事業の拡大と併せて従業員数が増える中、同社では働き方改革や業務効率化を目的にクラウド業務アプリの利用も増えつつある状況だ。社内から多様なアプリケーションがインターネットにセッションを張る状況では従来とは異なるWebセキュリティ対策が必要になるが、同時に従業員の利便性を損なわない運用も求められる。情報システム部門にとっては難しい課題だ。

特にこの数年は通信の保護を念頭にWebアクセスの「常時SSL」が推奨されつつあることから、暗号化されたSSL通信を隠れみのに悪意あるファイルをダウンロードさせるようなマルウェアによる攻撃が危惧される状況もある。対策するには全てのSSL通信を解析するなどの高度な対策も必要になる。

常時SSL通信、Webアプリによる大量セッションが発生する状況の中、ソフトブレーンでは、Webフィルタリングツールについては「逐一見ることがなくなった」というほど、運用が楽になったという。その理由はどこにあるだろうか。

「実はオフィス移転準備の真っ最中なのです」と、多忙の中取材に対応いただいたのは、ソフトブレーン　管理本部　経営管理部　情報システムチーム　課長の栗山寿律氏だ。

栗山氏がソフトブレーンに入社したのは2005年のこと。「当時はまだクラウドサービスなどが存在せず、社内からのWebアクセスは非常にシンプルでした。メールの閲覧は『Outlook』を使い、受信メールデータは社員が利用するPCに直接保存される状況。このため、HTTPSを介したインターネットアクセスはそれほど多くありませんでした」（栗山氏）

それでも当時、既にセキュリティの観点からWebフィルタリングツールを利用してはいたというが、通信そのものが多くないことから問題なく運用できていた。

状況が変わったのは2015年頃のこと。ちょうどWebベースのクラウドアプリケーションが注目されるようになり、「Gmail」を始めとする「Google Apps」や「Office 365」などのWebをベースとしたSaaS型オフィススイートが企業で一般的に使われ出した時期だ。同社もシステム運用管理の利便性や利用者の使い勝手を考慮してGmailの採用を決断する。

Gmailを利用するようになると、メールといえどもSMTPなどのプロトコルではなく全てがHTTPSベースの通信になる。これに加えて従業員や契約スタッフも増え続けていたことから、500人近いユーザーが一気に利用する状況が生まれたのだ。この2つの要因からWebフィルタリングソフトを介するセッション数は格段に跳ね上がった。

従来のWebフィルタリングソフトを利用した状態で、全社的にGmailに切り替えた結果、従業員から『Gmailをまともに閲覧できない』という問い合わせが殺到したのだ。

「いろいろ調べていくと、Gmailのセッション数に対応しきれていない状況が明らかになったのです」（栗山氏）

この状況を打開する方法は幾つか考えられた。栗山氏らはまずシンプルな方法で対策を試みた。

栗山氏らはまず、暫定措置として、Webフィルタリングソフト側が十分なセッション数に耐え得るよう、システムを増強してしのぐ方法で問題に対処した。だが「抜本的な改善策ではないため、一応は動くが十分とは言いがたい状況」が続いた。問題を解消するには、抜本的な見直しが必須だったのだ。

「情報システム部門側の視点で考えるとWebフィルタリング用のプロキシサーバの入れ替えはインフラ全体に影響するので手をつけたくないものの一つ。それでも、Gmail導入をきっかけとしたセッションの逼迫は看過できなかったのです」（栗山氏）

こうした事情から、システム更改と合わせ、Webフィルタリングソフトそのものの見直しを進めることになった。

選定の第一段階は自身がWeb検索などでおおよそ当たりをつけて複数製品に問い合わせ、機能検証や見積もりを行った。製品選定では少なくとも3社は詳細を調査したり見積もりを確認したりしたが、総合的な判断として、アルプス システム インテグレーション（ALSI）の「InterSafe WebFilter」を採用することに決定した。

