PR

 投資や証券などの金融会社を傘下に抱えるSBIホールディングスは2007年4月,トレンドマイクロ製の検疫ネットワーク・システムを導入した。導入の狙いは,40社を超えるグループ会社のクライアント・パソコンのセキュリティ・ポリシーを統一すると同時に,ネットワーク型ウイルスから社内ネットワークを守ること。さらに,データ通信用と通話用のVLAN(仮想LAN)を設けることで,万一データ通信業務にトラブルが発生しても音声業務に影響が出ないようなネットワーク構成に改めた。

統一したポリシー設定が課題

写真1●左からSBIホールディングスITソリューション部の坂本匡弘部長と新宅義秋ネットワーク担当マネージャー
写真1●左からSBIホールディングスITソリューション部の坂本匡弘部長と新宅義秋ネットワーク担当マネージャー

 SBIのグループ企業の数は2007年10月末現在で47社を数える(事業組合を除く)。例えばオンライン証券のSBIイー・トレード証券や電子商取引(EC)決済のSBIベリトランスなど,その多くがインターネット上で金融サービスを提供している。

 「インターネットで顧客にサービスを提供しているので,社内ネットワークのセキュリティをできる限り高めなければならない。そのために,そのときどきの最高のセキュリティ・システムを導入する方針だ」(SBIホールディングスITソリューション部の新宅義秋ネットワーク担当マネージャー,写真1)。

 SBIのグループ企業はこれまで,各企業ごとにウイルス対策を実施してきた。具体的には,クライアント・パソコンごとにアンチウイルス・ソフトをインストールするといった,端末ごとの対策だった。セキュリティ・ポリシーはグループ全体で統一されておらず,各社ごとに異なっていた。

 こうした状況にあったため,「外部から持ち込まれたパソコンを社内ネットワークに接続することを100%禁止するのは難しかった」(SBIホールディングスITソリューション部の坂本匡弘部長)。グループ全体に対して強制力を持った指導ができないため,結局は従業員のモラルに任せることになっていたわけだ。

 従業員のモラルを高めても,例えば投資関連企業の顧客が,プレゼンテーションをするために持参したノート・パソコンをSBIのネットワークにつなぐケースも考えられる。また,セキュリティ・ポリシーが統一されていなければ,内部統制上のリスクも発生する。こうしたことから,グループ全体で,最低限のセキュリティ・ポリシーを設定する必要に迫られていた。

データと音声をVLANで分ける

 検疫ネットワーク・システムの導入に加えて,SBIホールディングスは解決しなければならない課題があった。それは,データと音声を同じネットワークで中継していたことである。社内ネットワークがウイルスに感染してしまったら,音声系にも影響が出る恐れがある。データ通信系のトラブルであっても,IP電話が使えなくなるかもしれない。そうなると,結果的に外部とのコミュニケーション手段を絶たれてしまいかねない。

 こうしたリスクを抱えていたため,ネットワーク・ウイルスから社内ネットワークを守ることだけでなく,ウイルス感染などのトラブルが生じたときでもコミュニケーション手段を確保したいと考えた。

 そこでSBIは,まずセンター・スイッチを使ってネットワークをデータ通信用と音声(IP電話)用の二つに切り分けた(図1)。データ通信用と音声用のVLANをそれぞれ作り,独立に動作するように設定した。これにより,データ通信用VLANにトラブルが生じてもIP電話はその影響を受けずに利用できるようになった。さらに,音声用VLANのセンター・スイッチを,データ通信用VLANのバックアップとして動作するようにした。これによって,データ通信業務においても,BCP(事業継続計画)の強化を図れた。

図1●SBIホールディングスがグループ企業全社を対象に導入した検疫ネットワーク・システム
図1●SBIホールディングスがグループ企業全社を対象に導入した検疫ネットワーク・システム
検疫ネットワークのほかに,Webフィルタリング,コンテンツ・フィルタリングを併用して安全性を高めている。
[画像のクリックで拡大表示]

検疫ネットでも自由度を重視

 検疫ネットワーク・システムにトレンドマイクロの「Network VirusWall Enforcer 2500」(写真2)を採用した理由は二つある。一つは,VLANごとに端末をチェックしてウイルスの感染拡大を防止できる機能を備えていたこと。もう一つは,同じトレンドマイクロのアンチウイルス・ソフト「ウイルスバスター コーポレートエディション」を既に利用していたことだ。

写真2●SBIホールディングスが導入したトレンドマイクロ製検疫アプライアンス「Network VirusWall Enforcer 2500」
写真2●SBIホールディングスが導入したトレンドマイクロ製検疫アプライアンス「Network VirusWall Enforcer 2500」

 検疫ネットワークの導入に当たっては,「ある程度クライアント側に自由を認める」(新宅マネージャー)という方針を立てていた。そのため,端末やMACアドレスを見てパソコンを無条件に遮断するのではなく,ウイルス感染など社内ネットワークにとって致命的なリスクがあるときだけ厳しい措置を取ることにした。具体的には,社内サーバーにアクセスしようとするクライアント・パソコンをチェックして,ウイルス対策ソフトをインストールしていない端末や,ウイルス感染のアラートを発した端末は社内ネットワークに接続させないようにした。

 一方で,致命的なリスクがないのならアクセスを禁止しないこともある。例えば,同社は既存のWebアプリケーションの動作確認ができていないという理由で,Windows Vistaの社内利用を禁止しているが,アクセス禁止の対象にはしていない。こうした対応を実現するために,トレンドマイクロ製の監視ツール「Trend Micro Control Manager」でクライアント・パソコンの状況を監視している。ポリシー違反の端末を発見するとユーザーに警告を発するなどの対策を講じている。

ダウンロードもチェック

 SBIホールディングスは,トレンドマイクロのゲートウエイ用セキュリティ対策ソフト「InterScan Web Security Suite」も導入した。

 目的は,「クライアント・パソコンがインターネットからダウンロードするコンテンツをリアルタイムにチェックすることによって,ウイルスやスパイウエアを遮断するため」(新宅マネージャー)。検疫ネットワークは社内に持ち込んだパソコンからの感染被害は防止できるが,インターネットからのダウンロードをチェックする機能は備えていない。後者の対策として,別途用意したのである。

ここがポイント

目的:ウイルス感染の予防とBCP強化

機器:トレンドマイクロの検疫アプライアンス

導入時期:2007年4月

効果:ユーザーの自由度を保った上で,基盤となる統一的なセキュリティ環境を実現

●会社・プロフィール
連結子会社数: 47社
売上高(連結): 1445億8100万円(2007年3月期)
従業員数(連結): 1680人(2007年3月末)

●ネットワーク・プロフィール
ソフトバンクテレコムの光回線を使ってグループ企業間を結ぶ。検疫ネットワーク導入を機に,データ通信用と音声用のVLANに分けて運用している。