自然科学研究機構(NINS)岡崎3機関様

基幹100Gネットワークと統合セキュリティシステムを構築
研究を制約しない速さと、利便性を損なわないセキュリティを実現

官公庁・自治体

ネットワーク
セキュリティ

自然科学研究機構(NINS)岡崎3機関様

ポイント

基幹ノード100G／支線ノード10G、Wi-Fi6の高速ネットワークを安価に実現
ファイアウォールを中核に据えた高度統合セキュリティシステムを構築
コロナ禍や半導体不足の中でも遅延なくプロジェクトを完遂

導入製品

有線/無線ネットワーク : CloudEngine6865／
S5732／ AirEngine9700／
AirEngine5760 (Huawei)
統合ファイアウォール : FortiGate3401E
(Fortinet)
VPNクライアント：FortiClient ZTNA ／
EMS (Fortinet)
認証基盤（SAML&RADIUS）:
FortiAuthenticator VM (Fortinet) ▪
EDR(端末セキュリティ) : FortiEDR (Fortinet)
多要素認証（MFA）: FortiTokenMobile
(Fortinet)／ FIDOハードウエアトークン ▪
DNS評価システム : DNS Firewall (Spamhaus)
脆弱性検査システム : INSIGHT VM (Rapid7)
FWポリシー管理システム : Tufin
SIEM : Qradar (IBM)

一体的に運営されてきた3研究機関
研究者の自由の尊重とセキュリティ対応に課題

大学共同利用機関法人の1つである自然科学研究機構（以下、NINS）は、国立天文台、核融合科学研究所、基礎生物学研究所、生理学研究所、分子科学研究所の5つの研究所が連携し、天文学、物質科学、エネルギー科学、生命科学、その他の自然科学に関する研究の推進をめざす法人組織だ。
NINSの中でも、愛知県岡崎市にある基礎生物学研究所と生理学研究所、分子科学研究所の3機関（以下、岡崎3機関）は、1981年から岡崎国立共同研究機構として一体的に運営されてきた歴史があり、NINSとなった今でも研究施設の一部や事務部門などは3機関が共有している。研究活動に欠かせない情報ネットワークは、岡崎情報ネットワーク管理室という部署が、岡崎3機関の共有部分について企画から導入、運用までを担う。
「岡崎情報ネットワーク管理室は、SINETとの対外接続やファイアウォール、基幹からエッジまでの各スイッチなどを担当範囲とし、近年ではセキュリティについても岡崎3機関の共通基盤となる部分を担当しています。各部局（研究所）にも担当者がおり、部局の支線、ノードの管理や、エンドユーザーのサポートも部局側で担当します」と、同管理室の大野人侍氏は説明する。
同管理室の人員は専任で4名。それに対し、研究活動ではクラスタなど多数のコンピュータが利用され、データ量も膨大なものになるため、高速なネットワークが欠かせない。またセキュリティについても、近年では研究データを狙う不正アクセスなどへの警戒が求められる。
「われわれが管理しているネットワークは岡崎3機関に所属する研究者だけでなく、国内外の共同研究者に対してもサービスを提供するものです。基本的には研究者の自由を尊重しており、ネットワークが研究の制約条件にならないようにと心掛けていますが、政府の基準に準じたセキュリティも求められ、一定の統制が必要となります。制限を加えるバランスには常に気を配っています」（大野氏）

