[PALO ALTO NETWORKS DAY 2019]セキュリティをシンプルに。SHIFTにおけるセキュリティ戦略のポイント、3つのSとは?

PALO ALTO NETWORKS DAY 2019 Tokyoの参加レポートをお届けします。セッションタイトルは「セキュリティをシンプルに。SHIFTにおけるセキュリティ戦略のポイント、3つのSとは?」。講演者は、株式会社SHIFT 管理本部 情報システム部 部長 米沢 毅氏です。

講演内容

SHIFTの紹介

品質保証で成長中の会社。製造業の品質保証のノウハウをIT業界に展開している。2009年から品質保証事業に集中している。人も売り上げも年1.5倍成長。国内5拠点、海外3拠点。 エンジニア単価が2015年から大きく上がった。採用するエンジニアの質が上がっている。 2015年の顧客はeコマースやエンターテイメント企業が中心で元々非ITエンジニアの人が品質保証していた。現在はエンタープライズ企業が中心で元ITエンジニア、元コンサルが増えている。

SHIFTでは、セキュリティに対して説明責任が果たせるかどうかを重視している。テストセンターというテスト区画を設け、運営している。その中でテストを行う。データセンターのイメージに近い。多重の生体認証で通過する。カードだと貸し借りなどが発生するためだ。監視カメラで監視している。レイアウト変更が多いので、多めの監視カメラを配置している。操作ログを全て撮れるものを導入。従業員教育として、e-learningを毎月行っている。

これまでのネットワーク、セキュリティの基盤と施作

これまでのネットワーク、セキュリティの基盤と施作

  • オフサイトでの作業を前提
  • 拠点ごとに独立設計されたネットワーク基盤
  • 端末に寄せたセキュリティ施作
  • システム運用負荷が高い構成
  • 比較的少額投資で構築

構築前のネットワーク概要構成。本社と拠点間はVPN接続。IDaaS(One Login)でアクセス制限、操作ログ、アクセス制限。本社でリモート管理していた。

ビジネス環境が変化し、理想とのギャップが出てきた。元々は社内でテストをする前提があったが、お客様先でのテストが多くなってきた。元々IT業界じゃない人がいたのでルールを作れば、忠実に守ってくれた。ITエンジニアの採用で今までの守り方では、守れなくなってきた。従業員が増えても情報部員が同じだけ増えるわけではない。直近で月間200人増えている。1000名しかいない時に、5000名に増えたときのための投資をいかにやるのか?

「セキュリティを守るためにも今、前に進むしかないと決意した」主に考えたことは以下の通り。

  • 可能な限り一枚岩の仕組みを作ろう。運用のために、手数は少ない方がいい。
  • 運用できてなんぼ。人は常に足りない
  • 5年、10年先を見る。立ち止まることはリスク。変化できる仕組みを作る。

インフラ更改プロジェクトの概要

2018年2月からスタートしている。 5月までに方向性の検討。ベンダーを検討している。セキュリティに強い人も増えているのでディスカッションできた。RFI、RFPの間になるようなものを書いた。3ヶ月ぐらいかけて、役員とお金の使い方を話し合った。2018年12月からプロジェクトスタート。全部を知っていたわけではないので、細かいところは検討しながら進めた。CATという課題管理ツールで、ベンダーを含め1つのチームとして動けるようにした。Palo Altoを国内5拠点に設置できた。現在、切り替え対応中。

次世代ファイアウォールを2台設置。クラウドへの接続をOne Loginで行う。中規模程度の拠点には小規模次世代ファイアウォールを導入し、可視化している。アクセスログは本社に集約し、各拠点の設定も可能。

セキュリティ戦略のポイント、3つのS

プロジェクト開始あたり考えていたこと

  • スキル:素人集団が目利きできること(※ 補足:講演者は元々アプリケーション開発者)
  • 構成:将来的に建て増しにならないか
  • 運用:少ない人数で運用がちゃんとできるのか?
  • 将来性:会社の成長に合わせ対応できるのか?
  • 予算:5年先の将来投資、どう承認もらうのか?

「Simple」「Scalable」「Stock」をポイントとして考えた。

  • Simple: 構成、構造をシンプルに。運用をシンプルに
  • Scalable: あらゆる業務に耐えられる。会社の成長に耐えられる
  • Stock: 持っていて価値があるインフラ。存在意義が明確な投資

セキュリティベンダーは多種多様。セキュリティには多層防御が必要だが、ベンダーも多層でいいのか?自分達で運用できないと突発的な対応が難しい。自分達である程度できないと意味がない。セキュリティは日進月歩で変わってくる。ベンダーの方向性とビジョンも重要なのでは。セキュリティベンダーの選定で考慮したこと。

Palo Altoの選定理由。

  • 包括的なセキュリティプラットフォームベンダーとしての立ち位置が明確
  • 営業/SEの姿勢(自社の強み、弱みを話せる)
  • 製品ラインナップ、導入実績
  • コンセプトに対するロードマップのわかりやすさ弊社との考え方の親和性

「Stock:将来にわたり保有すべきものといえるか」

  • キーマンとの目線合わせ
  • 財務的な考慮
  • 市場に対してWhyを答えられるか
  • ビジネスの変化に対する対応
  • 運用する側が理解できるか

幹部への説明の止めに、リスクとお金の発生をケアした。リスクを網羅し、その対応をまとめた。網羅性と納得性が大切だと考え、4回にわたり実施。

構築ベンダーに丸投げせず、チーム化を促進した。ベンダーを巻き込んで、プロジェクトの進捗・課題の見える化を実施した。受け入れ側も腹を割った。

今後の展望

シンプルかつ堅牢にし、最先端セキュリティ企業と呼ばれたい。 PRISMAを入れたい。Palo Alto Networksには、全領域ソリューション提供してほしい。グループ企業利用を見据え、現場でできることはできるようにして欲しい。

以上