Ivanti(旧PulseSecure)
イヴァンティ
デジタルテクノロジー株式会社様
重要【脆弱性改修バージョンに関して】
Pulse Secure製品に影響のある脆弱性が確認されております。いずれの脆弱性も特定のバージョンによって対策が実装済みとなりますので、脆弱性改修バージョンへのバージョンアップを必ず実施いただけますようお願いいたします。
詳細はこちら
社内リソースへのリモートアクセスにPulse Secureを採用
クライアント証明書配布とパラメータ設定を自動化し
数日かけていた準備作業をわずか数分にまで短縮
Point
- クライアント証明書の発行とSSL-VPN 設定が自動化され運用負荷が激減
- 無線LAN のセキュリティ設定に必要なWi-Fi のプロファイルも同時に配布
- 導入後の運用も管理画面で一元化でき担当部門の負担が劇的に軽減
- SAML 連携によるシングルサインオン運用も容易に実現
 |
デジタルテクノロジー株式会社 ITインテグレーション部 |
スマートフォンでのリモートアクセスをめざすも設定の複雑さが導入の課題に
1988年創業のデジタルテクノロジーは、世界の先端機器を日本にいち早く紹介し、日本でのインターネット普及や企業・研究機関における最先端技術開発に大きく貢献してきた。2009年12月に株式会社DTSの100% 子会社となった同社は、長い歴史の中で培ったIT 環境構築力と、独自の付加価値を持つソリューション提供力、常に顧客に寄り添い真のニーズを汲み上げる提案力の3 つを武器に、ハイブリッドクラウドのインテグレーションやハイパーコンバージドインフラの提供、ネットワークセキュリティ関連のSIなど最新の技術を中心に提供。マルチベンダー体制によるITシステム製品の販売・構築から保守・運用までを手掛けるトータルシステムインテグレータとして、既に1600以上の企業・官公庁・大学・研究機関と取引実績を有している。
デジタルテクノロジーは2017年にIP-PBXへのリプレースを機に、全社員を対象に会社支給のスマートフォンで内線電話化を行うのと並行して、メールやグループウェアなどの社内リソースへのリモートアクセス実現も目指した。同社では総務部門が情報システムの管理業務も兼務しているため、今回のプロジェクトも導入から設定まで総務部門が担当する予定だったが、OSSのOpenVPNの活用を前提としていたため設定が複雑になり、それが導入の大きな障害になっていたという。当時の状況について、デジタルテクノロジー ITインテグレーション部 システムデザインユニット1マネージャーの有川 浩二氏は次のように説明する。
「対象となるスマートフォンはライン部門の約70台。専門家ではない総務部門だけでは手が足りず、私たち技術部門のSEが経験のあるOpenVPNの設定を担当することになったのですが、1台のスマートフォンをキッティングして社員に支給するまで最大2~3日かかることもありました。また、1年に1度、クライアント証明書の更新処理が必要となりますが、その際も同様に時間と手間がかかることが想定され、会社としてはこの問題をなんとか解決したかったのです」
Pulse Secureのオンボーディング機能で証明書発行と初期設定を同時に実現
有川氏が実現を目指したのは、総務部門単独でもリモートアクセスを容易に運用できるとともに、会社支給のスマートフォンでしか社内情報にアクセスできないようにするという厳格なセキュリティと、低コストでの導入だ。2016年12月頃からさまざまな製品を検討する中で、最も条件を満たしていたのがPulse Secure社のSSL-VPNアプライアンスだった。
「旧MAGの時代からSSL-VPNの基本機能の高さは知っていましたが、今回はPulse Secureが独自機能としてオプション設定している『オンボーディング機能』が決め手になったといっても過言ではありません」
通常、SSL-VPNを利用するには端末にアプリケーションをインストールした後、クライアント証明書や詳細なパラメータ設定を行う必要があるが、この設定が管理者にとっては少なからず手間のかかる作業となる。Pulse Secureのオンボーディング機能を使えば、SCEPサーバと連携してActiveDirectory(AD)によるユーザ権限に応じたクライアント証明書を安全かつ手軽に発行できる上、社員自身が管理者から配布されたURLにアクセスし、SSL-VPNの設定プロファイルをダウンロードしインストールするだけで各種の初期設定が実施され、すぐにPulse Secureのリモートアクセスが利用できるようになる。
「今回は、IP-PBX の他に社内無線LAN 環境も構築することとなり、無線LANを接続する際のセキュリティ設定が必要でしたが、Pulse SecureではWi-Fiのプロファイルも同時に配布できるという利点もあったので、これはベストな選択だと確信しました」と有川氏は振り返る。
