専用機もルーターも統合して年間数百万円のコスト削減

パロアルト導入の東急建設曰く「本当に遅くならなかった」

2011年10月18日 06時00分更新

文● 大谷イビサ／TECH.ASCII.jp

準大手ゼネコンの東急建設は、パロアルトネットワークス（以下、パロアルト）の「PA-2050」をインターネット接続用のファイアウォールとして導入した。UTMではなく、「次世代ファイアウォール」を謳う同社の製品を導入したのはなぜか？

次世代ファイアウォールでなにが変わったか？

2012年春にオープンする予定の「渋谷ヒカリエ」

　東急建設は東京都渋谷区に本社を置く準大手ゼネコンで、東急グループの一員として、東急電鉄沿線の再開発プロジェクトや鉄道関連工事を行なうとともに、全国で商業施設や住宅の建設、インフラ整備まで幅広く手がけている。最近では渋谷東急文化会館跡地に建設中の複合商業施設「渋谷ヒカリエ」の施工も担当しており、2012年春のオープンに向け、急ピッチで工事を進めている。

　この東急建設は、2011年8月にパロアルトネットワークスの「PA-2050」を全社ネットワークのインターネット接続用ファイアウォールとして導入した。3400台のクライアントPC、現場とあわせて350～400拠点のトラフィックを2台のPA-2050が一元的にさばいており、ますます凶悪化する攻撃やマルウェアの脅威から社内システムを防御している。導入により性能面の懸念が完全に解消されたほか、複数のセキュリティ製品を統合したことで保守コストも大幅に削減。さらに「次世代ファイアウォール」を謳うパロアルト製品のアプリケーションやユーザーの可視化機能をフル活用し、高いセキュリティを実現したという。以下、導入までの経緯を聞いてみよう。

東急建設が導入したPA-2050

インターネットが遅くて処理が追いつかない

　東急建設の情報システム部がシステムの入れ替えを検討し始めたのは、2010年初頭。2004年の旧システム導入から時間が経ち、サーバーやネットワーク機器が老朽化してきたため、インターネットのトラフィックの急増にシステムが追いつかなくなってきたからだという。

　旧システムでは、ファイアウォールとしてチェック・ポイントの「Firewall-1」、アンチウイルスゲートウェイとしてトレンドマイクロの「InterScan WebSecurity Suite」、Webフィルタリングとしてデジタルアーツの「i-FILTER」などのソフトウェアベースのセキュリティ製品を多段構成で使っていた。しかし、「社内のクライアントPCをXPからVistaに入れ替えてからトラフィックが増え始め、プロキシのアンチウイルス処理が間に合わなくなってきました。昼休みになるとインターネットにつながらないという事態すら起こってきました」（東急建設管理本部　情報システム部　システムセンター（インフラ担当）前保俊洋氏）という。また、ソフトウェアベースの製品だったため、毎年払うライセンスコストも負担となっていた。

東急建設の旧システムのネットワーク構成

　こうした状況に対し、情報システム部では複数のセキュリティ機能を統合したUTMを念頭に置いたセキュリティ機器の刷新を検討しはじめ、導入の第一候補として遡上にあがったのがパロアルトのPAシリーズだという。実は「当初、SIerさんからはフォーティネットやジュニパー、ウォッチガードなどの機種が上がってきて、パロアルトのPAシリーズは候補にありませんでした」（前保氏）とのことで、最初の提案では候補に入っておらず、東急建設からのリクエストで提案に入れてもらったというのが実情だ。これを受け、パロアルト製品の販売やサポートで高い実績を持つテクマトリックスが、2010年の5月に詳細な説明に訪れたという。

東急建設管理本部　情報システム部　システムセンター前保俊洋氏

　パロアルトのPAシリーズでもっとも魅力に感じた部分を聞くと、UTMと違ってパフォーマンスが落ちない点という答えが返ってきた。UTMは、ファイアウォールやアンチウイルス、Webフィルタリングなど多くのセキュリティ機能を統合するのが大きな売りだが、同時に利用すると性能ががくっと下がってしまうという弱点を持つ。「もともと処理能力が足りないという点で更新を検討していたので、性能は譲れませんでした。でも、どのベンダーもUTMのすべての機能を使うとパフォーマンスが落ちるのでおすすめできないというのです」（前保氏）とのことで、結果として性能を確保しようとすると高価な機種を導入しなければならない現状を指摘する。その点、すべてのフィルタリング機能を単一のエンジンに統合したパロアルトのPAシリーズでは、スペック通りの性能が実現できるという売りだったという。

