ネットワークのセキュリティ強化に向けて
ファイアウォールのガバナンスが課題に

　世界屈指の自動車部品メーカーとして、国内54社、海外133社の連結子会社を擁するデンソー。近年では、エネルギー、スマート農業、ファクトリーオートメーション（FA）の事業にも力を注いでいる。そのグローバル経営基盤を強化する一策として、同社では情報セキュリティ体制の見直しに取り組んでいる。

　この施策について、デンソー IT基盤推進部 ITサービス室 ネットワークサービス1課 課長の松永 穣氏は、「海外拠点でのセキュリティインシデントをきっかけに2022年から情報セキュリティ体制の抜本的な見直しに着手しました。ネットワークセキュリティ、データセキュリティ、エンドポイントセキュリティなど7つの領域で包括的な強化策を推進しています」と説明する。

　この取り組みを進める中で課題の1つとなったのが、海外拠点のファイアウォールのガバナンスをどう強化するかだ。この課題についてデンソー IT基盤推進部 ITサービス室 ネットワークサービス1課 担当係長の水田 渉氏は、「以前は、海外拠点のファイアウォールの管理を各拠点に一任していて、本社（日本）側でガバナンスを効かせることが難しい状況でした。例えば、ファイアウォールのセキュリティポリシー設定（以下、単に「ファイアウォール設定」と呼ぶ）を変更する指示を出しても、指示どおりの設定が、各所のファイアウォールに本当に適用されたかが、なかなか確認できなかったのです」

　そこで同社は、2023年1月から海外全拠点のファイアウォールについて、設定内容を監査する取り組みを始動させた。ところが、この業務はすべてが手作業で行われていたために毎月約840時間も要していた。

　この問題を解決する手段として採用したのがマルチベンダーのファイアウォール製品の設定を可視化するソリューション「Tufin Orchestration Suite（以下、Tufin）」だ。目指したのは、海外各拠点に分散配備された170台以上のファイアウォールの設定を可視化することである。

海外拠点の全てのファイアウォールを可視化し
監査の業務時間を月間840時間から160時間に短縮

　Tufinの採用は、SCSKからの提案がきっかけだった。水田氏は「SCSKにはITインフラの部分で以前から付き合いがあり、信頼を寄せていました。そこで同社に海外拠点のファイアウォールに関する悩みごとを相談したところ、勧められたのがTufinでした。2024年5月のことです」と明かす。

　もっとも、水田氏は当初、Tufinの有効性について半信半疑だったという。「私の周囲にはTufinを知る人がいませんでした。有力なグローバル企業が活用しているという情報はつかんでいたものの、本当にマルチベンダーのファイアウォール設定がすべて可視化できるか不安でした。そこでTufinの有効性を入念に検証しました」

　同社では3カ月間にわたってTufinの検証（PoC）を実施。このPoCは、海外の各リージョンからベンダーの異なるファイアウォール5〜6機種を選定して行われた。その結果について、水田氏は「PoCを通じて、機種の異なるファイアウォールの設定内容が単一画面でしっかりと可視化されることが確認できました。また、Tufinの動作を確認し、海外拠点にもその画面を見せることで、彼らの理解と信頼、協力も得られました」という。さらに同氏は「Tufinでは、仮想アプライアンス（*1）によってファイアウォールの集中管理を実現します。その柔軟性も評価し、採用決定へと動きました」と続ける。

*1 Tufinの仮想アプライアンス：物理ハードウェアではなく仮想化基盤やパブリッククラウド上でTufinの機能を提供するソフトウェア

Tufinによるファイアウォール設定の可視化イメージ

　さらに、水田氏は、Tufinに対するSCSKのサポート品質の高さも、採用に大きく作用したと指摘する。「いくつかの競合製品も比較検討しましたが、Tufinには対応するファイアウォール製品の幅広さや仮想アプライアンスが活用できるといった技術的なアドバンテージがありました。また、SCSKはTufinに関して豊富な知見を有しており、手厚いサポートが期待できることもTufin選定の決定要因になりました」

　デンソーでは、2024年9月から翌年3月末までの半年をかけて、170台を超えるファイアウォールへのTufinの展開を完了させた。水田氏は「Tufinをファイアウォールに適用する作業は容易で、基本的にはファイアウォールとの接続を確立して設定を読み取るアカウントを用意するだけです。海外拠点の一部では特殊な仕様のファイアウォール製品を使っておりTufinの適用に手間取りましたが、その難所もSCSKの技術支援によって乗り越えられました」と振り返る。

　Tufinを活用することで、すでに数々の成果を上げている。大きな成果の1つは、ファイアウォール設定の監査業務が劇的に効率化されたことだ。この成果について、水田氏は「現在、本社のセキュリティチームが監査業務を担っていますが、Tufinによる設定の可視化と監査レポート作成支援の機能によって、月間840時間を要していた作業が160〜200時間に短縮されています。つまり、作業工数が以前の4分の1以下になり、月間最大で680時間の削減効果が得られたわけです」と明かす。

　加えて、トラブルシューティングに要する時間も大きく削減された。この点に関して水田氏は「例えば、海外拠点のネットワークにトラブルがあった際、以前は当該拠点の担当者に連絡をしてファイアウォール設定の確認をとってもらう必要があり、その報告をもらうまでに1週間程度を要していました。いまではTufinを通じ、数分程度で当該ファイアウォールの設定が確認できます」と話す。

　松永氏もTufinによる可視化の効果をこう評価する。

　「以前は、海外拠点にファイアウォール設定の変更を求めても『対応した』という報告を受けるだけで、実際に対応したかどうかを即座に確認する手段がありませんでした。現在は、日本から直接リアルタイムに設定内容が確認できます。これにより、ファイアウォールの設定内容をメールでやり取りするというセキュリティリスクの高い方法をとる必要もなくなりました」

Tufinによる可視化を土台に
ファイアウォールのグローバル統合へ

　デンソーは現在、海外全拠点のファイアウォールを単一ベンダーの製品で統一し、SASE（Secure Access Service Edge）技術を使ったクラウドベースの構成へと移行させる計画を進行中だ。

　水田氏は、このプロジェクトを推進するうえでもTufinは重要な役割を果たすという。

　「Tufinを使えば、既存のファイアウォール設定を抽出し、移行先の製品の設定へと変換する作業が効率化できます。加えて当社は、各拠点におけるファイアウォール設定の内容からホワイトリストを策定し、リストにない通信はすべて遮断するというセキュリティ強化策を打とうと考えています。その施策展開にもTufinの機能を有効に活用する予定です」

　こうした構想の実現に向けて、松永氏はSCSKのサポートにも期待をかけている。

　「SCSKには、Tufin導入時の技術支援はもちろんのこと、導入後もTufinによる監査業務全体の効率化を支援してもらえました。やるべきことをしっかりと、遅延なく対応してくださる姿勢に感謝しています。今後とも、高い品質のサポートを適宜提供してくれることを期待しています」