富士フイルムグループは2009年1月、セキュリティ対策が不十分なPCを社内LANから閉め出す検疫ネットワークの全国展開を完了した(表1)。全社導入していた運用管理ツールの情報を活用することで、安価に実現した。PCの管理を徹底していれば、新しい課題への対応が容易になることの好例だ。
| 会社名 | 富士フイルム |
|---|---|
| PC台数 | 約2万台 |
| プラットフォーム化の手法 | ツール/新技術活用、標準化 |
| 効果と主な取り組み | ツールで集めた情報を活用して独自の検疫ネットを構築。ベンダー製品を利用する場合に比べ10分の1程度にコストを抑えた。2万台のPCは段階的に検疫ネットに移行させた |
| 利用している主な製品/サービス | クオリティの「QND Plus」 |
同社が構築した検疫ネットワークは、ウイルス感染や社内LANへの不正侵入を防ぐ仕組み。20数社ある関連会社を含め、対象となるPCは約2万台に及ぶ。富士フイルムの情報システム子会社、富士フイルムコンピューターシステムの湯川立哉システム事業部ITインフラ部部長は、「手持ちの運用管理ツールが収集した情報を使うことで、検疫ネットを10分の1以下のコストで実現できた」と話す。
当初見積もり10億円に対し1億円で実現
富士フイルムは当初、検疫ネットワークの実現コストを「10億円は下らない」(湯川部長)とみていた。「専用ソフトを導入したり、既存のスイッチを検疫ネット用の認証機能を持つ機種に入れ替えたりしなければ、典型的な検疫ネットは構築できない」(同)ためだ。だが実際には、1億円程度で済んでいる。資産管理の目的で導入していたツールの情報を活用することで、コストを抑えつつ、セキュリティを強化したのだ。
コスト削減につながった策は、運用管理ツール「QND Plus」のサーバーとDHCPサーバーを連動させたこと(図1)。各PCのハードウエアやソフトウエアの構成情報は、QND Plusを使って日々収集している。収集情報の中には、Windowsパッチの適用状況やウイルス対策ソフトの定義ファイルのバージョンが含まれる。これらを活用し、検疫ネットを自前で構築した。
富士フイルムの検疫ネットの具体的な動きはこうだ。利用者がPCを立ち上げると、PCは社内LANに接続するためにDHCPサーバーにIPアドレスの割り当てを要求する。DHCPサーバーはMACアドレスを基に、そのPCのWindowsパッチ適用状況やウイルスバスターの定義ファイルのバージョンをQND Plusのサーバーに問い合わせて確認する。その結果、最新のパッチファイルが適用されていないなど、セキュリティ上の問題があると判断したら、社内LANへの接続を拒否する。
