常時SSL化、高負荷アプリ利用拡大も「Webフィルタリングは特に変更なし」で現場から不満が出ない理由
SaaSやWebアプリの利用が一般的になり、社内からインターネットへのセッションは格段に増えた。従業員やその利用端末を保護するWebフィルタリングツールはこうした状況を考慮した運用見直しが必要だ。ここで、セッション数の増加にもかかわらずWebアクセスの状況をほとんど見なくても問題ない上に業務フローそのものも効率化に成功した事例を紹介する。
ソフトブレーンは1992年創業のITソリューションベンダーだ。特に国内5000社以上の導入実績を持つ営業支援(SFA)ツール「e-セールスマネージャー」を中心に、マーケティング支援や企業のIT化全般を支援するソリューションを展開する。現在は国内だけでなく中国にも拠点を持ち、ビジネスを拡大している。従業員数は本稿執筆時点で278人、グループ全体では1266人を抱える。
事業の拡大と併せて従業員数が増える中、同社では働き方改革や業務効率化を目的にクラウド業務アプリの利用も増えつつある状況だ。社内から多様なアプリケーションがインターネットにセッションを張る状況では従来とは異なるWebセキュリティ対策が必要になるが、同時に従業員の利便性を損なわない運用も求められる。情報システム部門にとっては難しい課題だ。
特にこの数年は通信の保護を念頭にWebアクセスの「常時SSL」が推奨されつつあることから、暗号化されたSSL通信を隠れみのに悪意あるファイルをダウンロードさせるようなマルウェアによる攻撃が危惧される状況もある。対策するには全てのSSL通信を解析するなどの高度な対策も必要になる。
常時SSL通信、Webアプリによる大量セッションが発生する状況の中、ソフトブレーンでは、Webフィルタリングツールについては「逐一見ることがなくなった」というほど、運用が楽になったという。その理由はどこにあるだろうか。
SaaS利用が急拡大 大量セッション発生で「まともに閲覧できない」
「実はオフィス移転準備の真っ最中なのです」と、多忙の中取材に対応いただいたのは、ソフトブレーン 管理本部 経営管理部 情報システムチーム 課長の栗山寿律氏だ。
栗山氏がソフトブレーンに入社したのは2005年のこと。「当時はまだクラウドサービスなどが存在せず、社内からのWebアクセスは非常にシンプルでした。メールの閲覧は『Outlook』を使い、受信メールデータは社員が利用するPCに直接保存される状況。このため、HTTPSを介したインターネットアクセスはそれほど多くありませんでした」(栗山氏)
それでも当時、既にセキュリティの観点からWebフィルタリングツールを利用してはいたというが、通信そのものが多くないことから問題なく運用できていた。
状況が変わったのは2015年頃のこと。ちょうどWebベースのクラウドアプリケーションが注目されるようになり、「Gmail」を始めとする「Google Apps」や「Office 365」などのWebをベースとしたSaaS型オフィススイートが企業で一般的に使われ出した時期だ。同社もシステム運用管理の利便性や利用者の使い勝手を考慮してGmailの採用を決断する。
Gmailの利用がきっかけで問題が顕在化
Gmailを利用するようになると、メールといえどもSMTPなどのプロトコルではなく全てがHTTPSベースの通信になる。これに加えて従業員や契約スタッフも増え続けていたことから、500人近いユーザーが一気に利用する状況が生まれたのだ。この2つの要因からWebフィルタリングソフトを介するセッション数は格段に跳ね上がった。
従来のWebフィルタリングソフトを利用した状態で、全社的にGmailに切り替えた結果、従業員から『Gmailをまともに閲覧できない』という問い合わせが殺到したのだ。
「いろいろ調べていくと、Gmailのセッション数に対応しきれていない状況が明らかになったのです」(栗山氏)
この状況を打開する方法は幾つか考えられた。栗山氏らはまずシンプルな方法で対策を試みた。
