多拠点を運営する学習塾が実現！2万台のデバイスに感染を拡げないネットワークセキュリティ基盤

現在、英進館様では全拠点のデバイスを合計すると2万台以上もあるそうですが、セキュリティに関する課題はどのようなものだったのでしょうか。

現在、英進館に通っていただいている生徒様が学習で利用したり、社員が業務で利用したりする約2万台の端末は、すべてが何らかのネットワークに接続されているため、安全かつ効率的に管理・保護することが我々の最大の課題でした。

この15年で教育の多様化が進み、コロナ禍でデジタルコンテンツの普及が一気に加速しました。事業規模の拡大やネットワークニーズへの対応を優先していった結果、数多くの拠点と端末のどこで何が起きているのかがパッと分からないような構造に陥っていたのです。

各拠点で小中学生向け・高校生向けのコンテンツの組み合わせが複数パターン存在するので、それぞれの管理も大変でした。全体を一元的に管理できていないため、万が一有事が起これば「この拠点はどういう構成だったか」を調べるところから始めなければならず、常に不安を抱えていました。

それまではどのようなセキュリティ対策をされていたのでしょうか？

デバイスへのアンチウイルスの導入や、ネットワーク上へのUTM（Unified Threat Management／統合脅威管理）の設置など、個別の対策はもちろんしてきました。ただ、ネットワーク全体として守るという感覚は、どうしても持てなかったですね。

限界を感じた具体的なポイントはどこでしたか？

急激な企業の成長にネットワークインフラの改善が追いつかず、全体のセキュリティを考慮した設計になっていないと気づきました。「製品が足りない」のではなく「設計が足りていない」というのが私たちの気づきです。拠点を増やすたびにリスクが増大していく、と感じていました。何か起きた時にどの拠点でどの端末がどこに通信していたかが分からないというところが、最大の課題でした。

こうした課題を3つの要件として整理し、RFP（提案依頼書）にまとめた上でサービスの選定に臨みました。具体的には、セキュリティ（内部からのデータ流出対策・外部からの攻撃/侵入対策）、通信（トラフィック増加対策・生徒用Wi-Fiの整備計画）、そして管理・運用（IPアドレス管理の再設計・メンテナンス/トラブル対応）です。

要件の1つとして、トラフィック増加対策を重視しておられるのはなぜでしょうか。

近年、体調不良で休んでいる生徒向けにライブ授業を生配信したり、録画授業をオンデマンドで提供したりと、インターネットを活用する頻度が非常に増えています。学習塾にとって通信品質はビジネスの生命線であるため、セキュリティを強化しても、サービスレベルの品質が下がることは絶対に許容できないのです。

Verona SASEを選んでいただいた際に、決め手となった点や判断基準を教えてください。

ゼロデイ攻撃や新しいマルウェアが出現し続けているこの環境において、現実解として「侵入させない」ではなく「万が一侵入しても、そこで止まる」設計を重視しました。レイヤーとしてもネットワークレベルからOSアプリケーションレベルに至るまで、多層的に防御するイメージを想定していました。

具体的には3つのポイントを挙げていらっしゃいましたね。それぞれ詳しく教えていただけますか？

1つ目が「拡げない」——マイクロセグメンテーションの考え方です。拠点ごとにネットワークセグメントを細かく分割し、感染時の被害を最少化します。

2つ目が「守れる」——ゼロトラストの実装です。CASB（Cloud Access Security Broker／クラウドアクセスセキュリティブローカー）・SWG（Secure Web Gateway／セキュアウェブゲートウェイ）・FWaaS（Firewall as a Service／クラウド型ファイアウォール）による統一されたセキュリティの実装という点に大きな安心感がありました。

3つ目が「特定できる」——フルマネージド運用です。設定からトラブル対応まで運用を代行してもらうことで、有事の際に原因や被害を特定できる運用体制を構築できることが3つ目のポイントでした。

他のサービスとも比較検討する中で、最終的にVerona SASEを選ばれた理由を教えてください。

Verona SASEを選んだのは、包括的な導入によるコスト面でのメリットもありましたが、網屋さんの専任担当者によるダイレクトサポートが決定的な理由でした。海外メーカーと遜色のないセキュリティ機能を持ちながら国産という安心感で、最終的にはほぼ迷わず決めさせていただきました。

ダイレクトサポートが決め手だったとのことですが、英進館様にとって特にサポートが重要だったのはなぜでしょうか？

実は導入と並行して、Windows 10のサポート終了に向けた社内全拠点のPC全台入れ替えプロジェクトも動いていました。各拠点のルーターなどの物理機器の刷新と、各拠点のPCの入れ替えを同時並行で進めるという、極めてスピード感が求められる案件でした。約半年後を期限としたタイトなスケジュールの中で、網屋さんのレスポンスの速さと的確さがあったからこそ実現できました。

他のSASEサービスでもマネージド運用は付けられますが、エンドユーザー→ベンダー→メーカーという多段階の問い合わせフローになりがちです。一方でVerona SASEはSEと直接やり取りができるため、問い合わせのスピードと精度が格段に高く、これが多拠点・多端末の複雑な環境を扱う我々にとっては重要なポイントでした。

Verona SASE以外にもソリューションを導入いただいていますね。

はい。Verona SASEを土台として、複数のソリューションを組み合わせた多層防御の環境を構築しました。デバイス管理にはSKYの製品を採用し、エンドポイントを確実に管理・制御しています。これまでのアンチウイルスに加え、EDR（Endpoint Detection and Response）としてSentinelOneを導入しました。有事の際に端末側で確実に脅威を止める役割を担っています。

ALogの導入効果についても教えてください。

ネットワーク以外のインシデント管理もALogで一元化できました。これによって「何も起きていない」ということを可視化できるようになったのが大きな効果です。SASEもクラウドサーバーもSKY製品のログもALogに集約されるので、個別管理が不要になり運用が非常に楽になりました。ALogの管理画面は分析したい観点・時間軸で素早く確認でき、速度も非常に速い。ストレスなく使えています。

今回の全社的なセキュリティ基盤の整備を振り返って、どのように総括されますか？

セキュリティ強化は必須ですが、経営層への投資理由としてはビジネス上の根拠も必要です。セキュリティ強化に加えて快適な通信環境の整備で、事業の拡大に耐えられるインフラ基盤と運用体制が実現できるという提案をいただき、実装してまさにイメージ通りになりました。

私たち学習塾は生徒・保護者の個人情報や成績情報といった非常にセンシティブな情報を日々取り扱っており、これらを確実に守るセキュリティは当たり前の基盤だと考えています。

また、デジタル化や働き方の変化、DXの進展など、どの業界でも事業環境は大きく変わり続けています。新しいサービスや拠点の展開、運用の効率化に挑戦しようとした時に、インフラやセキュリティが足かせになるようではスピード感を持った経営判断はできません。今回の取り組みは、そういった意味で将来への投資だったと弊社は捉えています。「セキュリティをコストとして見るのではなく、事業を伸ばすための基盤としてどう位置づけるか」——この問いに対して弊社の取り組みが少しでも皆様の参考になれば幸いです。

本日はご清聴いただき、誠にありがとうございました。