株式会社インターネットイニシアティブ
物理機器からの脱却で、運用効率化を実現!
クラウド化が支えるIIJのリモート保守体制
Topics
導入前の課題
導入後の効果①
アクセス制御の工夫で、保守担当者のアクセス経路をセキュアに
IIJセキュアアクセスサービスの導入において、第一に何を目指したのか、またどのように実現したのか教えてください。
IIJ 棚橋
「IIJセキュアアクセスサービス」の導入にあたって、まずは、「IDゲートウェイサービス」でできていたことを引き継げるようにすることが急務でした。例えば、一部のシステムは、外部のパートナーが保守対応をしており、同じリモートアクセス環境で、IIJ社員と外部の方のアクセスを分けて制御する必要があります。具体的には、IIJ社員の運用担当者は様々なサーバにアクセスできるようにする一方で、パートナーの保守担当者は特定のシステムのサーバのみアクセスを許可して他はアクセスできないようにする工夫が必要でした。
従来の「IDゲートウェイサービス」では、「ポリシーマネージャー」で、ユーザ/ユーザグループ/サービスホスト/サービスホストグループに対するアクセス権をアクセス制御ルールとして細かく設定することができ、アカウント番号帯ごとに、接続先サーバ(IPアドレス)とプロトコル/ポート番号を許可することで制御していました。また、システムごとのサーバ群のセグメントの入口と出口に、IIJが開発した仮想ルータ「SEIL/x86」を設置してフィルタリングすることで、外部からの不正なアクセスを防ぎ、パートナーの担当者が、保守対象のシステムのサーバを踏み台にして、別のサーバにアクセスできないよう制御していました。
「IIJセキュアアクセスサービス」では、接続したユーザ名に応じて固定IPアドレスを配布することができるので、アカウントごとに固定IPアドレスを割り当て、アドレスプールごとに、ACL設定で(送信元・送信先・ポート番号に基づいて)通信を制御しています。また、仮想ルータ(SEIL/x86)による制御は移行後も変わらず、これらの合わせ技によって、従来と同様に、パートナーの保守担当者のアクセス制御を実現しています。
固定IPアドレスを割り当てるユーザ数は、IIJ社員のアカウントは300ほど、グループ会社や協力会社の社員のアカウントが40ほど、パートナーの保守担当者のアカウントが10ほどあります。アカウントの増減は月4,5程度なので、運用はまあ、回っています。
導入後の効果②
多要素認証とアカウント管理の効率化を実現
IIJセキュアアクセスサービスとあわせて、IIJ IDサービスも導入していますが、どのように活用されているのでしょうか?
IIJ 安齋
「IIJ IDサービス」の導入により、多要素認証の実現だけでなく、アカウント管理の効率化も実現できました。
外部のパートナーの保守担当者や業務委託先の方には、社内のActive Directoryのアカウントは付与しない方針のため、IIJ社員のアカウントとは分けて、「IIJ IDサービス」を利用しています。
認証方式は、「IIJ IDサービス」の多要素認証機能を用いた「IIJ SmartKey 
(※1)」を使った認証や、デバイス認証です。
「IIJセキュアアクセスサービス」でリモートアクセスすると、まず「IIJ IDサービス」へ認証を問い合わせ、ID・パスワードによる認証後、「IIJ SmartKey」による認証もしくはデバイス認証のいずれかを選択して多要素での認証をするといった、柔軟な構成にしています。
IIJ 棚橋
認証基盤として「IIJ IDサービス」を利用することで、アカウントを一元的に管理でき、手間がかかって大変だったアカウントの棚卸が楽になりました。退職者アカウントの即時無効化が実現できたのは助かりますね。
今後も、「IIJ IDサービス」を使用するシステムが1つ2つ3つと増えていくので、それらも合わせて一元化できる点は大きなポイントだと思っています。
- (※1)株式会社インターネットイニシアティブがスマートフォン用に提供する、Webサービスにおけるユーザ認証の強化策として有効なワンタイムパスワードの管理アプリケーション
今後の展望
災害対策用途での利用を検討中
IIJの情報システム部門における、今後の計画や実現したいことを教えてください。
今後も「IIJセキュアアクセスサービス」と「IIJ IDサービス」の利用は拡大していきたいと考えています。
例えば、IIJ社員は通常、「IIJフレックスモビリティサービス/ZTNA」を利用して社内環境にリモートアクセスしていますが、災害発生時に備えて、「IIJセキュアアクセスサービス」をバックアップ用の副経路として用意する考えもあります。
IIJでは、Web会議はMicrosoft Teamsを利用していますが、何らかの障害が発生した際に、バックアップとして他のWeb会議ツールを提供して、認証には「IIJ IDサービス」を使うといったことも考えられます。
導入したサービス・ソリューション
プロフィール
株式会社インターネットイニシアティブ
本社:102-0071 東京都千代田区富士見2-10-2 飯田橋グラン・ブルーム
設立:1992年12月3日
資本金:23,037百万円(単体)
従業員:5,221人(2025年度:連結)
※ 本記事は2025年6月に取材した内容を基に構成しています。記事内のデータや組織名、役職などは取材時のものです。
物理機器からの脱却を決意するまで
IIJの情報システム部門における、インフラ運用の体制について、教えてください。
IIJ 安齋
IIJの情報システム部門(通称BIRD「バード」)でのインフラ運用は、大きく分けて2つあります。
私たちが対応しているのは、2. 業務システム系のインフラ運用です。保守対象は会計システムなどの基幹系システムが主で、一部社内情報システムと営業部門で利用するサーバがあります。
IIJの業務システムは24時間365日で保守対応が求められます。緊急時には、夜間に障害アラートが携帯画面表示され、自宅でPCを立ち上げてリモートでログインし、すぐさま対応する必要があります。
管理本部 事業基盤システム2部 情報基盤課
安齋
従来のリモートアクセス環境について、どのような課題があり、どのようなきっかけでクラウド化に至ったのでしょうか。
IIJ 棚橋
以前はIIJの自社サービスである「IDゲートウェイサービス」を利用して、VPN物理機器をデータセンターに置き、リモートアクセスによる保守を実現していました。しかし、物理機器の運用は、データセンターのラック確保やアップリンクの回線準備、保守対応など多くの手間を伴います。少人数体制のチームで運用するには負担が大きく、なんとかやってきた、という状況でした。当時は、「IDゲートウェイサービス」にべったりという感じで運用していました。こうした課題もあり、「IIJ IDゲートウェイサービス」のサービス終了を契機に、移行先として「IIJセキュアアクセスサービス」を採用し、クラウド化を進めることにしました。
IIJのクラウド化の取り組み
リモートアクセス環境のクラウド化については、IDゲートウェイサービスのサービス終了に関わらず、以前から検討していたのでしょうか。
IIJ 棚橋
業務系システムのインフラ運用については、もともと6年ほど前から物理機器の排除を進めていました。「IIJセキュアアクセスサービス」の導入によるクラウド化は自然な流れでした。
これまでも、IIJで管理している仮想プラットフォーム上に、「SEIL」や「BIG-IP」などを展開して、バーチャルの世界での運用にシフトしてきました。まだクラウド化ができていないものが2つほどあり、そのうちの1つが今回の保守対応のリモートアクセスでしたが、「IIJセキュアアクセスサービス」の導入でクラウド化が実現しました。
我々のチームは、正社員は2~4名ほどで、業務委託者含めても少人数体制です。やはり、物理機器のお守りは辛いので、クラウド化により運用負荷軽減され、ハッピーになったというのはあります。