栗山氏らはまず、暫定措置として、Webフィルタリングソフト側が十分なセッション数に耐え得るよう、システムを増強してしのぐ方法で問題に対処した。だが「抜本的な改善策ではないため、一応は動くが十分とは言いがたい状況」が続いた。問題を解消するには、抜本的な見直しが必須だったのだ。
「情報システム部門側の視点で考えるとWebフィルタリング用のプロキシサーバの入れ替えはインフラ全体に影響するので手をつけたくないものの一つ。それでも、Gmail導入をきっかけとしたセッションの逼迫は看過できなかったのです」(栗山氏)
ワークフロー機能を生かし、都度の対応から標準化されたオペレーションに
こうした事情から、システム更改と合わせ、Webフィルタリングソフトそのものの見直しを進めることになった。
選定の第一段階は自身がWeb検索などでおおよそ当たりをつけて複数製品に問い合わせ、機能検証や見積もりを行った。製品選定では少なくとも3社は詳細を調査したり見積もりを確認したりしたが、総合的な判断として、アルプス システム インテグレーション(ALSI)の「InterSafe WebFilter」を採用することに決定した。
選定の決め手は導入や運用コストもあったが、何よりも「運用時の負担の少なさ」「ワークフローの設計」がポイントだったようだ。
「過去に利用してきたWebフィルタリングソフトは、管理者が規制したサイトにユーザーが何らかの理由でアクセスしたい場合に、許可を出したり止めたりといった操作を能動的に実施する必要があったのです。InterSafe WebFilterは、ユーザー側が『許可してください」と理由を書いて規制画面から申請するワークフローになっています。申請があればその都度、管理者が確認して判断します。これは非常に合理的な仕組みです。ユーザーが自らアクセスしたいWebサイトを申請する、というアプローチを取るのは選定候補の製品のうち『InterSafe WebFilter』だけでした」(栗山氏)
従来の運用はワークフローとしての定義がなく、従業員側から要望が来るとしても担当者向けにそれぞれが自由な形式で「このサイトへのアクセス、開けてもらえますか」と問い合わせが届く状況だった。人によっては申請理由などの詳細を確認するのにメールで何往復もやりとりが必要なこともあり、非効率な運用状況だった。
InterSafe WebFilterのワークフローを使うことで、「理由などの必要事項の記載がない申請は見ない、申請させない」というルールを徹底できるようになった。
SaaSやWebアプリのSSLセッション数が増加しても「原則、面倒を見ない」
Webフィルタリングツールを入れ替えて4年、運用に変化はあったのだろうか。最近のWebサイトやWebアプリは「常時SSL」が一般的だ。通信をSSLで暗号化することでWebサイト閲覧や入力フォームなどの通信を保護できるが、同時に、SSL通信の暗号化を悪用する動きもある。通信が暗号化されることでマルウェアや標的型攻撃の発見が難しくなっているのだ。
このため、常時SSL化が一般化した現在、実務に耐えるWebフィルタリングを実現するには、SSL通信も安全に復号してチェックする必要がある。しかし、復号処理は負荷が高く、リソースが逼迫しやすい。中にはこうした高負荷に耐えられないため、SSLの通信をフィルタリングの対象外とする回避策も考えられるが、それではセキュリティ対策として十分ではなくなる可能性が高い。
「実はInterSafe WebFilterに切り替えてからはWebフィルタリングに関連する情報はほとんど面倒を見る必要がなくなっています。管理らしい管理もそれほど必要ありません。パフォーマンスに問題があることもなく、安定して稼働しているため、世話を焼く必要がないですね」(栗山氏)
現在、同社ではGmailの他、ワークフローシステムなどのWebアプリや「Amazon Web Services」(AWS)を利用した業務システムも利用している。ユーザーが利用するWebブラウザによっては、タブブラウザの使いなどの特徴からセッション数が多くなるものもある。それでも、運用上は全く問題なく動作し続けているという。
