BlueCat自社導入でDNS/DHCP環境をクラウド上に統合、運用を自動化し、コスト削減とセキュリティ強化を目指す
TISでは、SD-WAN導入に合わせて、DNS/DHCP環境の自動化と運用管理負荷の軽減のために、BlueCatの「BlueCat DNSソリューション」を採用を決めた。BlueCatは最大1万5000台の端末向けにパブリッククラウド上に展開し、TCOの削減と自動化によりオペレーションミスと運用負荷の大幅な軽減、さらにセキュリティ強化に向けて動き出している。本記事では「BlueCat DNSソリューション」を採用した背景や課題、今後の展開について紹介していく。
DNS/DHCP環境のパブリッククラウド上での統合を計画
TIS株式会社は2021年、都内の複数の事業所を豊洲に移転集約、社員が端末を快適に使える環境にすると共に、リモートワークの増加への対応のために、ネットワーク環境を再整備しました。SD-WANの導入やインフラ運用の見直しを行っている。今まで、TISでは多くの社内システムをオンプレミスで運用しており、DNSサーバが全国の拠点に50台ほど散在していた。
「拠点ごとに構成が異なり、運用負荷の増大を招いていました。今後、働き方改革の促進やインフラエンジニアの減少などを考えた時に少しでもシンプルかつ統一された運用にしていく必要がありました。加えて、働き方改革で、エンジニアが保守業務を夜間・休日に行なわずに済ませる必要がありました」とTIS DX推進本部 情報システム部の佐藤雄弥は語る。
そこで、TISでは、オンプレミスのDNS/DHCPサーバを廃止し、パブリッククラウド上に集約して、運用工数を削減することにした。一方、SD-WANのトラフィック最適化手法であるローカルブレイクアウト(LBO)を利用する構成にしたことで、DNSの使い方が大きく変化した。今までは主に社内システムの名前解決にDNSを参照しており、社外はProxy任せとなっていたが、LBOによりユーザーのPCで外部の名前解決をしなければならなくなった。
「既存のDNSサーバに外部参照を許可するという従来の実装方法では、解決してほしくないC&CサーバなどのリクエストもDNSが解決してしまいます。加えて、従来のウイルス対策だけではゼロデイ攻撃でアクセス可能な部分を許可してしまう可能性があります。そのため、DNSでのセキュリティの対策が重要だと考えました」とTIS IT基盤技術事業本部 IT基盤サービス事業部 IT基盤ソリューションサービス部の野口敏久は説明する。
大幅なコスト削減とGUIでの操作を評価、BlueCatを採用
そこで、TISでは自社の複雑なDNS環境にも適用できる製品と評価し「BlueCat DNSソリューション」の導入を決めた。
「これまでオンプレミスで運用してきたDNS/DHCP環境は導入・運用・保守コストがかかりますが、BlueCatはクラウド上なので、コストの大幅な引き下げが可能です。イニシャルコストは必要なものの、TCOを大きく削減できます」とTIS IT基盤技術事業本部 IT基盤サービス事業部 IT基盤ソリューションサービス部の畑浦勇人は語る。
加えて、DNSにあまり詳しくない担当者でも操作できることも評価した。BlueCatはGUIで操作でき、柔軟に権限設定が可能で、トランザクションログも取得でき、万一の際にはロールバックできるので、安心だ。こうして現在、TISと直轄のグループ会社で最大1万5000台の端末について、BlueCatへの切り替えに向けた対応を進めている(図)。
「BlueCat Integrityに移行したことで、5年間で5000万円から6000万円のコスト削減になると試算しています。運用コストも含めると、さらに大きな効果が見込めます」(佐藤)
従来、TISでは、IPアドレスをExcelで管理しており、固定IPアドレスが必要なユーザーも手動で設定をしていた。BlueCat IntegrityはIPアドレスをBlueCat Address Manager(IPAM)で統合管理、固定IPアドレスユーザーにもDHCPから払い出しができる。これによって、IPアドレスの履歴も管理でき、システム管理者は手作業による煩雑で、間違いに気づかない可能性がある運用から抜け出すことができると考えている。また、DNSは過去に設計されたものが残っている場合があるが、切り替えによる影響が分からないため、そのまま残していた。「BlueCat Integrityへの移行で、DNS/DHCP/IPアドレスの関連管理が可能になるので、不要なレコードは確実に削除できます」(佐藤)
SD-WANとBlueCat DNSソリューションのセットで顧客に提案
SD-WANによるLBOは対応アプリケーションが一般的なSaaSに限られており、TIS社内で利用する一部のアプリケーションについては対応していない。そのためSaaSの通信のDNSクエリをBlueCat DNS Edgeを分析し、LBOを実現している。さらに、他クラウドに置かれたシステムへのDNS接続においてもBlueCat DNS Edgeが最適な接続と運用の簡素化を実現している。
TISでは、もちろん、あらゆるセキュリティ対策を行っているが、DNSについては一般的な対応となっていたため、BlueCat DNS Edgeにて、高度な脅威に対応できるセキュリティ対策が可能になった。
「EDRは脅威が内部に入ってから対応します。BlueCat DNS EdgeはEDRに到達する前にに通信を止めることができるので、よりセキュリティの強化が可能になりました。LBOの利用では、こうしたDNSセキュリティ対策が重要になります。だれが、どのサービスにアクセスして、どういったDNSクエリアクションを行ったか、がすべてログとして記録され分析できるのは大きなメリットです。」(野口)。
このような活用経験をもとに、TISでは、今後、顧客企業にSD-WANとBlueCat DNSソリューションをセットで提案し、DNS/DHCP環境の見直しによるコストの削減とセキュリティ対策の強化を勧めていく考えだ。
今回の取材メンバー
TIS株式会社
DX推進本部 情報システム部
セクションチーフ
佐藤 雄弥
TIS株式会社
IT基盤技術事業本部 IT基盤サービス事業部
IT基盤ソリューションサービス部
エキスパート
野口 敏久
TIS株式会社
IT基盤技術事業本部 IT基盤サービス事業部
IT基盤ソリューションサービス部
チーフ
畑浦 勇人