国立大学法人 東京農工大学 様
安全なキャンパスネットワークを実現!
今大学が求めているセキュリティとは
- 文教
- ネットワーク
- セキュリティ
国立大学法人 東京農工大学 様
ポイント
- ウイルスに感染した端末を自動的にネットワークから隔離
- 次世代FWと連携して運用管理も一元化
- 脅威の可視化でセキュリティレベルを向上
導入製品
- Account@Adapter+
- AX8600Sシリーズ
- AX2500Sシリーズ
- AX-Security-controller
- AX-Networker's-Utility
- Cisco Firepower®
- Cisco Wireless LAN Controller
- EtherHaul-600TX
- PA-5000 シリーズ
- Panorama
- Trend Micro Deep Discovery Inspector®
- Trend Micro Policy Manager®
オープンなネットワークならではのセキュリティの課題
現在と将来の社会を支え、国内産業の両輪となる「農学」と「工学」を中心に、実社会の課題解決をテーマに、実践的な教育を推進する国立大学法人 東京農工大学。国際社会で活躍する専門職業人材を輩出する「研究大学」として、世界に認められる同学において、学内のシステムやネットワークの設計・管理・運用、そしてユーザー支援などを手がけるのが、小金井キャンパスにある総合情報メディアセンターだ。
同センターの教授・博士(工学)、辻澤隆彦氏は、「新しい技術などに対して積極的にチャレンジし取り入れていくという本学の基本姿勢は、情報システムにおいても貫かれています」と語る。
そんな東京農工大学のICT環境では、当然ながら極めて貴重な研究情報や学生・職員の個人情報などを取り扱うため、十分なセキュリティレベルの維持は同センターにとって最重要な使命の1つとなっている。
システムの設計や運用などを手がける、同センターの講師・博士(工学)、櫻田武嗣氏は、同学のネットワークとセキュリティ対策の特徴についてこう話す。「企業のネットワークと違いかなりオープンな世界なので、統制が難しい中でいかに一定のセキュリティを維持しつつ管理していくかが難しいところです。特に、属人的な部分でレベル感が変わる"運用"ではカバーはできないと考えており、運用でカバーしないシステムづくりが重要だと認識しています」
このようなポリシーに基づき、東京農工大学では既に2005年頃からセキュリティ対策として自動防御の導入に取り組んできたが、導入するまでに至らなかった。その後、2009年にネットワーク環境の更改タイミングに合わせWindows®端末の検疫システムを導入。
しかし2015年頃より、学内システムの大規模な更新や、さらなる攻撃の高度化に対応するため、ふるまい検知などで感染した端末を特定し、ネットワークから隔離する手段が必要となった。
総合情報メディアセンターの教授・博士(工学)、萩原洋一氏はこう語る。「学内ネットワークにアクセスした端末がマルウエアに感染すると、情報漏えいにつながる恐れがあります。さらに、感染した端末が踏み台にされ外部機関に攻撃を仕掛けるリスクもあるため、そうした事態を阻止すべく新たな対策が急務でした」
自動防御の実現でセキュリティレベルが確実に向上
そこで2016年10月、自動防御の実現などによる学内ネットワーク環境の一層のセキュリティ強化をめざし、学内に専門委員会が立ち上がった。委員会による新たなネットワーク環境の仕様書では、IPv6への対応やエージェントレスでの利用、IEEE802.1X認証への対応、既存の検疫システムと同等のセキュリティレベルの維持、自動防御のポリシーが設定可能なことなどが要件として挙げられた。
また、今回のネットワーク環境の刷新に当たり、先行で導入しているパロアルトネットワークス社の次世代ファイアウォール(以下、FW)との連携の実現も要求した。同社の次世代FWは、サンドボックス環境「Wildfire」により、一般的なウイルス対策製品が対応していない未知のマルウエアであっても、対策が可能な点が大きな特徴となっている。
エイチ・シー・ネットワークスが提案したソリューションが、アラクサラ社のスイッチに加え、トレンドマイクロ社のネットワーク監視センサー「Deep Discovery Inspector(以下、DDI)」とSDN連携セキュリティ対策製品「Trend Micro Policy Manager(以下、TMPM)」で構成する「サイバー攻撃自動防御ソリューション」だった。
櫻田氏は、「次世代FWとDDIでは監視ポイントが異なるので、片方だけが見つける脅威も存在するはずです。そこで両製品を連携させることで、一元的な脅威の検知と管理が実現できるものと期待しました」と説明する。
プロジェクトの本格的な始動は2017年6月だったが、早くも3か月後の10月には新しいネットワークへ切り替わった。「サイバー攻撃自動防御ソリューション」は、トレンドマイクロ社のDDIとTMPM、アラクサラ社の制御ソフト「AX-Security-Controller(以下、AXSC)」が連携することで、ウイルスに感染した端末を自動的にネットワークから隔離する構成となっている。加えて今回のプロジェクトで重視されたパロアルトの次世代FWとの連携も、AX-SCによって実現した。エッジスイッチにPoEスイッチを採用したことで、接続機器の電源Off/Onなどもリモートでできる環境になっている。
またDDIとAX-SCの連携という複雑で新規性のある構築は、各社が開発も含め今回が初の試みだった。しかしこれらに対応できたのも、セキュリティ機器やネットワーク設計、配線工事、保守運用までワンストップで提供しているエイチ・シー・ネットワークスだからこそ、蓄積した経験をもとに開札から納品まで4か月の短納期で完了できたといえる。
今後は遮断された機器を認証の必要なクラウドサービスに表示し、復帰申請などを実行できる治癒ソリューションを提案していく予定だ。
学内ネットワークの5年、10年先を構想して
プロジェクトは継続中だが、既に効果は現れている。辻澤氏は、「これからの環境に対応したサイバー攻撃などに対して自動防御が実現し、セキュリティレベルは確実に向上したと実感しています。また、今回次世代FWの可視化ツールも採用し、脅威レポートが作成しやすくなったのも大きなメリットです」と評価する。萩原氏も、「これまではインシデントが発生すると、感染の拡大防止対応や復旧作業に多くの時間や労力が割かれましたが、今は検知後の初動対応が自動化されたため、落ち着いて事後対応に当たることができます。この結果、システム管理者の負担も軽減されるでしょう」と続ける。
今後は、「学内ネットワークの5年、さらには10年先を行くようなネットワーク」(櫻田氏)を構想していくなかで、それに合致したさまざまな製品を柔軟に組み合わせながらセキュリティ体制を整えていくことを目標にしているという。
「2009年に学内ネットワークを更改した時から、エイチ・シー・ネットワークス(旧・日立電線ネットワークス)には構築と検疫システムを担当してもらいました。本プロジェクト全体の取りまとめ対応をはじめ、今ではリモート障害監視、現地調査・保守・交換およびインシデント管理まで委託している同社には、これからも大いに期待しています」と辻澤氏は語る。
東京農工大学の次なるチャレンジにより、同学は更に魅力ある学びの場へなっていくだろう。
お客様情報
国立大学法人 東京農工大学 様
東京農工大学は明治7年(1874年)に設立された内務省勧業寮内藤新宿出張所に設置された学問所を前身として、別々の教育機関であった東京農林専門学校と東京繊維専門学校が、昭和24年(1949年)に統合され新制大学として誕生した。以来、農学と工学を中心に、科学技術系学問に特化した国立大学として、世界に伍する人材の輩出をめざし、深い専門性と広い知識を併せ持つ人材を養成する教育を実践している。