東レ株式会社 様
管理系通信のアクセス制御をゼロトラストで実装
脆弱性を狙った不正アクセスを遮断
導入前の課題
選定の決め手
IIJ Safous ZTAが東レの要求に完璧に合致
アクセス制御のために検討したソリューションはどのようなものがありましたか。
岡氏
SSHやRDPのような書き換えが発生するアクセスからサーバを防御するには、どうしたらいいか。そこで考えたのが、各サーバに対してSSHやRDPのアクセスを許可する特権アカウントを提供する特権ID管理の仕組みを導入する方法でした。ただし、防御対象のサーバは国内外に数多くあります。多くのサーバに特権ID管理のソリューションを導入するとなると、コストや実現期間の課題がありました。
そこで、ネットワークで物理的に通信を制御するゲートウェイ方式も並行して検討しました。踏み台サーバを1台置いて、踏み台へのアクセス時に多要素認証などをかけてアクセス制御する方式です。一方で、アクセス制御をオンプレミスで運用することは、運用の負荷から考えていませんでした。
水谷氏
サービスを探し、適切なサービスがなければ、認証や管理も含めた要件でサービス構成をベンダーに作って提供してもらう必要があるのではないかと考えていました。
サービスを探した結果はどうでしたか。
岡氏
複数のベンダーに特権ID管理方式と合わせてゲートウェイ方式のアクセス制御のソリューションの提案を依頼したところ、IIJからゲートウェイ方式に適したクラウドサービスの提案がありました。IIJ Safous ZTAというサービスで、リモートアクセスの制御ができるというのです。そんなソリューションがあるとは思っていなかったので、かなり新鮮な印象を持ちました。要件として掲げた、リモートアクセス時の多要素認証やゼロトラストネットワークアクセス(ZTNA)などの既存環境との併存もできるとの説明がありました。機能的に当社のイメージに適合することを確認した上で、コスト面、実現期間も含めて総合的に検討し、Safous ZTAを使う以外の選択肢がないと感じました。そのぐらい私たちの要求に「ハマった」サービスでした。
シスコ 片岡篤志氏
シスコは東レシステムセンターの子会社で、私は実務担当として設定などの対応を進めました。当初は物理的なサーバを立てる方式を想定していましたが、Safous ZTAならばクラウドサービスのため、ライセンスを買えばすぐに検証もできます。まず試してみようということになりました。
ネットワークサービス部NS1グループ
技師
片岡 篤志 氏
導入後の効果
国内のサーバへの不正アクセスゼロを継続
導入検討から稼働のスケジュールを教えてください。
岡氏
2022年5月ごろに各ベンダーへヒアリングを始め、夏ごろにIIJからSafous ZTAの話をもらいました。検証環境として実稼働を始めたのが11月で、うまく稼働していたことから2023年の3月末までに環境整備を終え、2023年度にSSHとRDPのアクセスをSafous ZTA経由に切り替えました。
Safous ZTA経由のリモートアクセスはどのように使っていますか。
岡氏
IaaS基盤や物理サーバ、クラウドサービスの管理のために必要なSSHとRDPの通信を、Safous ZTA経由でアクセス制御しています。利用者はシステム管理者です。2023年度から、ファイアウォールでグループネットワークへのSSH、RDPの通信を遮断し、Safous ZTA経由だけでアクセスを許可するようにしました。攻撃者がSSH、RDPの通信でアクセスしようとしても、弾かれる仕組みが整いました。
実運用までに苦労した点はありましたか。
片岡氏
Microsoft Entra ID(旧Azure Active Directory)とSafous ZTAの連携の事例がなかったこともあり、実際に連携できるまでには問題も発生しました。そこではIIJのエンジニアが寄り添ってくれて、踏み込んだ対策を検討・提示をしてくれたことで、問題を解決できました。うまく導入できたのはIIJのおかげだと思っています。
2023年春から利用を続ける中で、感じている効果はありますか。
岡氏
セキュリティソリューションは定量的な効果を示すのが難しいのですが、1年以上使ってきてサーバに対する管理系通信を使った不正攻撃が1件もないことがSafous ZTAの導入効果だと考えています。海外のグループ会社ではサイバー攻撃を受けているログや侵入されたログもゼロではありませんが、サーバに不正アクセスが発生していないのは、Safous ZTAが想定通りにきちんと動いていることの証でしょう。
今後の展開について教えてください。
水谷氏
現在はシステム管理者の通信をSafous ZTAでアクセス制御するところがうまく立ち上がったところです。一方で、デジタルデータの活用やクラウドサービスの利用が増え、OT(Operational Technology)も含めたアクセス制御にSafous ZTAを利用することを検討しています。こうした構想に対しても、Safous ZTAを利用して感じている展開のしやすさを生かして、良い形で展開していけると考えています。
導入したサービス・ソリューション
お客様プロフィール
東レ株式会社
本社:東京都中央区日本橋室町2-1-1 日本橋三井タワー
設立:1926年1月
資本金:147,873,030,771円
従業員数:6,995人(2024年3月末現在)
※ 本記事は2024年8月に取材した内容を基に構成しています。記事内のデータや組織名、役職などは取材時のものです。
グループの統合ネットワークへの不正アクセスが発生
東レのグループネットワークについて教えてください。
東レ 水谷洋平氏
グループの情報システムの共通サービス化を進める中で、ネットワークの統合を2018年頃から進めていました。国内では1つのグループネットワークに統合し、海外のグループ会社や拠点からはグループネットワーク経由で国内の基幹システムにアクセスする構成です。
基盤システム推進部
主任部員
水谷 洋平 氏
グループネットワークを運用する上で、課題はありましたか。
東レシステムセンター 岡康史氏
海外では、各社のセキュリティ対策のレベルがまちまちという問題がありました。そうした中で、実際に海外グループ会社のリモートアクセス環境からグループネットワーク経由で日本のサーバに侵入されるインシデントが起きました。幸い実害はありませんでしたが、グループネットワークのアクセス方法を見直すことになりました。サーバはメンテナンスのためにSSHやRDPといった管理系のプロトコルを使ってもアクセスできます。SSHやRDPでアクセスされるとサーバを自在にコントロールできてしまうため、これらをグループネットワーク経由で実行できなくする仕組みが必要になったのです。
ICT基盤サービス部セキュリティサービスG
主任部員
岡 康史 氏
東レとしては、セキュリティにどのような考えを持っていましたか。
水谷氏
私が所属する基盤システム推進部は、グループのヘッドクオーターとして国内外の関係会社のセキュリティを統括しています。グループネットワークは、サービスやコミュニケーションの基盤として利用していますが、セキュリティ機能を含むインフラサービスを関係会社へ提供し、セキュリティレベルを向上する必要があると考えていました。個社で独自にリモートアクセスの制御の対応をするのではなく、東レシステムセンターで統一したセキュリティ対策機能を提供する方針で検討を進めました。