全国500拠点・10万ユーザーのビジネスを守るセキュア・ネットワークへ再構築安全性と効率性の両立を目指す。
- 企業名株式会社リコー
- 設立1936年2月
- 所在地東京都大田区中馬込1‒3‒6
- 事業概要OA機器やカメラの老舗メーカーとして知られ、多機能プリンターやプロジェクタなどのプリンティングや、PC/サーバー/ネッ トワーク機器/ソフトウエアといったITサービス、商用印刷など、オフィス向けの幅広い製品ラインナップと手厚いサービスが特長。昨今は一般的なオフィス向けのみならず、製造業やヘルスケアなど多様な業種・現場向けの製品・サービス強化を図っている。
http://jp.ricoh.com/ - 取材対象株式会社リコー デジタル推進本部 和久利 智丈氏
はじめに
リコーグループでは、ネットワーク基盤は顧客満足度向上のためにあることを重視し、構築から運用までを自ら制御すべく、内製強化に努めている。ところが以前は、LANは事業所単位、WANはマネージドサービス、インターネットはアウトソーシングと運用体制がばらばらで、クラウドサービスや働き方改革などネットワークに対する要求が高まる中で品質を保つことが難しくなっていた。安全性についても、最新の脅威に対して十分な防御策が採れているとは言えなかった。そこで同社は、ネットワークをアーキテクチャレベルから見直して、ジュニパーネットワークスの提唱するSDSN(ソフトウエア・デファインド・セキュア・ネットワーク)の構築を目指した。
リコーグループの事業概要
リコーグループは、理化学研究所の発明を工業化する目的で、1936年に理研感光紙として独立創業した。今でこそ一般的な用語になった「OA(オフィス・オートメーション)」を提唱したのも同社だ。現在は、オフィス向けの複合機やプリンター、プロジェクタや電子黒板といったオフィスプリンティング事業、PCやサーバー、ネットワーク機器、ソフトウエアなどを提供するオフィスサービス事業、商用印刷機器・産業印刷機器などの製造・販売を中核に、製造業やヘルスケアなど多様な業種・業態に特化した製品・サービスの提供にも力を入れている。
少数精鋭で大規模なネットワークを運用するためには、効率的でシンプルな運用の実現が重要であり、ジュニパーネットワークスが目指す運用効率化・自動化へのアプローチが最適だった
リコーグループでJuniper製品を導入した背景とは
株式会社リコー デジタル推進本部
和久利 智丈氏
多数の関連企業と拠点を抱えるリコーグループでは、事業所のLANは個別に管理、WANは通信事業者のマネジメントサービス、インターネット接続はアウトソーシングを利用するという、複数の異なる体制で運用する状況が続いていた。
「クラウドの活用が広まり、働き方改革も求められている昨今、ネットワークに対するニーズも急速に変化しています。ユーザーのニーズにすばやく応えて、顧客満足度を向上するためには、ネットワーク基盤の構築から運用までを自ら制御しなければならないと考え、内製強化を図っています」と、株式会社リコーデジタル推進本部の和久利智丈氏は述べる。
さまざまな課題を抱える巨大なネットワークインフラ
リコーグループで、ネットワークトラブルの発生や 、具体的な要求が多くなってきたのは、2010年ごろのことだ。
例えば、インターネット接続を担うプロキシサーバーは、接続数が急増して対応しきれなくなっていた。その結果、ネットワークが遅い・Webページが見えないなどのクレームが多くなり、一部のクラウドアプリケーションが正常に機能しないという問題も生じていた。特にWeb会議のような音声・動画を利用するアプリケーションの挙動は、遅くて使いものにならないケースもあったという。
また研究・開発部門では、IaaSのような新しいインフラを活用したり、新しく開発したアプリケーションを評価したりする際に、プロキシに対応する必要があることが疑問視されていた。個々に調整や専用回線などが必要になるため、コストも効率性も悪化していた。
複数の拠点をつないでいるWAN回線では、ある拠点の条件を変えると、他の拠点に影響するという問題があり、グループ全体でバランスを取ることが難しい状態だった。多数の拠点を持ち、時間や時期で利用状態が変わる多数の部門・業務を有する同グループにとって、細かなチューニングで対処することは困難だった。そもそも運用は通信事業者のマネージドサービスに任せていたため、求められる迅速性を実現することもできなかった。
