Content

導入事例 |  日立情報通信エンジニアリング株式会社様

トータルセキュリティ 導入事例 ―
日立情報通信エンジニアリング株式会社様

日立情報通信エンジニアリング株式会社様 ICTネットワークプロダクト部 有賀正和 氏 情報システム部 川口明彦 氏 情報システム部 佐々木光春 氏

「高水準のセキュリティと開発環境の自由度を両立させるため、統合的なセキュリティ対策により、多層的な保護とセキュリティリスクの可視化を実現しました。」

開発環境のセキュリティ対策にマカフィーを活用

― 日立情報通信エンジニアリングでは、どのようなシステムにマカフィー製品を導入・活用していますか。
日立情報通信エンジニアリングでは、マカフィー製品を活用して、自社の開発系システムへの統合的なセキュリティ対策を施しています。 対策のコンセプトは、「開発環境の自由度・利便性を維持しつつ、開発業務に関わる情報資産とシステム環境を適切に保護すること」です。
対策項目 導入製品名
検疫・持ち出しPC の利用制限 Network Access Control※1
マルウェア対策、脆弱性対策 Endpoint Protection - Advanced Suite
ネットワーク IPS Network Security Platform
USB メモリー制御 Device Control※2
指紋認証付き暗号化USB メモリー Encrypted USB
セキュリティリスクの見える化 ePolicy Orchestrator(ePO)、Risk Advisor
  • ※1 : Network Security PlatformとEndpoint Protection - Advanced Suite のNAC機能を活用。
  • ※2 : Endpoint Protection - Advanced Suiteに含まれる。
― 統合的なセキュリティ対策とは、どのようなシステム利用とセキュリティリスクを踏まえた対策でしょうか。
  • 弊社では、組込みシステムエンジニアリング、ICTソリューションの分野にて、システム製品の設計・開発を行います。開発系システムでは、お客様のカスタマイズにも対応するため、顧客環境での検証に持ち出しPCを利用、社内環境でのデータ移行を円滑にするUSBメモリーの利用、さらには、顧客環境と類似した開発・検証環境を再現するためにセキュリティソフトを導入しない、多様なOS・ミドルウェアの混在も認める必要があります。自由度が高く、多様なエンドポイントが利用できる開発環境が必要です。
  • 一方で、セキュリティ脅威として、マルウェア感染脅威は複雑化、多様化しています。利用環境の自由度が上がると、持ち出しPC、USBメモリーが感染経路となる、セキュリティ対策ソフトが導入できないサーバーマシンでの感染やネットワーク内での拡大といったリスクが高まります。そこで、弊社では、業務利用に応じた持ち出しPCやUSBの利用制御を行いながら、セキュリティ対策ソフトが導入できないサーバーマシンに対するネットワークセキュリティによる仮想パッチとセキュリティリスク可視化を実現することで、開発環境の自由度とセキュリティレベル向上の両立を図りました。
  • 開発系システムには、自社の情報資産のみならず、顧客の製品開発・設計情報といった機密情報も含まれます。マルウェアに起因する情報漏えいのリスクも排除する為、開発環境のセキュリティ対策を徹底化する、これにより、お客様が安心して、信頼して、弊社にビジネスを依頼していただけるものと考えています。
持ち出しPCの検疫・利用制限
  • 弊社の製品は、お客様環境に合わせてカスタマイズ設計であることが多く、技術者がお客様先に常駐し、弊社の持ち出しPCを使って作業をすることを頻繁に行います。これらのPCは、自社の開発系システムのみならず、お客様先の環境にも接続します。 最新のセキュリティポリシーが適用できていない場合、自社環境のみならず、お客様環境にマルウェア等を持ちこむリスクがあることが考えられます。そこで、持ち出しPCの検疫・利用制限を実施しています。
  • 持ち出しPCを自社システムに接続する際、「マルウェアなど悪質なプログラムが入っていないか」、「マルウェア対策ソフトの定義ファイルが最新の状態に更新されているか」、「OSのセキュリティパッチが最新の状態になっているか」、「ネットワーク接続の要件を満たしているか」などを検査しています。セキュリティ要件を満たすPCにはネットワーク接続を許可し、満たさないPCは接続を禁止する、「検疫」を行います。
  • また、持ち出しPCをお客様システムに接続する場合のセキュリティリスクも考慮しています。PCは持ち帰った際のチェックだけではなく、予め設定された持ち出し期間に合わせたネットワークアクセス制御のポリシーも設定しています。具体的には、持ち出し期間の超過や、定時スキャンしていない場合に当該PCのネットワーク接続を抑止することで、持ち出しPCによるお客様先へのマルウェアの感染を抑止できるよう管理しています。
  • このような「検疫」と「持ち出しPCの利用制限」は、マカフィーのNetwork Security PlatformとEndpoint Protection - Advanced SuiteのNAC機能の組み合わせで実現しています。

