検索
連載

コロナ禍でネットワーク再構築計画を前倒したライオンの事例に見る、SASE導入の効果特集:ゼロトラスト/SASEが問うIT部門の役割(2)

旧来型のWANアーキテクチャをクラウド中心に再構築する。老舗メーカーのライオンで同プロジェクトの準備を始めた矢先、世界中を襲ったのが新型コロナウイルス感染症のまん延だ。感染対策の一環で社員の多くが在宅勤務に移行する中、新しい働き方と現行のWANアーキテクチャの間でますます広がる“ズレ”。急きょリモートワーク環境を整えながら、前倒しで次期ネットワーク構築を進めることとなったライオン。その一部始終を、「@IT NetworkWeek 2021」の特別講演「SASEをネットワークの柱にした目的と効果」で、統合システム部 主任部員の木場迫栄一氏が語った。

Share
Tweet
LINE
Hatena

ハブ&スポーク型WANからクラウド型WANに


ライオン 統合システム部 主任部員 木場迫栄一氏

 歯磨剤や歯ブラシなどのオーラルケア商品、洗濯用洗剤や住居用洗剤、市販薬などを開発、販売し、毎日の健康と快適な生活をサポートする老舗企業のライオン。最近は、唾液から歯や口の健康を検査する歯科医療関係者向けシステム「SMT」(Salivary multi Test)などのサービスも展開。より良い習慣づくりに向けて、新たな領域でも挑戦を始めている。

 そんな同社の事業を裏で支えてきたのが、本社および全国の事業所や工場をつなぐWANだ。同社のWANはデータセンターを中心に各所からの通信を集約してインターネット接続を提供するハブ&スポーク型のWANアーキテクチャ。しかし、クラウドサービスの活用が進み、インターネットに接続する人やモノが急増してトラフィックが増加の一途をたどる現在、同アーキテクチャはいずれボトルネックになることは間違いなかった。

 「次期ネットワークの検討については、2018年から意識し始めた」と木場迫氏は言う。重視したポイントは、4つ。1つ目は、データセンターに通信を集約する構成から、インターネット/クラウド中心の構成に変えること。2つ目は、全社員を対象とするVPNを導入すること。3つ目は、セキュリティ管理をこれまで以上に複雑にしないこと。そして4つ目は、運用を簡素化して社内保守におけるスキルの学習コストを低くすることだ。

 VPNについて、木場迫氏はこう説明する。「これまでオフィス外で業務をする場合、営業が外出先からメールをチェックする程度のモバイル環境で十分だった。デバイスについても、会社支給することで管理が可能だ。しかし、リモートワークとなると、この制約で運用するのは厳しい。デバイス制限がなく、かつ利用者が増えてもパフォーマンスに影響が出ないネットワークを構築する必要があると考えた」

 また保守が簡単であるべきという点について、「今後新しい技術を採用するたびに保守が複雑になってしまうと、外部に丸投げするケースも出てくると思う。セキュリティ対応についても同様だ。IT系を目指す人を弊社のような製造業で確保するのは大変だ。だが、アウトソースに頼り切ってしまうことは、説明責任を果たせないことにもつながる。社内保守で十分回せるように、必要なスキルの学習コストは低くあるべきと考える」と木場迫氏は述べる。

 再構築では、運用の複雑さを排するためにWANを全拠点一斉に変更する方針とした。また、FA(ファクトリーオートメーション)ネットワークはWANの要件に合わせて変更したり、再構築後に改修したりするといった融通が利かない。レガシーネットワークがこれまで通りに運用でき、安全性を保証できる形で次期ネットワークを構築しなければならないという課題もあった。

コロナ禍で前倒しになった再構築計画

 検討の末、同社が2019年に出した結論は、ネットワークおよびセキュリティの各種機能をクラウドで提供する「NSaaS(Network Security as a Service)」の採用だった。ただし、当時はNSaaS導入について既存ベンダーに聞いても、知見がたまっていないせいか、満足がいく提案を得られずじまい。しかも、ソリューションによってできることが異なる。

 2020年に入って、NSaaSが「SASE(Secure Access Service Edge)」と名を変えても、状況は変わらず。「ソリューションの比較検討もままならない状況だった」と木場迫氏は振り返る。「結局、障害テストや初期の実装は自分たちで手探りしながら行い、運用はある程度ベンダーに任せる、二人三脚の体制で話を進めることになった」


移行前のネットワークと次期ネットワークの構成(木場迫氏の講演資料から引用)

 2020年1月、ライオンは次期ネットワーク構築に向けて準備を開始した。そんな彼らの前に飛び込んできたのは、ダイヤモンドプリンセス号に端を発する国内新型コロナウイルス感染症拡大の報道だった。国内の累計感染者が増え、事態の重さに不安を感じながら、木場迫氏たちはPoC(Proof of Concept)環境の構築を早めた。そして3月には既存のリモート接続環境で在宅勤務に移行。当然、全社員分のVPNアカウントを用意しているわけでもなく、あっという間にパンク状態に陥った。