LANを事業所ごとに運用しているという状態も、大きな問題の一つだった。データセンターやインターネットへのアクセスが増大してくると、「つながりにくい」「遅い」という問い合わせが増えた。トラブルに対応するためには、LAN、WAN、インターネット接続の各担当者が個々に調査する必要があり、解決に時間がかかるだけでなく、調査・調整にかかるコストも増えていった。LAN 側がスタティックルーティングで構成されていたため、WAN接続を含むネットワークの追加や変更の際には各所ですりあわせを行う必要があり、柔軟性に欠けるという問題もあった。
運用効率化・自動化を目指したネットワーク再構築
リコーは、こうした問題を解決してよりよいインフラを提供するため、2011年ごろからネットワークの再構築を図った。多くの拠点とグループ企業、10万ユーザー規模のエンドユーザーを抱える同グループでは、さまざまな要求や問題、あるいは技術トレンドの変化に応えていくため、中期的な計画で改善・強化に取り組んでいる。
「私たちがネットワークの再構築で目指したのは、設計・構築・運用を自前で行うことです。しかし、当初は2名の運用スタッフしかおりませんでした。少数精鋭で大規模なネットワークを運用するためには、効率的でシンプルな運用を実現することが極めて重要です。そこで、設定が簡単でミスを減らせる技術であること、自動化が容易であること、業界標準の規格・プロトコルに対応してインターオペラビリティが確保できることの3つを、技術・製品の選定条件として最も重視しました」(和久利氏)
和久利氏は、こうした条件に当てはまるネットワーク機器としてジュニパーネットワークスのソリューションを選定した。もともとUNIXエンジニアとしてキャリアを積んできた同氏にとって、ジュニパーネットワークスが目指す運用効率化・自動化へのアプローチが最適だったそうだ。製品の中核を担う「JUNOS OS」について、分類の異なる機器、上位機種でも下位機種でも設定方法が統一されているため運用負荷が軽減される点、Pythonなどのオープンソースソフトウエアを用いた自動化が容易な点を高く評価したという。
運用性・安定性・安全性が大幅に向上
リコーグループが新たに構築した基幹ネットワーク
現在のところリコーグループのネットワークインフラでは、主要なWAN回線とインターネット接続のほか、それらを束ねるコアルーターとしてMX480、ファイアウォールにはSRX5800を導入しており、全面的にジュニパー製品が活躍している。SRX5800のログはSIEMに取り込んで可視化し、セキュリティ対策の運用に活用している。Ansibleを活用した運用の自動化も図っている最中だ。
リコーグループでは、同時期にクラウドアプリケーションの導入も進められていた。このためインターネットトラフィックの量は5倍にもなったが、問題なく収容できているとのことだ。
「東京・大阪・横浜のデータセンター間WANとインターネット接続を担うMX480は、驚くべき安定性を誇っています。インターネット側ではBGPの50万テーブル以上のフルルートを受け取るなどしていますが、何のトラブルもありません。MXシリーズに実装されているEPVNも便利で、東京・大阪の500kmも離れた遠隔データセンターを同一ネットワークとして運用しています。他の大規模拠点への展開も期待できますね」(和久利氏)
全国500を超える各拠点のLANは、順次、2017年ごろからコアスイッチの入れ替えを行い、集中管理の体制を整えている最中だ。特に大規模拠点では、大型ハイエンドスイッチをQFXシリーズおよびEXシリーズに置き換えて、「バーチャルシャーシ」技術で統合したことにより、設置スペースは1/2、消費電力も1/3に軽減できたという。
ネットワークは面で守り、より安全なセキュアネットワークを目指す
リコーが新しいネットワーク基盤を検討していたころ、国内ではランサムウエアの被害が急速に拡大していた。数多くの著名な企業が感染し、多大な損害を受けていたことは記憶に新しい。
ランサムウエアをはじめとした最新のマルウエアの問題は、個々の企業に合わせて作られた標的型攻撃であることも多く、ゲートウェイセキュリティで侵入を完全に防ぐのが難しい点にある。もし一つでも侵入されれば、内部ネットワークにおいて瞬く間に感染を広げてしまう。
リコーは、数多くのグループ企業と拠点が存在しているため、マルウエア感染のような大規模なトラブルが発生したとき、障害の全体を把握するのに長時間かかってしまうことが問題視されていた。また、もし感染したマルウエアの攻撃トラフィックを検知できたとしても、拠点間ネットワークは防御されていないのが現状で、被害の拡大を防止する策がない点も問題だった。
