東レ株式会社
セキュリティ対策が困難な特殊業務系アプリケーションサーバをNetwork VirusWall Enforcerで守る。
東レでは、製造ラインに用いられている数多くの制御用・監視用PC/サーバが計測系LANに接続され、利用されている。この計測系LANと生産管理システムにつながる情報系LANとの接続を進めるに当たり、OSの脆弱性を狙ったネットワークウイルスへの対策が不可欠と判断されたが、ライン管理用PCは一時的にでも停止が許されないことが課題となった。そこで同社では、ライン管理用PCの前にTrend Micro Network VirusWall Enforcer1200を導入、脆弱性を狙ったパケットをブロックすることで擬似的にパッチを適用したのと同じ状態を作り出すという方法で活用を始めた。
導入背景
「業務系特殊アプリケーションサーバにはセキュリティパッチの適用が困難でした」
1926(大正15年)に設立され、レーヨン繊維の製造・販売からスタートした東レ株式会社(以下、東レ)。ナイロン、ポリエステル、アクリルという3大合成繊維で培った技術を応用し、今日ではエンジニアリングプラスチック、高機能フィルム、電子情報材料、炭素繊維複合材料、水処理膜、医薬・医療材などの先端材料を幅広く展開している。
同社では、こうした多彩な製品を日本国内12の事業場・工場で製造している。それらの製造ラインの中では、さまざまな計測や制御のためのPC/サーバが用いられており、計測系LANに接続され、DCS(Distributed Control System:分散型制御システム)による制御の下で連携動作を行っている。
これに対し、近年では分散型でなくライン全体を統合管理する生産管理システムの活用が進められ、計測系LANと生産管理システムのある情報系LANとが接続されるようになってきた。ところが同じ時期、新たな懸念が浮上し始めた。
「ここ2、3年でOSの脆弱性をつくネットワークウイルスの発生期間が短くなっている傾向があると知り、大規模なネットワークを築く弊社でもその脅威に対して本格的な対策に取り組むことを検討し始めました」と情報システム運用部 電算課長 今井徳郎氏は言う。
そこで、東レでは事務用のPCやサーバは配布ツールを用いてパッチの適用を徹底し、セキュリティを向上した。しかしここで大きな壁に突き当たった。ライン管理用に関係するPC /サーバではそれが困難だったのだ。情報システム運用部 電算課 森田義広氏は、次のように説明する。
「ライン管理用PC/サーバは、特殊なパッケージソフトや、独自開発のソフトウェアなどを使っているケースが多く、これらはパッチ適用によるトラブルを避けるための事前検証も容易ではありません。さらに、リアルタイム処理を必要としているために、ウイルス対策ソフトのパターンファイルアップデート時に連続収集データが途切れてしまう可能性があるため、そもそもウイルス対策ソフトを導入できないのです。
そこで東レでは、OSの脆弱性に対する攻撃パケットを、ネットワーク上でブロックする方法を採用することにした。それを、ライン管理用PCのシステム条件や機能要件によって分類し、どうしてもパッチ適用が不可能なものや、社内でのパッチ検証が必要なものに対して適用することにしたのだ。この目的で採用されたのが、Trend Micro Network VirusWall Enforcer 1200(以下、NVWE)である。
選定ポイント
「仮想セキュリティパッチの適用で条件をクリアしました」
「いくつかの製品やソリューションを検討しましたが、トレンドマイクロが提案してくれたNVWEは、ライン管理用PC/サーバに仮想的なセキュリティパッチを適用できることが我々の目的に合致したのです。他のソリューションでは、必要以上に多機能だったり、コストが見合わなかったりと、目的や条件に合いませんでした」と森田氏は言う。
導入に先立って、東レではNVWEの機能を詳細にテストしている。いくらセキュリティ向上のためであっても、同社の事業の根幹を支える製造ラインに影響を与えてはならないという考えからだ。
まず、サーバ室で隔離された模擬環境を作り、検証を行った。
「例えば、フルに100Mbpsのトラフィックを流してみましたが、それでもレスポンス低下は数%で済むことが分かりました。また、動作中にNVWEの電源を抜いて障害を模擬し、きちんとトラフィックをスルーしてくれることを確認しました。他にも、Trend Micro Control Manager (以下、TMCM)が、工場拠点の管理者に運用負担をかけずに一元管理が可能か、特に問題発生時にも迅速に詳細を把握して対応できるかどうか、といった点を主に検証しました」(森田氏)
