この度、弊社で展開しているTufinのお客様活用事例をご紹介します。国際的金融サービスを展開する某金融機関は、リテール、コーポレート、インベストメントバンキングの各セグメントで事業を展開しています。アジアを拠点として40カ国以上の137の拠点で事業を展開する、総資産ベースで世界のトップ20に入る銀行です。
ビジネスインパクト
・33のファイアウォール、40の国、137の海外オフィスにわたるグローバルセキュリティポリシーを管理。
・4,000以上のルールの管理を自動化し、スプレッドシートと手動プロセスを排除。
・12ヶ月に及ぶルール再認証の滞留を解消、日次で自動化されたルールレビューを実施。
ネットワークセキュリティチームが
137 拠点で継続的なコンプライアンスを実現
課題 I: 2ベンダー間にまたがる 33のファイアウォールの可視化
ネットワークセキュリティチームは、Palo Alto Networks と Check Point Software の両ベンダーが提供する 世界40カ国にまたがる33 のファイアウォールを対象に、セキュリティ・ポリシーの可視化とそれに対する監査機能を求めていました。しかしながら、同行の既存のネットワーク・セキュリティ・ポリシー・マネジメント(NSPM)プラットフォームでは、ワークフローの自動化とマルチベンダー環境における変更箇所の追跡が困難でした。また、同行は他行との合併を控えており、セキュリティ・ポリシーの可視化と変更箇所の追跡がますます重要性を増しており、これらの課題を解決し、グローバルにポリシーを適用することが急務となっていました。
「私たちは、当時導入していたプロダクトも含め、多くの(自動化用)プロダクトを検討しましたが、とりわけPalo Alto関連で長期的な視点が必ずしも備わっておらず、常に何らかの不足が存在していました。」
ーネットワーク セキュリティ担当マネージャー(世界トップ20のグローバルバンク)
課題 II: ルールの再認証とワークフロー変更の自動化
同行では、グローバルなセキュリティ ポリシーを定義していましたが、ルールの数は4,000を超え、これらは既存の NSPM の外部で管理されていました。その結果、レビューと再認証が必要なルールが12カ月分も滞留していおり、既存のルールを整理するための効率的な変更方法や変更内容を自動的に追跡する方法も存在しませんでした。 同行のチームは年1回のレビューを行うことで作業量の削減を目指しましたが、その効果は理想とは程遠く、タスクは依然として途方もないままでした。
課題 III: コンプライアンスを文書化し証明するための手動タスクの排除
同行の全てのルール変更は、スプレッドシートと電子メールによって管理されていました。そのため、NIST 800-53やPCI-DSSなどのさまざまな規制やセキュリティ標準への準拠を証明するための作業に人員が割かれ、戦略的なプロジェクトに活用できるはずのリソースを圧迫していました。
なぜTufinなのか?
同行は、既存のNSPMプラットフォームを徹底的に検討した上で大胆な変革が必要であると判断し、次世代ファイアウォールの可視化と制御をより広範囲にサポートしているプロダクトを求めていました。また、同行のネットワークの拡張計画に沿った長期的なビジョンとロードマップを持つベンダーを望んでいました。同行のネットワークセキュリティチームは、Tufinのプロダクトがセキュリティポリシーのオーケストレーションを将来にわたって保証し、ネットワークを拡張する際にオンプレミスとクラウドのチーム間に存在するギャップを埋める上で役立つと考えました。
ハイブリッドおよびマルチクラウドネットワークにわたる高度な自動化
Tufinの高度な自動化機能は、変化のきっかけを提供します。お客様の長期的な目標はゼロタッチの(人手を介さない)自動化を達成することでした。同行は、Tufinのプロダクトが巨大で複雑な環境での自動化に最も適しており、Tufinのロードマップが同行の運用の高度化計画に合致していると考えました。
「私たちは、統合セキュリティポリシー(USP) を開発し、人手を介さずに自動化することを強く望んでいました。私たちがリクエストを承認さえすれば、あとはTufinが引き継ぎ、ファイアウォールへのインストールは自動的に行われます。これが、Tufinが成熟したプロダクトであると感じた主な理由の1つです。」
—ネットワーク セキュリティ担当マネージャー(世界トップ20のグローバル銀行)
成果
ネットワークの完全な可視化により、瞬時に成果を出せるように
TufinのSecureTrackとSecureChangeにより、ネットワークセキュリティチームは複数のファイアウォールベンダーの変更を、通信経路の完全な可視化と監査証跡を使用して、レビュー・承認・実装できるようになりました。また、Palo Alto Networks のファイアウォール・モニタリングを導入することで、瞬時に成果を出すことが可能になりました。
自動化されたルールレビューと再認証
12か月以内に、同行は自動化されたルールレビューと再認証ワークフローを実装し、ルールの有効期限を変更することができました。Tufinダッシュボードを使用して、同行のチームは統合セキュリティポリシー(USP)に対して毎日ルールレビューを行い、必要に応じて修正または例外を許可することができるようになりました。
最小限の監査準備で継続的なコンプライアンスを実現
Tufinは、ネットワークの継続的なコンプライアンスを保証するための影響評価とプロビジョニングの自動化することで、すべてのポリシーの統合セキュリティポリシー(USP)への準拠を自動化します。自動化と包括的なレポートにより、監査準備に必要な時間が劇的に短縮されました。
今後の展望:ゼロ・タッチの自動化
お客様は、統合セキュリティポリシー(USP)モデルをさらに発展させ、ゼロタッチの自動化を実現することに意欲的に取り組んできました。同行は、ユーザーによって提出されたリスクエストが、構造化されたレビュープロセスに従って承認され、「残りはTufinが実行する」という、ファイアウォールの変更に人間が追加的に介入することのないプロセスを想定しています。このような自動化により設定ミスを防ぎ、ビジネスユーザーとセキュリティ専門家の双方にとって大幅な効率化を図ることができると期待されています。
「Tufinを導入することでネットワーク全体を見渡すことができ、リクエストが来た際にどのファイアウォールを変更する必要があるのかをユーザーや管理者に伝えることができる点が気に入っています。」
ーネットワーク セキュリティ担当マネージャー(世界トップ20のグローバル銀行)
手動による監査準備とコンプライアンスレポートを事実上排除。
・完全な可視化を実現するには、ハイブリッドインフラにおける複数のレイヤーについて把握しておくことが重要です。
・これらのレイヤーには、以下のようなものが含まれます。
・オンプレミスとクラウドの両方で稼働しているセキュリティ・デバイス、ワークロード、アプリケーションの種類、これらのデバイスやプログラムが許可している接続アクセスやセキュリティポリシーの変更履歴と所有者
・有効なポリシーが遵守されているか、または遵守されていないか
Tufin Orchestration Suiteの詳細について
Tufin Orchestration Suiteは、ネットワーク運用のオーケストレーション製品のリーダーで、業種を問わず全世界で2,100社以上の企業に導入。世界のリーディングカンパニーからの信頼と確かな実績のあるソリューションです。NTT Com DDでは、日本の皆様により詳しくTufin Orchestration Suiteをご紹介することが可能です。製品・ソリューションの機能や効果について詳しく知りたい方や、導入やお見積りに関するお問合せは下記よりご連絡ください。