Enterprise Watch
最新ニュース

日商エレがNACアプライアンス「ConSentry LANShield」の導入事例を解説

セキュリティの強化と運用負荷軽減を実現

日商エレ エンタープライズ事業本部 第三営業統括部 第二グループ グループリーダーの榎本瑞樹氏

JBCC 先進技術 Linuxセンター ジェネラルマネージャーの浜口昌也氏
 日商エレクトロニクス株式会社(以下、日商エレ)は12月6日、同社が取り扱うセキュリティゲートウェイ「ConSentry LANShield」に関する説明会を開催。顧客への導入事例を紹介した。

 LANShieldは、米ConSentryが開発しているNAC(Network Access Control)アプライアンスで、ネットワーク上へインラインで設置すると、同アプライアンス上を流れる通信を制御・可視化することができる。日商エレ エンタープライズ事業本部 第三営業統括部 第二グループのグループリーダー、榎本瑞樹氏はその特徴を、「ユーザーIDとIPアドレス、MACアドレス、アプリケーションをひも付け、アプリケーションレベルの可視化を提供できる」と説明した。認証・制御については、ユーザーがLAN接続する前とした後の双方について行える点も特徴で、ネットワークアクセスコントロールを1台で実現できるという。

 日商エレではこのLANShieldを2006年から国内で取り扱いを始め、すでにいくつか実績も上がってきている状況とのこと。今回はその導入例の1つとして、日本ビジネスコンピューター株式会社(以下、JBCC) 先進技術 Linuxセンター ジェネラルマネージャーの浜口昌也氏が登壇し、自社への導入意図などを説明した。

 JBCCを中核としたJBグループ11社では、セキュリティへの強化と災害対策を目的として、全国に散在するサーバーの集約を計画。今年4月から2カ月をかけて、グループ全体に散在していた情報系サーバー300台を最終的には1つのデータセンターへ集約した。その際に、MACアドレスなどの資産情報と連携させた認証DHCPを利用して持ち込みPCの排除を行うことにしたが、認証DHCPには、手動でIPアドレスを設定させたり、不正にDHCPサーバーを構築したりすることで、技術的に回避できてしまうという問題があった。そこで、「本当に配られたIPアドレスを使っているかどうかの検査をするため」(浜口氏)LANShieldを導入。正規のDHCPサーバーからアドレスを取得しているPCだけを認証することによって、なりすましの排除を実現したという。


この事例で利用されたConSentry LANShield CS2400シリーズ
 また別の側面では、統合したサーバーファームをグループにある多数の会社が利用しているため、「どのユーザーがどのサーバーへアクセスしていいか」という権限を厳格に管理する必要も生じた。これに対しては、各社のActive Directory(AD)サーバーとLANShieldとの間で認証連携を行って、認証したADサーバーが属するドメインにのみ、認証を受けたユーザーがアクセスできるようにした。これによって、例えばJBCCのADサーバーで認証されたユーザーはJBCCのリソースだけに、別のグループ会社のADサーバーで認証されたユーザーはその会社のリソースだけにしかアクセスできなくなり、セキュリティの向上が実現できたという。

 なお浜口氏はキャパシティを考えて、DHCPサーバーの検証とドメイン認証連携のそれぞれについて、LANShield CS2400シリーズを1台ずつあてがって別々に担当させているほか、その2台を直列につなぎ、障害時には1台を切り離すという手法で冗長化を実現しているとのことである。

 「高度なセキュリティをかければかけるほど運用が煩雑になり、複数の人間が担当するので、利用までの時間が長くなるが、LANShield導入後はユーザー登録をするだけでほとんど自動で使えるようになった。また、(登録などの)間違いがなくなる点も大きい。こうした機能はほかの製品の組み合わせでも実現できるが、それらを運用監視する手間を考えると、LANSheildを利用するメリットがある」(浜口氏)。

 一方では、LANSheildによってリソースの柔軟な利用が可能になった面もあるという。JBCCの基本ポリシーでは許可されたPC以外の持ち込みは一切できないことになっているものの、来社したパートナーや顧客が、ビジネス上の都合でインターネットを利用したいケースが中には出てくる。そこで、会議室などの一部限定した空間を対象に、社内サーバーへはアクセスできないIPアドレスをDHCPサーバーから振り出した上で、LANShieldによってユーザー認証を行うことによって、インターネットにのみアクセスできる環境を提供している。

 榎本氏はこうしたJBグループの事例を受け、異なる事業会社が同じネットワークを利用する持ち株会社に対して同様の運用を適用可能としたほか、異なる立場の多くの人間がアクセスする公共機関、大学など、人によってどこに行けるかをコントロールしたいとう顧客にも適用できると説明している。



URL
  日商エレクトロニクス株式会社
  http://www.nissho-ele.co.jp/
  日本ビジネスコンピューター株式会社
  http://www.jbcc.co.jp/
  プレスリリース
  http://www.nissho-ele.co.jp/press/goods/2007/0712_jbcc.html

関連記事
  ・ 日商エレ、“LANのための”インライン型セキュリティアプライアンス-最大スループットは10Gbps(2006/02/07)


( 石井 一志 )
2007/12/06 16:47

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.