イベントレポート

LANSCOPE オンプレミス版で実現するJCB流SecureProductivityとは

Written by aki(あき)

ネットワークエンジニア
大手Nierでネットワークエンジニアとして最前線で戦う傍ら、個人運営のサイト「ネットワークエンジニアを目指して」を運営し、読者を「ネットワークトラブルに恐れることなく立ち向かえるネットワークエンジニア」へと導くことを信条に、ネットワーク技術の解説と自身のノウハウを広めている。著書に「見てわかるTCP/IP」など。Twitter:itbook

LANSCOPE オンプレミス版で実現するJCB流SecureProductivityとは

MOTEX社主催のオンラインイベント「LANSCOPE オンプレミス版(LanScope Cat)で実現するJCB流SecureProductivityとは」が開催され、株式会社ジェーシービー インフラ開発部 次長 花田 信人氏による「金融業界で実現したいクラウド化構想とメーカーとの付き合い方」と題した基調講演と、「LANSCOPE オンプレミス版が活用できるまでのウラ話、MOTEXに期待すること」と題したMOTEX社の社員との対談が行われた。
今回は基調講演と対談に内容について紹介していきたい。

基調講演「LANSCOPE オンプレミス版で実現するJCB流SecureProductivityとは」

株式会社ジェーシービー(以下JCB)のOAインフラは、業務用PCが10,000台と非常に大きな規模のシステムであり、花田氏はこの既存システムを刷新するというチャレンジを勧めている。
基調講演ではシステムの刷新を通して感じたメーカーとの付き合い方について語って頂いた。

JCBのOAインフラについて

まず始めに花田氏から、現状のOAインフラに関する話があった。

OAインフラというと、まず真っ先にメールやスケジュール、ファイルサーバーのシステム群の話と理解するかもしれないが、JCBのOAインフラは各業務システムの入り口となる役割を果たしており、各業務システムが動いていてもOAインフラが障害でダウンした場合には必然的に業務システムが使えなくなるという重要な役割を担っている。
そのため安定稼働が最も重要なミッションであることは間違いない。
10,000台規模のシステムなので縁の下の力持ちとしてこのシステムを維持するだけでも大変だが、障害でダウンした時には大惨事になる。

OAインフラのシステム全体構成は大きく、「メール関連システム」「拠点別ファイルサーバー」「セキュリティー製品」「OA端末基盤」の4つのカテゴリーで構成されている。

これらのシステムの安定稼働を維持するために、各システムのEOS対応、バージョンアップ、セキュリティーパッチ対応などが年間を通じて仕事として発生してくる。
先程、OAインフラは各業務システムの入り口になるという説明をしたが、バージョンアップ等の対応で各業務システムが適合化するための環境構築も重要な仕事となる。

入り口であるOAインフラがバージョンアップすると各業務システムが動かなくなったり、 逆に各業務システム側のバージョンアップでOAインフラ側から見て正常に稼働しているかどうかの検証も必要になる。

このように、安定稼働させるのがメインミッションのため、ほぼ1年を通してこのような仕事がメインのタスクとなる。

さらに昨年度は、コロナ禍の影響でもう一つ大きな仕事が追加された。それがリモートワーク用の端末基盤の構築である。当社だけではなく世の中のOA関連システムの担当者はこの対応で今も忙しいことと思う。

現状の課題 〜脱ベンダーロック〜

現状の課題は大きく3つある。

・リモートワークの環境を意識した既存OAインフラの構成見直し
・セキュリティー製品群の見直し
・アーキテクチャーの変革

これらの課題を解決するための手法として本日のキーワードである、「脱ベンダーロック」と言う言葉を使っている。この脱ベンダーロックは私にとって大きなチャレンジでもあるが、ぜひチャレンジし成果を出したいと考えている。

リモートワークの環境を意識した既存OAインフラの構成見直し

この1年は各企業のOAインフラ担当の方はリモートワーク環境へのシフトが急務だったと思う。当社は個人情報を扱う代表的な会社のため、情報の取り扱いについては厳格なルールのもと管理されており、情報を持ち出し出来ないシステムとして構成されているという前提がある。
わかりやすい例として、パソコンは入室許可された社員や協力会社だけが利用でき、パソコン自体が持ち出されないようにワイヤーロックで固定されている。

このような状況でリモートワークの新たな構築は、システム構成の前提を覆す取り組みでした。本日の説明の中では割愛するが、このリモートワーク環境の構築がどんなに大変だったかは別の機会があれば話したいと思う。

セキュリティー製品群の見直し

次にセキュリティー製品群の見直しだ。ゼロトラストという考え方に基づき、最新の仕組みの導入が必要ということで、インターネットは危険なので防護壁を守るという考え方が情報を持ち出すのを防ぐのにパソコンを机に固定するという考え方と非常に似ており、この考え方の変更が必要だった。

