不正接続防止ソリューション オープンネット・ガードの導入事例
讀賣テレビ放送株式会社様「オープンネット・ガード」と認証スイッチの併用でテレビ局内の不正接続PCの検知と排除を実現
日本テレビ系列 準キー局の讀賣テレビ放送は、番組づくりに定評のある在阪の主要民放テレビ局です。社員と制作会社など多くの外部スタッフが共同で放送事業を運営する中、個人が持ち込むパソコンによる社内LANへの不正なアクセスが問題となっていました。ネットワーク機器の更改時期にあった同社は、日立システムの提案によってアラクサラの認証スイッチと「オープンネット・ガード」を組み合わせた新システムを導入し、認証と連携したMACアドレスの収集・登録機能によって不正接続PCの検知と排除を可能にしました。その取り組みと経緯についてお話を伺いました。
この事例に関するソリューション・商品
課題と選定
持ち込みPCによる不正接続問題で認証スイッチの国産製品を検討
1958年に設立した讀賣テレビ放送株式会社(以下、読売テレビ)は、日本テレビ系列 準キー局として同年8月に本放送を開始しました。在阪の主要民放テレビ局として、情報番組やバラエティ、アニメ、ドラマなど数多くの人気番組を制作し、関西のみならず全国の視聴者にも親しまれています。その放送事業を支えるのは、約500人の読売テレビの社員と、数多くの制作会社等の外部スタッフです。日々変化する時代に合わせ、約1,000人のマンパワーにより、次々と新たなコンテンツが生み出されています。
同社では、業務利用のパソコン(PC)を一括購入して各部署に配布していますが、データはすべてサーバ側に格納し、基本的にどのPCでも作業ができる環境にあることから、個人所有のPCを社内LANに無許可で接続する行為が問題となっていました。
正規のPCに関しては、資産管理台帳の作成や管理シールを添付するなどしていたものの、ノート型・デスクトップ型の端末が混在している環境での見極めは難しいものでした。番組やプロジェクトごとに勤務形態・勤務時間が異なることや、人員の異動も激しいという業界特有の状況があり、不正接続かどうかの判断もしにくい状況にあったのです。
そうした中、持ち込みPCの無断接続によって、社内の広い範囲でネットワークプリンターが使用できなくなる事態が発生。幸い深刻なトラブルには至らなかったものの、それを期に、不正接続PCの検知と排除を目的とした新たな対策が必要とされました。
「その頃は、ちょうどネットワークスイッチの更改時期も迫っていました。そこで、認証機能を使ったPCの不正接続を検知する仕組みの導入を条件に、2006年10月ごろから新システムの検討を開始したのです」と語るのは、読売テレビのネットワークシステムの管理責任者を務める林 浩平氏です。
スイッチ選定の条件としては、IPと端末名の組み合わせをホスト側で登録しているため、固定IPアドレスの運用環境で認証が可能なことと、本社(大阪)での一括管理が可能であること。そこで日立システムは、安価で高機能なアラクサラネットワークス(以下、アラクサラ)のギガビットL2およびL3スイッチによるリプレースを提案。この提案は「それまで使用されていた海外製のスイッチは、障害調査に長い時間を要したこともあり、次回はサポートの心配がなく、同スペック以上でも低価格で、マニュアルやGUIが日本語で利用できる国産製品を選ぶつもりでした」と話す林氏の希望とも合致するものでした。
また、機器障害時の入替の際、SDカードを入れ替えるだけで設定情報が回復する融通性も評価され、2008年3月末にアラクサラのスイッチによるネットワーク機器の更改が実施されました。
導入
MACアドレス認証の採用を前提に「オープンネット・ガード」に注目
一方、認証方式にはMACアドレス認証が採択されました。その理由としては、既存システムの変更が不要で運用が容易であることや、ユーザーが意識せずに認証を設定できる点も大きなポイントとなりました。
「日立システムさんのプライベートセミナーでその存在を知り、可能性を感じていました」という林氏が注目したのは、アラクサラとの連携を強化した日立システムの不正接続防止ソリューション「オープンネット・ガード」(以下、ONG)です。MACアドレス管理機能を持つDHCP(※1)サーバであるとともに、国産ソフトウェアであることも選定要因となりました。
