ネットワークセキュリティの
統一基盤を構築した三井物産グループ

三井物産株式会社は近年、DX基盤の整備に注力しており、ITインフラのクラウドシフトを進めている。ネットワークについても、SD-WANやクラウドプロキシ、リモートアクセスVPNといった機能を必要に応じて段階的に導入してきた。クラウドの領域では、日進月歩で新たなセキュリティの考え方や製品が登場している。三井物産はそうしたソリューションを都度積極的に評価、採用し、ベスト・オブ・ブリードでネットワークセキュリティを構成してきたが、徐々に弊害も顕在化してきたという。三井物産株式会社 デジタル総合戦略部 デジタルインフラ室 マネージャー 手嶋彰氏は次のように振り返る。

「ベスト・オブ・ブリードの構成を取ってきたがゆえに、製品ごとに運用チームが立ち上がるなど、管理がかなり複雑になってしまっていました。サイロ化したことで、ネットワークの更改などによりどんな影響が出るのか把握しづらく、一箇所設定を変更しただけで予期しない障害が起こることも珍しくない状況でした」（手嶋氏）

同社はグローバル各地域に多数の拠点を置き、さまざまな業種業態の関連会社も傘下に持つ。そのため、ネットワークに対するユーザー側の要望も多様だ。そうした要望に向き合い個別最適化を進めてきた結果、ネットワークの設定が複雑化したことも、柔軟性の欠如に拍車をかけ、新しい世代のクラウドセキュリティソリューションを導入しても真価を発揮できない環境だった。

三井物産株式会社 デジタル総合戦略部 デジタルインフラ室長 藤田真吾氏は「従来の課題を抜本的に解決するために、包括的なSASEソリューションを導入し、ゼロトラストの考え方に基づいたネットワークセキュリティの実現に本格的に取り組むことにしたのです」と説明する。

SASEソリューションの選定にあたっては、三井物産のデジタル総合戦略部デジタルインフラ室と、同社の100％子会社でIT導入・運用のコアパートナーである三井情報株式会社が連携して情報収集し、要件の整理も進めた。

大前提となったのは、グローバルに広がる三井物産の各拠点で無理なく利用可能な接続ポイントが整備され、18,000人のユーザーが利用できる十分なキャパシティを持つクラウドソリューションであることだった。その上で、セキュリティレベルや利便性の向上も重要テーマに据えた。

「従来の環境では、暗号化された通信を復号化してセキュリティ上の脅威を検知することができなかったという課題があり、そこはぜひ実現したかったです。また、グローバルIPの固定化も、ネットワークの利便性を高め、運用をシンプルにするためには必須だと考えていました」（手嶋氏）

三井物産はSASEソリューションとして最終的に「Prisma Access」を採用した。主要なSASEソリューションを複数比較しての結論ではあるが、過去の経験から有力候補だったという。

「SASEソリューションは大きくネットワーク型とプロキシ型に分かれますが、過去にプロキシ型のソリューションの導入を試みて当社にはフィットしなかった経験もあったことから、ネットワーク型が合っているという仮説を立てました。そこでネットワーク型、プロキシ型のメリット・デメリットを含め、競合製品と比較し、どの製品が当社環境に一番フィットするのかを検討しました」（手嶋氏）

同社は自社データセンターやパブリッククラウド環境でパロアルトネットワークスのファイアウォール製品を導入しており、そうした実績もPrisma Access の採用を後押しした。三井情報株式会社 技術推進本部 技術戦略部 フェロー 徳久史氏は「SASEソリューションの導入を検討していた時点で、パロアルトネットワークス製品を数年間にわたって運用してきた実績がありましたので、我々の知見を生かすことができるという期待がありました」と説明する。また、同業他社での導入実績や導入後の活用状況も調査し、成果が上がっていることを確認できたことも判断材料になった。

採用決定の最終段階では、パロアルトネットワークスのコンサルテーションを受け、PoCで導入効果を検証しつつ、既存環境で使っているサービスをPrisma Accessに置き換えることによるコスト削減効果の試算なども並行して進めた。

「クラウドプロキシやリモートアクセスVPNは廃止して、その分のコストを削減できるという結論になりました。拠点間通信に使う固定回線の閉域網も段階的に削減してPrisma Accessに集約していく方針を固めることができました」（徳久氏）

PoC終了後は導入フェーズに入り、2023年10月から2024年5月までを先行導入期間として1,000ユーザーに導入。2024年6月から11月を全社展開の本番導入期間と位置付けた。

先行導入開始後は、三井物産デジタル総合戦略部デジタルインフラ室、三井情報、そしてセキュリティ専門のグループ会社による定例会議を設置。パロアルトネットワークスもほぼ毎回参加するという座組だったという。本プロジェクトにプロジェクトマネージャーとして参画した三井情報株式会社 ICTコア第 一技術本部 商社第二技術部 第一技術室 西浦佑氏は次のように振り返る。