JCBは万が一があってはならないという考え方でセキュリティー対策は最新のものを取り入れていくという形で進めている。
私としてはこの変革を契機に更なるチャレンジをしたいと考えている。それは付加価値をプラスした仕組みを作ることだ。セキュリティー製品の高度な技術の導入は私にとって非常に魅力的に感じている。

これらの技術を使って応援インフラが進化する仕組みができないか。これを考えたいと思っている。
例えばログで不正な操作を検知できるなら、ITの資産管理に活用できるという事例がMOTEXさんの中にもある。この辺りは座談会の中で聞きたいと思っている。

アーキテクチャー変革

最後にアーキテクチャー変革について説明していく。実はこれが一番やりたいことなのだが、先に説明した二つの課題を実現したさらにその後に目指す対応としている。

「既存インフラの見直し」と「セキュリティー製品の見直し」の2つだけ対応してもOAインフレの大きな変革にはならない。
もしこの2つで対応が終わると、既存のOAインフラの更改の延長で一部機能を拡張しただけに留まる。また、アーキテクチャー変革だけを対応した場合には、うわべだけの対応でしかない。そのため、この3つの対応をセットで実現することを目指している。

リモートワーク環境へのシフトの流れがきている今が、この対応にチャレンジできる絶好のタイミングだと感じている。

以上、3つの課題について、それらを実行するためにひとつ大きなチャレンジが我々には必要だ。それが本日のキーワードである「脱ベンダーロック」である。先ほどのシステム全体構成図ですがこれらのシステムを複数のベンダーで構成している。

これらの統廃合が新たなシステムに進化するために必要だと考えている。現状のシステム構成は複数社の連合のシステムであり、メリットとデメリットがそれぞれある。
メリットは複数のベンダーが参画しているため、システムに関するあらゆる情報を集めやすいということ。デメリットは各システム間の連携が悪く、何かあった際にどちらのベンダー側で対応するのかという議論が繰り返し発生している。

新たなOAシステムは現在の開発体制も見直し、具体的にどういうものを作るのかを真剣に議論している。新たな技術を積極的に取り入れるためにも、開発ベンダーの得意分野などを配慮して構築したいと考えている。

それが「1システム=1ベンダー」の脱却と「適材適所」であり、これまで開発ベンダーの先にいた製品メーカーも、直接当社社員とコミュニケーションをとり、プロジェクトに参加いただく想定だ。

クラウド化へのチャレンジ

続いて花田氏から、JCBのOAインフラをクラウド化するモチベーションについて語っていただいた。

クラウド化へチャレンジする主な理由は次の3点である。

・現状のシステム維持にかかるリソースを軽減したい
・最新の技術や製品が今後クラウドに集まる
・今やらないでいつやるの

新たな仕組みに変革するためには、既存のOA環境の延長線では実現できないため、一気にクラウド化にジャンプアップしたいと考えている。

これまでもJCBのOAインフラは機能を追加し徐々に進化拡大してきたが、 今回のクラウド化のチャレンジはさらに上のステップへのジャンプだと思っている。
今取り組めば、このジャンプは実現できるかもしれない。
しかしながら今取り組まなければ、届かない世界の話になるのではと思っている。

OAインフラにおいて、クラウド化は早いのでは?

まだOAインフラにおいて、クラウド化は早いのではという声が正直あると思う。
さきほど説明した3つの課題に対して、現状のクラウド技術が追いついてないという評価もしている。今のクラウド技術やサービス提供状況を見ると、すべてのサービスが充足しているわけではないので既存システムのスムーズな移行が出来ない可能性があることは充分承知している。

しかしこの状況をきちんと見極めながら次のサービス提供を見据えた動きに着手していく。
今あるクラウドサービスの中でしか実現できないという制約はあるものの、OAインフラをクラウドの技術で進化させていく。先駆者にあえてなるという考えだ。

我々の動きを踏まえて、製品メーカーがクラウド機能を拡充していく動きになることを期待している。この点はMOTEXには期待したい。

「クラウド化が早いのでは?」という問いの答えとして、もう一つの考えを紹介したい。
先程のセキュリティーのパートで紹介したが、従来の考え方であるインターネットの境界線で如何に端末を保護するか、またPCをデスクに固定する、といった従来の考え方を捨てて、新たな価値観で将来に向けた取り組みに早く着手するのが重要だと考えている。

これらのこだわりは、すでに時代遅れでありもはや不要と宣言して、覚悟を持ってすぐに捨てるべきだと考えている。
以上がクラウドに関する私の考えであり、かなり大きなチャレンジになるが必ず成功させるので期待してほしい。