従来のネットワークセキュリティは、“インターネットの境界”で侵入を防ぐ方法とエンドポイントでマルウエアを検知する方法の2つが中心だった。しかし今後は、脅威の侵入・マルウエアの感染はあるものとして捉え、感染が他拠点に拡大しないように“拠点間接続”を保護すること。エンドポイントでの対策も強化し、仮に感染してしまったとしても、その脅威を迅速に検知して感染の拡大と被害の発生を防ぐことの2点を強化すべきだと、和久利氏は考えた。
「当社は拠点が多く、サービスプロバイダーに匹敵する多数のユーザーを抱えています。この規模のネットワークを少人数の担当者で運用し、個々の拠点を確実に保護するには膨大なコストがかかります。もはや、人での対応は現実的に不可能なのです。そのため、ネットワークは面で守ること、できるだけ運用を自動化することが望ましいと考えていました。この考え方が、ジュニパーネットワークスが提唱する『SDSN(ソフトウエア・デファインド・セキュア・ネットワー ク)』とマッチしたのです」(和久利氏)
もともとリコーでは、コアネットワークに「SRX5800」を導入して安全性を確保していた。和久利氏の計画では、2018年中にはSRXシリーズを各拠点に展開し、拠点間接続を含めてネットワーク全体を保護できるようにする予定だ。
SDSNの実現において、重要な鍵となるのは脅威の検知と防御を自動化することである。未知のマルウエアであっても確実に検知して、対象ホストの通信を速やかに制限することが必要だ。そこで和久利氏は、早い段階から「Juniper Sky ATP(Advanced Threat Prevention)」の採用を決めていた。
Sky ATPは、SRXやMXなどのネットワークデバイスで検知した感染ホストの情報を収集して分析し、ポリシーを自動的に生成してセキュアルーターであるSRXへフィードバックするというクラウドサービスである。新しい脅威にリアルタイムに対応でき、被害の拡大を自動的に防ぐことが可能となる。SRXを中核に据えていたリコーにとって、SRXは脅威センサーとして活用しセキュリティ運用を自動化するしくみとして有効な手段だ。
またエンドポイントでは、従来のマルウエア対策ツールに加えて、ジュニパー製品とも親和性の高いパルスセキュアのネットワーク・アクセスコントロール・ソリューションであるPulse Policy Secureを実装しポリシーベースでのアクセス制御を実現。さらに、AI技術を搭載したVectra Networks社製品を導入し、ネットワークを継続監視することで内部に潜伏・進行する脅威の可視化を実現した。
この可視化ツールを選択した理由の一つが、SRXとの連携である。ワークフローコンポーザーを組み合わせることで、ログの分析結果からSRXのコンフィグを自動生成し、攻撃トラフィックを自動的に停止できるようになる。このしくみは開発中とのことだ。
利便性と安全性が両立するネットワークへ
リコーではSRXをセキュリティの中核としたことで、さまざまなセキュリティソリューションやツールと連携し、ネットワークを“面”で守ることができるようになったと捉えている。また、SRXのログデータをSIEMに取り込むことで、新しい脅威や課題に気づくことができ、セキュリティ運用を向上し、新しい対策を講じられるようになったと評価している。
「こうしたコンセプトを実現するには、いくつかの問題や課題がありました。開発中・展開中のものもありますが、システムインテグレーターである日商エレクトロニクスの強力なサポートを受け、理想的なセキュアネットワークに向けて着実に歩んでいます」(和久利氏)
さらに同氏は、新しい脅威と防御の効果が可視化できるようになったため、「経営層へ説明しやすくなったことも効果の一つ」としている。
「日商エレクトロニクスは、機器の導入前から細かなアドバイスを提供し、構築時の課題解決などにも柔軟に対応してくれました。インターネット技術が進化を続ける一方で、新しいインターネットの脅威も登場しています。今後も高品質な技術と製品、サポートを提供し、リコーのプロジェクトを支援していただきたいと思います」(和久利氏)
リコーグループのネットワークは、プロジェクトが進むに従ってよりよく進化し、利便性と安全性が両立されたソフトウエア・デファイン ド・セキュア・ネットワークとして完成していくことだろう。今後も、その中核をジュニパーネットワークスのテクノロジーが担い、同社のビジネスの成長と顧客満足度の向上を支えていく。
(取材:2018年2月)