京王電鉄、インターネット基盤のセキュリティ強化でフォーティネットの次世代ファイアウォール「FortiGate」を採用

フォーティネット、京王電鉄のインターネット基盤のセキュリティを強化、セキュリティドリブンネットワーキングで、多種多様なグループ各社のニーズに対応する柔軟でセキュアなセグメント環境をFortiGateが実現

＃＃本文開始
　フォーティネットは17日、京王電鉄株式会社および京王グループ各社が、フォーティネットの次世代ファイアウォール「ForiGate」を採用し、セキュリティを重視したネットワーキングで、グループ各社のニーズに対応した柔軟な基盤を実現したと発表した。

　京王電鉄では、東京オリンピック・パラリンピックの会場施設が沿線にあることからも想定された、サイバー攻撃の増加に対応するため、社内に「情報セキュリティ分科会」を設け、セキュリティ対策に力を入れてきた。また、2015年には、京王電鉄の情報システム子会社である京王ITソリューションズ株式会社の協力も得て、情報セキュリティ分科会の中にCSIRTの役割を担う「京王SIRT」を設置した。

　京王電鉄では取り組みの中で、専門事業者のSOCサービスを活用し、次世代ファイアウォールやプロキシサーバーのログに加え、エンドポイントセキュリティ製品のログも収集して統合的に監視し、深刻な問題は通知を受け取るという運用を行ってきた。しかし、アラートの中には過検知が含まれるケースもあり、アラートを社内やグループ各社に通知して詳細を確認してもらう手間に加え、過検知が繰り返されることでのアラート慣れが起こることに対する懸念があった。また、運用においては、セキュリティ製品の設定変更にも手間と時間を要したという。

　そこで、京王電鉄では、京王グループのインターネット基盤の更改を機に、2019年にセキュリティ製品の見直しを実施。京王グループには、鉄道事業を中心に、運輸、流通、ホテル、不動産など、さまざまな事業を行う50社を超えるグループ会社があり、業態によって最適なセキュリティポリシーが異なる。そのため、共通のインターネット基盤を整備して集約することで、導入と運用にかかるコストを削減しながら、各社のニーズに対応できる柔軟な基盤が求められた。

　また、これまで別々の製品で実現していた次世代ファイアウォールと、認証やWebフィルタリングを行うプロキシサーバーのセキュリティ機能を統合し、セキュリティ対策を強化する必要があった。対策の強化には、WebサイトのHTTPS化に対応したSSL通信の中身を検査し、暗号化されたフローに潜むランサムウェアを検知し、データの流出やビジネスの混乱を防ぐSSLインスペクション機能も追加された。

　FortiGateは、これらの要件を満たし、さらに仮想ファイアウォールを使ってセキュリティポリシーをグループ会社ごとに個別に構成し、ユーザーエクスペリエンスとポリシーコントロールを維持したセキュアなマルチテナント型のセグメント環境を構築できることから、採用に至ったという。

　京王電鉄では、2021年1月末から、FortiGateを活用した新たなインターネット基盤環境に切り替え、本体での利用に加え、グループの30数社に対し「インターネットコネクションサービス」という名称で、FortiGateによるセキュリティ機能やSOCの運用監視を含んだインターネットへの接続サービスを提供している。

　運用面では、権限に応じて操作範囲を制限できるFortiGateの管理機能により、一部のグループ会社には、FortiGateの管理コンソールを提供。日本語GUIにより、簡単な設定変更は自社でできるようになり、運用の効率化に貢献しているという。

　また、専門知識の求められるセキュリティ監視とインシデント対応は、グループ各社にとって負担のかかる作業となるため、京王SIRTではFortiGateによる保護とともに、セキュリティの運用監視もグループ各社に代わって行うこととした。この体制により、万一インシデントが起きた場合には、SOC経由で受け取ったアラートを京王SIRTからグループ会社に通知する仕組みを構築した。

　例えば、疑わしい端末とそのIPアドレスという、具体的でアクション可能な情報をグループ会社に伝えることで、すぐに端末を隔離するなどのアクションを起こせるようになり、グループの統制強化にもつながっているという。