グループ全体のインターネットのセキュリティを確保するプロキシ更新プロジェクトー大型リプレースの舞台裏
2022年5月より、パーソルグループ全体に関わるクラウドプロキシの更新プロジェクトが始動しました。
今回は、このプロジェクトのプロジェクトオーナー(以下、PO)を務める会田(あいだ)、プロジェクトマネージャー(以下、PM)を務める羽石(はねいし)、プロジェクトリーダー(以下、PL)を務める宮下(みやした)に話を聞きました。
クラウドプロキシ更新プロジェクト概要
利用しているプロキシ製品のEOSLと、パーソルグループ全体で推進するクラウドシフトを達成するために開始されたプロジェクト。対象となるのは、既存環境では40台以上のサーバー構成となっているグループ標準端末すべてが利用しているプロキシ。現在、26,000台程度ある端末のうち、約70%がクラウドプロキシへの更新を完了している。
クラウドシフト推進と、リモートワーク環境のさらなる整備に向けて
―クラウドプロキシの更新プロジェクトを実施することになった背景を教えてください。
羽石:パーソルグループとして推進する方針の中に、「脱オンプレミス・データセンター(以下、DC)」があります。災害などのリスクに備えた冗長性の確保や、多数のオンプレミスサーバーを運用する手間とコストの削減、業務の変化に対応する柔軟な拡張性の確保に向け、クラウドシフトへ向けた動きが加速する中でクラウドプロキシへの更新も求められるようになってきました。
会田:また、現状利用しているプロキシ製品が2026年にサポート終了を迎えるという点もクラウドプロキシへの更新を後押しする理由となりました。加えてCOVID-19の影響によってリモートワークが増加したことにより、プロキシを経由するトラフィックは増大。キャパシティ拡張の柔軟性が重要さを増し、クラウドプロキシの更新プロジェクトを実施するに至りました。
―「脱オンプレミス・DC」と、COVID-19の影響を受けてプロジェクトが始動したんですね。このプロキシ更新により、パーソルグループに対してどのようなメリットがもたらされたのでしょうか?
会田:部署としてのミッションである「テクノロジーを活用しパーソル全従業員が安心・安全に多様な働き方ができる環境の実現」だと考えています。これまでセキュリティの観点から利用を制限していたWebサービスについても、今回のクラウドプロキシ更新により、データのアップロードのみという制限を行い閲覧可能なWebサイトを拡大できました。具体的には動画共有サービスの利用が許可されたことで、各段に業務上の情報共有がしやすくなったと社員から喜びの声が上がっていました。
宮下: セキュリティ観点の課題の解決はゼロトラストシフトと大きな関連を持っています。既存のプロキシの仕組みは、社内ネットワークと外部ネットワークとの境界でセキュリティを確保する境界型のセキュリティを根底としていますが、リモートワークの拡大により境界は曖昧化しています。今回、このクラウドプロキシ導入により、境界に基準をおくのではなく、情報資産へのアクセスごとにセキュリティのチェックを行うことが可能となります。クラウドプロキシへの更新は、ゼロトラストに基づいたよりセキュリティ性能の高い仕組みへのシフトの一環なのです。
羽石:プロキシとしての機能提供においても、安定して稼働しているため運用負荷の低減ができています。また、DCにオンプレミスでプロキシを設置していた場合に比べ、冗長性を確保でき、災害時のリスク低減も実現しています。
―現行のプロキシ製品には、どのような課題があったのでしょうか?