今、目指していること

最後に今、目指していることについて話していきたいが、まずは今、目指していることの前にこの2年間で私が目指してきたことについて振り返りたい。

まず1年目だが、OAインフラは複数のシステムで構成されていることはこれまでの説明の通りであり、多くのシステムの連合体のため日々何かが起きていた。
システム運用時の作業ミスや各システムのEOSなどだ。

これらの対応に留まっていては新しいことは何もできなくなるという問題認識を持ち、2度と同じことはやらないという意思のもと仕組みづくりを行った。
数年後にまた来る同じシステムのEOSは絶対にやらないというスケジュールのもと、次のシステム刷新をするタイミングを設定している。

作業ミスの撲滅活動については、作業ミスが起きる前に各システムの開発ベンダーにお願いし、全作業手順の見直しを1年かけて実施していただいた。そのおかげで2年目には作業ミスがゼロになるという成果を出している。

そして2年目の昨年に、急遽リモートワークの環境の構築を始めた。
現OAインフラの端末基盤とは別にクラウド上にVDIを構築し、ユーザーをその環境に移行したというものだ。
当然、従来の全業務システムを使える環境は諦め、必要最小限の業務システムを使える環境としてリリースしている。

この取り組みを契機に、既存インフラの見直し検討をスタートしたというのが一番の成果かもしれない。
一部のシステムは、このタイミングでドメイン統合する意思決定をし、先行して統廃合に着手しすでに成果を出し始めている。

暫定的にリモートワーク環境をつくるのではなく、並行して既存システムの見直しの議論を徹底して行ったことで様々なことが見えてきた。
視聴者の中で、既存の仕組みを見直したいと思ってるならやるのは今だと思う。

そして三年目。今年度になり、ついに実現実行に移した。
今のOAインフラと、これまで説明してきた「実現したいこと」には大きなギャップがあり、全く違う次元のレベルのものを創るということになる。

現OAインフラは、一言で言うと巨大な業務用PC管理システムである。
これを3つの課題をクリアし、実現したいことができたときには、働き方改革支援システムに大きく進化する。

この新たな仕組みは、システム構築が実現した後に常に進化をし続けるシステムになるはずだ。
過去の「EOSのシステム更改」や@数年待たないと最新の機能が追加できない」、「新たな機能を追加した時には既に数年が経過」といった状態を打破するシステムになると信じている。

最後に

JCBのOAインフラは3つの課題をクリアし、クラウド化をキーワードに新たな仕組みに変革させる。これを実現するために「脱ベンダーロック」と言う言葉を掲げ、ビジネスパートナーや製品メーカーの皆さんの協力のもと必ず実現していく。

今のOAインフラは安定稼働をメインミッションとした「縁の下の力持ち」という役割の印象が強いが、これを「責めのOAインフラ」、「働き方改革支援システム」に変革していく。

システムは作って終わりではなく、「何のために作るのか」という明確なゴール設定が必要だと思っている。

これはシステムコンセプトのようなもので、OAインフラの構築に関わっているJCB社員、ビジネスパートナー、製品メーカーの方々にどんなシステムを目指しているのかを共通認識として理解してもらい、その中で既存の仕組みをどうして行くかを見ながら自然と考える状態を作る。これが非常に重要なことだと思っている。

最後に花田氏は「OAインフラを担当している方で、システムコンセプトについてまだ議論したことがないという方はぜひ社内で議論してみると良いと思う。今回の講演で何か既存の仕組みを変えるきっかけになれば幸いだし、私も他の企業システムの担当の方が何を考えて、何を目指しているのかをぜひ議論してみたい。」と締めくくった。

関連ページ

【LANSCOPE オンプレミス版】国内トップシェアを誇る統合型エンドポイントマネジメント

対談講演「LANSCOPE オンプレミス版が活用できるまでのウラ話、MOTEXに期待すること」

対談講演は、基調講演を行ったJCBの花田氏に加えて、MOTEX株式会社 業革TF 部長 小澤 浩一、東日本営業4課 課長 疋田 一平、プロダクトアライアンス課 グループ長 葛間 裕司の4名で対談が行われた。

クラウドサービス化は“今がチャンス”

まず始めに、MOTEXからの質問に対して花田氏に答えて貰う形でスタートした。それぞれの質問と、質問に対する花田氏の回答は次の通り。

Q1.花田氏は2年前に赴任されてきたが、仕事の進め方について以前から革新的に取り組まれてきたのか?

A1.これまでのキャリアが新規事業や新サービスを作ることをメインにやっていたので、「新しいことを作ること = 仕事」という概念があった。システムというのは安定稼働がミッションのため、この状況をどう打破するのかというのを考えて、新たなチャレンジをしようと思っている。

Q2.EOSの更改について、どのくらい前から強く考えていたのか?

