○ DXやクラウドシフトがデータセンターへのアクセス集中を招く。
テレワークの普及もあって、ネットワークのひっ迫という悩みを抱えている企業は少なくない。テレワーク以外にも、クラウド活用の広がりやDXを背景とした様々な業務のデジタル化などで企業ネットワークのトラフィック量は増大する一方である。
「ネットワークが遅い」「つながらない」といった不満が社員から上がることも増えているのではないだろうか。しかし、ここで見逃してはいけないポイントがある。ネットワークにまつわる問題は、トラフィック増だけが原因とは限らないという点だ。セキュリティ強化のための施策が、ネットワーク速度に悪影響を及ぼしている可能性もある。セキュリティと利便性はしばしばトレードオフといわれるが、各企業のIT部門はこれらの両立、あるいは最適のバランスを目指して工夫を重ねているはずだ。
企業によって濃淡はあっても、こうした課題は共通するものだろう。この課題に向き合い、解決した事例をTKCに見ることができる。
TKCは全国の会計事務所とその顧客企業、地方公共団体などを対象に情報サービス事業を展開している。近年、上記の課題が顕在化していたのは会計事務所向けの分野だ。会計事務所向けのインターネット接続サービス「セキュリティGW(ゲートウェイ)サービス」、「税理士事務所オフィス・マネジメント・システム(OMSクラウド)」など、TKCは会計事務所に特化したサービスを多くそろえている。データセンターを通じて提供されるこうしたオンラインシステムでは、通信速度の遅延や不具合がユーザーの不満に直結しやすい。
そこで、TKCは利便性とセキュリティを両立すべく、新しいアプローチを採用した。それが「インターネットブレイクアウト+DNSセキュリティ」である。
今回のプロジェクトにおいて、TKCは顧客である会計事務所にインターネット接続サービスを提供するISPの位置付けだが、データセンターから全国の拠点にサービスを届けるというネットワーク構造は多くの企業と共通する。全国の会計事務所向けに、セキュアかつ快適なアプリケーションの利用環境を実現したTKCの事例には、企業にとっても多くのヒントが含まれているはずだ。
過剰検知とアクセススピード低下という課題。
TKCは全国約1万1500人の税理士、公認会計士で組織する「TKC全国会」のTKC会員事務所に向けた情報処理サービスを提供している。会員事務所の数は1万近くにのぼる。
「お客様である税理士事務所、会計事務所は小規模なところがほとんどです。会計士や税理士の先生がご自身で、あるいは配偶者の方がシステム担当というケースもあります。したがって、当社が提供するシステムは誰にでも使いやすいものでなければなりません。もちろん、セキュリティの確保も必須です。『TKCのサービスを使っていれば、セキュリティ面でも安心』という状態を目指して、サービスを拡充してきました」と語るのは、TKCの長川 英司氏である。
ITソリューション技術部長・長川 英司 氏。
セキュアで使いやすいサービス提供は、インターネット接続サービスにおいても同様であり、その要に位置するのがTKCのデータセンターである。センター集約型のネットワーク構造には、一方で課題もあったと長川氏は言う。
「顧客数が増えたこともありますが、近年はそれ以上にユーザー当たりのトラフィックが増大。センター設備の増強を繰り返すという従来型の対応では、設備が巨大化するばかりです」
TKCのセキュリティGWサービスでは以前から、セキュリティ確保のための様々な措置を講じてきた。その対策は境界型と呼ばれる。データセンターの内外を分ける境界に設置したセキュリティ装置で脅威を防ぐという一般的なアプローチである。こうした従来のやり方が、利便性を低下させる場合もあったようだ。
「まず、過剰検知と呼ばれる問題。これは、セキュリティ対策では避けられないと思います。お客様からの問い合わせに対して説明し納得していただいていますが、過剰検知が多くなるとセキュリティチェックは不便なものだと感じられてしまいかねません。もう1つは、セキュリティ装置を経由することによるアクセススピードの低下です」(長川氏)
全国1万近い会計事務所の手を煩わせない。
従来のセキュリティレベルを落とさずに、ネットワークのひっ迫という課題をいかに克服するか。そんな意識を持ち続けていた長川氏にとって、ゼロトラストというコンセプトは新鮮に映ったようだ。「ITベンダーにも相談し、『いいソリューションがあればテストしたい』と伝えていました」と長川氏は話す。
