Special
» 2020年11月12日 10時00分 公開

検知、対応を含めセキュリティ対策を迅速化:コスト削減とセキュリティの強化を実現、住友生命が採用したマネージドWAFとは

ITを活用してお客さまに安心や満足できるサービスを提供するため、デジタル化を加速させている住友生命。同社は、IT運用とセキュリティを強化しながら、運用管理の負荷やコストの大幅削減に成功した。そのポイントはどこにあるのだろうか。

[PR/@IT]

 デジタル化の取り組みでは、クラウドをはじめとする新しい技術の活用やセキュリティの強化が重要になる。特に、お客さまとの接点であるWebサイトやWebアプリケーションでは「安心」「安全」なサービスを提供するために万全のセキュリティ対策が求められる。

 また、新しい技術を導入したり、セキュリティを強化したりする際には、導入や運用管理のコストや負荷も考慮しなければならない。新たなIT基盤やセキュリティ製品を導入したにもかかわらず、これまでよりもコストがかかったり、運用管理負荷が増えたりしてしまっては本末転倒だ。余計なコストや負荷がかかることで、サービス品質の低下につながる恐れもある。

 そんな中、住友生命保険(以下、住友生命)は、デジタル化の取り組みを加速させるためにマネージドWAF(Webアプリケーションファイアウォール)サービスを導入し、既存IT基盤の運用体制やセキュリティを見直すことで、ランニングコストの削減とセキュリティの強化を実現した。住友生命と同社のIT運用を担うスミセイ情報システムに、コスト削減とセキュリティ強化を実現できたポイントを聞いた。

デジタル時代に向け新たなサービスを展開する住友生命

 「あなたの未来を強くする」をブランドメッセージに掲げ、お客さまに安心・満足を届けるために商品やサービスを提供している住友生命。運動や健康診断などポイント化して評価する仕組みを通じて健康リスクを減らすプログラム「Vitality」は、これまでにない新しい保険商品としてお客さまからの支持を得ている。

ALT 住友生命保険
情報システム部 システム業務室
主任 森 大樹氏

 住友生命が提供する商品やサービスの新規システム開発を中心に、他社向けシステムの開発、既存システムの保守・運用を担っているのがスミセイ情報システムだ。「三者繁栄(お客さま・会社・従業員)」の経営理念に基づき、ITサービス事業を通じて新たな価値を創造する同社は、コロナ禍でのお客さま対応やデジタル変革の流れを受け、デジタル化への取り組みを加速させている。住友生命の情報システム部 システム業務室で企画・開発を担当する森 大樹氏はこう話す。

 「住友生命では、3カ年計画の下、デジタルを活用した新たなサービスの開発や社内での業務改革に注力しています。Web会議システムでお客さまと面談する仕組みや社内向け研修、バックオフィスのデジタル化などの取り組みを加速させています」

 デジタル化の取り組みで重要になるのがセキュリティだ。住友生命の情報システム部でシステムリスクやセキュリティを担当するシステムリスク管理室の坂村素数氏はこう話す。

 「お客さま情報や社内の重要情報を保護するために、これまでもさまざまなセキュリティ対策を実施してきました。デジタル化の取り組みを加速する中、さらなる強化の必要性を感じて、データセンター設備の見直しやクラウドの活用を含め、セキュリティ体制の刷新に取り組んでいるところです」

 そんな住友生命が2020年5月に公開したお客さま向けの情報提供サイトを保護するため、新たに採用したのが「IIJマネージドWAFサービス」だ。IIJマネージドWAFサービスの導入プロジェクトを指揮したスミセイ情報システムの釜山俊和氏はこう話す。

 「従来はアプライアンスを自社で運用することを基本にしていましたが、さまざまな課題がありました。デジタル時代に合った新しいセキュリティ体制を構築することが求められるようになり、その一環として導入したのがIIJマネージドWAFサービスです」(釜山氏)

