PALO ALTO NETWORKS: 導 入 事 例 次世代ファイアウォールで 全ユーザの「標的型攻撃」対策を実現 国内と海外拠点のセキュアな通信環境を実現 アジア各地の日系企業向けに経済ビジネス情報を日本語で配信しているエヌ・ エヌ・エー(以下、NNA)。アジア各地の拠点から東京本社に記事の投稿や会員情報 の送信を行っている。また人事総務管理システムやグループウェアにもアクセスを 行っている。そのすべてのユーザーの安全な通信を実現するために次世代ファイア ウォールを導入し、通信の可視化、セキュリティ監視の一元管理と未知のマルウェ ア検知による標的型攻撃対策を実現した。 導入の背景と課題 NNA のセキュリティ対策は、拠点ごとに共通のアンチウイルスソフトの導入や 株式会社エヌ・エヌ・エー 端末の管理が委ねられているため、セキュリティ管理上の課題があった。ある時、社 東京都港区東新橋1-7-1 汐留メディアタワー9階 http://www.nna.jp/ 員になりすました標的型メールがグループ会社に送られた。実害はなかったが、対 策を講じるきっかけになった。また、アンチウイルスソフトで検知されないマル 分 野 情報・報道機関 ウェアやパッチが公開されていない脆弱性を衝いたゼロデイ攻撃などの脅威も考 えられ、統一的に対策する必要性に迫られていた。当初、グループ会社で採用されて いる端末やサーバーにインストールする標的型攻撃対策ソフトの導入が進められ ていた。「個々にインストールするソフトはユーザーの意図でアップデートが無効 化されて、全社的なセキュリティを維持できない」。経営企画室主任 菅本竹志氏は、 セキュリティ課題の一端をこう述べる。ちょうどその頃、ゲートウェイ型の PA シ 導入背景 • 海外拠点のクライアント端末に対する セキュリティ管理の難しさ • リモートアクセスユーザーを含めた 全ユーザー端末の一元管理 • 未知のマルウェア、標的型攻撃への対応 リーズの製品紹介があった。 「PA シリーズは海外ユーザーを含めた通信や脅威の可 視化と統合管理が可能で、NNA の運用体制に向いている」。情報システムアドバイ ザー 青野真一氏は、推奨した理由を述べる。そして、次の点から NNA は PA シリー ズの採用に至る。 ・Windows だけでなく、MacOS にも対応している ・台数管理が不要で、一旦導入すれば無制限に利用可能 ・PA シリーズは端末インストール型と比べ、コストが約 3/5 位ですむ 段階的な検証を踏まえ、本格導入 PA の導入は既存のネットワーク構成に対して負荷や影響が不明のため、もし、問 題が出る場合は戻す方針のもと、段階的に進めた。最初は東京本社から外に出るイ ンターネット通信のみを、次に東京本社 VLAN の全通信を監視対象とした。そこで も特に問題はなく、最後にリモートアクセスやSSL VPN も監視対象とした。北九州 およびアジア各地域から、無償提供される「GlobalProtect」でテスト接続し、大きな 問題はなかった。段階的な検証を行い、パロアルトネットワークスの分析レポート ソリューション • App-ID、Content-ID、User-IDによる通信の 可視化と一元管理 • GlobalProtectによる海外拠点の リモートアクセスユーザーの安全な通信 • PAシリーズおよびWildFireTMによる 標的型/未知の脅威からの保護 PA L O A LT O N E T W O R K S : 導 入 事 例 NNA が導入した からも問題なしと判定され、約 2 ヵ月で本格導入に至る。さらに、WildFireTM サービ スの利用により、未知のマルウェア対策と脅威の可視化ができ、標的型攻撃への対策が 実現した。 「本社内と海外のすべてのユーザー端末の通信を可視化でき、一元管理が容易 PA-3020 にできるようになりました。従来はアクセスログの解析を行わないとマルウェア感染端 末をつかめませんでしたが、毎朝のトラフィックレポートでリスクをいち早く把握でき ます」 (青野氏)と説明する。 また、GlobalProtect 利用の効果として、インターネットへのアクセス制限が厳しい国々 のユーザーが YouTube や Google へアクセス可能になったという報告もある。今後、グ ループ会社からのアクセスも許可し、セキュアな通信環境を実現する予定である。菅本氏 は、 「万が一、本社の PA にアクセスできない場合でもパロアルトネットワークスからリ リースされる予定のクライアントソフトにより、個々の端末が未知の脅威から保護され ることを望みます」とパロアルトネットワークスに今後の期待を述べる。 「リモートアクセス端末の振る舞いと 通信が可視化され、 脅威への対応が 迅速にできるようになりました」 ネットワーク構成概要図 株式会社エヌ・エヌ・エー 経営企画室主任 菅本 竹志 氏 ■ トライアル利用時の構成 海外拠点/北九州事務所 「GlobalProtect 配下にすべてのユーザー 海外拠点・リモート環境の通信 東京本社の通信 リモート環境: GlobalProtect 1Gbps 端末と本社内のユーザー端末の 100Mbps セキュリティ管理の一元化が 実現しました」 株式会社エヌ・エヌ・エー 情報システムアドバイザー 青野 真一 氏 パロアルトネットワークス E-mail: [email protected] www.paloaltonetworks.jp 東京本社 ルーター PA-3020 ミラーポート モニターポート 通常回線 TAP MNG L3スイッチ 予備回線 ルーター
© Copyright 2024 ExpyDoc