ユーザー認証を取り入れた統合セキュリティ
各種セキュリティ製品をAPI連携で統合

岡崎3機関では、これまでは基幹ネットワーク機材をすべて購入していたが、近年では5年リースで導入・利用している。2017年に導入した機材のリース切れに合わせた調達では、2021年8月に入札を実施して4社が応札。入札は総合評価方式で、同管理室が作成した仕様書に必須項目と加点項目を設け、各社の提案を総合的に比較・評価している。
「今回はファイアウォールを多機能型とせず、代わりにAPI連携によって複数のセキュリティ製品を組み合わせて運用する形態としました。認証のしくみも、端末MACアドレスベースでなく多要素認証としています。インシデント時の追跡、確認をしやすくしようという意図ですが、結果的には『ゼロトラスト』の考え方に近いものになりました。そのほか、運用管理を容易にするためには中核となる製品のメーカーが多くならないことも重要です。APIを持つ製品を高評価するなど、評価点数の配分を工夫しました」（大野氏）
こうした要件を踏まえて採用されたのが、エイチ・シー・ネットワークスの提案だ。有線および無線のネットワーク機器を基本的にすべてHuawei製品で高速な構成とし、ファイアウォールや認証関連にはFortinet製品を軸にAPI連携で構築できる構成を提案。認証の軸となるFortiAuthenticatorでは、FIDOによる認証を基本としつつ、ハードウエアトークン、スマートフォン上のソフトウエアトークン(FortiToken Mobile)をそれぞれ用意し利用可能としている。「われわれが重要視したのはDNS評価のSpamhausです。今回のファイアウォールは基本的なフィルタリングを行うのみですので、外部のレピュテーションを取り入れる必要があり、これをSpamhausが担っています。Rapid7やTufinは、どちらかというと管理者が使う機能を担っており、実運用の段階で属人化をなくす効果を期待しました」と大野氏は評価する。

物流の混乱や半導体不足を乗り越え期限どおりに
ほぼトラブルなく構築完了

エイチ・シー・ネットワークスによる提案が採用されたのが2021年9月であり、新たなネットワーク環境の稼働開始予定は2022年4月と、大規模なネットワーク構築プロジェクトとしては比較的タイトなスケジュールだ。しかもコロナ禍に伴う物流の混乱や、半導体不足に伴う機材調達の遅延もあり、稼働が間に合うのかという懸念もあったという。大野氏は当時をこう振り返る。
「年度内に導入を完了するという日程は変えられませんでした。既存の機材は年度明けにリースバックしなければならなかったからです。納期状況が悪化しているという情報を受けて、エイチ・シー・ネットワークスだけでなくメーカー各社にも問い合わせ、間に合うかどうかを確認しました。エイチ・シー・ネットワークスは常にわれわれと情報を共有して、稼働開始の日程を間に合わせてくれました」
エイチ・シー・ネットワークスでは細かな作業も同管理室と相談するなど、情報共有に努めた。構築作業自体も、ほとんどトラブルなく進んでいる。
岡崎3機関側の技術者としてプロジェクトに参加した、分子科学研究所技術推進部計算情報ユニット技師の水谷文保氏は、認証周りのAPI連携などを担当する中で問題点に直面し、エイチ・シー・ネットワークスの支援で乗り切ったと語る。
「FortiAuthenticatorと他社製品とのAPI連携では、われわれが実現したいことをエイチ・シー・ネットワークスに相談して助言をいただきました。PoC環境を作って検証結果をフィードバックしてもらえたことも、期限内導入を実現する上で役立ちました。回答の内容からも、よく調べてもらっているということを実感しましたし、おかげで安心して作業できました。トラブルの少なさに感心しましたね」

セキュリティアップデートもサポート
次回更新に向けた情報などの支援にも期待

2022年4月から、岡崎3機関の新たな基幹ネットワーク・統合認証システムは無事に稼働を開始した。分子科学研究所計算科学研究センター技術職員の澤昌孝氏は、運用開始後のエイチ・シー・ネットワークスのサポートも高く評価している。
「導入して半年ほどの間にソフトウエアやファームウエアのアップデートがあり、エイチ・シー・ネットワークスに支援してもらいました。こうしたバージョンアップ作業を行っていると、失敗することもあるのですが、エイチ・シー・ネットワークスは問い合わせると失敗原因についてアドバイスをしてくれるので、アップデート手順の見直しなどに役立っています。手厚い対応をしてくれる会社はあまりないので非常に助かります」
「エイチ・シー・ネットワークスは前身の日立電線のときに付き合いがあり、そのときの良さが引き継がれていると思います。過去にイーサネットスイッチのAPRESIAを使っていたとき、われわれの要望に応えてVLANの認証機能などを製品に取り入れてもらいましたし、今回のプロジェクトでも、同じく手厚い対応をしてもらいました。作業の際は事前にわれわれと調整し、情報を共有した上で行ってくれるので安心感があります。運用年数がたてばハードウエアの老朽化などの問題はあると思いますが、エイチ・シー・ネットワークスならきちんと対応していただけると思っています。次の更新に向けた情報収集の際も、新たな情報提供などサポートを期待しています」