A2.システムに着任したときはそもそもEOSという言葉が分からなかった。終わりが必ず来るというものに対して対処しなければいけないという仕事で、システムを維持するために更改するということを知った。このことについて物凄い違和感があり、EOSの公開はやらなければいけない案件だが、2度とやりたくないという思いがある。

Q3.クラウドサービス化などを推進する際のポイントについて

A3.数年前だったら即否決だったと思うが、コロナ禍の対応でこの1年でガラッと変わった。「クラウド化せよ」「リモートワーク推進」という風に変わり、このチャンスでやりきらないと変えられないと感じた。
OAインフラをガチガチのシステムとして作ってる皆さんには「今がチャンスだよ」と言いたい。

クラウドを活用した新たな取り組み

続いて、花田氏からの質問に対してMOTEXがその質問に答える形で進められた。

Q1.金融系の企業はセキュリティー製品には投資をしていくが、製品選定時は一定のシェア、導入実績が必要。LANSCOPE オンプレミス版のシェアと導入実績を教えてほしい。

A1.当社のLANSCOPE オンプレミス版は2004年度からトップシェアであり、導入割合はどこかの業種に偏っているわけではなく、まんべんなく様々な業種で利用いただいている。

Q2.LANSCOPE オンプレミス版はセキュリティー目的で導入をしているが、他の付加価値を生む活用をしたいと思っているので、他社の活用事例があれば知りたい。

A2.昨年から強制的なテレワーク環境が増え、上司は部下の業務状況が把握しづらかったり、逆に部下は上司が業務状況を見ていないため、正しい評価がされないのではないかという不安を多く聞くようになった。LANSCOPE オンプレミス版の勤怠レポートを活用すれば、PCの稼働状況を視覚化することで勤怠状況を可視化することが可能になる。管理職がメンバーの勤怠状況を確認することで、長時間労働などの抑制にもつなげることができる。

他社の活用事例として2つ紹介していく。
1つ目はLANSCOPE オンプレミス版のデバイス通信ログを活用して、会社の無線アクセスポイントに接続したかどうかを判断し、出社時の交通費精算の基準にするという事例だ。


2つ目の事例は、標的型メール訓練に活用した事例になる。ダミーの攻撃メールを用意し、操作ログを活用して添付ファイルの開封とURLクリックをトリガーにアラーム設定することで、開封とクリックを実施した従業員数を簡単に調べることができた事例となる。

Q3.リモートワークという観点でのMOTEX製品の優位性は?

A3.現在、JCB様で利用いただいている製品はLANSCOPE オンプレミス版であり、基本的にはオンプレミスで社内のサーバーに構築する製品になっている。このLANSCOPE オンプレミス版のノウハウを活かしてクラウド化したものがLANSCOPE クラウド版という製品になる。JCB様にもLANSCOPE クラウド版を利用いただくことで、クラウドで社内PC、社外PCを一元管理することが可能になる。

このLANSCOPE クラウド版を使えば、テレワーク環境での自宅PCの管理も可能になる。また操作ログを活用することで、業務改善など働き方改革の推進にもつながる。

Q4 .クラウド化のサービス展開状況は?

A4.クラウド化することの価値としてAPIがある。LANSCOPE オンプレミス版 にはAPIが実装されているため、例えばLANSCOPE オンプレミス版とセールスフォースをAPIで連携させて業務を自動化させるといった使い方が可能になる。APIは今後拡充していく予定であり、JCB様の構想を今後取り入れていきたい。

また、API連携ではないが、Splunk社とのシステム間連携を2つ紹介したい。
1つ目がデータの持ち出し状況を把握するためのSplunk Appになる。

上図の例はフリーアドレスに対してファイル添付してメール送信しているものを検知する例である。

2つ目はIT資産の脆弱性問題を把握するためのAppである。

最近、再起動がなかなかできないような基盤となっている機器の脆弱性を突いた攻撃が増えてきている。LANSCOPE オンプレミス版で収集している資産情報とJVNから発行されている脆弱性情報をAPIで取得し、Splunkで可視化することでパッチの適用状況等を確認することが可能となる。

最後に

対談の最後に花田氏から「クラウドを活用した新しいシステムには、メーカーの皆さんもパートナーとして直接参加する構想を考えているため、新たな気持ちで一緒にやっていければと思っていますので、よろしくお願いします。」と締めくくった。

関連ページ

【LANSCOPE オンプレミス版】国内トップシェアを誇る統合型エンドポイントマネジメント

関連ページ

【LANSCOPE クラウド版】PC・スマホを一元管理 クラウドIT資産管理・MDM