 |
 |
|
|
|
| |
スーパーマーケットなど、多数の店舗を展開する小売業のネットワークには、多くの“セキュリティの危機”が存在します。各店舗のPOSシステムはほとんど無防備状態。また、国内外の子会社や工場、協力会社のセキュリティを統合的に管理・維持することは実際には困難。たとえ関連企業各社を広域イーサネットで接続し、セキュリティを強固にしていても、1つの契約工場がウイルスに感染してしまえば、すべての企業を巻き込んだ大規模なシステム障害が発生してしまうのです。
では、このような小売業のネットワーク特有の問題をどうすれば解決できるのでしょう。以下に、国内外に約300店の店舗を展開する大手小売企業「ヤマトヤ(仮称)」が、大規模ネットワークのセキュリティを容易かつ高いレベルで実現したケースをご紹介します。 |
|
|
 |
|
|
|
|
| |
国内外に計300の店舗、数社の子会社、海外工場を擁する「ヤマトヤ」では、各社・拠点を広域イーサネットで接続。ウイルスの侵入や悪意ある攻撃を防ぐ対策を施していました。しかし、こうしたネットワーク環境にも、下記のような問題が存在していたのです。 |
|
|
| |
● |
万一、店舗の端末がウイルスに感染してしまうと、ネットワークを経由し、本社にも感染や攻撃が及んでしまう。 |
|
|
|
| |
● |
本社のみを強固にしても、接続しているグループ会社や工場間での感染・攻撃は防げない。 |
|
|
|
| |
● |
子会社や海外工場のセキュリティ対策は各社に一任しているため、セキュリティ・レベルを維持しにくい。 |
|
|
|
| |
● |
子会社や海外の工場は独自にインターネットに接続しているため、何度もウイルス侵入や攻撃の被害があっている。 |
|
|
|
| |
● |
店舗のWindowsベースのPOSシステムは特有のOSのため、セキュリティソフトが未対応。パッチの適用も行なえない。 |
|
| |
|
 |
|
|
| |
万全のセキュリティ対策が取れない「ヤマトヤ」の大規模ネットワークには、結果的に数多くのバックドアが存在することになり、下記のような攻撃を受け、多大な被害を受ける結果になりました。 |
|
|
| |
▼契約工場の脆弱性を突かれ、DoS攻撃による被害はIP-VPN全体に
|
|
|
| |
 |
|
|
| |
(1) |
ネットワーク内のトラフィックが激増! |
|
|
|
| |
(2) |
原因を調査してみると、海外の契約工場から送信されてくる大量のスパムメールだった。 |
|
|
|
| |
(3) |
その工場では本社が用意した広域イーサネットとは別に、インターネット用の回線を勝手に使用していた。 |
|
|
|
| |
(4) |
その結果、インターネットを経由し、セキュリティ対策の弱い工場がウイルスに感染し、工場内のPCがボット化され、イーサネットに向けて大量のスパムメールが送信されていた。 |
|
|
 |
|
 |
|
|
| |
このようなセキュリティの脆弱性を改善するため、「ヤマトヤ」では約300の店舗と関連会社にセキュリティの必須である『ファイアウォール/IPS/アンチウイルス』の導入を決定しました。 |
|
|
| |
● |
ファイアウォール/IPS…広域イーサネット内でのDoS攻撃やネットワーク型ウイルスのボットによる攻撃パケットの防御 |
|
|
|
| |
● |
アンチウイルス/広域イーサネット内のメールのウイルスチェック |
|
|
| |
早速、それぞれのセキュリティ機能をもつ専用機を検討を行なったものの、『機能ごとにベンダーがバラバラになるため、管理負担が大きい』『ログの管理が大変』『コストが高くついてしまう』といったデメリットがあることが明らかに。こうした問題を解決するセキュリティ対策として、「ヤマトヤ」が最終的に選択したのがUTM(統合脅威管理
)アプライアンスでした。 |
|
|
 |
|
|
| |
UTMの導入を決定した「ヤマトヤ」が、選定の条件に挙げたのは下記の2つのポイントでした。 |
|
|
| |
【管理ツールの充実】 |
| |
● |
何百台にもおよぶUTMの、すべてのログ(ファイアウォール/IPS/アンチウイルス)の一括管理が可能であること |
|
|
|
| |
● |
ウイルスパターンや攻撃パターンのシグネチャの集中管理(配信/受信ステータス)が可能であること |
|
|
|
| |
|
|
|
|
|
| |
【故障発生時の迅速な対応】 |
| |
● |
たとえば店舗のように、専門的な知識・スキルをもつスタッフ不在であっても、修理交換と設定の引継ぎ等が容易に行なえること |
|
|
 |
|
 |
|
|
| |
【FortiGate】の導入によって、「ヤマトヤ」のネットワークのセキュリティレベルは大幅に向上すると同時に、今後発生するであろう未知の脅威に対しても、【FortiGate】が有効な対策になることが期待されています。 |
|
|
| |
▼Fortigateを導入した「ヤマトヤ」のネットワーク構成(概要図)
|
|
|
 |
|
 |
|
 |
|
|
|
|
| |
| ■FortiManager |
|
■FortiAnalyzer |
| 複数の【FortiGate】のポリシーを集中管理し、ファームウェア、シグネチャのアップデート、設定変更を行うための統合ツール。保守運用管理の負荷を大幅に軽減することができます。 |
|
複数の【FortiGate】からログデータを収集し、分析するソリューション。高度なレポート機能とネットワーク利用状況の管理機能などを搭載しています。 |
|
|
|
 |
|
 |
|
|
|
 |
|
|
|
|
| |
【FortiGate】の設定を、予めUSBメモリー【FortiUSB】に保存しておけば、万一の障害時のリストアも簡単に行うことができます。システムの動作に問題が発生したケースやハードウェアの障害によって、製品を交換した場合でも、このUSBを接続し、再起動するだけで、以前の設定を新しい本体に反映させることができます。 |
|
|
| |
※本文中に登場する企業名は全て架空の物であり、実在する名称とは一切関係ありません。 |
|
