世界屈指の電子部品メーカーであるTDKは、グローバルを欧州、米州、中国、日本及びASEANのリージョンに分けてビジネス展開している。現在、各リージョンのほか、近年のM&Aによって新たにグループに加わったTDKラムダ(旧Lambda社)、EPCOSの両社にWebゲートウェイを設置。それぞれの地域や会社のガバナンスのもとでインターネットへのアクセスを行っている。
この体制下、ASEANを含む日本からインターネットにアクセスするユーザは、約8,000アカウントを数える。URLフィルタリングについても独自にシステムを開発し、オンプレミスで運用してきた。
しかし、そこでのセキュリティ管理を担っていたのは、わずか2名という少人数のチームだ。
同社の田村俊哉氏は、「ブラックリストの登録・メンテナンスまで自力で行っており、とても手が回りきらない状況でした」と振り返る。
また、インターネットとの境界であるWebゲートウェイ自体にはマルウェア対策の機能が備わっておらず、エンドポイントに来るまで検知できないことも問題視されていた。
同社の吉田智之氏は、「実際に社内で検知されるマルウェアの約60%をPCからのWebアクセスが占めていました。業界内でもセキュリティに関する事故が多発する中、これは放置しておくことのできない大きなリスクであると危機感が高まっていました」と話す。
URLフィルタリングを含むWebゲートウェイの刷新に向けて動き出したTDKが、最大の検討ポイントとしたのは、「オンプレミスでの強化を図るか、クラウドサービスを利用するか」という選択である。その結果としてTDKは、「IIJセキュアWebゲートウェイサービス」を導入するという決断を下した。
「検討を開始した2012年初頭の時点ではクラウドはまだ主流になっておらず、懸念を持っていたのも事実です。しかし、IIJは国内クラウドサービス業界の先駆者として既に多くの企業に対する導入実績を上げており、もともと当社と取引があったことからも、十分に任せられると考えました。データそのものを預けるわけではなく、通過させるだけならば問題はないと判断しました」と吉田氏は語る。
具体的にTDKが注目したIIJセキュアWebゲートウェイサービスのメリットは、機器の調達やシステム構築に手間を取られることなく短期間でサービスインできることに加え、マルウェア対策やWebサイトのブラックリストの管理を含めた運用の省力化を図れることである。更に、今後のOSのライフサイクルから脱却できること、ベースとなるセキュリティ技術が自動的にレベルアップされることも大きく期待したポイントだ。「高品質なセキュリティシステムを、IIJのクラウドサービスを利用することで簡単に実現できることを重視しました」と田村氏は語る。
また、同時期にIIJグローバルが発足したことを受け、「今後のセキュリティ戦略をスムーズにグローバル展開していく上でも、IIJであれば心強いパートナーになってもらえると期待しました」と吉田氏は語る。
こうして導入したIIJセキュアWebゲートウェイサービスを、TDKは2012年2月にサービスイン。URLフィルタリングにおけるブラックリストの登録・管理が自動化されると共に、インターネットとの境界でのマルウェア対策も可能となった。
この結果、「エンドポイントで検知されるマルウェアの数が80%も削減されるという、劇的な効果を上げることができました」と吉田氏は効果を話す。「セキュリティに関するKPIの一つとして、当社ではPCの稼働台数あたりのマルウェア検知率を常に監視しています。一般的に5%以下であればアンダーコントロールといわれる中、現状では1%以下に抑えられており、十分なガバナンスを効かせられるようになりました。リスクを持ったエンドポイントの母数を絞り込むことができれば、そのぶん手厚い対策を素早く打つことができるのです」と語る。
これに伴い、従来は全ユーザのインターネットアクセスに対して行っていた煩雑なパケット収集・管理の作業を廃止することができた。システム運用の更なるシンプル化を実現したほか、社内サーバやネットワークの負荷軽減の効果ももたらしているという。「IIJセキュアWebゲートウェイサービスは、セキュリティ管理体制のマンパワー不足に貢献してくれています。私たちはこれによって得られた余力をM&Aに伴うグローバルネットワーク統合やインフラ統合に振り向け、専念することができました」と田村氏は話す。
TDKでは今後も引き続きセキュリティ対策の強化を進めていく意向で、「情報漏えい対策を目的として、VDIによるシンクライアント化の検証、更にはDaaS(Desktop as a Service)のフィージビリティスタディなどを計画しています」と吉田氏は語る。そうした中でIIJに対する期待も、ますます高まっている。
※ 本記事は2015年3月に取材した内容を基に構成しています。記事内のデータや組織名、役職などは取材時のものです。