Jump to content 日本-日本語
日本HPホーム 製品とサービス サポートとドライバ ソリューション ご購入方法
≫ お問い合わせ
日本HPホーム
 ソリューション  >  大企業向け

情報保護対策としての端末管理

全国に散在するクライアントを中央集約・管理する、認証セキュリティ・ネットワーク : IEEE802.1xを採用

導入事例

KDDI株式会社
日本HPサイトマップ
コンテンツに進む
情報保護対策としての端末管理の取り組み KDDI株式会社様
課題
ソリューション
メリット
KDDI ロゴ

課題

中尾 仁史氏
  KDDI株式会社
情報システム本部
コーポレートシステム部
OA/ネットワークグループ
中尾 仁史氏
※「HPworld2005ご講演より」
モバイル、IP、ネットワーク事業と幅広い通信サービスを提供するKDDI。変化の激しい通信業界において、ユーザニーズに答え続けるために同社はダイナミックな合併を経験してきたが、そうしたビジネスの大きな変化の中で、社内における情報環境は非常に複雑化してきていた。

2000年10月にKDD、DDI、IDOの3社の合併によって誕生したKDDIは、3社それぞれのクライアント環境の違い(運用方法、OS、ブラウザー、端末機種、スペックなど)により、統一化したクライアント施策がとりにくい状態にあった。実態を把握しようとすれば時間と工数がかかる。OS毎に異なるアプリケーションの動作検証や、端末資産管理も不統一で煩雑を極めていた。ユーザ部門では自由にPCやHUBなど様々な端末が接続され、そうした実態を全国レベルで把握するには膨大な時間と工数がかかる。一体何台の端末が社内へ接続されているのかの把握すら出来ない中、全国行脚など様々な努力に走る毎日だった。

ある日、社内の一部でウィルス感染が発覚した。至急臨時対策本部を設置し、即時対応や火消しに走り、幸い大きな被害にはいたらなかったが、パッチがあたりきったのか、積み残しはないのか、管理が部署的に違うPCなどもある中、全端末が把握しきれていないため確約ができない。やはり、端末把握は情報対策の根幹であることを痛感した今回の出来事は、社会的、社内的なセキュリティ意識の向上につながる大きなきっかけとなった。

ちなみに同社では、端末セキュリティに対して、1.水際阻止、2.社内チェック、3.端末での防御の3層防御の考え方に基づいて対策をとっている。3.の拒否防御についてはウィルスチェッカ、2の社内チェックについてはIDS、IPSの導入で一定の効果を挙げていますが、1の水際阻止という部分について今回梃入れしようという話が担当者間で挙がっていた。 当時、世間でも顧客情報漏洩事件が頻繁に表面化してきていた中、社内では情報セキュリティの再強化の追い風が起こる。同社では2004年度に重点的に施策を実施していたが、これを機に更なる抜本的なクライアント環境の整備・統一化に動き出した。

ソリューション

根本的な問題として、クライアントの実態把握ができていない、そもそも不正端末が容易につなげられる環境自体の整備が必要と考えた同社では、無線LAN技術IEEE802.1xの有線LANでの使用を検討を開始した。IEEE802.1xとは、端末にデジタル証明書をインストールし、その証明書により端末が接続されているLANポートをOpen・Closeするシステムである。このシステムは、不正規機器が社内ネットワークに接続することを防ぎ、証明書のインストールが不可能な場合には直接端末のMACアドレスでフィルタリングを実施する。

これらクライアント環境の散在・複雑化の問題を解決するために、同社ではIEEE802.1xを使用した認証セキ ュリティ・ネットワークの導入にいたった。

  IEEE802.1x認証(システム名POPS!)とは
  図:IEEE802.1x認証(システム名POPS!)とは   図:IEEE802.1x認証の機能
  [拡大画像を表示] このリンクをクリックすると、新しいウィンドウが開きます   [拡大画像を表示] このリンクをクリックすると、新しいウィンドウが開きます
 

導入のコンセプト
  1. 管理されたクライアント以外、社内LANに接続させない  
  2. 持ち込みクライアントの接続を拒否し、その行為を検出する  
  3. どのクライアントがいつ、どこから接続したか接続情報収集する
まず同社はシステムの構築と運用にあたり、 IEEE802.1x対応機器(スイッチ)は本当に動くか、サプリカントは機能するかなど、3ヶ月に渡って100項目以上に渡るIEEE802.1xの事前検証を実施した。結果、IEEE802.1xとMACフィルタリングの認証技術のインテグレートマネジメントシステムを構築することを決定した。  