羽石:セキュリティの確保、サービス品質の確保、運用負荷の減少という3つの観点それぞれに、複数の課題がありました。サービス品質の確保という点では、DCへの依存度の高さが災害時の大きな懸念になっていましたし、運用負荷という観点ではプロキシ台数が多く、ポリシー設定やアップデート作業の運用・保守負荷が大きすぎることが課題となっていました。
宮下:また、セキュリティ観点ではゼロトラストに基づいた、よりセキュリティ性能の高い仕組みへのシフトと捉えることもできます。リモートワークが拡大する中でも安定したセキュリティを確保するためにも、クラウドプロキシへの更新は必須事項でした。
スムーズなプロジェクト進行に繋がった、グループ各社との信頼関係構築
―では、そんなプロジェクトをどのような体制で推進しているのか、そしてそれぞれがどのような役割を担っているのかを教えてください。
会田:プロジェクトチームは私たちセキュアネットワーク室のネットワーク.Secチームと、パーソルホールディングスのIT関連部署、さらにはパーソルグループ各社の情報システム部門の担当者という横断メンバーで構成しています。
最も人数が必要だった要件定義や設計工程では30名ほどで作業していましたが、現在は構築したクラウドプロキシの展開というフェーズのため、私たちを含め6~7名で構成されたチームでプロジェクトを進めています。
その中で私はPOとして参画し、プロジェクト推進上の意思決定を中心に担っています。
羽石:私はPMとして参画し、プロジェクト全体の管理を行うポジションとしていわゆるプロジェクトマネジメント全般を担当しています。
宮下:私はPLを担当しています。既存プロキシの設定内容など情報とりまとめ、移行先であるクラウドプロキシへの設定に関する調査、グループ各社との調整、タスクの分解、一部では手を動かす業務も行っています。
―グループ全体に影響のある重要度の高い仕事ながら、少数精鋭のメンバーで取り組まれているのですね。情報セキュリティという観点でも責任とプレッシャーは大きいものだったのではないでしょうか?
会田:パーソルグループは業務上個人情報を多数取り扱うため、セキュリティは非常に重要視しています。私たちの部署は日頃、セキュリティポリシーに沿ってグループのインフラを実装することを主な業務としていますが、このプロジェクトはセキュリティレベルを担保しながらグループ全体の社員に体験良化を実現し、利便性の高いインフラを提供できる機会だと捉えていました。
また、影響範囲が広く関係者も多いプロジェクトです。 インターネットへの接続を中継しているため、問題が起これば業務が停止する事態も想定されます。関係者と協力体制を築き、細かくコミュニケーションを重ねて、コンティンジェンシープランを策定しつつ、慎重にプロジェクトを進めてきました。
―現在のプロジェクトの進捗具合はいかがでしょうか?
羽石:おおむね予定通りに進捗しています。現在はグループ社員のインターネットアクセスをクラウドプロキシ経由に更新するフェーズに突入しており、移行率は80%を超えました。2024年6月までに完了するという目標なので、非常に順調だと言えるのではないでしょうか。
―グループ全体に対するインフラ更新だからこそ起きた、プロジェクト上の課題はありましたか?
宮下:今回のプロキシ更新では、現行のオンプレミス型のプロキシからクラウドプロキシへの変更を行い、セキュリティ向上のためにHTTPS復号いう通信制御を加えています。このHTTPS復号を行うことで、パーソルホールディングスの各部署やグループ各社が利用しているWebサービスのうち、数百という単位の製品が影響を受けるということが判明しました。
これにより、特定のWebサービスやその一部機能が利用できなくなるため、プロキシのリプレースを進める前に業務上の不都合が起きないよう代替案を用意するなど、プロジェクトメンバーと協力しながら、一つ一つ丁寧に対応していきました。
インフラによる利便性向上を実現へ
―様々な課題がありながらも、ここまで順調にプロジェクトが進捗している理由があれば教えてください。
