2017年9月13日、大阪・梅田にて、ソフトバンク コマース&サービスとフォーティネット・ジャパン共催による「Forinetテクニカルアップデートセミナー」が開催された。本稿では、第1部「Fortinetの働き方改革ソリューション」、第2部「FortiGateだけじゃもったいない!? ~Fortinet セキュリティファブリックによるアップセルのすすめ~」と題して行われたセミナーをレポートする。

働き方改革のために欠かせないICT施策

フォーティネット・ジャパン 技術本部第一技術部 和中 速人氏

第1部「Fortinetの働き方改革ソリューション」で登壇したのは、フォーティネット・ジャパン 技術本部第一技術部の和中 速人氏。フォーティネットは、2000年に米・カリフォルニアで創業した、ネットワークセキュリティにおいて世界をリードする企業だ。UTM(Unified Threat Management:統合脅威管理)の開発・製造メーカーとして、その製品出荷台数はトータルで300万台を超える。2009年にはNASDAQで上場し、今や世界100カ国以上に事業所を展開するワールドワイドな企業だ。その日本支社であるフォーティネットジャパンでは、働き方改革のためのソリューション提案に力を入れている。

政府も強力に後押しする働き方改革とは、働く空間と時間、そして働く人の心の変革であり、これを実現するにはICTの活用が欠かせない。時間や場所にとらわれない働き方を実現するには、セキュアなリモートアクセスが必須となる。具体的にはサテライトオフィス、モバイルユーザー、在宅勤務者をセキュアに収容することであり、これらはいずれも「FortiGate」で実現できる。

サテライトオフィス向けソリューション

サテライトオフィスに求められる要件は、社員用ネットワーク、セキュリティ、ゲスト用ネットワークの3点だ。社員用ネットワークについては、センター拠点からの集中管理と、ある程度の端末数に対応できることが求められる。セキュリティ面で必要なのが、ユーザーの認証と接続デバイスのマルウェア感染検知。そしてサテライトオフィスへの来客を想定し、ゲスト用ネットワークの常設も考えておく必要がある。

これらの要件を満たすソリューションは、規模に応じて2つの構成が考えられる。小規模オフィスの場合は、FortiGateの中にWi-Fi、APなどの機能を搭載した「FortiWiFi」を設置し、VPNで本社のFortiGateと結ぶ。サテライトとはいえ一定以上の規模となる場合は、FortiGateを1台、サテライトオフィスに設置し、これに「FortiSwitch」や「FortiAP」をつなぐ。

その際、本社のFortiGateでは大量のトラフィックを処理することになるが、FortiGateのVPNは業務用通信カラオケのネットワーク基盤として採用されるなど、高速かつ大容量への対応力は実証済みである。安定稼働を支えているのが、専用プロセッサによるスループットの高速化だ。一方で、エントリーモデルにはSoC(システムオンチップ)を搭載するなど、想定トラフィックに応じた最適化処理が施されている。

最近、人気を集めているのがFortiGateに無線アンテナを内蔵したセキュリティアプライアンスFortiWiFiである。小規模なサテライトオフィスなどでは、これを1台設置するだけで本社とのセキュアな接続を確保できる。

サテライトオフィス向け構成例

統合二要素認証構成例

モバイルワーカー&在宅勤務者向けソリューション

モバイルワーカー向けの要件は、外出先でのアクセシビリティとセキュリティの確保である。外出先からも社内ネットワークにセキュアに接続する一方で、センター拠点から接続デバイスなどを管理することが必要だ。セキュリティについては、ユーザー認証、接続デバイスのマルウェア感染検知、利用アプリケーションの限定などの機能が求められる。

これらの要件を満たすのが、クライアントソフト「FortiClient」である。これをインストールしておけば、外出先から社内にセキュアなVPN接続が可能となる。同ソフトは各種OSに対応しているので使い勝手もいい。以前のFortiClientは、他のアンチウィルスソフトと、まれにバッティングすることもあったが、FortiOS5.6ではこの問題も解消されており、「FortiSandbox」との連携によりウィルスや不正サイトから端末を保護できる。

認証方式については、パスワード+ワンタイムパスワードによる強固な統合二要素認証を採用している。しかもワンタイムパスワードについては、ユーザーの利便性を考慮し、トークンを活用することでユーザーがいちいち数字を打ち込まなくてもよい仕様となっている。

VPNクライアント&ウイルス対策

在宅勤務に関しては、モバイルワーカー同様にFortiClientを使って社内LANに接続する方法と、FortiAPを自宅に設置して、社内の無線LAN環境を自宅に延伸するやり方がある。FortiAPのSmartAPモデルなら、Wi-Fi機能、アンチウィルス、Webフィルタリングなどを1台で対応できる。

在宅勤務者向け

FortiGateのメリットは、通信先に応じてスプリット・トンネリングのセキュリティ設定をチューニングできることだ。高いセキュリティ機能が必要ならNormal AP ModeでSSIDごとにマルチな転送モードを設定できる。一方で、安価に管理機能を実現するには、Remote AP Modeにより通信をFortiGateに転送することなく社内LANに流すこともできる。

通信先に応じたセキュリティ設定

サイバーセキュリティの最新策「セキュリティファブリック」

最新のFortiOS5.6から強化されたのが、セキュリティファブリックである。従来のセキュリティ対策が、企業ネットワークを点で守るものだったのに対して、面で捉えるインフラがセキュリティファブリックである。面倒な設定などは一切不要で、FortiGateの設定の中にある「セキュリティファブリック」を「enable(有効)」にするだけでいい。これだけで統制が強化され、可視化機能が拡張される。

統制の強化は、セキュリティファブリック監査とリスク表示ウィジェットにより実現される。セキュリティファブリック監査とは、FortiGateの設定とデバイスの状態を監査し、推奨設定を提供することでネットワークのセキュリティを強化するものだ。さらにリスク表示ウィジェットにFortiGateの配下にあるリスクを表示させ、リスクレベルまでを一目で確認できる。

リスク表示ウィジェット

可視化機能に関しては、情報の統合、トポロジーマップ、エンドポイントの脆弱性表示などにより運用者の使い勝手を高めている。情報の統合により上位に位置するFortiGateから、配下に位置するFortiGateのセッション切断や、エンドポイントの隔離などのコントロールが可能だ。これにより、トラフィックを過度に使用しているデバイスがある場合、ネットワークから切り離すなどの処置を容易に実行できる。

トポロジーマップでは、FortiGate配下につながっている端末を一覧表示できる。脆弱性を抱えているパートが見つかれば、その部分を拡大表示し、リスキーな端末を容易に特定可能だ。表示された端末にマウスオンすれば、ユーザー名、OSバージョン、IP/MACアドレス、アバターからFacebookアカウントまでが一目瞭然となる。セキュリティファブリックに収容されているFortiClientは、脆弱性診断によりスコアリングも可能だ。

トポロジーマップ

セミナーのご案内
「全国セミナー“Fortinet Partner Days 2017”」

全国8拠点にてソフトバンク コマース&サービス、およびフォーティネットジャパンが主催する全国セミナーを開催いたします。 脅威対策のトレンドに関する解説と共に、Security Fabric や FortiOS5.6のアップデートなどFortinet製品の最新情報をご紹介いたします。

開催概要

開催日程
11/7(火) 仙台 / 11/14(火) 金沢 / 11/16(木)名古屋 / 11/21(火) 札幌 12/5(火) 福岡 / 12/6(水) 広島 / 12月 8日(金) 東京 / 12/12(火) 大阪
参加費用:無料
参加対象:Fortinet販売パートナーさま

>>セミナーの詳細・お申込みはこちら