 ここからは、PoC環境を在宅環境でも利用してもらうなどして、提案に向けた対応を早め、2020年6月には本導入と同時に既存VPN環境を、全てSASEによるリモート接続へと切り替えた。7月以降は各拠点のSASE化を開始し、拠点の回線を確保しながら、社内アドレスの見直しやルーティングの策定、ファイアウォール設定の移行など、各種変更を実施。拠点でMPLS(Multi-Protocol Label Switching)回線2本で冗長化しているものを、1本は既存MPLSのままにし、1本はSASE化する計画としていたが、10月には、ほぼ全ての拠点の移行を完了した。


現在のネットワーク構成(木場迫氏の講演資料から引用)

SASE切り替えで得られた効果

 SASEへの切り替えは、目に見える効果を幾つかもたらした。

 1つ目は、ネットワークを利用した業務が一気に活発化し、リモートワーク移行前と比較して必要帯域が10倍になったことだ。木場迫氏はこれを、SASEにしたことによるプラス効果と評価する。

 「当初は帯域を気にしてWeb会議の冒頭のあいさつではカメラをオンにしたら、以降はオフにするという人が多かった。それが、SASEに切り替わってからはカメラをオンにしたままにする人が増えた。安定かつ安全な接続が、仕事の仕方やネットワークの使い方に良い変化をもたらした」(木場迫氏)


必要帯域はリモートワーク移行前と比べて約10倍に増加(木場迫氏の講演資料から引用)

 2つ目については、「脆弱(ぜいじゃく)性のパッチが強制的に適用され、新たなリスクへの即時対応が可能になったことも良い効果」と木場迫氏は言う。「以前は、何らかの脆弱性が発見されるたびに説明し、時間をかけてバージョンアップやパッチ適用、メンテナンスを実施していた。今は高いセキュリティレベルを維持できている」

 3つ目の運用管理面についても、大きな向上があった。管理コンソールを使えば、ネットワーク状況の確認や拠点の追加が楽にできる。操作性も複雑ではないので、学習コストも低い。将来的には、海外の現地法人に任せていたネットワーク運用管理も本社で取りまとめることができれば、一貫したネットワーク統合運用が実現する。

 4つ目の効果は、ランニングコストの維持だ。旧来型WANをSASEに置き換えつつ、旧来型を一部残したハイブリッド構成にした結果、高額なWAN回線費用を半分に抑えることに成功。「VPN費用もSASEのライセンスに組み込まれ、ふたを開けてみたらほぼ維持できていた」と木場迫氏は安堵(あんど)する。

 「もしも旧来型WANのままだったら、ネットワーク増強で回線費用が大幅増になっていたと思う。VPN費用も、当時は全社員の2割分しかライセンスを確保していなかった。仮に全社員がリモートワークとなった場合、ライセンス数は5倍になり、単純計算で2倍のランニングコストが必要になってくる」(木場迫氏)


ランニングコストを維持(木場迫氏の講演資料から引用)

 「2021年中には、MPLS WANから脱却してSASEに完全に移行したい」と木場迫氏。また、リモートワークの定着やWeb会議を含むクラウド活用の加速に備えて、インターネット帯域の増強と最適化や、クラウド活用の最適化(クラウドゲートウェイの活用など)に引き続き取り組む他、SDP(Software Defined Perimeter)によるゼロトラストネットワークの実現や、EDR(Endpoint Detection and Response)についても検討を進める予定と木場迫氏は明かす。

 最後に木場迫氏は、SASEの導入を検討する企業に向けて、選定時のポイントは「SASEの特徴を理解し、ベンダーごとに異なるソリューションを見極めて、自社の運用イメージに一番近いものを選定すること。私たちも、まだ(改革の)入り口に立ったばかり」と述べて、さらなる進化を誓った。

特集:ゼロトラスト/SASEが問うIT部門の役割

ビジネスに一層の効率と「場所を問わない働き方」が求められ、クラウドがビジネスインフラの軸となっている現在、ビジネスを遂行するユーザー一人一人にとっての安全性と快適性をどう保証するかが問われている。これを受けて、SD-WAN、ZTNA(ゼロトラストネットワークアクセス)、CASBなどを組み合わせて、ユーザー中心のセキュリティ環境を構築するSASEが注目を集めている。だが、SASEは“製品”ではないだけに、実装の在り方には各社各様のアプローチが求められる。これはIT部門としてビジネス、ユーザーをどう見ているか、自身の役割をどう捉えているかが、如実に表れる鏡ともいえるのではないだろうか。SASE実装に対するあるべきアプローチと、現実的な取り組み方から、ゼロトラスト/SASE時代のIT部門の役割を考える。



Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
  2. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  3. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  4. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  5. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  6. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  7. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  8. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  9. 2024年10月現在で「過度な期待」をされているセキュリティ技術は何? ガートナーがハイプ・サイクルを発表
  10. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
ページトップに戻る