|
|
 |
|
Users' Cases ネットワーク管理・監視 PNDDA
|
|
|
セキュリティホールとなるクライアント管理ソフトのインストール漏れPCをPNDDAで抽出し、物理マップ上で接続場所を特定。さらに、PNDDAのOAパソコン監視情報を、不正接続防止にも活用。
|
株式会社滋賀県農協電算センター
|
|
 |
JAグループ滋賀は滋賀県内16のJAと県域組織で構成され、貯金や融資、為替等の業務を行う信用事業、農作物の販売業務や農業資材の購買業務を行う経済事業、病気や災害に備えた共済事業、健診や高齢者福祉等の厚生事業、指導事業と、幅広い事業を展開。滋賀県農協電算センターは、JAグループ滋賀に対し、情報システムの企画検討から構築、運用支援、教育、ヘルプデスク、保守サービス等をトータルに提供している。
所在地:〒520-0801 滋賀県大津市におの浜3丁目1の9
|
ウィルスパターンファイル/セキュリティパッチ更新や不正ソフト使用検知、ログ管理等によるセキュリティ対策用に導入が進むクライアント管理ツール。その運用を徹底し管理レベルを維持するためには、全PCに漏れなくエージェントソフトがインストールされていなければならないが、初期導入時に漏れなくインストールしても、修理や異動等によるディスク消去や私物PCの不正持込など、様々な原因で「エージェント漏れ」が発生してしまうのが現実だ。株式会社滋賀県農協電算センターでは、このようなエージェント漏れPCの検知〜接続場所の特定にPNDDAを活用。その運用状況、導入効果等を、業務部 次長 奥田文男氏と奥村健氏にお伺いした。
■勘定系ネットワークのオープン化を機にウィルス対策を強化
- ―― JAグループ滋賀では、滋賀県内16のJAと県域組織が共同利用する情報インフラとして『JA統合ネットワークシステム』が稼働している。従来、勘定系は専用線、OA系はINS回線やDA回線が混在していたネットワーク環境を2004年に一新。10Mの光ファイバー網で滋賀県230拠点全体を統合することになった。
「勘定系システムでは、信用・共済・購買・販売情報をオンラインで扱いますので、障害による停止やデータの損失はあってはならないことです。従来、勘定系ネットワークは専用線で外部から遮断されていましたので、ウィルスによる被害や情報漏洩の心配はありませんでした。これをオープンネットワーク上でOA系と共存させるためには、ウィルス対策の徹底や不正接続の排除などJAグループ滋賀全体の情報セキュリティ対策を万全にする必要がありました。」
「情報セキュリティ対策を行うために、クライアント管理ツールを導入することにしました。クライアント管理ツールの導入はJAグループ全体の情報セキュリティ方針にも沿っており、2005年4月の個人情報保護法完全施行への対応としても有効でした。そこで各種ツールの検討を開始し、LanScope Cat(以下、Cat)の導入を決定しました。」
- ―― ここで問題となったのが『エージェント漏れPC』だ。クライアント管理ツールは管理対象PCにエージェントソフトをインストールする必要がある。インストール漏れPCはセキュリティホールとなる危険があり、見過ごすことはできない。
■クライアント管理ツールのインストール漏れ=セキュリティホール検知に活用
「エージェントソフトがインストールされていないPCは、ウィルスパターンファイルやセキュリティパッチの更新が確認できないため、セキュリティホールとなる危険があります。初期立上げ時に全てのPCにインストールしても、修理や異動に伴う再配布等でディスクが初期化されるなど、運用の過程で削除されてしまう場合がありますし、不正接続PCには元々インストールされていません。このようなインストール漏れを検知し、インストール漏れがないことを確認する手段として、PNDDAを導入することになりました。PNDDAは、エージェントソフトをインストールすることなく、ネットワークに接続されているPCの情報を漏れなく収集できますので、PNDDAのインベントリデータとCatのインベントリデータを突き合わせることで、エージェント漏れPCや不正接続PCを検知することが可能になります。」
- ―― 2004年12月、CatとPNDDAを同時に導入。2005年2月から、グループが保有する約1600台のPCへのCatエージェントソフトのインストール作業が始まった。
「初期立上げ時には、既に稼働しているPCに対して、Catのエージェントソフトを順次インストールしました。1600台ものPCが多数の本・支店や経済センター等に配置されていることもあり、大変な作業でした。PC台帳に対し、PNDDAで接続場所を確認し作業を進めると共に、台帳に無い個人PCは持ち帰っていただくように依頼しました。また、作業時に出張で持ち出されていた、といった正規PCへのインストール漏れも、PNDDAで検知していきました。」
「電算センターには、Catが収集したインベントリデータとPNDDAが収集したインベントリデータが、すべて集まってきます。両者をMACアドレスで突き合わせ、差分情報を各JAに通知しています。Catで検知されないPCはエージェント漏れか不正接続ですので、即時に対応が必要です。新規PCの導入時には、各JAにてCatエージェントソフトをインストールしていますが、異動やリース更新、修理等でディスクを再インストールする際にエージェントソフトが漏れてしまうことがあります。このような場合でも、接続場所や接続しているスイッチ(HUB)のポート番号までわかるので、対応が迅速に行えます。」
■運用イメージ
|
|
|
■PNDDAのOAパソコン監視情報を不正接続防止に活用
- ―― JAグループ滋賀では、スイッチ毎に接続を許可するPCのMACアドレスを登録することで、不正接続を防止するセキュリティ対策を開始した。その初期立上げとPC増設時の対応にもPNDDAが活用されている。
「まず、運用開始時点で接続されているMACアドレスを、各スイッチの自動登録機能を使って登録させました。PNDDAの物理マップでスイッチ毎に接続されているマシンの情報が参照できますので、各スイッチに登録されたMACアドレスが確かに正規PCであることを確認した上で、このスイッチに登録できるMACアドレス数の上限を、現時点で登録されている数と同じに設定します。これにより、今後の不正PC接続をスイッチレベルで防止することができます。PC増設時には、接続されるスイッチのMACアドレス数を増設台数分増やし、自動登録されたPCの情報をPNDDAで確認することで対応が完了します。」
■PNDDAによるネットワーク接続機器情報の確認(解説イメージ)
|
|
|
■ネットワーク障害対応が迅速化
「セキュリティ目的で導入したPNDDAですが、その後、ネットワーク障害対応にも活用しています。各JAにはネットワーク管理者が不在で、電算センターが末端までのネットワーク管理を担当しているのですが、管理エリアが広く、拠点数も膨大になりますので、従来はトラブルシューティングに多大な時間がかかっていました。PINGコマンドや電話で状況を確認しながら原因を絞り込んでいくのは時間がかかりますし、結局は出向いていってスイッチのポートを調べなくてはならないこともあります。PNDDAにより、障害箇所の特定や原因の絞込みが迅速に行えますので、対応工数を大幅に削減することができました。」
■JAグループ滋賀のネットワーク物理マップ
|
|
|
|
|
