大学共同利用機関法人
自然科学研究機構
核融合科学研究所 様
非常駐型エージェントのQuOLA@Adapterで
ユーザーに負担をかけない検疫ネットワークを構築
- 官公庁・自治体
- ネットワーク
- セキュリティ
大学共同利用機関法人 自然科学研究機構
核融合科学研究所 様
ポイント
- いつでもどこからでも、端末のセキュリティチェックが可能に
- 検疫を自動化し、所内のセキュリティレベルの底上げに成功
- ユーザーが端末利用に責任を持つという、セキュリティ意識の向上に貢献
導入製品
ユーザー任せだった従来のセキュリティ管理
太陽や星が光るエネルギーと同じ「核融合」を地上で実現し、新しいエネルギー源の実現をめざして研究を推進している大学共同利用機関法人自然科学研究機構 核融合科学研究所(以下、核融合科学研究所)。核融合は海水に含まれる重水素を燃料とするため、恒久的なエネルギー源として世界中から期待されており、核融合科学研究所はその研究における日本の代表的な機関として、世界最先端の研究を行っている。所内には約300名の所員が在籍しているが、常に国内外から多くの研究者が訪れるという。
以前よりDHCPサービスによるネットワーク接続を提供していたが、いざインシデントが発生すると、IPアドレスからMACアドレスがわかってもユーザーを特定するために多くの時間がかかる可能性があったため、平成16年度より、DHCPサービスで接続する端末のMACアドレスを利用者情報とともに事前登録するシステムを運用していた。これにより、インシデント発生時の対応が飛躍的に向上したが、
「まだ不安な点や不便な点が残っていました」と、核融合科学研究所 ヘリカル研究部 基礎物理シミュレーション研究系・情報通信システム部情報ネットワークタスクグループ リーダー 山本孝志氏は当時を振り返る。
「それは、端末情報の登録時に行う検疫です」
その検疫のために、所内のLANから隔離した専用ネットワークを敷設した「検疫室」が存在していたという。ユーザーは自分の端末を持ってその検疫室を訪れ、自らの手で検疫を行う必要があったのだ。
「各自端末を持って移動する必要があり、利用する時間も限られていたので不便でしたね。ウイルスチェックやセキュリティソフトのアップデートなどの実行もユーザー任せだったので、管理者側で確認するすべがなく、信用するしかありませんでした」と、核融合科学研究所 ヘリカル研究部 基礎物理シミュレーション研究系・情報通信システム部情報ネットワークタスクグループ サブリーダーの高山 有道氏は導入前を思い返す。
「いつでも各自の部屋からセキュリティチェックが行える環境にして、所員の負担を減らしたいと常々考えていました」と、核融合科学研究所 技術部 制御技術課 情報基盤技術係長・情報通信システム部 情報ネットワークタスクグループ 運用班副班長 井上 知幸氏は、新たな検疫ネットワーク構想時の思いを語る。
検疫を自動化し所内のセキュリティレベルを
一定に保つことに成功
実際に新たな検疫ネットワーク構築の構想が持ち上がったのは、平成24年度にさかの ぼる。その中で、日立電線ネットワークスの QuOLA@Adapter、LOG@Adapterが選 ばれた理由はなんだろうか。
「他社の商品は、管理用のソフト(エージェント)をインストールするタイプがほとんどでした。しかし当研究所には、外部の研究者が多数出入りしますので、その方々のPCへソフトのインストールを行うのは現実的ではありません」と、山本氏は振り返る。そこで白羽の矢が立ったのが、日立電線ネットワークスのQuOLA@Adapterだ。QuOLA@Adapterは、事前にエージェントのインストールやActiveX®によるソフトウェアの実行が不要な「非常駐型エージェント」の検疫アプライアンスだ。外部の研究者でも、新たにエージェントをインストールする必要なくネットワークへ接続することができる。「エージェントレス」とうたっている製品でも、実際にはActiveX®やJava®アプレットを利用して端末情報を収集している場合も多く、ユーザーによっては快く思わなかったり、ActiveX®の実行を無効にしている場合もある。
「エージェントのインストールが必要な製品は、はじめから却下でしたね」と高山氏。
山本氏も「インストール不要でセキュリティチェックできる点が非常に魅力的でした」と、QuOLA@Adapter選定の理由を話してくれた。また、検疫関係のログを監視するためにLOG@Adapterも同時に導入。
