1. ホーム > 
  2. サイバーセキュリティ > 
  3. 導入事例 > 
  4. 伊藤忠商事株式会社様

検疫ネットワークシステム iNetSec Inspection Center
伊藤忠商事株式会社様

社内のITセキュリティ基準を検疫ネットワークで統制、
大規模基幹セキュアネットワークを実現する「iNetSec」

ITセキュリティ基準の遵守を、人的統制から検疫ネットワークによるシステム統制に移行、伊藤忠ネットワークに接続するPC全てのセキュリティ状態を担保し、大規模基幹セキュアネットワークを実現。

伊藤忠商事株式会社様(以下、伊藤忠商事様)は、社内ネットワークの安全性を高めることを目的に、検疫ネットワークを導入した。
国内営業拠点を含む全社に導入し、未承認PCのネットワーク接続防止、ウィルス対策ソフト導入徹底といったITセキュリティ基準の遵守をシステムで担保。これまで、IT管理者がITセキュリティ基準の統制にかかっていた負荷の軽減にもつながった。



基幹ネットワークの更なる安定稼動に向けて

伊藤忠商事様では、基幹ネットワークやシステムの安定稼動に向け、社内ルールとしてITセキュリティ基準を策定しそれを運用してきた。例えば、PCのネットワーク接続は許可制にする、あるいは決められた暗号化ツールや資産管理ツールを導入する、当然のことながら、ウイルス対策ソフトやセキュリティパッチを最新にする、等である。セキュリティ基準の統制は、各IT管理者が資産管理ツール等の各種ログ情報を確認し、不適合なPCがあれば利用者に通知する事により実施していた。しかし、このような管理者による人的統制では、PCがネットワーク接続された後の「事後対策」となるため、より安全性の高い「事前対策」に近づけようとすると、管理者負担が増加し、現状の仕組みでは限界であると考えていた。



IT企画部 佐藤 勇治 様

「これまでも、社内でITセキュリティ基準を定めて徹底を図ってきましたが、ITセキュリティ基準の統制力をさらに高めるには、ログやインベントリ情報を確認し、基準に満たないPCが存在した場合、管理者から利用者へ徹底を促すといった従来の統制方法では、管理者の負荷やリソースに限界があるのは明らかでした。そこで、ITセキュリティ基準をシステムで担保できる検疫ネットワークに注目しました。ネットワークを利用する前にシステムでITセキュリティ基準を担保できれば、管理者に負担をかけることなく、情報漏えいなどのセキュリティ事故や、ウイルス被害による社内システム停止といったリスクを格段に低減させることができると考えました。」とIT企画部 佐藤氏は語る。

このような背景のもと、検疫ネットワークを導入し、ITセキュリティ基準の遵守をシステム統制へ移行することに決定した。 伊藤忠商事様における検疫ネットワークの利用目的は、大きく以下3点の統制を行うことであった。

  1. 未承認PCの社内ネットワーク接続を禁止(ユーザ認証、PC個体認証)
  2. Windowsのセキュリティパッチ、ウイルス対策ソフトのパターン更新の徹底
  3. 社内禁止ソフトウェア、導入必須ソフトウェアの適用徹底

ITセキュリティ基準の担保に最適な検疫ツールとしてiNetSecを採用

検疫ツールは、利用者の業務に影響を与えない事と、ネットワークに接続できる個体を厳格に認証することをポイントに選定した。検疫方式は、利用者のこれまでの運用を変更せずコンピュータ起動時に認証・検疫を自動的に実施できる点と、クライアント証明書による厳格な個体認証が行える点を重視し、「IEEE802.1x認証方式」を選択。
製品選定は、2009年1月から3ヶ月間、最終的にIEEE802.1x認証方式をサポートする3社のツールの導入評価を経て、PFU製の検疫ツール「iNetSec」に決定した。これまでの利用者の操作や業務アプリケーションへの影響が最も少なく導入できる点が決め手となった。

大規模環境でスムーズな稼動、セキュリティリスク軽減に期待

実際にシステム導入を担当したのは、伊藤忠グループのシステムインテグレータである伊藤忠テクノソリューションズである。同社は検疫ツールが選定された後、システム設計や利用者への説明などを経て、次の3つのステップで検疫ネットワークを伊藤忠商事様全社に導入した。 今回採用されたIEEE802.1x認証方式は、全スイッチの設定変更が伴うため、相応の工期が必要とされる中、トラブルなく約6ヶ月という短い期間でIEEE802.1x方式/5000端末規模の検疫システムを安定稼動させた。

Step1:サーバ構築とクライアントソフトの全PC導入(約3ヶ月)

検疫サーバの構築と、国内営業拠点のPC全てに、iNetSecのサプリカントソフトウェアをインストールした。

Step2:警告モードを用いて全PCを健全な状態に誘導 (約2ヶ月)

iNetSecのセキュリティチェックで不適合と判定されたPCは、ネットワーク遮断ではなく警告メッセージのみを表示させる運用を行った。これは、最終段階のネットワーク遮断までの移行運用であり、全てのPCを予め健全化することによって、スムーズにネットワーク遮断運用を開始できるようにするためである。

Step3:遮断モードに切り替え、ネットワーク接続するPCがITセキュリティ基準を
遵守したことを担保

システム構成図
<システム構成図>

セキュリティチェックで不適合と判定されたPCはネットワークから完全に排除する本格運用をスタート。
これにより、ネットワークに接続する前にセキュリティ基準がシステム的に完全に担保されるようになった。


導入した検疫ネットワークシステムは、万一のシステム停止でクライアントPCが接続できなくなるといったことがないよう、サーバ冗長化の他、サイト間での冗長化という対策をとった。

「検疫ネットワークシステムに期待したことは、これまで一部運用でカバーしていたITセキュリティ基準をシステムで担保することです。そのために、IEEE802.1x方式を採用することにしました。iNetSec導入により、IT管理者の負担軽減と社内ネットワークに接続したPCのセキュリティレベルを統一することができ、社内ネットワークの安全性向上を実現できました。」(IT企画部 佐藤氏)


企業概要

社名 伊藤忠商事株式会社
東京本社 〒107-8077 東京都港区北青山2-5-1
大阪本社 〒541-8577 大阪市中央区久太郎町4-1-3
設立 1949年12月1日
資本金 202,241百万円
営業所数 国内15店、海外133店
従業員数 4,260名
URL http://www.itochu.co.jp/
事業概要 繊維、機械、情報通信・航空電子、金属・エネルギー、生活資材・化学品、食料、金融・不動産・保険・物流の各分野において、国内、輸出入および三国間取引を行うほか、国内外における事業投資など、幅広いビジネスを展開。

< 2010年3月1日 現在 >


「検疫ネットワークシステム iNetSec Inspection Center」のご紹介はこちら
http://www.pfu.fujitsu.com/inetsec/products/ic/