そして2020年半ばから具体的なソリューションの検討に入った。「最優先の要件はスピードでした。このままでは、アクセスの集中するデータセンターがパンクするかもしれないとの懸念があったからです。また、顧客である会員事務所はコロナ禍の中で多忙な毎日です。そんなお客様の手を煩わせることなく、設定の切り替えなどをすべてネットワーク側で行う必要もありました。もちろん、コストも重視しています」(長川氏)。
2020年終盤から21年前半にかけて、3つのソリューションをテストし、結果的に導入を決めたのが、富士通の「CloudProtect DNSセキュリティ powered by Cisco Umbrella」だった。インターネットブレイクアウト方式の、利便性とセキュリティを両立させるソリューションだ。選定の決め手は3つあったと長川氏は振り返る。
「第1に、従来の対策と比べてセキュリティレベルが落ちないこと。第2に、顧客の手を煩わせないこと。第3にサービスサポートです。テストで過剰検知が発生したときも、富士通からは迅速なレスポンスがありました。さらには、富士通とシスコシステムズへの信頼感も大きかったです」
ソリューションの採用を決定したのは2021年10月。構築期間は2カ月で、同年12月には稼働スタートを迎えた。その後、各会計事務所のルータの設定変更を行ったが、このプロセスは完全に自動化され、各事務所のネットワーク停止時間は数十秒だけ。2カ月で6、7割の事務所の設定変更を終え、22年6月には全会計事務所向けの設定変更を完了した。
以前は会計事務所からのアクセスがデータセンターに集中していたが、インターネットブレイクアウトの構成により、会計事務所から直接クラウドのアプリケーションにアクセスする“道”ができた(図1)。データセンターへの集中が緩和され、速度低下の問題は解消された。
「以前はピーク時に遅いと感じていたお客様からも、そのようなストレスがなくなったと評価いただいています」と長川氏。過剰検知についても、富士通へのエスカレーションと問題解決が迅速かつ有効に機能しているという。
ゼロトラストに近づいていくというアプローチ。
今回導入したソリューションは、「Cisco Umbrella」をベースにDNSの仕組みを用いて脅威を防ぐもので、様々な機能を提供(図2)。最新の脅威にも対応し、異常なアクセスをブロックする。長川氏は「これにより、ゼロトラストに大きく近づくことができました」と語る。
サービスを提供している富士通の渡邉 真一氏はこう説明する。
「ユーザー側の負荷を最小化するため、ゲートウェイ装置の置き方などを工夫しました。ゲートウェイ装置に関しては、富士通の提供するインターネットアクセス基盤を活用しています。これにより障害の予兆検知なども行っており、耐障害性や可用性を確保しています。また、非常に大規模な事例ということもあり、シスコシステムズとの連携を強化。これまで以上の協力体制をつくって、今回のサービス導入に備えました」
一方、シスコシステムズの吉田 勝彦氏は導入プロジェクトをこう振り返る。
ゼロトラストサービス事業部サービス企画開発部・シニアマネージャー・
渡邉 真一 氏。
「Cisco Umbrellaにはいくつかの実装パターンがあるのですが、それぞれについてメリットとデメリットを整理して、運用上ムリのない構成に落とし込みました。また、提案前の準備段階では、Cisco Umbrellaがベストかどうかを含めて、富士通と共にゼロベースで詳細に検討しました」
TKCのような会員向けサービスとして短期間かつ会員への負担なく提供開始するという大規模な成功事例が生まれたことで、CloudProtect DNSセキュリティ powered by Cisco Umbrellaの有効性が改めて確かめられた。今後も、TKCのように大規模の会員向けサービスを提供するような企業をはじめ、中堅・中小企業から大企業まで幅広い企業での導入が進むものと見られる。
最後に、長川氏にユーザー視点から、ゼロトラストに取り組む企業へのアドバイスを聞いた。
「今回導入した仕組みは非常にシンプルです。トラブルを少なくするためにも、シンプルな構成が一番だと思います。ゼロトラストというと『やるべきことが多すぎて大変』と思って立ち止まっている企業もあるかもしれません。しかし、できることから1つずつクリアしていくアプローチもあります。それが私たちの考え方です」。
CloudProtect DNSセキュリティ powered by Cisco Umbrellaは100IDからの提供が可能。富士通では、PoC(概念実証)などを含めて検討段階からの問い合わせに応じている。また、今回の導入に関し、経営者視点からのTKCコメントを含めた導入事例が富士通HP上で公開されているので、ぜひ参考にしてほしい。