ALT IIJマネージドWAFサービスを導入した住友生命のシステム構成(出典:IIJ)《クリックで拡大》

お客さま向けWebシステムの運用保守コストの削減とセキュリティ対応スピードの向上

 IIJマネージドWAFサービスは、F5 Networks(以下、F5)が提供する高性能なWAF(Webアプリケーションファイアウォール)エンジンを活用して、Webシステムの脆弱(ぜいじゃく)性を突く攻撃を検知、防御するWAFサービスだ。IIJのセキュリティエンジニアが運用するクラウド型のマネージドWAFサービスで、セキュリティ強化と運用効率向上を両立できる。

 住友生命では、以前からIIJのメールセキュリティ「IIJセキュアMXサービス」やWebセキュリティ「IIJセキュアWebゲートウェイサービス」、インシデントを早期検知する「IIJ C-SOCサービス」などを活用し、社内向けセキュリティを強化してきた。一方、お客さまが利用するWebシステムは、それぞれの機能で定評のある機器を各ベンダーと個別に契約しデータセンターにアプライアンスを導入することが基本だったが、運用の手間とコストに加え、複数のアプライアンスの運用にそれぞれのスキルが必要であることも課題となっていた。

 「ファイアウォールやIPS(不正侵入防止システム)、WAFなどのアプライアンスがありました。それぞれの分野で実績のあるベンダーと契約し、より強固なセキュリティを実現する狙いでした。ただ、昨今のように脅威が多岐にわたり、高度化してくると、運用が複雑化し、アプライアンスを保守する工数やライセンスコストも増えていきます。デジタル化を加速すれば、この課題はさらに大きくなることが予想されました」(森氏)

ALT 住友生命保険
情報システム部 システムリスク管理室
上席調査役 兼 リスク管理統括部
上席部長代理 坂村素数氏

 そこで、検討したのがアプライアンスの集約とクラウドサービスの活用だった。必要な機能を提供するアプライアンスをIIJに集約し、マネージドサービスとして利用することで、運用保守コストの低減とセキュリティの強化を図った。

 「これまでIIJ C-SOCサービスを利用してきた中、分析精度の高さや検知から対処までのスピードが速いことを高く評価していました。データセンターで運用していた複数のアプライアンスもIIJに集約することで、従来の品質を保ちながら運用効率の向上が期待できました。加えて、IIJが提供していたSIEM(Security Information and Event Management)などと連携させることで、セキュリティを強化できると考えました」(坂村氏)

 データセンターで運用していたWAFは、F5の「BIG-IP Application Security Manager(ASM)」だった。IIJマネージドWAFサービスのエンジンもF5のものであり、これまでの運用実績と信頼性から採用の決め手となった。

IIJの各種サービスを連携させ、運用の効率化とセキュリティ強化を図る

 住友生命がIIJマネージドWAFサービスを高く評価した理由は3つある。

 1つ目は、クラウド型マネージドWAFサービスとして簡単・手軽に導入できることに加え、日々の運用負荷を大幅に下げられることだ。

ALT スミセイ情報システム
基盤システム第1部 上席システムエンジニア
釜山俊和氏

 「2020年1月にテストし、従来と同等の品質が確保できることを確認しました。その後すぐに移行作業を開始し、4カ月後の2020年5月には本番環境でサービスを開始しました。期間は短かったものの、実のある検討ができました」(釜山氏)

 運用負荷の低減については、ファイアウォールとIPSを統合し、WAFとともにIIJのマネージドサービスとして利用する態勢にした。これにより、オンプレミスで運用していたアプライアンスがほぼ全てクラウドサービスに移行することになり、運用管理が不要になった。

 2つ目は、IIJのSIEMと連携した分析精度の向上とセキュリティ対応のスピードアップだ。分析精度や検知速度は、IIJ C-SOCサービスで信頼感を得ていたものの、WAFでも同じような水準が維持できるかどうかには懸念もあったという。

