不安感を払拭するために、実機を使ってテスト環境を構築。実際に動作させて、役員や内部統制担当の品質管理部門に説明。安全であることを納得してもらいました」と語るのはJFEシステムズ 開発本部 ICT基盤センター 第1ソリューショングループ 課長 白島氏。

その上で、同センターではリモートアクセス環境の構築に入り、2007年11月、新しいシステムを稼働させた。新システムは、端末検疫ポリシーサーバーSSEP5.1とVPN装置Juniper SA2000、個人認証サーバーから構成され、SSEP5.1でPC端末のロケーション管理とセキュリティを確保している（図）。ロケーション機能によって、PC端末が社内であればそのまま接続させる。一方社外であれば、Juniperでデータの暗号化や端末の検疫を行い、Windowsアップデートやウイルス定義ファイルの状態を確認。問題がなければ、社内ネットワークに接続させる。

「一番苦心したのは、ロケーションを自動判定するための情報の組み込みです。アクセス場所は、ホットスポットや空港、駅の構内、それぞれ異なった接続方式のホテルなど、様々です。そこで、実際に現地に行って接続方式を確かめ、情報を収集しました。外部に提供していく場合、企業によって接続ポイントの性格が異なってくると思いますが、今回のシステム構築で、ロケーション自動判断のためのノウハウはかなり蓄積できたと考えています」（白島氏）。

内部統制の観点も含めて、エンドポイント対策をさらに強化

回線スピードが高速になったことから、新しいリモートアクセスの評価は極めて高く、登録ユーザー数はINS回 線時代の150名から500名に拡大、営業部門のほとんどの社員とJFEスチールの各製鉄所に常駐するエンジ ニアが利用するようになっている。「営業はSFAを使った活動がベースになっていますが、それを使うために会 社に戻る必要がなくなり、無駄な時間がなくなりました。エンジニアも大容量ファイルのやり取りが安全にでき るようになりました。そして、それが3倍以上のユーザー数となって現れていると思います」（白島氏）。

現在JFEシステムズでは、シマンテックの次世代アンチウイルス「Symantec Endpoint Protection（SEP） 11.0」を検証中で、従来から使用してきたSymantec AntiVirus Corporate Editionのアップグレードとして、 2008年中には導入の目処を付けたいと考えている。「ハードディスク暗号化などのソフトを搭載しているため、高い処理能力を持ったPCでもパフォーマンスが問題になります。SEP11.0は今までよりも軽く動作すると聞いていますので、できるだけ早く導入したいと考えています」（白島氏）。

エンドポイントの対策としては今後も今まで使っている機能が中心になるが、内部統制の関係で、品質管理部門がデバイス制御による社内の全端末に対する情報漏洩防止の強化策を検討しているため、今後それらの機能を含めて、新たに活用する可能性もある。そうした面も含めて、シマンテックのセキュリティソリューションに対するJFEシステムズの期待は大きく高まっている。

User Profile