一般的には、前述の通りSSL通信を監視するには暗号化したパケットの復号が必要となり処理負荷が高くなるため、レスポンスが悪くなることが多い。このため機器の増強などの対策を打つ企業もある。こうした中で「全く問題なく動作するため、セッション数が増えても様子を見る必要がなかった」というのは驚きだ。
ユーザーからの問い合わせも、即応してもらえる安心感
栗山氏がInterSafe WebFilterを気に入っている点は、「見なくても良い」という性能の良さだけではない。利用者から何かの問い合わせがあったときの対応が早く安心できるのだという。
「利用者に不都合があって問い合わせを受ける場合は、だいたい待ってはもらえません。業務効率にも関わることですから、なるべく早く解決したい。情報システムチームとしては、Webフィルタリングツール以外にもさまざまなベンダーに問い合わせなどをしていますが、それらを比較してもALSIさんは非常に対応がよいといえます」(栗山氏)
働き方改革、モバイル端末の保護も視野に
ここまでで見てきたように、社員のWebアプリなどの使い方が大きく変わり、セッション数も増加したにもかかわらず、ソフトブレーンではInterSafe WebFilterに乗り換えてから4年、全く問題なく利用してきた。「見なくてもうまく動く」として評価されているようだが、実は今後、トライしたいことがいくつかあるという。
「当社も『働き方改革』に注力しており、Wi-Fi環境やフロアデザインも見直しています。その中でモバイル機器の管理も拡充したいと考えています」(栗山氏)
冒頭で紹介した通り、同社は事業拡大を受け、直近でオフィス移転を予定している。栗山氏は、社内のネットワーク周りの設計や運用見直しも担当しているが、その中でもモバイル端末の保護は重要なテーマの1つだという。
「ALSIのセキュアWebゲートウェイサービス『InterSafe GatewayConnection』には社内VPNとの同居ができる機能があり、これを利用して貸与スマホなどのアクセスも一元管理しようと構想を練っています」(栗山氏)
未知のURLも安全に利用させる、無害化の仕組みがあれば技術者の利便性を維持できる
移転の準備などで多忙が重なっていたが、移転後は最新版のInterSafe WebFilter Ver. 9.1へのバージョンアップも実施する計画だ。
最新バージョンで期待しているのはポリシー設定の「未分類」機能の活用だ。ブラックリスト方式でフィルタリングをかける場合、リストに含まれない不正URLへのアクセスは止めることができない。こうしたときに、リストに含まれないURLであっても「未分類とされたURLは無害化した環境でアクセスさせる」というポリシーを利用できれば、利用者の利便性を損なうことなく、安全を担保することができる。
「当社の場合、製品を開発する技術者も多く抱えています。彼らはSlackに代表されるようなSNSを活用したいという要望があがります。しかし、許容してしまうと、個人のアカウントでサインインしてしまった場合のリスクが考えられます。個人アカウントのアクセスだけをはじいたり、ファイルアップロードだけは許可しなかったりといったシャドーIT対策の設定が可能だと聞いていますので、今後、折を見て挑戦したいと考えています」(栗山氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 企業を悩ます「セキュリティ担当者の不在」、2019年はどうなる?
キーマンズネット会員1541人を対象に「勤務先のセキュリティ対策状況」を調査した。働き方の多様化が求められる中でセキュリティ上の課題はどこにあるのか。対策製品の導入意向に変化はあったのか。 - 標的型攻撃への対策状況(2018年)/前編
キーマンズネット会員197人を対象にアンケート調査を実施した。実際に標的型攻撃を受けた経験の有無や被害内容などに関する質問を展開した。 - 標的型攻撃への対策状況(2018年)/後編
キーマンズネット会員197人を対象にアンケート調査を実施した。社内セキュリティ体制や導入するセキュリティ製品など企業の標的型攻撃への対策状況が明らかになった。