開発系システムのセキュリティ対策ポイントのイメージ

開発系システムのセキュリティ対策ポイント

仮想パッチによるマルウェア対策ソフトを導入できないサーバーマシンの保護
  • 研究・開発系システムで社内に固定的に設置しているクライアントマシン、サーバーマシンのうち、セキュリティソフトが導入可能なマシンには、EndpointProtection ? Advanced Suiteを導入しています。それにより、マルウェア対策、スパイウェア対策のみならず、脆弱性への最新攻撃からの保護も実現するホスト型IPSの実装が可能です。その一方で、セキュリティソフトを導入できないマシンも存在します。
  • セキュリティは重要ですが、いわゆる『ガチガチの管理』は、開発系システムには向いていません。例えば、業務系システムでは、情報システム部門が推奨していないOSやミドルウェアを導入することは許可していません。しかし、開発系システムでは、お客様ごとのテスト環境の構築などの必要性から、利用できるソフトウェアは「常識の範囲内での自由度」を認めています。弊社製品の動作検証では、製品動作と関連のないソフトウェアを排除した環境で行いますが、これらの検証サーバーにマルウェア対策ソフトが導入できない場合が多々あります。
  • そこで、マルウェア対策ソフトを導入できないマシンの保護には、McAfee Network Security Platformによる仮想パッチを活用しています。開発系システムでは、個別のシステムごとにネットワークセグメントを分離させ、セグメント間の通信に、このネットワークIPSを介在させています。仮想パッチにより、ネットワークを経由する脆弱性を突く攻撃やマルウェアからサーバーマシンを保護しますので、マルウェア感染のネットワーク上での防止が図れます。万が一、特定のエンドポイントでセキュリティ脅威が発生した場合でも、その脅威の影響範囲は特定のセグメント内に留められます。すなわち、その脅威を、ネットワーク全体へ蔓延、あるいは、ネットワーク外部へ流出させることはありません。
  • このようなネットワークIPSによる仮想パッチ、マルウェア拡散防止が施されない場合、セキュリティ管理の観点から、個々の開発系システム毎に、クローズド・ネットワークを配備しなければなりません。しかし、この場合システム構築・運用の負担がかかり、利用者の利便性が損なわれます。IPSを活用し、ネットワークを共有化することが最適であると考えました。
USBメモリー制御と指紋認証付き暗号化USBメモリーによる情報漏えいリスク対策
「USBメモリー制御」と「指紋認証付き暗号化USBメモリー」ですが、これにより「データ受け渡しにUSBメモリーを使うことは可能」という利便性、自由度を実現する一方で、「使えるのは、会社が認めた正規USBメモリーだけ」、「万が一、紛失したとしても、指紋認証および暗号化により情報漏えいを防ぐ」というセキュリティも確保しました。

セキュリティソリューションに求めた統合管理とリスク可視化

― 今回、開発系システムのセキュリティを強化するにあたり、そこで使うソリューションに、日立情報通信エンジニアリングが求めた要件を教えてください。
  • 情報システム部 佐々木光春 氏
  • 「セキュリティの統合管理とリスクの可視化に着目しました。」
  • 情報システム部
    佐々木光春 氏
  • 多様なエンドポイントの利用シーンに対応できる個々の管理機能は重要でしたが、個々の管理機能の比較と併せて、重要な製品検討軸は、次の二点になります。
統合管理が可能であり、かつ管理負担が低い
採用理由の一点目は、管理コンソールの簡素化、一元化です。エンドポイントのウイルス対策、脆弱性対策と言っても、先述のとおり、利用環境に柔軟性を持たせる場合には、多様な管理手法が伴います。ポイントツールの導入により、個々の管理ポリシーの実装や設定状況のレポーティングを別々のコンソールで管理してしまうと、利用部門が求めるスピード感、利便性の実現が難しくなります。したがって、管理コンソールを一元化し、リスクの可視化から対策の実装までのプロセスも一元化できることを求めました。また、導入製品のベンダーを集約すれば、製品サポートも簡素化されると考えました。
セキュリティリスクの可視化を実現できる
  • 採用理由の二点目は、システムの脆弱性やセキュリティ脅威は、毎日のように変化していきます。さらに言えば、研究・開発系システムそのものも流動的な環境です。多様なOS環境・バージョンが短期間のうちに入れ替わることもあります。個々のプラットフォームに対して、手動で脆弱性情報を収集すること、また、その影響範囲を分析するには、多くの運用工数が伴います。常に最新の脅威情報を集め、その情報に照らし合わせる形で、自社システム環境の安全度を把握でき、それが自動化された仕組みを備えていることを求めました。
  • 個々の製品の管理機能、そして、セキュリティリスクの可視化までを含めた統合運用性という観点から、セキュリティ各社を比較検討したところ、マカフィーのソリューションが、日立情報通信エンジニアリングの求める要件を最も良く満たしていたので採用を決定しました。
  • 2011年10月の運用開始から現在まで、約3ヶ月間活用していますが、検疫、マルウェア対策、IPS、USBメモリー制御、指紋認証付き暗号化USBメモリーなど、導入したすべての製品が安定動作しています。また、Risk Advisorの活用により、「ネットワーク内に脆弱性対策が不十分なマシンがどのぐらいあるか」など、セキュリティリスクの見える化が図れています。