InterSafe WebFilterの機能概要
URLデータベースを基にポリシーを設定してアクセス制御を行う

選定の決め手は導入や運用コストもあったが、何よりも「運用時の負担の少なさ」「ワークフローの設計」がポイントだったようだ。

「過去に利用してきたWebフィルタリングソフトは、管理者が規制したサイトにユーザーが何らかの理由でアクセスしたい場合に、許可を出したり止めたりといった操作を能動的に実施する必要があったのです。InterSafe WebFilterは、ユーザー側が『許可してください」と理由を書いて規制画面から申請するワークフローになっています。申請があればその都度、管理者が確認して判断します。これは非常に合理的な仕組みです。ユーザーが自らアクセスしたいWebサイトを申請する、というアプローチを取るのは選定候補の製品のうち『InterSafe WebFilter』だけでした」（栗山氏）

従来の運用はワークフローとしての定義がなく、従業員側から要望が来るとしても担当者向けにそれぞれが自由な形式で「このサイトへのアクセス、開けてもらえますか」と問い合わせが届く状況だった。人によっては申請理由などの詳細を確認するのにメールで何往復もやりとりが必要なこともあり、非効率な運用状況だった。

InterSafe WebFilterのワークフローを使うことで、「理由などの必要事項の記載がない申請は見ない、申請させない」というルールを徹底できるようになった。

栗山氏がInterSafe WebFilterを気に入っている点は、「見なくても良い」という性能の良さだけではない。利用者から何かの問い合わせがあったときの対応が早く安心できるのだという。

「利用者に不都合があって問い合わせを受ける場合は、だいたい待ってはもらえません。業務効率にも関わることですから、なるべく早く解決したい。情報システムチームとしては、Webフィルタリングツール以外にもさまざまなベンダーに問い合わせなどをしていますが、それらを比較してもALSIさんは非常に対応がよいといえます」（栗山氏）

ここまでで見てきたように、社員のWebアプリなどの使い方が大きく変わり、セッション数も増加したにもかかわらず、ソフトブレーンではInterSafe WebFilterに乗り換えてから4年、全く問題なく利用してきた。「見なくてもうまく動く」として評価されているようだが、実は今後、トライしたいことがいくつかあるという。

「当社も『働き方改革』に注力しており、Wi-Fi環境やフロアデザインも見直しています。その中でモバイル機器の管理も拡充したいと考えています」（栗山氏）

冒頭で紹介した通り、同社は事業拡大を受け、直近でオフィス移転を予定している。栗山氏は、社内のネットワーク周りの設計や運用見直しも担当しているが、その中でもモバイル端末の保護は重要なテーマの1つだという。

「ALSIのセキュアWebゲートウェイサービス『InterSafe GatewayConnection』には社内VPNとの同居ができる機能があり、これを利用して貸与スマホなどのアクセスも一元管理しようと構想を練っています」（栗山氏）

移転の準備などで多忙が重なっていたが、移転後は最新版のInterSafe WebFilter Ver. 9.1へのバージョンアップも実施する計画だ。

最新バージョンで期待しているのはポリシー設定の「未分類」機能の活用だ。ブラックリスト方式でフィルタリングをかける場合、リストに含まれない不正URLへのアクセスは止めることができない。こうしたときに、リストに含まれないURLであっても「未分類とされたURLは無害化した環境でアクセスさせる」というポリシーを利用できれば、利用者の利便性を損なうことなく、安全を担保することができる。

未分類のURLを無害化する
利用にはInterSafe WebIsolationを併用する

「当社の場合、製品を開発する技術者も多く抱えています。彼らはSlackに代表されるようなSNSを活用したいという要望があがります。しかし、許容してしまうと、個人のアカウントでサインインしてしまった場合のリスクが考えられます。個人アカウントのアクセスだけをはじいたり、ファイルアップロードだけは許可しなかったりといったシャドーIT対策の設定が可能だと聞いていますので、今後、折を見て挑戦したいと考えています」（栗山氏）