「LOG@Adapterの導入は、なんといってもQuOLA@Adapterとの親和性です。すべてのログを集約させるわけではなく、検疫関係のログをとるにはこれが最適でした」と山本氏は語る。
移行にあたっては、全所員を受講の対象とする講習会を5回にわたり開催し、2014年8月に先行稼働、9月には全面稼働を開始した。導入されたのはQuOLA@Adapter、LOG@Adapter(ソフトウェア版)、スイッチであるAPRESIA(日立金属社製)。そこへつながる端末は、計測機器やプリンターなど約2,000台にもなる。
ユーザーは、自分が使用する端末のMACアドレスをあらかじめ登録しておく必要はあるが、自席で検疫を行うことができるようになり、事前登録された端末でもセキュリティソフトのパターンファイルが最新ではないなどセキュリティポリシーに適合していない場合は、違反内容が表示されたうえで、APRESIAと連携して通信が遮断される。従来はユーザーが主体的に行っていたセキュリティチェックが自動化され、セキュリティポリシーに違反する端末をネットワークへ接続させないため、所内のセキュリティレベルを一定に保つことができたという。
このため従来あった「検疫室」は廃止された。「ユーザーが検疫のためにわざわざ移動する、という不便さは一気に解消できました」と高山氏。またすべての端末を登録の対象とすることとし、従来のDHCPサーバーによる接続だけではなく、固定IPアドレスの端末も検疫の対象に含めた。
登録された端末は、3か月でエクスパイア(期限切れ)になるように設定している。その都度ユーザーは検疫を実行する必要がある。
「毎回接続するたびに検疫するのでは煩雑ですが、半年や1年では長すぎて不安です。ユーザーの利便性と定常的なセキュリティの担保のためにちょうどよい期間です」と山本氏。
「登録した端末は、個人で責任を持つという意識が定着したと思います」と、井上氏も所員のセキュリティ意識向上に手応えを感じているようだ。
所内の端末のパッチ状況が一目瞭然に
QuOLA@Adapterの特徴のひとつとして、Windows®以外にMac OSやLinux®、スマートデバイスの各OSに対応するマルチOS対応という点がある。この点について高山氏は
「所内にはMacユーザーも多くいるのでありがたいですね」と、Mac利用率の高さを語る。もちろんサーバー類にはLinux環境もあるため、この機能は核融合科学研究所には必須だったといえる。
LOG@Adapterの導入効果としては
「LOG@Adapterでログを見ていると、セキュリティパッチが最新版でないため検疫時に接続NGとなったPCを、その場でアップデートして再接続しているユーザーも確認できます。従来はそのようなアップデートの経緯を含めたセキュリティパッチの状況を把握することは難しかったので、導入により各ユーザーの状況を把握しやすくなったといえます。」と高山氏は語る。問題発生時は「従来はスイッチを直接目視確認しなければいけなかったのですが、今はLOG@Adapterでポート番号を確認できるので、とても便利になりました」と、井上氏もその効果を実感しているようだ。
また、日立電線ネットワークスでは、最新のパッチ・パターン情報を精査してリスト配信する「セキュリティ情報配信サービス」を提供しているが、この使い勝手について高山氏は
「Windows®のアップデート情報など、当てなければいけないパッチの情報やぜい弱性、深刻性が一目瞭然で大変助かっています」と語る。
APRESIAについてはどうだろうか。
「かつて使っていたスイッチは故障が多かった。年に一回点検のため全所停電を実行するのですが、復旧時に立ち上がらないスイッチもありました。APRESIAに換えてからそんなことがなくなりました。一度も壊れていないですし、とても助かりますね」と、井上氏は評価する。信頼性・耐久性が高く、よい意味で存在を意識しないスイッチといえるようだ。
世界最先端の学術研究に邁進する核融合科学研究所の、ネットワークセキュリティを支えるQuOLA@AdapterとLOG@Adapter。今まで「夢」といわれていた新しいエネルギー源の誕生も、遠い未来の話ではないようだ。
お客様情報
大学共同利用機関法人 自然科学研究機構
核融合科学研究所 様
「安全で環境に優しい次世代エネルギーの実現」をめざし、大学共同利用機関として国内・外の大学・研究機関と共に核融合プラズマに関する研究を進めている核融合科学研究所。全世界の研究者の知が結集する中核拠点として、また次世代の優れた人材を育成する教育機関として、社会と連携しながら核融合プラズマに関する基礎的研究・教育を推進している。