会員制組織

既設VPNサービス終了を受け、Cisco Secure Accessへの移行を決断

本プロジェクトの経緯を、経営管理本部IT投資企画セキュリティアドバイザー担当 部長の金森 直樹氏は、次のように話します。「2023年11月、当社が10年以上利用してきたVPN 設備のメーカーサポートが3月末で終了するとのアナウンスがあり、急遽対策を検討したのがきっかけです。当社は2019年頃からゼロトラストセキュリティに向けた取り組みを実施しており、その中でMicrosoft 365とAzureによる社内通信のSSL-VPN化も検討していましたが、実現にはさまざまなハードルがありました。当社には税理士や地方公共団体など、通信の高い機密性を求められる多くのお客様がおり、その安全性を担保する責任があります。そこでシスコに相談したところ、Cisco Secure Accessの提案を受けました。

同社VPN基盤の対象は、TKC社内およびグループ企業。利用者数は2,800名を超えます。金森氏はVPN基盤のクラウド型への移行について、次のように述べます。「当時、Cisco Secure Accessはリリースしたばかりの時期で国内における実績も少なく、移行には不安もありました。しかしシスコの提案で、これからはVPN があること自体がリスクにつながることや、基盤を維持するための業務負荷やコストが削減できるメリットも理解しました。部内で議論を重ねた結果、VPN サービス終了までの短期間でリプレイスを完了するためには、Cisco Secure Accessが最適解であるとの考えに至り、採用を決定しました。」

経営管理本部 IT投資企画部長の市川 裕洋氏は、VPN基盤の課題点を、次のように指摘します。「近年、VPNの脆弱性を狙ったセキュリティ攻撃が頻発し、当社でもその対策として証明書の更新やハードウェアのバージョンアップなどのメンテナンスに高額な費用がかかることに加えて、事前準備や計画の立案、保守のための予算確保、実施、動作検証などの対応工数も、かなりの負荷となっていました。加えて、通信量の増加に伴い、これまでのセンター集中型の仕組みでは帯域が不足し、コロナ禍では増強のための追加コストもかかっていました。VPN基盤をクラウド化することでこれらの対応負荷やコストが不要となり、全社的なクラウドシフトの方針とも合致しました。」

クラウドサービスのメリットを活かし、短期間での移行が完了

今回、既設VPNサービス終了まで約3カ月と短期間でしたが、シスコと構築ベンダーの支援でCisco Secure Access への移行はスムーズに進捗。移行の完了後にVPN機器を順次廃止し、2024年4月には切り替えが完了しました。

Cisco Secure Accessは、SSE（*1）の主要な機能を提供するクラウド セキュリティ ソリューションです。シスコの豊富なSD-WAN 製品との組み合わせで、ベストオブブリード型のSASE（*2）を実現します。エージェント型のZTNA（*3）をベースとして、ZTNA には不向きとされるP2P 通信やサーバ発通信にはVPNaaS（*4）を利用。アプリケーションの制限でZTNAへの移行に踏み切れなかったユーザを助長します。

市川氏は、クラウドサービスとしてのCisco Secure Accessのメリットを、次のように話します。「これまでのようにアプライアンスの調達や設置場所の調整、構築などの煩雑なプロセスが不要。短期間で立ち上げられたことで、クラウド化のメリットを実感しました。」

金森氏はこの間の苦労を、次のように明かします。「これまでの概念をクラウド型に置き換え、考えを整理するのには苦労もあり、設計コンセプトの立案は、シスコおよび構築ベンダーと議論を重ねました。たとえば、Cisco Secure Access ではこれまでのように機器で冗長構成するのではなく、VPN プロファイル機能で論理的に冗長化します。この辺りは構築しながら、理解を深めました。」

1. SSE：Security Service Edge
2. SASE：Secure Access Service Edge
3. ZTNA： Zero Trust Network Access
4. VPNaaS：VPN as a Service

トラフィック可視化により通信量の半減に成功

Cisco Secure Accessは情報システム部門の運用管理を簡素化する機能として、各セキュリティ機能やポリシー、トラフィックを単一のコンソールで管理し解析する「クラウドマネージド コンソール」が備わっています。両氏はその導入成果を、次のように語ります。

「Cisco Secure Access の管理コンソールで、これまで専用のエージェントをインストールした端末経由でしか見ることができなかったVPN通信の詳細が、分かりやすく可視化できました。社内間だけのやり取りと思っていたところ、実はインターネットと通信するものも多く含まれるなど多くの気づきがありました。通信経路の棚卸しを行った結果、通信量を半減することができ、パフォーマンスの改善につながりました。」（金森氏）

VPN脆弱性対策の業務負荷・コストが軽減

「これまで、VPN 設定変更の際はベンダーに依頼しての調整が必要であり、時間もコストもかかっていました。クラウド型であれば管理者がコンソールからモニタリング、変更なども容易に。自社でコントロール可能となった点も、大きなメリットです。ユーザ（組織）単位でのポリシーコントロールも可能なため、きめ細かくセキュリティレベルを強化できます。」（市川氏）

「VPN 脆弱性にまつわる年に数回の停止、アップデート、検証、復旧などの業務に追われることがなくなり、企画の立案や新たなソリューションの導入などの本来業務に注力しやすくなりました。セキュリティの強化とともにコスト削減にもつながり、経営側が期待する攻めのIT 戦略が実行できます。」（市川氏）

今後はCisco Umbrellaへの集約によりSASEの完成形を目指す

今後について、金森氏は各拠点で活用中のシスコ製品との連携に期待を寄せていると語ります。「当社は2022年にDNSセキュリティのCisco Umbrella を導入しており、拠点のローカルブレイクアウトに活用中です。今後は、今回導入したCisco Secure Accessへの集約によりSASEの完成形を目指すとともに、全社での運用を1つのプラットフォームに統合して効率化することで、有事の際も迅速な対応が可能になる。そしてセキュリティを強化しつつ社員の操作もシンプルに、利便性も向上させたいと考えています。」

最後に金森氏は、社外への展開およびシスコへの期待について、次のように結びました。「サイバーリスクが高まる中、従来のセキュリティ対策では社内も、そして当社のお客様も含めて安全を保つことが難しくなっています。当社は自社導入で培った知見を今後、お客様向けサービスにも展開していきたいと考えています。シスコには引き続き、さらに効果的で効率的なソリューション提供と支援に、期待しています。」