会田:新たに導入するプロキシ製品の選定では、単にサービス終了する製品の置き換えではなく、現状の改善につながることを重視しました。また、当たり前のことではあるのですが、グループ全体の業務を止めないことは優先事項としていました。いまやインターネットは業務の一環であるため、プロキシの更新により事業の根幹を止めてしまっては大きな問題となってしまいます。トラブルを避けるためにも、グループ各社に向けて丁寧な説明を行い、何かが起きてもプロジェクトチームが1つ1つの課題をできるだけ早急かつ誠実に対応することで現場との信頼関係を構築できたことはプロジェクト進捗に良い影響を及ぼしたのではないでしょうか。
羽石:グループ全体を横断したプロジェクトチームの組織作りを、プロジェクト進行と並行しながら時間をかけて行ったのも大きな理由になっていると感じます。横断型のプロジェクトチームについては事例が少ないこともあり、プロジェクトにおける重点ポイントとして早い段階から取り組んでいました。スムーズなクラウドプロキシのリリースを実現できている今、この体制の重要性を強く感じています。
また、プロジェクトメンバーだけではなく、現場近辺のリーダー格の方々と早期からコミュニケーションの場を持ち、信頼関係を作れたことが、対応漏れを出さずに展開できている要因だと実感しています。それぞれの業務での影響点を洗い出し、代替策を用意して、現場に影響が出ないよう手配するには、コミュニケーションを積み上げての協力体制が欠かせませんでした。
宮下:あとは、クラウドプロキシの更新をスモールスタートで行ったことも功を奏したと考えています。やはり、移行初期は問題が起きやすいので対応しやすい小さな範囲から始め、学びをいかしながら範囲を広げていく形がオンプレミスからクラウドへの更新では適していることが実感できました。この点は、今後の脱オンプレミスでも活かせると考えています。
―今後、さらに検討していることはありますか?
会田:多様化する社員のはたらく環境を支えるためにグループ共通ネットワークをゼロトラスト型のアーキテクチャーにさらに移行し、セキュリティレベルを担保しながら従業員体験良化を実現し未来に向けて顧客価値創出に取り組みます。
宮下:最近では、グループ会社から「こうしてほしい」、「こんなことはできないか」という相談が届くようになりました。これらの声に耳を傾け、よりはたらきやすい環境を実現していきたいです。
取材・文=ファーストブリッジ 神山洋志
(2023年11月時点の情報です。)
- 会田志津Shizu Aida
- パーソルホールディングス株式会社
グループIT本部 セキュアアクセスインフラ部
セキュアネットワーク室
ネットワークSec.チーム室長 - 2018年パーソルホールディングスへ入社。金融系のSIerでシステムエンジニアとしてキャリアをスタートし、2社目のパーソルテンプスタッフでSESとしてWeb開発に従事後、インターネットサイトのIT企画を担当。グループのキャリアチャレンジ制度を活用し、パーソルホールディングス(旧サイバーセキュリティ部)へ転籍。2021年より室長に着任。
- 羽石雄基Yuki Haneishi
- パーソルホールディングス株式会社
グループIT本部 セキュアアクセスインフラ部
セキュアネットワーク室 ネットワークSec.チーム
リードコンサルタント - メーカー系SIerにて幅広いIT機器のオンサイト保守・障害対応の経験を積んだ後、2017年にパーソルホールディングスへ入社。サイバーセキュリティの担当としてセキュリティ要件の策定やグループ商用システムへの外部攻撃対策製品の導入、社内システム構築等のPMとして従事。2020年よりSASEを用いたセキュリティアーキ検討の担当を経て、2022年よりオンプレミスプロキシのSWGによるクラウド化をPMとして推進中。
- 宮下海里Kairi Miyashita
- パーソルホールディングス株式会社
グループIT本部 セキュアアクセスインフラ部 セキュアネットワーク室 ネットワークSec.チーム 兼 次世代アーキ室
リードコンサルタント - 2017年にパーソルホールディングス(旧テンプホールディングス)の新卒採用一期生として入社。セキュリティサービスに関連する企画/導入/運用業務およびインシデントレスポンス全般を担当。CISSP、CISA、情報処理安全確保支援士(RISS)を保持。2023年現在、サイバーセキュリティに加え、グループの次世代アーキテクチャを推進。
―― 合わせて読みたい記事
