株式会社日阪製作所 様

産業を支える重要機器を供給する事業の業務継続性強化は至上命題

株式会社日阪製作所
技術開発本部 情報システム部
情報システム課
外園 敬志 氏

株式会社日阪製作所
技術開発本部 情報システム部
情報システム課
平野 竜治 氏

大阪市に本社を構える日阪製作所は、1942年に創業した産業機械メーカーだ。祖業である染色仕上機器は、食品や医薬品の生産を支える殺菌・滅菌機を含めた「プロセスエンジニアリング事業」へと発展。衣・食・住・医の幅広い分野で人々の快適な暮らしの実現に寄与している。さらに流体の加熱・冷却を行うプレート式熱交換器の製造から販売まで一貫して手がける「熱交換器事業」、汎用型の各種ボールバルブからダイヤフラムバルブ、特殊・用途限定ボールバルブまで、多様な顧客ニーズに合致した製品を提供する「バルブ事業」を加えた3つの事業が、現在の日阪製作所の主力ビジネスとなっている。

このようにあらゆる産業を支える重要機器の供給を担っているだけに、日阪製作所にとって事業継続性の強化は至上命題である。

うした中で懸念されていたのがDHCPサーバーだ。同社 技術開発本部 情報システム部 情報システム課の外園 敬志氏は、「主力工場である鴻池事業所のオンプレミス環境で稼働させているDHCPサーバーから全国の拠点にサービスを提供しているのですが、シングル構成の単一障害点（SPOF）となっていることが問題視されていました。万が一、サーバー本体やリモートアクセス回線に障害が発生した場合、全国の拠点で業務がストップしてしまいます」と語る。このDHCPサーバーからIPアドレスなどの割り当てを受けている業務端末は、一部IoT機器を含めて2000台以上を数えるだけに影響は甚大だ。

「幸いこれまで大きな問題が発生したことはありませんが、コロナ禍の影響もあってインターネット回線の帯域が逼迫してリモートアクセスが不安定になったこともあり、早急に手を打たねばならないと危機意識が高まっていました」（外園氏）

DHCPサーバーとRADIUSサーバーを兼ね備えたRADIUS GUARD Sに注目

上記のようなDHCPサーバーの課題をどうやって解決すべきか。さまざまなベンダーのソリューションを検討する中で目にとまったのが、販社担当者様から提案されたSCSKのDHCPアプライアンス「RADIUS GUARD S」だ。

「RADIUS GUARD Sでまず注目したのは、他社製品のように別途管理用サーバーなどを立てる必要がなく、シンプルな運用が可能なことです。当然これはコスト面でも有利となります。また物理アプライアンスだけでなく仮想アプライアンス版も用意され、AWSのインスタンス（Amazon EC2）に容易に実装できる点も魅力でした」（外園氏）

こうして日阪製作所は、オンプレミスとクラウド（AWS）をまたいだハイブリッド構成によるDHCPサーバーの冗長化に取り組むことになった。

そして決め手となったのは、RADIUS GUARD SがDHCPサーバーだけでなくRADIUSサーバー（認証）の機能も兼ね備えていたことである。

同社 技術開発本部 情報システム部 情報システム課の平野 竜治氏は、「弊社はすべての拠点に無線LAN環境を展開しており、業務上なくてはならないインフラとなっています。この無線LAN環境をより安全に運用していくためには、既存のActive Directoryによるユーザー認証だけでなくより強固な認証の仕組みが必要と考え、以前からRADIUSサーバーの導入を検討していました。ハイブリッド型で冗長化されたDHCPサーバーと同じアプライアンス上でRADIUSサーバーも運用できるなら、セキュリティ向上に加えて業務継続性の観点からも大きなメリットを得ることができます」と語る。

一方のサイトに障害が発生した場合でも普段どおりに端末を利用できる

さらに実機での機能検証を重ねたのちに、日阪製作所は2021年12月にRADIUS GUARD Sの導入を決定。翌2022年1月までに次のようなネットワークインフラを完成した。

