第6回 サイバー攻撃から企業・組織を守るフォーティネット「ユーザー事例」

クラウドサービスの活用を見据えたサザビーリーグのチャレンジ

3台のハードウェアを1台のFortiGateに集約　使い勝手を変えずにプロキシサーバを入れ替え

• 
• シェア
• ツイートする
  一覧
• 

　衣食住の分野にまたがり多様なブランドを展開しているサザビーリーグでは、サポート期限到来を機に、インターネットやクラウドサービス利用時に代理接続を担うプロキシサーバをFortiGateに移行した。従業員の体感を変えることなく、それまでロードバランサーも含め3台のハードウェアで構成してきた仕組みを1台に集約し、ランニングコストを大きく削減した。

サザビーリーグのWebサイト

リアルな体験を重視しつつもデジタル技術の活用にフォーカス

　「クリエイティブリテイラーとして半歩先のライフスタイルを提案する」ことをミッションに掲げ、「アフタヌーンティー」をはじめ、アパレルや服飾雑貨、飲食・サービスなど幅広い領域で約45のブランドを展開しているサザビーリーグ。同社は各社内カンパニーやブランドの特長を生かしつつ、IT技術を活用して、顧客のよりよい体験や価値向上につなげていく課題に取り組んでいる最中だ。この取り組みを技術的に支えている部署がIT統括だ。「我々は店舗にいるスタッフ、販売する商品、お客様を迎え入れる店舗、つまりリアルな体験を重視して事業を展開してきました。今、それらに加えてデジタル技術にフォーカスし、今までできなかったサービスを実現しようとしています」（サザビーリーグ 執行役員　IT統括 コーポレートシステム部 部長 石橋 晃氏）

株式会社サザビーリーグ 執行役員 IT統括 コーポレートシステム部 部長 石橋 晃氏

　IT統括では事業ごとのアプリケーションの開発だけでなく、それを横串で下支えするインフラの構築・運用を担っている。「約70名ほどの体制で、ベンダーコントロールだけに終わるのではなく、企画から設計開発、運用に至るまですべてをカバーし、グループ会社全体のシステムインテグレーターの位置づけで運営しています」（石橋氏）

NGFWの印象が強かった「FortiGate」をプロキシサーバとして採用

　そうした横串の1つが、社内からインターネットやクラウドサービスを利用する際にフォワーディングやフィルタリング、認証を行い、適切なセキュリティやサービス品質を保つプロキシサーバだ。

　サザビーリーグはそれまで、本社・拠点はもちろん、大小さまざまな店舗や倉庫につながる約2,300台のPCからのアクセスをいったんデータセンターに集約し、ロードバランサー経由で2台のプロキシサーバに振り分け、「インターネット」「Gmail」「Windows Updateなどのインフラ系」「会計・基幹システム」という用途別に4種類用意していたインターネット回線に振り分けた上で外部に接続していた。また、万一インシデントが起きたときの調査に備え、Active Directoryと連携して認証を行うことで、IPアドレス単位ではなく、「誰」がどんなリソースにアクセスしたかを把握できるようにしていた。

　だが、そのプロキシサーバがサポート期限を迎えることになり、新たな選択肢を模索することになった。当初浮上した選択肢の1つは、クラウドサービスの拡大を踏まえたクラウドプロキシへの移行だ。しかし、いったんインターネットに出てからデータセンターやオンプレミスに接続するのでは通信が折り返す形となり構成が複雑化する。用途別のフォワーディングという従来のネットワーク構成に極力手を加えたくないことから、オンプレミス環境にプロキシサーバを導入することが妥当だと考えた。コスト面で考えても、利用し続ける限りランニングコストがかかるクラウドプロキシよりも、アプライアンスに軍配が上がった。

　もう1つの選択肢は、以前から利用してきたプロキシサーバの更新だ。だが、サポート面に不安がつきまとったことに加え、約2,300台の端末に対するフォワーディングやWebフィルタリング、認証といった処理を快適にさばけるパフォーマンスを確保するのは難しいと判断した。

　そうした中で、サザビーリーグが求める複数の要件を満たすことができたのが「FortiGate」だった。「NGFWやファイアウォールの製品だと思っていたFortiGateでしたが、情報収集していく中で、実はプロキシサーバとしても運用できることを耳にしました。詳しく話を聞いてみると、今までの構成を変えることなく導入できることがわかりました」（IT統括コーポレートシステム部 奥 隆宏氏）さらに、インターネットへのアクセスログ収集において必須だったActive Directoryとの連携を、サーバや端末にエージェントソフトを導入する必要がなくそのまま実現できることも、作業に要する負荷やコストを削減できると考え、判断の後押しになった。

