1. No category

(株)ネットワールド
社内導⼊事例にみる
最適な無線環境とは･･･
社内の無線環境をFortiAPにリプレース
ゲストへの無線サービスを新たに提供し
セキュリティの向上も同時に実現
快適な無線LAN環境に向けて
ネットワールドの社内無線LANは
今まで他社のAPとコントローラ
を利⽤していましたが、単に無線
サービスを提供することしか出来
ないため、いくつかの課題があり
ました。
これらの課題に対してFortiGate
とFortiAPで解決することになり
ますが、具体的な構成は後述し
て、まずは現状のご説明から始
めて⾏くことにしましょう。
社内無線LANの現状
・承認した端末のMACアドレスを、情シス部⾨が
1つ1つホワイトリストでコントローラーへ登録している
・APはIEEE802.11a/g対応で、通信速度が遅い。
無線LANとセキュリティの統合管理
FortiAP導⼊前のネットワーク構成
が図１です。
まず社内の無線環境を利⽤するに
は、無線端末から他社APにアクセ
スして社内LANに接続します。
このとき、他社APはブリッジモー
ドで接続されているため、流れて
いるパケットは宛先に関係無く、
社内LANの中を⾃由に流れます。
つまり、他社APでは無線サービス
のアクセス制御やセキュリティ対
策は実施されていません。
また無線端末情報を、情報システ
ム部⾨が１つ１つホワイトリスト
でコントローラに設定しています。
さらに、ネットワークの構成を変
更したい場合は、周辺NWの設定
を変更しなければならず、容易に
設定変更することが出来ません。
株式会社ネットワールド
1990年8⽉設⽴
UTM市場トップシェアを誇るFortiGateやFortiAPだけでなく、
VMwareやEMC等の製品も扱うソリューションディストリビュータ
売上⾼597億円（2013年12⽉）
社員数390名
東京本社、⼤阪⽀店、名古屋⽀店、福岡⽀店
http://www.networld.co.jp
セキュリティ⾯においても、万全
な状況とはいえず、さらなるセ
キュリティ対策が必要な状況でし
た。
導⼊製品
図１
FortiGate-240D
Fortinet社製のUTM製品。
独⾃開発されたASICである最新のコンテンツプロセッサ
(CP)を搭載しており、セキュリティスキャンを⾼速化
[email protected]
FortiAP-221B
Fortinet社製のThin Access Point製品
IEEE802.11a/b/g/n対応
後継機種の「221C」では、ギガビットに達する新規格
IEEE802.11acに対応する予定
図２
他拠点のAPも本社で⼀元管理
FortiGateがあればコントローラ不要
そこで現在使⽤しているFortiGateと同じ
Fortinet製品のFortiAPを導⼊し、⼀⻫にAPのリ
プレースを図りました。
弊社では、既にFortiGateを導⼊しているため、
余分にコントローラを買う必要もなく、初期導⼊
費⽤が抑えられた点もメリットの⼀つです。
設定がシンプルで楽に導⼊できるのもFortiAPの特徴で、
トンネルモードの場合には無線LANトラフィックをNATさせ
ることが可能です。つまり、無線セグメントに対するルーティ
ングを新たに設定する必要がありません。
既存NWの設計や環境を変えることなく、すぐに導⼊が可
能になるのもFortiAPとFortiGateの組み合わせにおける
特徴です。
このFortiAPによる最⼤のメリットは、無線ユー
ザにも有線と同様のUTM機能やFW機能を適⽤
できる点です。
無線端末からのアクセスはFortiAPを介した後、
全てのアクセスが⼀旦FortiGateに集まります。
そのため、FortiGateで⼀元管理が可能になると
同時に、FortiGateのUTM機能やFW機能をその
配下のAPにもSSIDごとに適⽤することが出来ま
す。
弊社では、ゲスト⽤と社員⽤でSSIDを分けて管
理していますが、使⽤⽤途によっては、部署ご
とにポリシーを設定し、営業部には
IPS,AntiVirus、技術部にはIPS,AntiVrusに加え
もAntiSpamを適⽤するといったことも可能です。
IEやOpenSSL問題にも即座に対応
弊社では無線トラフィックにもAntiVirusとIPSを適⽤して
おり、IEやOpenSSLの脆弱性に対してFortiGateのシ
グネチャで迅速に対応しました。
OpenSSLの対策が完了していないサーバーへアクセスし
てしまった場合の、クライアント側の保護も可能になってい
ます。
forti‐[email protected]
2014年 6月