5,000台のPCにセキュリティパッチを一斉配信、
低帯域・海外端末にも
ともに100年以上の歴史を持つ「安藤建設」と「ハザマ」が合併して誕生した「安藤ハザマ」
同社は合併に伴って、5,000台を超えるPCに対し、Windows Updateのセキュリティパッチを確実に適用する方法を模索していた。
5,000台のPCに同時配布できること、ネットワーク負荷が小さいことが必須だった
建築に強みを持つ安藤建設と土木に定評のあるハザマ。ともに100年以上の歴史を持つ名門建設会社だ。この2社が合併して、2013年4月に誕生したのが安藤ハザマである。
その両社が合併後に持ち上がった課題が、5,000台を超えたPCにWindows Updateのセキュリティパッチを確実に適用させる方法だ。
企業向けシステムにおいては、Windows Updateの自動インストールを嫌うケースが多い。安藤ハザマも同様でセキュリティパッチ適用によるレジストリやシステムファイルの改変が、業務アプリケーションに与える影響を毎月検証してから、配布するようにしている。従来は、検証が完了したパッチを社内のポータルサイトにアップロードし、利用者が手動でダウンロードしたり別のツールを利用して配布したりしていた。
しかし、ポータルサーバに負荷が集中するという難点や、ツールにはNAT環境の作業所に対して配信できないという制限があった。また性能にも問題があり、数千台のPCにパッチを一斉配信するとフリーズしてしまうといった課題を抱えていた。
合併により単純にPC台数が倍増した上、NAT環境の作業所が混在するようになったため、従来使用してきたツールでは性能的にも機能的にも配信ができなくなった。さらに、海外拠点は管理の手が届きにくい上、国内よりもさらに回線の帯域確保が難しいケースが多いなか、これらの管理も強化したいという要望もあった。
そこで、新たに課題を解決する製品の検討が進められることとなった。製品選定のポイントについて、戸川氏は次のように語る。
「まず、1,000台以上のPCに同時に配布できることが最低条件でした。数百台ならどのツールも可能でしたが、1,000台以上はなかなかありません。運用負荷を考えると操作性の高いツールであることも必要でした。何よりも重要だったのは、ネットワーク負荷が小さいこと。低帯域でしか接続できない現場もあるし、ネットワーク負荷で業務に影響が出たら本末転倒です」(戸川氏)
Ivantiの性能は圧倒的
5社の製品が最終選考に残ったが、その中でもIvantiの性能が目を引いた。
「Ivantiが特許を有する“Ivanti Self Organizing Multicast”と“Ivanti Peer Download”の2つの配信技術が当社の課題解決に最適でした。 これらの技術によって、各事業所や現場でどれか1台に配信されていれば、あとはそこのローカルネットワーク内で配信パッチを探してくれるので、ネットワーク負荷は最小限で済みます」(正木氏)
この2つの配信技術による圧倒的な配信効率性能とネットワークへの低負荷が決め手となり、Ivantiの採用が決定した。決定後の動きは素早く、サーバ構築から運用テストと配信設定を3ヶ月で完了し、4ヶ月目で実際に国内運用を開始した。
「Windows Updateの重要な更新プログラム程度であれば、全社のPCに1回の操作で配布することができるようになりました。時間も2日程度で配信できてしまいます」(戸川氏)
以前はエンドユーザーにパッチ適用作業を任せていたためにどうしても保管されているパソコンへのパッチ適用が残ってしまっていたが、現在では使い始めた時に自動で最新状態にアップデートされる仕組みとなったため、パッチ適用忘れによるセキュリティホールを無くすことができたという。
海外拠点への配布には Ivanti Cloud Services Applianceを採用
海外拠点への配布については、さらに課題があった。 国内の現場よりもさらに低帯域の接続があり得るということも大きな問題だが、そもそも海外拠点からはメールの確認くらいしか社内ネットワークに接続することがないため、国内サーバからのパッチ配信では実現困難と思われていた。
そこで、安藤ハザマはIvanti Cloud Services Applianceを採用することにした。この製品はインターネット経由でIvantiを運用できる1Uのアプライアンス・サーバである。
「海外拠点は、社内ネットワークに接続している一瞬を狙うより、一般のインターネット経由での管理を考えた方が現実的です。しかし、その為にはDMZ上にサーバを置く必要がありますが、工数もかかるし、セキュリティ上の不安もありました。
その点、Ivanti Cloud Services Applianceを導入すれば、サーバを自前で用意することなく、海外拠点のデバイスをセキュアに管理することができます。しかも、PCサーバを1台用意するより低価格です」(戸川氏)
Ivanti製品の導入を手がけたのは、同社製品の総代理店でもあるSCSKだ。SCSKについて戸川氏は次のように評価する。
「海外ベンダーの製品を採用する場合、技術的な問題が発生したときのコミュニケーションやレスポンスの遅さに悩まされることが多い。その点、SCSKはIvanti製品の取り扱い実績が豊富でノウハウがあります」(戸川氏)
安藤ハザマでは、パッチだけでなくアプリケーションの配布にも利用用途を拡げているそうだ。
今まで400を超える拠点にCDを配布していた事を考えると格段の効率化になるとのこと。
今後もIvanti製品を有効活用していきたいという思いがあり、SCSKセキュリティのサポートに大いに期待しているという。
Ivanti Cloud Services Applianceは、パッチ・コンテンツではなく、パッチ情報を配布することができる。これにより、海外拠点のPCはその国のベンダーのサイトにパッチを取得しにいくので、ネットワーク的にも有利に働いた。
「Ivanti Cloud Services Applianceがなければ、海外拠点へのパッチ配布はもっと先延ばしになっていたかもしれません」(正木氏)
導入製品
Ivanti Patch for Endpoint Manager
Ivanti Cloud Service Appliance
お話いただいた方
安藤ハザマ
社長室 情報システム部
システム基盤グループ
正木 啓之 氏
安藤ハザマ
社長室 情報システム部
システム基盤グループ
担当課長 戸川 和史 氏