株式会社サザビーリーグ IT統括 コーポレートシステム部 奥 隆宏氏

3台のハードウェアを1台に集約しつつ、これまでと変わらぬ環境を実現

　プロキシサーバの置き換えに際しては、実はもう1つポイントがあった。短納期での導入が実現できたことだ。「提案を依頼してから、わずか3ヶ月間で移行を行うのは難しいかもしれないと考えていましたが、フォーティネットに依頼したところ、速やかに実現できるパートナーを紹介してもらい、設定も含め移行作業を期間内に終えることができました」（IT統括 コーポレートシステム部 プロジェクトマネージャー 今上 一樹氏）検証時にはメモリ使用量の急増といった現象に遭遇したこともあった。しかし、すぐにフォーティネットに確認を取り、OSを最新バージョンにアップデートすることで問題は解消され、無事に運用にこぎ着けた。「今も困ったことがあればそのつど確認していますが、レスポンスが早く、文句の付けどころがないと思っています」（奥氏）

株式会社サザビーリーグ IT統括 コーポレートシステム部 プロジェクトマネージャー 今上 一樹氏

　現在サザビーリーグでは、それまでロードバランサー1台とプロキシサーバ2台で構築していた環境を１台のFortiGate 1801Fに置き換えた。本社はもちろん、各倉庫や各店舗のPCからの通信を、4つの仮想ファイアウォールに振り分けながらインターネットにアクセスさせている。もちろん、Active Directoryとの連携によるアクセスログの取得もできる。3台のハードウェアを1台のFortiGate 1801Fに移行することで、データセンターの保守料やランニングコストを大幅に削減しながら、以前と変わらぬ環境を実現した。

移行前と移行後のネットワーク構成

　移行後は、ユーザーから特に声が上がることもないほど、パフォーマンス面でも快適に利用できている。「これまでと変わらず、従業員が特に気にせず使える形で切り替えられたことがメリットだと思います」（今上氏）さらに運用面でも効果を感じている。「GUIが全体的に非常に見やすく、感覚的に『ここを見れば大丈夫』という感じで作られています。また、コマンドラインもわかりやすく自分たちで設定変更できるので、運用という意味でも非常に楽になっています」（奥氏）。以前のプロキシサーバではコマンドにやや癖があり、設定変更のたびに構築ベンダーに依頼する必要があったが、それも不要になった。

クラウドサービス採用が広がる中で、よりよいセキュリティを今後も模索

　この数年で、サザビーリーググループ全体でもGoogle WorkspaceをはじめとするSaaS利用が拡大し、中には事業部門がそれぞれ直接契約しているクラウドサービスもある。基本的にはIT統括側に申請し、許可を得たものをホワイトリストに登録する形でガバナンスを効かせている。事業部ごとの自主性を保つという大方針をベースにしつつ、怪しいサービスはコントロールしている。今後もよりよい顧客体験の実現に向け、クラウドサービスをはじめとするデジタル技術を活用していく方針だ。もちろん、最低限抑えるべきセキュリティの確保やコストなども考慮しつつ、各事業のやりたいことを実現できるような環境作りを模索していく。

　「クラウド移行を進めつつ、どうしても社内に置かなければいけないシステムも残ってくると思います。そこはNGFWでしっかり守りつつ、境界防御だけに頼ることなくゼロトラストセキュリティへの移行も進めていきたいと考えています」（今上氏）。サザビーリーグらしい事業展開に合わせたIT基盤とセキュリティの実現を、引き続きフォーティネットに期待している。

この連載の記事

• 第5回

  sponsored

  「自分たちの工場のセキュリティは自分たちで守る」 現場と一体になって進めたリコーのOTセキュリティ
• 第4回

  sponsored

  クラウド導入を機に「一人一アカウント体制」を整備したNINS　ベスト・オブ・ブリードの10社を統合
• 第3回

  sponsored

  ホテルモントレ、高度化するサイバー攻撃を24時間365日体制のEDR運用で守る
• 第2回

  sponsored

  ニトリはネットワークの運用・管理も「自前主義」　SD-WANで実現したコスト削減とビジネスの進化
• 第1回

  sponsored

  セキュリティを意識しないテレワーク環境を構築した北海道新聞社　自らの保守でランサムウェアの脅威を防ぐ

この記事の編集者は以下の記事もオススメしています

• sponsored

  Gartner Peer Insightsに選出されたフォーティネットの「クラウドWebアプリケーションとAPI保護」