導入後の運用も管理画面で一元化総務部門の負担が劇的に軽減
その後、マクニカのWebサイトからPulse Secure のバーチャルアプライアンス(無償版)をダウンロードし、仮想サーバ上でオンボーディング機能を含めて機能の検証を進めた結果、総合的に運用可能と判断。2017年3月に「Connect Secure PSA3000」の採用を決定し、4月に各種試験を実施した上で、5月から本格運用を開始した。
「オンボーディング機能により、セキュリティを高めるために複雑化したURL 経由でクライアント証明書とサーバのルート証明書のプロファイルが安全にインポートされるほか、SSL-VPNの各種パラメータ設定とWi-Fiの接続設定も各ユーザに自動で配布されるようにしたので、後はスマートフォンをユーザに引き渡すだけ。特別なマニュアルや手順書などは一切必要ありませんでした。ユーザはPulse Secureのアプリを起動し、接続ボタンをタップすれば接続でき、導入後の運用も管理画面から一元的に可能になるので、総務部門の負担は劇的に軽減されています」と有川氏は述べる。
以前のOpenVPNでは、1台のスマートフォンをリモートアクセス可能な状態にして社員に引き渡すのに、総務部門と技術部門が関わるため平均で1~2日かかっていたが、Pulse Secure の導入によって作業は1~2分以内で終了するようになった。しかも、同時に無線LANへの接続も可能になっている。この差は大きいと有川氏はいう。
「総務部門も技術部門も、スマートフォンの設定作業から解放され、本来すべき業務に専念できるようになりました。また、OpenVPNの場合はLinuxサーバに障害が発生した場合に、復旧と再設定など非常に手間がかかります。PulseSecureはアプライアンスなので安定している上に、万一のトラブル時もあらかじめ設定内容をエクスポートしておけばすぐに復旧させることができるので非常に安心です」
自社のPulse Secure導入経験を今後はお客様への提案にも活かす
現在、デジタルテクノロジーでは社内のメールシステムをOffice365™に移行する計画が進んでいる。その際、セキュリティと利便性を両立させるため、社内ネットワーク経由の端末のみにアクセスを限定し、同時にPulse SecureのSAML 連携を利用してOutlookTMなどにシングルサインオンができる運用を考えている。
なお、スマートフォン以外のモバイルPCなどの端末からのリモートアクセスには別のSSL-VPNを使用しているが、つながりにくいなどの障害が多いため、将来的にはPulse Secureに一本化する計画だという。
「最近は多くのメーカーからSSL-VPN 製品が販売され、機能もあまり変わらなくなっているのが現状ですが、Pulse SecureはSCEPサーバと連携した証明書の自動配布やパラメータ設定が同時にできるオンボーディング機能をいち早く取り入れたところが素晴らしいと思います。特にWi-Fi 設定においては、PSK(プリシェアードキー)だけでなくWPAやWPA2-Enterpriseなどの認証のほか、PEAP、EAP-TLSなどのプロトコルもサポートしていたので大変便利でした」と有川氏は評価する。
一方で、デジタルテクノロジーは製品を提供するSIerの立場でもある。「お客様がセキュアアクセスを必要とされている場合は自信を持ってPulseSecureを推奨したいと思います。同時に、デジタル証明書を利用する環境があれば、オプションのオンボーディング機能も強く提案したいですね」と話す有川氏。今回のプロジェクトによって確認できた有効性を、同じ悩みを持つお客様への解決策に活かしたい考えだ。そしてその需要は大いにありそうだという。
User Profile
| デジタルテクノロジー株式会社 | |
|---|---|
| 所在地 |
〒116-0014 |
| 導入時期 |
2017年 5月 |
| URL | |
|
1988年創業。2009 年に株式会社DTSの100% 子会社化。世界の先端技術製品をいち早く日本の研究機関や企業に紹介することを目的に、サーバやストレージ、バックアップソリューション、セキュリティ製品、ネットワーク関連製品などを世界各国から調達し、独自の付加価値を加えてより顧客にとって最適な製品やソリューションとなるよう提供し続けているシステムインテグレータ。 |
|
お問い合わせ・資料請求
株式会社マクニカ Ivanti(Pulse Secure)担当
- TEL:045-476-2010
- E-mail:pulsesecure-sales@macnica.co.jp
月~金 8:45~17:30
