0.はじめに
ライオンのデジタル部門にてネットワークの管理人をやっているRWです。
当社では国内を中心に関係会社も含めて比較的大規模なネットワークを構築・運用していますが、情シス子会社や包括的なITパートナー企業を持たずに、社内リソースを中心として、複数の企業にご協力をいただきながら、安定したネットワークインフラの提供のため日々奔走しています。
当社は1972年には複数拠点間での大型計算機同士の通信(当時の通信速度(1,200bps)を今風に言うと0.0012 M)を利用し、TCP/IP方式のWAN接続も1993年(この時の通信速度(64kbps/ISDN回線利用)は0.064M)から展開している、隠れたネットワーク先進企業(笑)なのですが、近年一般的になってきたSDN(Software-Defined Networking)やSASE(Secure Access Service Edge)といったテクノロジーについても、比較的早い時期から検討・導入を進めてきています(検討はだいぶ以前から進めていたのですが、コロナ禍で一気に加速しました)。
今やWAN構築の標準になりつつあるSDNやSASEなどのテクノロジーによって、従来のWANルー
タを中心とした中央集権型のネットワークから、各拠点がインターネットに直接接続される分散
型、かつセキュアなネットワークへと進化しているわけですが、今回は、当社が2020年頃から段
階的にSDN/SASEを導入し、WANルータレス環境を構築することで、従来の課題を解決し、セキ
ュリティを強化したネットワーク環境を実現した事例をご紹介しようと思います。
1.従来ネットワークの課題と解決策
従来、当社の拠点間ネットワークは主にMPLSベースのIP-VPNによる閉域網で構成していましたが、以下のような問題を抱えていました。
- セキュリティリスクの集中:従来型の境界型防御を中心としたセキュリティモデルであり、インターネット接続口にセキュリティ対策が集中していました。それまで幸いにして大きなインシデントは発生してはいなかったものの、境界型防御を破られた場合には大きな被害が生じるリスクを抱えていました。
- ネットワーク管理の複雑化: 全国の消費者の皆様に数多くの商品をお届けするという事業の性格上、工場や営業拠点など、多数の拠点を全国に展開しており、その全てに対してWAN回線を敷設していたため、WANの管理が複雑化しており、障害発生時の対応が困難でした。
- 柔軟性の欠如:比較的大規模な拠点が全国に複数存在し、均質なネットワークを構成していたため、 新しいサービスの導入や、ネットワーク構成の変更には検討・設計から導入まで比較的時間がかかり、特に工場DXの取組みなどの俊敏性を損なっていました。
これらの課題を解決するために、当社はSDN/SASEを導入し、以下の対策を実施しました。 - WANルータレス構成: 各拠点がインターネットに直接接続されることで、ネットワークの柔軟性とスケーラビリティが向上しました。また、ルータレスによりWAN構成がシンプルになるとともに、WANの一元管理により運用工数が大幅に低減しました。
- SASEによるセキュリティ強化: SASEの提供するセキュリティ機能により、各拠点へのアクセス制御、脅威からの保護、データ漏洩防止などを実現しました。
- ファイアウォールの導入: 各拠点にファイアウォールを配置し、多層防御体制を構築することで、セキュリティレベルを大幅に強化しました。
2.当社のネットワーク再構築の詳細
2-1.ネットワーク環境の刷新
- WANルータレス化: 従来のWANルータを廃止し、各拠点がインターネットに直接接続される構成へと移行しました。
- クラスA IPアドレスへの移行とIPサブネットの最適化: 初期の設計時にはノード数も少なく、従来は全国でクラスB(/16)のIPアドレスを原則として固定(/24)のサブネットで利用しており、特に近年は窮屈な思いをしておりましたが、2023年の本社移転をターゲットにして、クラスA(/8)のIPアドレスに移行し、サブネットも拠点の規模や使途によって柔軟に設定することにしたため、IPアドレスを効率的に利用・管理できるようにしました。
2-2.無線LAN環境の強化
- WLCの冗長化: 無線LANコントローラー(WLC)の冗長化により、無線LANの可用性を高め、業務への影響を最小限に抑えました。
- ゲストWi-Fiの導入: 来訪者用の無線LANを導入し、セキュリティを確保しながら、快適なネットワーク環境を提供しています。
2-3.ファイアウォールの導入とセキュリティ強化
- 各拠点へのファイアウォール配置: それまで、インターネット接続口以外の内部ネットワークではほとんど使われていなかったファイアウォールを、原則として全ての拠点に配置し、外部からの不正アクセスや内部からの情報漏洩を防げるようにしました。
- ファイアウォールポリシーの策定: それぞれの拠点の業務特性やセキュリティ要件に合わせて、きめ細やかなファイアウォールポリシーを策定しました。
2-4.ファイアウォール導入による効果
- 多層防御体制の構築: ファイアウォールを導入することで、ネットワークの入り口で不正なトラフィックを遮断し、内部ネットワークへの侵入を防げるようになりました。
- セキュリティインシデント発生時の影響範囲の縮小: 各拠点にファイアウォールが配置され、拠点内のセグメンテーションも行っているため、ある拠点でセキュリティインシデントが発生した場合も、影響が対象拠点の単一セグメント内など、最小限に抑えることができるようになりました。
- セキュリティ運用の効率化: 各拠点のファイアウォールを一元管理し、それぞれのステータスを遠隔監視することで、セキュリティ運用の効率化が実現しました。
3.今後の展望
今後も、以下の取り組みを進めることで、よりセキュアで高性能なネットワーク環境を実現していきます。
- ゼロトラストアーキテクチャの導入: ユーザーやデバイスに対する認証を強化し、より高度なセキュリティを実現します。
- SASEの機能拡張: SASEの機能を最大限に活用し、ネットワークのセキュリティとパフォーマンスを向上させます。
- AI/MLを活用した脅威検知: AI/MLを活用した脅威検知システムを導入し、未知の脅威に対しても迅速に対応します。
4.まとめ
SDN/SASEの導入と、各拠点へのファイアウォールの配置により、当社は従来のネットワークの課題を解決し、よりセキュアで柔軟なネットワーク環境を実現しました。今後も、最新のテクノロジーを活用し、安全で快適なIT環境を提供していきます。
【技術的な解説】
- SDN:ソフトウェアでネットワークを制御する技術。ネットワークの柔軟性とプログラマビリティの向上に有用です。
- SASE:セキュリティサービスをクラウド型で提供するサービス。ネットワークセキュリティ、ウェブセキュリティ、ZPAなどを統合的に提供します。
- ファイアウォール: ネットワークの境界に設置され、不正な通信を遮断するセキュリティ装置です。
- WLC: Wireless LAN Controllerの略で、無線LANアクセスポイントを集中管理するための装置です。
- ゼロトラストアーキテクチャ: ネットワーク内のすべてのデバイスやユーザーを信頼せず、厳密な認証と認可を行うセキュリティモデルです。
ライオン株式会社のデジタル部門「LDX」が発信するテックブログ「LION Digital Inside」は、ハミガキ、ハブラシ、洗剤などを開発・製造する中で培った“製造業としての強み”と、Webサービス開発の最前線が交差する場所。LDXが最新技術と革新の舞台裏を余すところなくお届けします。
Discussion