システムの主要要件
  1. 長期未接続端末の確認が可能なこと  
  2. 証明書の不正インストール防止可能なこと(エクスポートも不可)  
  3. 大規模レイアウト変更時に一括設定が可能なこと  
  4. エッジスイッチのカスケード接続が監視可能なこと  
  5. 証明書の期限が自由に設定可能なこと  
  6. エッジスイッチ機器の拡張性に富むこと
特に重要な要件として、1、2、3があげられている。1つめの重要項目として、長期未接続端末の失効機能がある。ゴースト端末(登録はしてあるが、実際は使っていない端末)の撲滅を図るために、長期未接続端末は、証明書証明書を失効し、社内ネットワークから排除する機能を具備した。加えて重要なのが、証明書の不正インストールの禁止だが、正規証明書を発行しても、コピーできてしまえば何の意味も持たないので、今回はコンピューター名をと突合し、証明書を一回のみインストールできる機能を具備。これは、副次効果として証明書を入れ間違えるというヒューマンエラー回避の他、インストールがスピーディに出来る様にWEBインターフェースも備えているので、利便性も向上している。三つ目は、大規模移転、レイアウト変更時のポートセキュリティの一括設定だ。スイッチからの端末情報取得はもとより、ポートの設定も管理システムより可能となっている。

システム導入に際しての業者選考ではHPを含む3社にRFPを提出。IEEE802.1x認証とMAC認証(IPフォン含む)を統合し社内全体の端末管理、エッジスイッチができるシステム構築を依頼した。最終選考にてHPに決定。HPの製品力や提案はもとより、KDDIからの熱意・要望をくみとろうという姿勢が選考の理由だった。		  

メリット

  展開運用 社内導入
図:展開運用 社内導入(社内展開について)
  [拡大画像を表示] このリンクをクリックすると、新しいウィンドウが開きます
2005年2月よりシステムの社内展開開始。同年3月中旬には飯田橋本社ビル内の社内OA系ネットワークへの導入完了。飯田橋ビル稼動端末台数は7000台以上。うちIEEE802.1x認証端末は約9割、MAC認証端末は約1割。全国展開は2005年6月より開始し、同年9月末完了予定。今回の導入効果としてまず挙げられるのが、セキュリティ強化だが、まず不正規の端末が社内ネットワークに一切接続できなくなった。デジタル証明書を発行した端末は、社有端末で申請があったもののみが有効で、他社の人が会議室などに来ても接続できない環境を実現している。また、ゴースト端末の接続拒否機能により、アンチウィルスソフトやセキュリティパッチなどが適切な状態になっている端末だけを、社内ネットワークへ接続許可する。指定期間以上社内ネットワークに接続していない端末は一時失効で接続不可となり、最終的には制限期日を越えると抹消される仕組みになっている。

また、管理性の強化も大きなメリットとなった。証明書の導入作業も同社の情報システム本部にて実施し、確実なネットワーク接続端末把握が可能となった。無断接続できない為、情報システム本部への端末接続申請は定常化し、加えてMACアドレス認証の併用により社内ネットワークに接続する全ての端末を捕捉可能になり、端末が社内ネットワークに接続・切断された時刻とポートの把握が実現した。端末の接続先ポートが把握できるので、設置場所の追跡がより容易になり、定期的に各フロアのポートを監視、端末がどのフロアのポートに接続しているか、また、不正接続ネットワーク HUBの検出(カスケード接続検出)が可能となった。 今回の取り組みでの申請用ワークフローシステムの構築により、情報システム本部との迅速な連携が可能となり、利便性も向上している。

  導入効果総括
図:導入効果総括
  [拡大画像を表示] このリンクをクリックすると、新しいウィンドウが開きます
今回のプロジェクトの大きな教訓は、端末の管理は台帳管理とは違い、ルールで管理することは出来ないということだったと同社中尾氏は痛感した。常に、実際の状態を把握し、陳腐化しない、属人性に頼らない端末管理プロセスが重要ということだ。今回は、この「仕組み」を作ったことにより、「実際」に接続された端末とその位置の把握が可能になり、申請した端末しか接続できない環境を作り上げることができた。単なるルールではなく、仕組みで多面的にコントロールすることが実現したということだ。

今後も同社は積極的にこのシステムを拡張していく予定だ。
  • DHCP利用(端末へのIP自動割り当てシステム)
  • 無線LAN利用(無線LANでの端末認証)
  • リモートアクセス時の端末認証(ネットカフェなどからのアクセス排除)
  • サーバアプリ(顧客情報サーバ)からの端末特定時にPOPSデジタル証明書を利用
  • IPアドレス管理システムとの提携(端末統計データとしての活用)
  など様々な応用を図り、便利で安全な端末環境を実現していくにあたっても、引き続きHPに期待する。  

  本ページに記載されている情報は取材時におけるものであり閲覧される時点で、変更されている可能性があります。予めご了承下さい。  
Acrobat Readerダウンロード PDFファイルをご覧いただくには、Adobe® Reader®が必要です。
アドビシステムズ社のウェブサイトより、ダウンロード(無料)の上ご覧ください。
印刷用画面へ
プライバシー 本サイト利用時の合意事項 ウェブマスターに連絡
© 2008 Hewlett-Packard Development Company, L.P.