セキュリティ強化施策推進に向けた、利用部門、現場との直接対話の重要性

― これから、御社のような研究・開発系システムに総合的なセキュリティ対策を構築しようとしている企業ユーザーに向けて、アドバイスがあればお教えて下さい。
  • 情報システム部 川口明彦 氏
  • 「セキュリティポリシーは現場と対話しながら作り上げる必要があります。」
  • 情報システム部
    川口明彦 氏
  • セキュリティポリシーについて苦労した点を申しあげます。セキュリティポリシーを各マシンへ施行することは、ePOを利用することによって比較的簡単にできます。一方で、「どんなポリシーを施行するのか」を決める、セキュリティポリシーの内容策定については、十分な時間と労力を投入することを勧めます。特に「ユーザーの現場に飛び込んで、現場を巻き込むこと」が重要です。
  • 弊社でもそうでしたが、研究・開発系システムのセキュリティを強化しようとすると、現場の技術者からは、「研究開発の自由度が阻害されるのではないか」という懸念や意見が生じました。そうした技術者に対しては、「縛りつけるためのセキュリティではなく、むしろ、技術者が安心して研究・開発に取り組めるための環境作り」ということを、対話を通じて説明していく必要があります。
  • セキュリティの強化は、現場の納得無しには上手くいきません。その納得を得るためにも、事前の趣旨説明は、文章などで一方的に通知するのではなく、現場に出向き、実際に対話して伝えるのが良いと思います。

今後の期待

― マカフィーへの今後の期待をお聞かせ下さい。
  • ICTネットワークプロダクト部 有賀正和 氏
  • 「導入・運用のベストプラクティスを同じ課題をお持ちのユーザー企業様に提供したい。」
  • ICTネットワークプロダクト部
    有賀正和 氏
  • 今回、弊社が要望する高いセキュリティレベルと研究開発の自由度を両立させるという命題に対し、マカフィーのセキュリティ製品群により、現状考え得るソリューションを確立できました。マカフィーには、今後も、優れたソリューションとサポートの継続した提供を通じて、弊社のセキュリティ向上の取り組みを支援していただくことを希望します。
  • また、弊社は、ICTソリューション事業のセキュリティ分野において、McAfee Network Security Platformを皮切りに、長年マカフィーの販売代理店を行っており、現在では、マカフィー社の製品のほぼ全てをご提供可能です。今回の弊社内でのモデルケースで培った導入・運用のベストプラクティスについて、同じ課題をお持ちのお客様へご提案、ご提供できればと考えております。
日立情報通信エンジニアリング株式会社様 プロファイル
日立グループの情報通信企業。組込みシステムエンジニアリングやICTソリューションが強み。
設立1965年、年商 約560億円、従業員数 約2720名
マカフィー製品の導入対象
システムエンジニアリング、ICTソリューションの開発、検証、評価・試験を行う為のIT環境である。
お客様の要件に応じた、ソフトウェア、ハードウェアのカスタマイズにも対応する為、多様なOS、ミドルウェア環境の配備を許可している。
  • 対象マシン台数:約300台
  • 持ち出し可能ノートPC:約30台
  • 固定クライアントマシン:約130台
  • 固定サーバーマシン:約140台
  • ※本事例での「開発系システム」とは、以上の環境を指します