不正PCの無断接続を完全排除し、セキュリティレベルの大幅向上を実現

創設時より、独立系の道路舗装会社として事業を展開してきた東亜道路工業。同社は、全国に130 カ所以上の事業所を設けているが従業員数が約1000 人のため、1 カ所あたりの規模は大きくない。大きな事業所だと50 人規模のところもあるが、多くは10 人以下だ。事業所で働く社員の多くは道路舗装にかかわる技術者で、その中にはIT リテラシーの高い人もいれば、パソコンに不慣れな人もいたという。

そうした事情から同社では、各事業所にIT 管理担当者を配置出来ないでいた。そのため、社内ネットワークに接続されている端末の利用状況を把握するのが難しい状態だった。そこで、同社の情報システム室は、本社で一括してIT 資産を管理するために、2012 年にエムオーテックス社のIT 資産管理ソフトウェア「LanScope Cat」を導入。このソフトウェアを使って管理するには、端末にエージェントをインストールする必要があるため、社員一人ひとりの端末に同ソフトウェアのエージェントをインストールして運用を始めた。

• 昼夜問わず、ハードウェアタイプで不正なネットワーク利用を防ぎたい
• 既存のIT 資産管理ソフトと連携して、より正確なデバイス管理を実現したい

IT 資産管理ソフトの導入により、各端末の管理は実現した。しかし、新たな問題も生まれた。「IT 資産管理ソフトには、持ち込みPC やエージェントをインストールしていない端末の接続を遮断する『不正PC 検知機能』もあり、当社もそれを利用していました。

しかし、社内ネットワークにどんな端末が接続されているのか、実際にはよく把握できなかったのです」と東亜道路工業　管理本部　情報システム室長の東氏は語る。

その理由は明確だった。ソフトウェアを利用した不正検知の場合、事業所ごとに検知エージェントをインストールし、不正な接続を把握するという仕組みだった。その上検知エージェントがインストールされているのは、ある社員のPC。その社員が帰社時にPC の電源を落としてしまうと、たちまち検知エージェントが機能しなくなる。

「こうしたことから、夜間になると、持ち込みPC やスマートフォンなどの私用端末がつなぎたい放題という状況になっていました」と東氏。しかも「夜間はネットワークにつながる私用端末が、昼間にはつながらなくなるため、『自分が使っている端末が社内ネットワークにつながらない』という問い合わせが増えるようになりました。社員に対して端末がつながらない理由が明確に表示されていたら、こんなことにはならなかったのでは」と管理本部　情報システム担当課長の大熊氏が説明する。

この行き違いは、130 を超える事業所のIT を本社で一括管理するという同社の体制に大きな影響を与えた。同社では、資産管理ソフトのインストールは社員自身の責任に任されていた。そのため、なかには自分が使っているPC にIT 資産管理ソフトをインストールしないまま使用しようとし、ネットワークから遮断されてしまって困惑する社員もいたという。「このときも、なぜ自分のPC がネットワークから遮断されたのかという理由がわからなかったため、社員が困ってしまったのだと思います。中には、PC の故障でつながらなくなったと誤解し、修理に出す人もいました。毎年、PCの入れ替え作業を夏に行っていますが、このときもIT 資産管理ソフトをPC にインストールしていない社員から、『自分のPC が壊れているようだ』という問い合わせが殺到していました」と、大熊氏は語る。

そこで同社は、持ち込みPC などの不正PC を検知し、無断接続を完全に遮断するため、別のシステムを検討することにした。「ハードウェアタイプで、簡単かつコストをあまりかけることなく導入できるものを探すことにしました」と東氏。既に導入し、各端末のIT 資産管理、端末ログ管理などを行っているLanScope Cat も一緒に使いたいと考えていたので、「同製品と自動連携できることも条件でした」と大熊氏。そこで、LanScope Cat の製品サイトで紹介されていた連携製品、ソフトクリエイトの「L2Blocker」に目をつけた。

「L2Blocker であれば、ネットワーク内のARP パケットを自動で読み取り、人手を介することなく不正端末のアクセスを検知、遮断することができます。しかも、LanScope Cat の連携製品として導入できるので、簡単かつ安価に実現できます」と、東氏は評価ポイントを説明する。さらに、東氏はソフトクリエイトがPC ショップだったときから知っていたため、信頼度が高かったという。「ソフトクリエイトは、当時もPC 好きのニーズに応えるマニアックな部品を扱っており、私も何度か買い物に行きました。そんな実力のある会社が提供している製品なら、きっと私たちのニーズに応えてくれるという安心感がありましたね」と笑いながら話す。

2015年8月には、数カ所の事業所で「L2Blocker」の試験的な導入をスタート。そこで問題なく運用できることを確認し、9月にはすべての事業所にL2Blockerを導入した。導入時も、「御社の営業・導入担当者さまのご協力もあり、特に苦労することはなかった」と大熊氏は証言。「L2Blockerを導入したことで、持ち込みPCやスマートフォンの無断接続を自動的に遮断できるようになりました。その際、なぜこの端末がネットワークにつながらないのか、その理由がメッセージ画面として表示されるので、社員からの問い合わせもなくなりました」と、導入効果について語った。

また、各拠点で複合機などを入れ替えた際の設定も、これまで以上に容易になったという。「L2Blockerの場合、IPアドレスやメーカー名を登録することで利用を許可する機能があるので、複合機を交換してもブロックされません。そのため、そういった問い合わせも減りました」と大熊氏は満足げに語る。

L2Blockerは、登録された機器の種類を自動判定できる機能を備えている。そのため、どんな端末が社内ネットワークに接続しているか、正確に可視化できるようになった。

「L2Blockerのおかげで、スマートフォンやタブレット、フィーチャーフォンなど、さまざまなデバイスがネットワークにつながれていることが把握できました。今後は、この傾向はますます進んでいくでしょう。これから入社する社員たちは、いわゆる『デジタルネイティブ』と呼ばれる世代。なかには、スマートフォンしか使ったことのない人たちもいるはずです。そんな人でもスムーズに業務ができるよう、マルチデバイスに対応していくことはもちろんですが、LINEやFacebookなど、彼らが日ごろ使い慣れているツールを私たちの環境に取り入れられるのか、また取り入れた場合、安全に使える環境が整備できるのかなどを、検討していかなければなりません」と、東氏は今後の展望について語った。

SNSをビジネスで活用するには、リスクもある。「彼らが普段何気なく使っているツールに対するリスク教育やセキュリティ教育にも力を入れていきたい」と東氏。大熊氏も「セキュリティレベルの底上げが必要だと感じています。セキュリティに対する意識が低い人が一人でもいると、そこがセキュリティホールになってしまいますから」と力を込める。

これからのデジタルネイティブ世代にいかに対応していくか。東亜道路工業のセキュリティ対策の取り組みは、さらなる強化を進めている。今後の展開に注目したい。

* 取材日：2015年11月
* 記載の呼称、組織名等は取材時のものです。