環境

ホスティングサービスに包括的なセキュリティを提供するために、Swisscomは、1つにつき1,000以上のルールを含む、150以上のファイアウォールを運用しています。この大規模なファイアウォールを効果的に管理するために、明確に定義されたプロセスが導入されています。ファイアウォールの運用は、管理ライフサイクルの異なる段階を担当する4つのチームによって管理されています。技術接続チームのリーダーは、様々なプロジェクトリーダーからアクセス要件を受け取り、必要なポリシー(基準)変更を設計します。これらの変更は、セキュリティ委員会によって検討、承認され、実装チームは変更依頼に基づいてアクセスを設定します。その後、運用チームがファイアウォールを監視し、すべてのセキュリティ インシデントに対応します。

課題

Swisscomのセキュリティ管理者は、2007 年に外部の年次監査で高リスクの調査結果がいくつか報告された際に、ファイアウォールの運用を完全にコントロールできていないことに気付きました。これを受けて、以下の問題を解決するためのソリューションを早急に模索することになりました。ポリシー変更の計画と実装に必要な時間を短縮、 管理者がネットワークインシデントの原因となった変更を正確に特定できるようにする Swisscom の 150 以上のファイアウォール全体で、すべてのルールベースの変更が正しく実装されていることを保証する必要がありました。

技術接続チームと実装チーム - ファイアウォールポリシーの変更を効率的に設計し、実装
技術接続チームは、新しいルールやオブジェクトをどこに配置するかを決定するのに、ファイアウォールポリシーを手動でレビューして分析するしかなく、提案されたルールがすでに存在するかどうかを簡単にチェックする方法がありませんでした。その結果、各ポリシー変更の設計には非常に手間と時間がかかっていました。さらに、実装チームが必要な変更を行った後、その変更が正しく設定されているかどうかを確認するための自動プロセスはありませんでした。これにSwisscomのセキュリティ業務全体で行われた膨大な数の変更を掛け合わせると、Swisscomが深刻な課題に直面していたことは明らかです。

「我々は、すでに堅牢な手順を持っていましたが、SecureTrackがもたらした自動化により、ファイアウォールの状態の全体的なスナップショットが提供され、より機敏でより積極的でより戦略的な方法での運用が可能になりました。安全でコンプライアンスに準拠した方法で運用しているという完全な自信を持って、より短い時間でより多くのことを達成することができるようになったのです。」
ミシェル・ミュラー
シニアネットワークセキュリティエンジニア, Swisscom

オペレーションチーム - セキュリティ インシデント処理の合理化ニーズ
運用チームには、特定のトラフィックパターン(送信元、送信先、サービス)に一致するルールを分離するツールがありませんでした。作業の際には、これらの基準の 1 つだけを使用してルールベースをフィルタリングし、情報を手動で関連付けなければなりませんでした。さらに、問題やセキュリティ インシデントが発生した場合、どの変更が原因で発生したのかを正確に特定することができませんでした。一度ルールベースが変更されると、後戻りすることはできず、将来の変更がネットワークに及ぼす影響を予測する方法もありませんでした。このため、メンテナンスとセキュリティ インシデント処理に非常に手間がかかりっていたのです。

セキュリティ委員会 - ネットワーク全体のセキュリティを確保するニーズ
公共部門と民間部門の両方にとっての重要なサービスプロバイダーとして、Swisscomは毎年厳格な監査プロセスの対象となっていました。ネットワーク全体の整合性を確保するために、Swisscomは、実行されたすべての変更を検討、監視し、第2レベルの検証と承認の役割を果たすセキュリティ委員会を設置しました。この委員会の任務の一つは、新入社員が最初の3ヶ月間に行ったすべての変更を監視することでした。自動化されたツールがなければ、この作業は不可能に近いものでした。

導入のメリット

  • ファイアウォールの監査・管理業務の自動化
  • すべての変更をリアルタイムで監視
  • セキュリティ変更の計画と実施にかかる時間を短縮
  • 確実な規制要件の遵守
  • ネットワーク全体のセキュリティの向上
  • ケーススタディのダウンロード