コストは従来の7分の1に――UTM導入でセキュリティ費用を大幅削減したミサワホーム：UTM――急成長する中堅企業の「門番」（2/3 ページ）

[井上猛雄，ITmedia]

VPN経由でのWindowsネットワーク認証の問題

　システム改変におけるセキュリティアプラインスの選定は、「ソニックウォール製品以外には考えられなかった」という。その最大の理由は、他社製品ではVPNを経由したWindowsネットワークでの認証に問題が出たからだ。

　ミサワホーム北日本は、システム基盤をWindowsで構築していた。具体的には、各拠点にSQL Server 2000によるクライアント／サーバシステムがあり、さらにWindows 2000 ServerとActive Directoryをベースに、バックエンドのExchange Server 2000が社内のメッセージング環境を統括する形だ（図1）。

図1●ミサワホーム北日本のシステムは、Windowsベースで構築されている。Windows 2000 ServerとActive Directoryをベースに、バックエンドのExchange Serverがコミュニケーションを統括。今回は、ゲートウェイ回りの旧製品をSonicWALL PRO 1260 Enhancedにリプレースし、本格的なUTMとして利用している。一方、県内の新拠点には、小規模拠点用のTZ170シリーズが導入されている

　「ミサワホーム北日本では、Windowsベースでプラットフォームを構築し、すべての拠点からVPNを経由してWindowsドメインネットワークに参加できる仕様になっている。当時のネットワークはWindows NTベースのレガシーネットワークリソースと、Windows 2000以降のActive Directoryをベースとした新ネットワークリソースが混在しており、まず各ドメインコントローラ（DC）に対してVPN経由で問題なく認証が可能か、認証レスポンスはどの程度か、といった項目を他社のVPNアプラインスも含めて試験した。その当時の状況でソニックウォール以外のアプラインスを利用した場合、Windows 95／98／Meなどの古いOSでは、サーバに届く認証データの損傷などの問題があり、Winodwsネットワークへのログインが正常にできない障害が発生していた。しかし、同じ暗号化でもソニックウォール製品同士だけは、すべてのOSのWindowsネットワークに対する認証をクリアできた」（鳥谷部氏）

部署単位のセキュリティレベルも確保

　もう1つ、ソニックウォール製品を選定した大きな理由があった。それは、ミサワホーム北日本がセキュリティポリシーの見直しを図っており、ミサワーム本社と基幹システムの連携を進める計画があったことだ。

　「昨今、情報漏えい問題なども話題になっており、設計部門や営業部門などの様々な情報をセグメント単位で守らなければならない。SonicOS Enhancedでサポートしているゾーン機能を利用することで、部署ごとに直接セキュリティの強化が図れるようになった」と鳥谷部氏。

　SonicOS Enhancedは、ソニックウォール製品の標準OSを拡張したものであり、ISPフェールオーバー（WANポート障害時のバックアップ回線切り替え）、ハードウェアフェールオーバー、WAN負荷分散、RBL（Realtime Blackhole List）スパムフィルタリングなどの機能に加え、フレキシブルゾーン機能なども備えている。

　このゾーン機能を使うと、各スイッチポートをゾーンで管理できるようになる。例えば、ユーザーや部署ごとに異なるポリシーを設定するといった、組織の特性に合わせたフレキシブルなセキュリティ対策が行える（関連記事参照）。これにより、設計部門の設計データが保管されたサーバに対して、営業部門からは一切アクセス不可にするなど、ゾーン間のセキュリティ強化という目的を達成できた。