オンプレミス環境に認証・DHCP用およびDHCP用の2台の物理アプライアンスを配置し、一方のAWS側には認証・DHCP用およびDHCP用の2台の仮想アプライアンスを配置。認証・DHCP用とDHCP用のどちらも、それぞれオンプレミスとAWS間でActive-Activeの冗長化を行うことで可用性を担保する。

「これによって鴻池事業所はもとより全国の拠点で活動しているユーザーは、オンプレミスもしくはAWSの一方のサイトに障害が発生した場合でも、そのまま普段どおりに端末を利用して業務を継続することが可能となりました」と外園氏は語る。

なお、このネットワークインフラの構築は、「運用開始後に何らかの問題が起こった場合でも、自分たちで対処できる知見を身に付けておく」という基本方針から、ほぼ全面的に情報システム課の内製によって行われたことを特筆しておきたい。

「本格的にAWSを利用したのは初めての経験だったこともあり最初は少し戸惑いもありましたが、販社担当者様およびSCSKから情報提供やQ&A対応などのサポートを受けつつ、やってみると思ったより簡単でした。Amazon EC2上にRADIUS GUARD Sの仮想アプライアンスをデプロイし、オンプレミス環境に設置したプライマリの物理アプライアンスと同期させれば、自動的にAWS側はセカンダリに設定されます。実際にこれで問題なく稼働させることができました」と平野氏は振り返る。

それでも苦労がなかったわけではない。認証・DHCPサーバーをRADIUS GUARD Sに変更すると、ルーター上でのリレーエージェントの設定変更のほか各端末上でのIPアドレスの登録方法など、運用形態が変わることになる。全拠点を同時一斉にRADIUS GUARD Sに切り替えるのはリスクが伴うと考えられた。

「したがって、しばらくの期間は新旧双方の認証・DHCPサーバーを並行稼働させながら、各拠点に対して順次スケジュールを組み、運用の担当者を中心に理解・情報共有のうえ、RADIUS GUARD Sに切り替えるという慎重な対応をとってきました」と平野氏。

結果として時間は要したものの、日阪製作所は2022年3月までにこの作業をすべて完了。2023年度の開始とともに、無事に全社の認証・DHCPサーバーをRADIUS GUARD Sに移行することができた。

セキュリティ強化に向けてCAサーバー機能の活用を検討

RADIUS GUARD Sの全面的な運用を開始した日阪製作所が、業務継続性の向上に加えて導入効果として高く評価しているのが、各ユーザーが利用する業務端末に対するガバナンスの強化である。

「RADIUS GUARD Sの管理ツールのUIは非常に見やすく使い勝手が優れているため、たとえばどの端末に対して、どのIPアドレスが、いつ払い出されたのかログを簡単に確認することができます。従来は払い出されたIPアドレスの棚卸や、不要となったIPアドレスの削除などにも煩雑な操作が伴うため、日常的な業務として情報システム部の大きな負担となっていましたが、認証・DHCPサーバーをRADIUS GUARD Sに移行した現在は、運用手順の簡素化と負担の軽減を実現することができました」と外園氏は語る。

そして今後に向けても日阪製作所では、RADIUS GUARD Sのさらなる高度利用を進めていこうとしている。

前述したとおり、RADIUS GUARD SがDHCPサーバーとRIDIUSサーバーの機能を兼ね備えていることが、今回の日阪製作所におけるソリューション選定での大きな理由となっているが、そもそもRADIUS GUARD Sはこれらに加えてCAサーバー（証明書発行）やワークフローといった機能も搭載している。

特にセキュリティ対策の観点から注目しているのがCAサーバーの機能の活用だ。「これまでも無線LANを利用するユーザーに対して、不正接続を防ぐ対策を行っていましたが、今後はRADIUS GUARD Sの運用負担を軽減する機能も活用することでさらに強固なセキュリティ対策が検討できます。」と平野氏は期待を示す。

CAサーバー機能もRADIUS GUARD Sの標準機能の1つであることから追加ライセンスの購入は不要であり、SCSKからも引き続き製品の使いこなしや運用面に関するサポートを受けられるので安心だ。日阪製作所と販社の両社は引き続き緊密なタッグを組みながら、RADIUS GUARD Sが持つポテンシャルを最大限に発揮させるべく、最適運用を追求していく構えだ。