 |
| 図1●TMTマシナリーのネットワーク構成 東レエンジニアリング,村田機械,帝人製機の共同出資で設立され,本社以外は各社のLANの一部をIP-VPNで接続する形態をとる。WAN構築後に村田機械のLAN上にあるシステムを使いたいという要望が出てきたが,セキュリティの問題からそのままアクセスさせるわけにはいかなかった |
2003年6月,TMTマシナリーはまさにこのような状況で悩んでいた。同社は,東レエンジニアリング,村田機械,帝人製機のそれぞれの合繊機械事業を統合する目的で,2002年4月1日に共同出資で設立された新会社。本社以外はそれぞれの親会社の建屋の一部をオフィスに利用している。
こうした特殊な構成のため,冒頭の問題が出てきた。考えた対策はいずれも決め手に欠けるような状況だったが,プロキシ・サーバーでアクセス制御をかける妙案を思いつき,2003年9月に無事解決できた。
親会社のシステムを使いたい
TMTマシナリーは会社の設立以降,約1年をかけてインフラを整備してきた。販売系システムや原価管理システム,旅費経費精算システムなどを構築したほか,2003年3月にはIP-VPNサービスで各拠点を接続した(図1[拡大表示])。
これで必要最低限のシステム環境が整ったわけだが,導入できないでいたシステムが2つあった。クレーム情報や品質改善要求を管理するシステムと,市販部品のコードを管理するシステムである。この2つは新規に構築せずに,村田機械で使っていたシステムをそのまま利用したいという要望があった。使い勝手の良さなどが理由だ。
ただ,「(本社を除く)それぞれの拠点LANでは,親会社の基幹業務システムが動いている。セキュリティ上の問題からそのままアクセスさせるわけにはいかない」(TMTマシナリー 技術本部 加工機グループ 小松稔氏)。TMTマシナリーとして化学合成繊維の分野では協業するが,天然繊維の分野になると東レエンジニアリングと村田機械は競合関係になる。
どの方法も決め手に欠ける
システムとネットワークの構築を手がけたムラテック情報システムが,当初考えた解決策は以下の3つ。(1)村田機械のLAN上にあるシステムと同じものを新規に構築し,村田機械内のTMTマシナリーのLAN上に設置する,(2)IP-VPNのパスを変更した上で,レイヤー3スイッチ(L3スイッチ)でアクセス制御をかける,(3)IP-VPNのパスを変更した上で,ファイアウォールでアクセス制御をかける――である。
しかし,いずれの方法も課題が残り,決め手に欠けるような状況だった。まず(1)は,コストがかかる。DBサーバーは村田機械のLAN上にあるものをそのまま使うにしても,Web/APサーバーは新規に用意しなければならない。また,今後同じような要望が出てくるたびに新規にシステムを構築していたのでは無駄が多い。
(2)と(3)は既存システムをそのまま使う方法。ただし,IP-VPNでは通信事業者に申請した以外の相手とは通信できないようになっている。既存システムのある村田機械のLANは申請していなかった。そのため,村田機械のLANにアクセスするには,IP-VPNのパスの定義を変更(相手先を追加)する必要がある。その上で,L3スイッチやファイアウォールでアクセス制御をかけてセキュリティを確保する。
しかし,(2)のL3スイッチでは実現できるアクセス制御に限界がある。ポート番号やIPアドレスでフィルタを設定できるが,細かく設定すればするほどL3スイッチに負荷がかかる。IPアドレスでアクセス制御をかけても,ユーザー認証なしでは,その端末を使っているのが本来のユーザーかどうか分からないという問題もある。空いている端末を利用して別のユーザーがアクセスすることも不可能ではない。
(3)のファイアウォールによる方法は,ファイアウォールで一度ユーザー認証をしてからアクセスさせれば(2)よりもセキュリティを高めることが可能だが,導入コストがかかる。TMTマシナリーには専任のシステム管理者がいないので維持も難しい。