検討当時の旧バージョンでは、RADIUS(※2)サーバとログ管理の機能をサポートしておらず、カスタマイズで対応する方向でプロジェクトは進んでいました。しかし、新バージョンでそれらの機能が盛り込まれることが決まったため、最新版である「ONG Ver.4.0」の製品化に合わせ、新バージョンの導入へと方針を転換。2009年1月に試行・本番サーバを設置し、同年2月~3月には順次切替え、本稼働開始となりました。
導入作業が順調に進められた背景には、読売テレビがMACアドレス管理やPC等の資産管理台帳をほぼ完璧に整備していたことにより、機器の審査もスムーズに進行し、登録すべきMACアドレスと不要なものとの選別が容易だったという点がありました。
このアラクサラ認証スイッチとONG Ver.4.0の組み合わせにより、認証と連携したMACアドレスの収集・登録機能が安定した環境で実現するとともに、MACアドレス一覧表示リストのレイアウトを自由にカスタマイズできる機能や、スイッチのログを管理できるようになったことは、大きな進化でした。
※1 Dynamic Host Configuration Protocol;クライアントにIPアドレスやTCP/IP関連の情報を自動的に割り当てるためのプロトコル
※2 Remote Access Dial In User authentication Service;ネットワーク認証とアカウントを一元化することを目的としたプロトコル。多数のネットワーク機器、ユーザーの統合管理が可能になる
成果と今後
意外に少なかった不正接続PC
そして予期せぬ嬉しい効果も
讀賣テレビ放送株式会社 総務局 情報システム部
林 浩平氏
今回、MACアドレス認証を適用したことでイレギュラーな接続には不正フラグが上がり、ONGのログ管理機能でどのスイッチ/ポートに誰のPCが接続されているかが即時に判明するようになりました。
「本稼働後、無許可で接続したPCが次第に見つかりましたが、その数はわずか数台程度。当初想定していたより意外に少なかったという印象でしたね。みなルールを守ってくれていたので安心しました」と林氏は振り返ります。
また、「ONGの管理画面は視覚的にも分かりやすく、検索するだけで不正接続の有無が一目瞭然になったことで、ようやくネットワーク管理者としての仕事ができるようになりました」とも語ります。
さらに、読売テレビのネットワークには基幹系と報道系が独立して存在しているため、それらを誤って接続してしまうことでループが発生し、アクセス速度が極端に低下するといった事故が度々発生していたとも打ち明ける同氏は、「新システムではループ検知・防御機能がサポートされている上、ループ発生と同時にONGの認証ログでトラブルの原因と発生場所の特定が可能になりました。これは予期せぬ嬉しい効果です」と評価します。 そして、日立システムに対して「長年サポートに尽力していただいている中で、常に当社の社員と同じ視点でストレートに問題点を指摘してもらえることが非常にプラスになっています。客先に遠慮することなく、間違いをはっきりと指摘してくれるおかげで、よい判断をしてこれたことに感謝しています」と話してくれました。
今後、読売テレビは、組織改正やレイアウト変更などにも対処しやすい無線LANの導入をはじめ、ONGに実装されているDHCP機能で端末の設定やプログラムの変更などの資産配布をリモートで操作できる仕組みを実現することも視野に入れています。
それらの課題を解決するパートナーとして、今後も日立システムに大きな期待が寄せられています。
讀賣テレビ放送株式会社
設立 | 1958年2月13日 | |
---|---|---|
本社所在地 | 大阪市中央区城見2-2-13 | |
従業員数 | 518人(2009年3月末現在) | |
事業内容 | 放送法による一般放送事業。放送番組の企画、制作及び販売等 | |
URL | http://www.ytv.co.jp/ |
この事例に関するソリューション・商品
導入事例ダウンロード
本事例の内容は2009年9月15日公開当時のものです。
最終更新日:2009年9月15日