 「最も懸念していたのは誤遮断です。WAFはWebレイヤーの攻撃を守るものですが、Webレイヤーでは本来の業務通信も同時に行われています。怪しい通信を止めようとして、誤って業務通信まで遮断してしまうと、お客さまに迷惑を掛けることになります。実際に検証したところ、サービスが標準で提供するパターンファイルと初期設定、エージングだけで、業務通信を誤遮断することなく、運用できることを確認できました。こうした検知精度の高さには、IIJのセキュリティアナリストやセキュリティコンサルタントの知見、ノウハウが生かされています」(坂村氏)

 3つ目は、IIJのネットワークサービスとの連携だ。住友生命では、IIJマネージドWAFサービスの導入に合わせ、「IIJマネージドファイアウォールサービス」の採用と、インターネット接続帯域の増速も実施した。これまで社内通信は、Web会議などのサービスでお客さまと面談する際や、社員が社内ネットワークにアクセスする際に利用されていたが、デジタル化の取り組みとともに、回線が逼迫(ひっぱく)しやすくなっていたという。

 「インターネットゲートウェイを用いてWeb会議などの通信を対象に通常のインターネット回線を併用することで、体感速度を向上させ、従業員満足度やお客さま満足度につなげることを目指しました」(森氏)

IIJマネージドWAFサービスが住友生命にもたらした効果は?

 2020年5月から正式稼働したIIJマネージドWAFサービスは、これまでにその効果を確認できているという。

 まずは、運用コストの削減だ。WAFをはじめ、ファイアウォールやIPSなどを集約し、運用基盤をクラウドに移行したことで、これまでオンプレミスで自社運用していたアプライアンスのライセンスコストや保守コストが大幅に削減できた。

 「アプライアンスのメンテナンスに加え、アプライアンスごとにSOC(Security Operation Center)サービスを利用しているケースもありました。それらも基本的にはIIJに集約しました。直接的なコスト削減額の大きさはもちろん、運用負荷が大幅に減り、さまざまなリソースを付加価値のある作業に向けられるようになりました」(釜山氏)

 また、サービスの品質向上という面でも大きな効果を確認している。IIJのセキュリティエンジニアがコンサルティングから脅威対応までをしてくれるため、複雑化・高度化する脅威に対しても不安感なく迅速に対応できるようになったという。

 「攻撃状況の把握や防御設定の変更、ログの確認などには高度な知識が求められます。われわれだけで対応できない場合も、すぐにIIJのエンジニアと連携できることは大きな安心感につながっています」(坂村氏)

 ダッシュボードの使いやすさや日本語対応なども、運用品質の向上につながっているという。オンプレミスのF5製品では英語ユーザーインタフェース(以下、UI)のまま使っていたが、IIJのマネージドサービスでは、IIJのダッシュボードにおいて日本語UIでの管理が可能になる。また、Web UIを使って、Webサイトごとの攻撃状況などをグラフィカルに確認できる。専門知識が少ない担当者でもセキュリティ管理がしやすくなったとのことだ。

 デジタル化の取り組みに向けたITインフラの整備という点でも効果が確認できた。WAFと併せて導入したインターネットゲートウェイでは、柔軟に短期間で増速ができたためWeb会議の際にネットワークの逼迫を未然に防ぐことができた。

 「お客さまのニーズを深掘りし、安心してサービスを利用していただくには、ITインフラの整備とセキュリティの確保が欠かせません。お客さまとの非対面でのコミュニケーションをはじめ、デジタル技術を活用した新しいサービスを強力に推進していく予定です」(森氏)

 ビジネスが大きく変わる中、ネットワークとセキュリティの在り方も大きく変わっている。「IIJの強みは今後さらに生きてくることになるでしょう」と3氏は口をそろえた。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社インターネットイニシアティブ、F5ネットワークスジャパン合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年11月18日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。