　こうしたパフォーマンス面での要件が大きかったが、やはり次世代ファイアウォールならではのアプリケーションやユーザーの可視化も一因だ。

　もとより、建設業においては複数の企業で構成される共同企業体（JV）という組織形態があり、他社のPCを自社ネットワークに接続させるのは当たり前のように行なわれているという。また、電子入札を行なうためには、LDAPのようなディレクトリサービスが必須で、入札用のアカウントを適切に管理する必要がある。こうした環境でセキュリティを確保するため、ユーザーの動向をきちんと可視化したかったというのが、パロアルト製品導入の背景にある。前保氏は「弊社ではActive Directoryでユーザー管理を行なっていますので、ADとファイアウォールを連携させてアクセスを制御したいと思っていました」と話す。

　こうしたユーザーの詳細な制御は、アプリケーションのフローを詳細に精査するPAシリーズでは、まさにお手の物だ。

スループットは大幅に向上！運用コストも削減

　性能や機能面でニーズに応えることは確認できたが、導入したあとに性能が出ないと困るため、テクマトリックスの協力のもと実機を使った検証を行なったという。「本当にパロアルトでいけるのか、やはり心配だったので、本番環境にPA-2050をインラインで差し込んでパフォーマンスが低下しないか調べました」（前保氏）とのこと。100MbpsのWANにつないだガチンコの検証を行なった。この結果、処理能力や機能面が充分であることが確認できたため、即導入を決定。2010年8月に導入作業が行なわれ、テクマトリックスにより詳細設定を施されたあと、下旬には本番運用になった。

PA-2050を2台の冗長構成で挿入した新ネットワーク

　導入効果としては、当然ながら旧システムで起こっていたインターネットの性能劣化が解消されたことが挙げられる。管理本部情報システム部システムセンターセンター長の吉村典之氏は、「おそらく20Mbpsくらいスループットは上がっています。WAN回線のほうがボトルネックになってきたので、ファイアウォールとしての性能はまだ余裕がありますね」とのこと。専用機を廃したにもかかわらず、セキュリティレベルはむしろ向上しており、前保氏は「感覚的にはウイルスの検知精度は以前と同レベル。スキャンの仕方が変わったので、誤検知の傾向が変わったくらいです。ただ、以前に比べてスパイウェアの検知率が上がりましたね」と説明する。一方で、Webフィルタリングの精度だけは下がったという。従来使っていたi-FILTERは国産データベースを用いた専用ソフトだっただけに致し方ない部分はあるが、海外製のパロアルトのPAの弱点といえるようだ。

管理本部情報システム部システムセンターセンター長吉村典之氏

　意外と大きかったのが、コスト削減の効果だ。吉村氏は「以前はファイアウォールで2台、プロキシで4台なので、サーバーだけで6台。このハードウェアの保守費用に加え、OSや各ソフトウェアのサブスクリプションコストがかかっていました」と話す。さらに、シスコのルーターまで廃し、PA2050をルーターとしても利用している。年間数百万円のコスト削減につながったという。エンタープライズ向けのファイアウォールだけにPAシリーズも決して安価ではないが、短期間で投資が回収できると踏んでいる。

　もちろん、アプリケーションやユーザーの可視化機能も活用している。ユーザーがどのようなアプリケーションを使っているかをGUIから一元管理できるので、利用状況の把握に役立っているという。「ポリシーレベルを見直す際にも、より本質的な対応が期待できます」（吉村氏）ということで、きちんと見える化されたことに意義を感じているという。

　速度が低下しないファイアウォールとしてパロアルト製品を導入した同社。コスト削減やユーザーやアプリケーションの見える化まで実現し、非常にお得な買い物をしたようだ。

■関連サイト

ツイートする

カテゴリートップへ