「PoCの期間をしっかり取ったこともあり、基本設計などでつまずくことはありませんでした。パロアルトネットワークスには、メーカーの立場を超えて、三井物産の環境の癖などを踏まえたアドバイスをしてもらった印象です。そうした支援もあって、セキュリティポリシーの判定基準などについてタイムリーに判断しながらプロジェクトを進めることができました」（西浦氏）

また、導入フェーズでは、稼働後のスムーズな運用に向け、ユーザー部門とのコミュニケーションも重視したという。今回、Prisma Accessを導入する三井物産グループ内のユーザーに対して、先行導入の開始とほぼ同時にポータルサイトを立ち上げて情報発信を開始し、ユーザーの疑問に先回りした「攻めの情報発信」を徹底するとともに、個別の打ち合わせの要請にも対応した。

「今回、セキュリティを向上させるためにセキュリティポリシーを厳しくしたため、ユーザーの利便性に影響している部分もあります。当社事業を牽引する事業本部や関係会社の業務に大きな影響を与えることはできないため、ユーザーに寄り添いながら、なぜこうした対応が必要なのかというのを丁寧に説明することで理解を得ることができたと思っています」（西浦氏）

2024年11月に本番導入が完了し、現在は三井物産と関係会社を合わせて18,000ライセンスを運用しているほか、ネットワークに関するUXを可視化するオプションツールの「ADEM」も利用している。全社のセキュリティ向上やITインフラの運用視点でのメリットなど、既にさまざまな導入効果が確認できているという。

セキュリティレベルの向上

従来はセキュリティの設定ポイントが散在していたが、Prisma Accessにより一元管理が可能になり、ネットワーク全体でセキュリティポリシーを保っているかどうかが可視化できるようになった。暗号化されたトラフィックの脅威検知も問題なく利用できており、三井物産はセキュリティレベルの向上に大きな手応えを感じている。

ネットワークの運用負荷軽減

Prisma Accessを導入したことで運用業務はシンプルになり、業務負荷は大幅に軽減された。旧環境では、障害発生時の原因切り分けも経験と勘に基づいた「職人技」に頼っており、ユーザーのネットワーク環境もさまざまで、ヒアリングを効果的に進めるのも一苦労だった。現在はネットワークセキュリティをPrisma Accessに集約し、ADEMでユーザーの状況を可視化できるようになったこともあり、障害発生時もPrisma Accessを起点に容易に対応できるようになった。

ゼロトラストの基盤構築

Prisma Accessの導入により、場所を問わずクラウドサービスをセキュアに活用していくためのゼロトラストネットワークの基盤を構築できた。総合的な判断によりモバイル接続のみのライセンス構成を選択したため、ユーザーは社内でネットワークを利用する際も常に自身の端末でクライアントアプリを利用しPrisma Accessに接続する必要があるが、ユーザーから不満の声は上がってないという。導入時の丁寧なコミュニケーションが奏功した形だ。

ROI計画の実現に期待

プロジェクトの立ち上げにあたっては、Prisma Accessの導入コスト、導入後のネットワーク運用コストなどを含め、ネットワーク用セキュリティコストを5年で10％削減するという目標を掲げた。既存環境で利用していたサービスの廃止などはこれから本格化するが、十分に目標は達成できる見通しだという。

今回のPrisma Access導入は、グローバルの拠点も含めてカバーする大規模なプロジェクトだったが、三井物産グループには、まだこの環境を利用できないグループ会社が数百社規模で存在する。今後は、そうしたグループ会社にもPrisma Accessの利用について検討している。

「現状、サイバーセキュリティの脅威は当社ネットワークだけではなく、当社ネットワーク外の関係会社においても同様に高まっています。Prisma Access の環境をそうした関係会社に提供することができれば、グループ全体のセキュリティ環境を大きく向上させることができると考えています」（藤田氏）

また、関係会社がPrismaを導入する際のハードルを下げることや、よりコスト削減・体制の最適化を目的とした運用の自動化の必要性も高まっているという。「セキュアエンタープライズブラウザのPrisma Access BrowserやCortex XSIAMなど他のソリューションとの連携も積極的に検討していきたい」と藤田氏は展望を語る。さらに、同社のクラウドインフラはマルチクラウド化が進んでおり、これに対応したセキュリティ対策や、運用の自動化なども重点テーマとして取り組む方針だ。

従来のネットワークセキュリティ環境を乗り越え、包括的なSASEソリューションの導入により、ゼロトラストネットワークの実現に向け大きく前進した三井物産。パロアルトネットワークス製品のさらなる活用により、ビジネスの成長を支えるITインフラの整備や運用の高度化に注力していく。