NTTデータ~Barracuda CloudGen Firewall 導入事例
株式会社NTTデータ ITサービス・ペイメント事業本部 カード&ペイメント事業部 プラットフォーム&イノベーション統括部 ペイメント技術戦略企画担当部長 神保良弘氏、同部 池上敬吾氏に、Barracuda CloudGen Firewall (以下、CloudGen Firewall)を導入した経緯とその効果について詳しくお聞きました。(取材日:2018年3月)
株式会社NTTデータ
売上高:2兆1,171億円
従業員数:118,000名
株式会社NTTデータについて
株式会社NTTデータは、情報技術で、世界中の新しい「しくみ」や「価値」を創造し、より豊かで調和のとれた社会の実現に貢献することを目指しています。現在は、世界53カ国・地域以上で、グローバルな視野と、地域ごとのきめ細やかな対応力をもって、お客さまの変革をサポートしています。
※ この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています。
CloudGen Firewallを使って、次世代セキュリティ設計の実証実験を行っています
CloudGen Firewallで次世代セキュリティの概念を検証
Q: NTTデータでは、CloudGen Firewallをどのようにお使いですか。
NTTデータでは、現在、社内の研究開発ラボラトリ、「Payment Innovation Lab」で、次世代セキュリティに関する実証実験を2017年秋より実施しています。CloudGen Firewallは、次世代ファイアウォールの実験・検証のために活用しています。
セキュリティ実証実験の背景
Q: 今回、Payment Innovation Labでセキュリティの実証実験を行うことになった経緯を教えてください。Payment Innovation Labは、クレジットカード決済プラットフォーム「CAFIS」をさらに改善、発展させるための社内研究機関です。
NTTデータでは1984年にクレジットカード決済プラットフォーム「CAFIS」サービスを開始しました。おかげさまでCAFISはお客様の支持を受けることができ、サービス開始から35年目となる2018年は、接続社数、取引量ともに日本最大規模となりました。現在、クレジットカード会社 約120社、金融機関 約1600拠点、収納機関 約200社と、加盟店、官公庁、スマートフォン利用者、さらにはコンビニエンスストア約43000を結ぶ、国内最大のカード決済ネットワークに成長することができました。
近年、国内の決済環境はECの進展と共にキャッシュレス化が推進されています。たとえばインバウンド需要への対応も重要な課題の一つです。すでに2400万人を超えている外国人観光客の利便性を確保するためにも、スマートフォンなどを活用したキャッシュレス決済をさらに押し進める必要があります。一方、こうした利便性の向上と共に重要性を増すのがセキュリティの確保です。経済産業省と民間約40事業者で構成される「クレジット取引セキュリティ対策審議会」でも、2020年までにカード情報の非保持化、あるいは保持する場合のPCI DSSへの準拠を要請するなど、セキュリティ強化を求めています。
こうした趨勢に適切に対応するため、Payment Innovation Labでは、従来のウォーターフォール型開発手法とAgile型開発手法の融合による新たなメソドロジーの確立、新技術やサービスのスピーディな検証、そして、それらソリューションの基盤となるセキュリティの実証試験、研究などを推進しています。
今回CloudGen Firewallを活用して行っている次世代ファイアウォールの実証試験もその取り組みの一環です。
またCloudGen Firewallは、「Payment Innovation Lab」それ自体のセキュリティ確保にも活用しています。「Payment Innovation Lab」は、アンチパスバック(入退室管理システム)、監視カメラ、開発向けとゲスト向けの無線LANのセグメント分けなど、様々なセキュリティを実施していますが、これに加えて次世代ファイアウォールCloudGen Firewallも導入し、実証試験、ラボのセキュリティ強化、知見、ノウハウの蓄積、商用サービスへの適応可否の模索などを行っています。
※CAFIS:Credit And Finance Information Systemの略、読み方:キャフィス
CloudGen Firewall採用の経緯
Q: CloudGen Firewallを採用した経緯を教えてください。
従来のファイアウォールでは、IPアドレスやポート番号などL3/L4のフィルタリングのみ行っていました。一方、CloudGen Firewallなど次世代ファイアウォールでは、L7レベルの通信内容の可視化と制御を行うことで、従来は不可能だったアプリケーションレベルのフィルタリングが可能です。
今回導入する次世代ファイアウォールの選定にあたっては、「L7レベルの検査が可能であること」のほか、「VPN接続」、「スマートフォン等によるリモート接続」、「内部のシステムWebへの透過的なアクセス」、「シングルサインオンヘの対応」などを考慮した上で、CloudGen Firewallを選定しました。
CloudGen Firewallは、評価機をすぐに借りられたのも良い点でした。バラクーダネットワークスのSEの方からは、製品のアーキテクチャや操作方法についてていねいなレクチャーがあり、これもCloudGen Firewallの理解を早めることに役立ちました。
検証の概要例
Q: CloudGen Firewallによる検証例を教えてください。
まず、「運用の利便性とセキュリティのトレードオフを最小にするための検証」を行っています。フィルタリングとは「不審なものを遮断すること」ですが、これを過剰にすると業務効率が低下します。現在の商用決済サービスではセキュリティを優先し、利便性、高速性のプライオリティを下げています。CloudGen Firewallをラボ内で積極活用することにより、このトレードオフを最小化するための知見を得たいと考えています。
この他、CloudGen Firewallのダッシュボードを活用して、通信内容を可視化すること、「誰がどこにアクセスしようとしているか」を認識することを実現し、ホワイトリスト方式、ブラックリスト方式に止まらない、新たな検出方式を確立できないか、模索しています。
通信内容の目視が可能になると、「様々な箇所から様々な性質のアクセスが、毎日のように来ている」ことが実感できます。この点についてもCloudGen Firewallの「リスク値を点数化する機能」を活用して、アクセス内容の危険度について、早期かつ明確に判断する手法を確立したいと考えています。
今後の活用展開の方針
Q:CloudGen Firewallnの今後の活用展開について教えてください。
「Payment Innovation Lab」では、今後リモートワークを基本とした就業形態を採る可能性があります。その場合、社内システムにはVPNを介して接続することになりますが、この接続の安全性検証にCloudGen Firewallを積極活用したいと考えています。この他、Amazon Web Service(AWS)の開発環境のセキュリティ確保にも活用していく方針です。
CloudGen Firewallは必要十分な機能がシンプルなインターフェースで提供されている点に好印象を持っています。バラクーダネットワークスには引き続き、優れた製品、サービスを提供していただくことを通じて、「Payment Innovation Lab」のセキュリティへの取り組みを後方支援いただくことを希望します。今後ともよろしくお願いします。
導入製品
Barracuda CloudGen Firewall
(旧 Barracuda NextGen Firewall)
クラウド時代の次世代ファイアウォールでセキュアなSD-WAN環境を構築
インターネット出口の一極集中から、分散型ネットワークを実現することでクラウドベースのアプリへ快適に接続