安全で高品質かつ拡張性の高いインターネット基盤を整備

1965 年に部品メーカーの愛知工業と新川工業が合併して誕生したアイシン精機は、50 年以上もダイナミックに革新し続ける自動車業界において絶え間ない技術開発で業界をリードし、自動車を構成する要素のほぼ全てをカバーする総合自動車部品メーカーとして発展。常に顧客の期待を超えるソリューションを提供し続けている。

同社は、2011 年から運用してきたインターネット基盤の見直しを検討し、2017年3月（2016年度末）を目処に社内メール環境やWebアクセス基盤の全面更改を計画した。その狙いについて、アイシン精機情報システム部 第三開発グループ グループマネージャーの井上 健司氏は次のように説明する。「近年の高度化するサイバー攻撃などへの迅速かつ柔軟な対応や、Office365TM に代表されるような高負荷なインターネット上のサービスを全社員が快適に利用できることを前提に、安全で高品質、かつグループ内への展開も容易な拡張性の高いインターネット基盤を整備することが目的でした。」

更改のポイントとしては主に次の3つを重視した。第1はマルウェア対策。同社では、メールや外部媒体経由よりもWeb 経由によるエンドポイントでのマルウェア検知数が多く、またプロキシに関連したトラブルも頻発し、フィルタリングがうまく働かなくなるなどの問題もあった。そこで、既存の国産プロキシ（URLフィルター）とゲートウェイ型アンチウイルス製品を刷新することでWeb 経由のマルウェア感染を抑えようと考えた。

第2に情報漏えい対策。一般のファイル共有サービスを利用した不正な情報持ち出しや、マルウェア感染により情報をアップロードされる可能性もあり、データが漏えいするリスクを仕組みで制限することを検討した。

第3にネットワークレスポンスの改善。当時のURLフィルターはセッション数に制限があり、アクセスが増えるに従ってプロキシのレスポンスが次第に悪化。社内からは改善を求める要望が相次いで寄せられていたという。

このような要望があった場合、その都度対象となるサイトを確認し、業務上重要なサイトを優先接続できるように振り分ける必要があった。

Symantec 社ProxySGとCitrix NetScalerを併用し効率的なネットワーク負荷分散を実現

2016 年の3月にプロジェクトが本格的に始動。2016 年7月にSIerやベンダー8 社に提案依頼をかけ、うち5 社から提案を回収し比較検討した結果、同社はSymantec（旧Blue Coat）に注目した。

特に他社プロキシに比べ、1）Webアプリ制御による不正なアップロードの禁止、2）SSLデコードの柔軟な除外設定、3）PACファイル自体をProxyに設定することで、端末側の設定変更の手間を省略。かつ、ポリシーをProxy 側で設定できるのでVPN 接続などの柔軟な設定が可能 4）各種認証基盤の柔軟な活用、5）ネットワーク設計の柔軟性、6）持ち出し端末の厳格かつ柔軟な制御、などの条件が有利だったという。

アイシン精機 情報システム部 第三開発グループ BCP・セキュリティチーム 大西 裕之氏は、上記に加え、「最近のセキュリティの課題であるSSLなど暗号化通信の中身に対する検知と、ファイル共有サービスなどを使った不正なアップロードの制限などが可能で、細かな制御が統合的に実現できる点も評価しました。」と語る。

アイシン精機は、8月末にSymantecの採用を正式に決定。「Symantec 社 Proxy SG S400」2 台を採用し、単体での冗長構成と2 台の処理リソースの共有による機器のパファーマンス最大化を可能にする構成とした。また、デュアルAVスキャンと脅威情報DB の組合せで既知のマルウェアをブロックするアプライアンス「Symantec 社Content Analysis System」（以下、SymantecCAS）も採用し、KasperskyとCylancePROTECTのダブルでウィルススキャンを実施するよう設定。Symantec 独自のGlobal Intelligence Network（脅威情報DB）の組合せによって既知のマルウェアを高精度にブロックできる体制が整った。

他にも、ネットワークトラフィックを監視しそれらのログをグラフィカルに可視化する仮想アプライアンス「Reporter VA」の活用も決め、2017 年3月に本格稼働をスタートさせた。

今回は、インターネット基盤刷新プロジェクトの「フェーズⅠ」（2016 年度計画）となり、アイシン精機本体と機能分社と呼ばれる一部の子会社の社員約1 万4000 人が対象となる。

また、併せて全社員のメール環境もNotes®からOffice365TMへと全面的に切り替えることとなり、全てのメールセッションがプロキシを経由して負荷増大によるトラブルを回避するため、アプリケーション高速化と負荷分散を実現する「Citrix NetScalerMPX8005c」も導入された。

1ヶ月のログ2 ～3億レコードの中からわずか数10秒で目的のログ抽出が完了

SymantecとCitrix NetScalerの導入によってWebアクセスのパフォーマンスが顕著に改善した。有名ポータルサイトへのアクセス時間を比較したところ、導入前は昼休み時間帯で5～ 6 秒かかっていたものが、Symantec 導入後は遅延がほとんど感じなくなったという。
「Symantecによって、レスポンスが改善され、今ではアクセス先を振り分ける必要もなくなり運用負荷が軽減されました。」と井上氏は感想を述べる。

また、「以前はエンドポイントまですり抜けていたマルウェアが、上流のゲートウェイで、格段に検知、ブロックされるようになりました。」と大西氏。ファイル共有サービスの利用も厳格に制限できるようになり、情報漏えいのリスクも少なくなっているという。

さらに、Reporter VA のログ抽出機能も高いレベルにあるという。例えば、あるサイトを検索した履歴を分析するため、今まではログ抽出ツールなどを使い、約1ヶ月間のログ２～３億レコードを数時間かけて検索していたが、Reporter VAはわずか数10 秒程度で完了。当初1 時間以内に完了することが目標だったが、それを大幅に短縮する結果となった。「これまで一両日かかっていた悪質サイトとの通信ログの調査が、ほぼリアルタイムにできるようになりました。」と大西氏は満足そうに話す。

今後の計画としては、「フェーズⅡ」（主要子会社とサブ連と呼ばれる国内の直轄子会社の40,000 人を対象）、そして「フェーズⅢ」（海外を含めた連結子会社全体の100,000 人を対象）へと拡大していく見通しだという。

また、Symantec 社CASと親和性の高いハイブリッド型サンドボックスアプライアンス「SymantecMalware Analysis Appliance」（MAA）を導入することで、通常の仮想化環境では発動しない未知のマルウェアも検知可能にしたいとも考えている。

今回のプロジェクトを振り返り、井上氏は、「Symantecのパラメータ設計に関してはマクニカの協力のおかげで支障なく進めることができ、提案いただいたSymantecとCitrixNetScaler の組み合わせも極めて有効に機能しています。フェーズⅡ以降はSymantec 基盤の強化が必要となりますが、引き続き優れた提案を期待しています。」と語る。

アイシン精機のインターネット基盤の統合によるグループガバナンスの強化はまだ道半ば。マクニカはオンプレミス製品の拡大及び、フェーズⅢに向けたクラウドサービスであるSymantec Web Security Serviceの展開も含め、今後も知見を総動員して同社を支援する構えだ。

User Profile