第6話　営業部門システムを全社展開（2）

リモート・アクセスはセキュリティを考慮

2006.08.11

	高橋くん：営業一部のIT推進委員。営業マンとして働く一方，システム部と協力して部内のネットワーク・システムの面倒を見ている。
	島中主任：システム部主任。社内ネットワークを運用管理する中心人物。各部署のIT推進委員からの声を社内ネットに生かすよう活動している。

リモート・アクセスではセキュリティを考慮

島中：続いて，リモート・アクセスの新システムの検討に移るよ。今回は全社で使えるリモート・アクセスのシステムを構築したいと思ってるんだ。

高橋：じゃあ，僕たちが使っているシステムはどうなるんですか？

島中：どうしようかねぇ…。とりあえず，リモート・アクセスの方法については，すでに営業部門で実績のある方法を採用するつもりだ。方法を全社共通にすれば，設定の手間も省けるし，セキュリティ・レベルを統一できて，運用しやすくなるからね。

高橋：そうですね，この前のパソコン紛失のときに得られた教訓＊もありますしね。

島中：うん。問題は，営業部門で使っているリモート・アクセスのしくみを残して他の部署用にもう一つシステムを構築するか，一つのシステムに統合するかという点なんだ。

高橋：そうですね。確かリモート・アクセスのしくみを用意するってことは，セキュリティを高めることと相反するんですよね？だったら，これについては全社用に統一したほうがいいと思います。

島中：よく理解しているね，高橋くん。スゴイじゃないか，どうしたんだい？

高橋：当然ですよ！えへへ。僕たち営業部門では，ファイアウォールとVPN装置＊を兼用して使ってますけど，もし統一しないとなると，もう一つ全社用のVPN装置を用意するってことですよね？そうするとインターネットから社内へつながる口が二つになるから，当然リスクが高くなるってわけです。だったら統一したほうがいいと思ったんです。

島中：うん。今まで構築しながら学んできたことが生かされてきたね。僕は嬉しいよ。じゃあ，リモート・アクセスのしくみは全社インフラ用に統一することにしよう。具体的には，今営業部門で使っているVPN装置だと全社員分の処理には心許ないので，全社用に新しくシステムを構築してそちらへ吸収することになるけどいいよね？

高橋：はい。使い方さえ同じでしたら，誰も文句を言わないと思います。

図3 リモート・アクセス・システムの利用ルール
VPN技術にはIPsecを使う。営業部門のシステムと同様，パソコンは会社のものを使い，指紋認証装置を付ける。
[画像のクリックで拡大表示]

島中：じゃあそうしよう（図3[拡大表示]）。

　リモート・アクセスのしくみを構築するうえで重要なのは，セキュリティと利便性のバランスを考慮することである。今回のケースにおける利便性とは，すでに運用している営業部門での使い方に変更を生じさせないことだ。ただし，サーバー側，パソコン側の両方ともすでに利用している技術や構成を採用するので，使い方の変更はない。

　となると，セキュリティをどう考えるかというのが今回のポイントとなる。IPsec＊によるリモート・アクセスに加えて，パソコン側での指紋認証やハードディスクの暗号化というセキュリティ対策は，すでに稼動中のシステムと変更はない。つまり，単純に社内ネットへの接続口の多さがセキュリティ・リスクの高さにつながることになる。今回のケースでは，システムを統一することで，利便性を保ったままセキュリティを高められる。

運用体制を移行する

島中：となると，新しくVPN装置を用意する必要があるね。これは回線の置き換えと併せて構築する必要があるから，我々情シスで選定するよ。それから，営業部門で使っているファイアウォールのVPN機能をストップするのも，タイミングを見計らう必要があるから我々に任せてもらうね。ただ，現在の利用者のIDとパスワードを移行する必要があるから，その情報は事前にくれるかい？

高橋：はい。ちゃんとドキュメントで最新の状態に管理してるから大丈夫です。役割分担についても今までと同じでいいですか？

島中：そうだね，VPN装置の運用管理は情シス，アカウントやパスワードの管理，アカウントに紐付けされたパソコンの管理は各利用部門ということで問題ないよ（図3）。ただ，今まで使っていたのは営業部門だけだったから，個別の対応で済んでいたところもあるけど，今回からは対象が全部署になるから，ちゃんと運用ルールを決めてマニュアルを作らなくちゃいけないね＊。

高橋：そうですね。マニュアルの作成は僕も手伝いますよ。

島中：それはありがたいな。じゃあ，最後の検討事項に移ろう。これは，営業部門以外の部署が社外や社内に対して情報提供や情報共有するためのインフラやルールを用意することだ。今すぐニーズがあるわけじゃないんだけど，そういう要望が出てきても，一から検討するんじゃなくって事前に決めたルールに沿って検討すればセキュリティ・レベルも保てるし，早く構築できると思うんだ。

●筆者：佐藤孝治（さとうたかはる）
京セラコミュニケーションシステムデータセンター事業部東京運用監視課・責任者
社内，社外のシステム・インフラ導入業務を経て，現在はデータ・センターの構築・運用管理に従事している。