今後のネットワーク分離のあり方を検討し、
「i-FILTER」のバージョンアップへ
IT運用グループ 係長
河崎 賢二 氏
広島ガスでは、中期経営計画『広島ガスグループ2030年ビジョン』の基本戦略のひとつとして、『デジタル技術の活用による高付加価値の創造』を推進しています。具体的な取り組みとして、ICTの活用による生産性の向上や業務効率化の推進、技能伝承や人材育成などを含む新しい働き方を実践。また、人工知能(AI)やIoTなどの先進的なデジタル技術やスマートメーターを活用することで、顧客サービスの変革と魅力あるまちづくりへの貢献に取り組んでいます。
デジタル技術の活用の一環として、民間企業としては珍しい「ネットワーク分離」を、2017年より採用しています。ネットワーク分離は、情報系と基幹系を分離し、情報系のみインターネット接続を可能にすることで、基幹系をセキュアにする仕組みです。ネットワーク分離を採用した背景を、IT推進部 IT運用グループ 係長の河崎賢二氏は、次のように話します。
「2015年5月に日本年金機構がサイバー攻撃を受け、125万件の個人情報が漏洩した事件をきっかけに、広島ガスとしてどのようなセキュリティ対策が必要なのかを検討しました。検討の結果、ネットワーク分離が有効であるという結論に達しました。多層防御も導入していましたが、新しい脅威が発生したら、新しい防御を導入するという“いたちごっこ”の繰り返しだったことも、ネットワーク分離を採用した理由のひとつでした」
ネットワーク分離により、セキュアなIT環境を実現していましたが、課題もありました。IT推進部 IT運用グループマネジャーの中原奈緒美氏は、「ネットワーク分離は、メールの添付ファイルからウイルスに感染しても、基幹系に侵入できないので有効です。しかし、基幹系に添付ファイルの共有が必要な業務があり、その作業にひと手間かかるほか、基幹系に取り込む際にウイルスチェックに時間がかかるなど、利便性の低下が課題でした」と話します。
そこで、今後のネットワーク分離のあり方についての検討を開始。堅牢性が担保され、利便性の向上も可能なセキュリティ対策を実現するための取り組みの第1弾として、2000年ごろから導入しているWebセキュリティ製品「i-FILTER」のバージョアップを検討します。
世の中が「ホワイトリスト方式」の考え方になり始めていることは
知っていたものの、運用負荷の課題を懸念
IT運用グループマネジャー
中原 奈緒美 氏
一般的な方式として、セキュリティ製品には「ブラックリスト方式」と「ホワイトリスト方式」の考え方があります。「ブラックリスト方式」では、登録済みの既知の脅威には対応できますが、未知の脅威には対応できません。一方、「ホワイトリスト方式」では、登録済みの安全なウェブサイトにのみアクセスするため、未知の脅威の通信をブロックできます。
河崎氏は、「世の中が『ホワイトリスト方式』の考え方になり始めていることは知っていました。しかし『ホワイトリスト方式』はそのメンテナンスの運用負荷がかかります。『i-FILTER』の最新バージョンの紹介を受けた際に、『ホワイトリスト方式』になったと聞きましたが、話を良く聞いてみると、管理者が登録・メンテナンスをする従来の『ホワイトリスト方式』ではなく、デジタルアーツ社が安全なサイトを登録・メンテナンスしてくれる『ホワイトリスト方式のDB』(White Web)を提供してくれるということでした。この方式であれば、運用負荷の課題を気にせず、安全にインターネットにアクセスできると考えました。また、Webの堅牢性を『i-FILTER』が担保してくれるので、今後、ネットワーク分離を継続するか元に戻すのかを検討するうえでの検討材料のひとつになります」と話します。
本番稼働後の問い合わせ・ウイルス感染は0件。
今後は「m-FILTER」との連携で他社のセキュリティツールの削減に期待
「i-FILTER」のバージョンアップ作業は、2018年11月より評価、2019年1月より本格稼働を開始しました。「i-FILTER」の最新バージョンでは、DBに未登録のURLへのアクセスがあった場合にデジタルアーツに通知され、デジタルアーツにて解析後にDBにカテゴリ登録されます。
現在、広島ガスグループでは、約2,500台のPCを利用しています。中原氏は、「事前の評価の段階では未登録のURL(本来閲覧できるべき安全なWebサイトだが、アクセスがブロックされ閲覧できないWebサイト)が、1日あたり20~30件でした。そのURLは日々DB登録されていくため、自分達では特に何もしなくても未登録のURLはどんどん減っていきました。その経過を見て、Webサイトが閲覧できないと問い合わせがあった時に個別に対応するだけでよく、導入可能だと判断しました。『i-FILTER』の最新バージョンを本番稼働して約2ヶ月経ちますが、ユーザーからの問い合わせは0件です。また、『i-FILTER』のバージョンアップ前は、社員が不正メール内のURLを誤ってクリックしウイルスに感染してしまうことが2ヶ月に1件程度ありましたが、それも今のところありません。切り替えもスムーズで本番稼働後も全く問題なく、苦労も工夫も特になかったので、事例取材で何を話そうか悩みました」と話します。
河崎氏は、「バージョンアップ後、個別にホワイトリスト登録をすることがなくなり、運用がとても楽になりました。今後も、White Webの高い網羅性を引き続き維持していただくことを期待しています。また、それに加えて、メールの誤送信対策として導入している『m-FILTER』と『i-FILTER』を連携させ、メールの入口対策を実施することを検討していきたいと思っています。この連携で入口対策ができれば、現在導入している他社のセキュリティツールが不要になるので、運用のさらなる簡素化やコスト削減が期待できます」と話します。
また中原氏は、「デジタルアーツの担当者は、White Webでもし問題があれば柔軟に対応してくれると言ってくれましたが、現在まで何事もなく運用できており、White Webが実運用可能なレベルにあることを実感しています。今後も『i-FILTER』のサポートはもちろん、『m-FILTER』のより有効な使い方の提案をデジタルアーツには期待しています」と話します。