さらに、各事業場・工場にNVWEを適用する際には、それぞれの環境で誤検出が生じないかどうか、事前にテストする手法を考案している。特に注意すべきは、本来通すべきパケットをブロックしてしまい、ラインに支障が生じることであった。そのために、情報システムの本部がある滋賀事業場では約2カ月の期間をかけて試験的な導入を行っている。
「誤検出を避けるための方法として、まずは1つのクライアントに対するトラフィックをブロックする形でNVWEを設置し、1週間ほど稼働させるという方法を試行しました。そこでトラブルがなければラインに導入できるという判断です」と、森田氏は説明する。
その後、2007年7月にはモデル工場として事業場を1つ選び、検証した方法で実際に問題なく導入できるかどうかを確認した。
運用状況
「TMCM と社内の運用監視システムの両方で管理し、トラブルなく稼働しています」
東レでは、今後、100台を超えるNVWEの導入を予定しており、現在は、日本全国の事業場・工場に順次導入している最中だ。
「今のところ、NVWEに関する問題は何も生じていません。導入した事業場・工場でも問題はなく、むしろ歓迎してくれています。運用負荷に関しても、夜間はバックアップなどのジョブでトラフィックが高まりますが、問題のないレベルで収まっています」(森田氏)
NVWEの運用状況は、TMCMで集中管理しているほか、負荷状況などを東レ独自の運用監視システムにも通知するように設定しており、2通りの手段で管理しているという。ちなみに同社では、ウイルスバスターCorp.やServerProtectをはじめ、各レイヤーでのウイルス対策をトレンドマイクロ製品で統一しており、すべてTMCMの管理下に置いている。
「ウイルス対策に関しては、全国各地の事業場・工場の情報を、滋賀事業場で一元管理しています。もしウイルス感染が生じたり、NVWEにトラブルが生じたりすれば、TMCMを通じて我々管理者の携帯電話にメールが届くよう設定してあるので、迅速な対応が可能になります」(森田氏)
銀行ATM、キャッシュレジスタなどWindows OSの組込機器の普及により工業用PC/サーバにおいても、今後はXP Embedded採用モデルが増えてくる見込みだ。東レでも、ラインの改修や機器の更新などに伴ってWindows XP Embeddedの導入を検討している。
しかし、このWindows XP Embeddedもまた、ウイルス対策ソフトのインストールやセキュリティパッチの適用が難しいという点でセキュリティ上の課題が懸念されている。
「カスタマイズの際の動作や通常のウイルス対策製品のサポートを受けられるのかなどの懸念点も含め、Windows XP Embeddedのセキュリティに関しては、現時点では未定ですが、NVWEの応用も含めて検討をしているところです」(森田氏)
経営の迅速化が求められる現在、製造関連システムは企業全体の基幹システムとの連携強化が強く求められている。今後も引き続き、オフィス内でのセキュリティと同様に高度なセキュリティが製造関連システムにも必要になることは間違いない。
BIZ FOCUS
OSの脆弱性をつく攻撃をブロック、「仮想的なセキュリティパッチ」Network VirusWall Enforcer 1200
東レの活用例から分かるようにNVWEは、検疫ソリューションとして有効なだけでなく工場や製造ラインなどに使用されるウイルス対策ソフトがインストールできない、またはセキュリティパッチ適用が困難なPCやサーバを守るのに適したソリューションだ。NVWEは、ネットワークウイルスによるOSなどの脆弱性を狙ったパケットをネットワーク上で遮断する機能を備えており、いわば「仮想的なセキュリティパッチ」として利用できるのである。
また、今後のオープンネットワーク化に伴うFactory Automationの現場でも、こうした「仮想セキュリティパッチ」適用による対策が可能となる。
さらに、NVWEにはウイルス感染PCの隔離や復旧といった機能も搭載されており、もしウイルス感染が生じても被害の拡大を防ぎ、迅速な復旧を可能にする。
導入企業プロフィール
会 社 名:東レ株式会社
創 立:1926年1月
本 社:東京都中央区日本橋室町2丁目1番1号
代 表:代表取締役社長 榊原定征
資 本 金:969億3723万円(2007年3月末現在)
従業員数:単体6830名、グループ36553名(2007年3月末現在)
事 業:繊維、プラスチック・ケミカル、情報通信材料・機器、炭素繊維複合材料、環境・エンジニアリング、ライフサイエンス各分野の製品の製造・販売を手掛ける。
URL:http://www.toray.co.jp
