東北工業大学様

不正通信端末の遮断を自動化し校内セキュリティを向上
学生の利便性向上と管理工数削減を実現

文教

ネットワーク
セキュリティ

東北工業大学様

ポイント

RADIUSサーバーとDHCPサーバーを統合しコストダウンに成功
通信監視機器や認証スイッチと高度に連携
不正通信端末を自動で特定し、人の手を介さず自動ログオフ

キャンパスネットワークソリューションはこちら

導入製品

無線接続端末のセキュリティに課題

　東北工業大学は、「杜の都」として知られる緑豊かな仙台市の街並みを一望する、小高い丘の上に八木山キャンパスと長町キャンパスと、仙台駅至近にサテライトキャンパス（一番町ロビー）の3拠点を擁する、工科系大学である。独自のAEGG（Admission＝入学、Education＝教育、Graduation＝卒業、Guidance＝指導）ポリシーを策定し、優れた知識の習得だけでなく生きる力向上への総合的人間教育にも力を注いでいる。

　「大学は文科省の指導で三つのポリシー策定が求められていますが、わが校では四つ目のポリシーを掲げています。それが社会の一員、職業人としての意識の醸成をめざす「指導」の項目で、大きな特徴となっています」と、情報サービスセンター長学長室長の上杉直氏は胸を張る。その成果は、実際に高い就職率となって結実し「大学探しランキング2018」「ユニヴ･プレス」（ともに株式会社大学通信・2017年発行）の2017年就職率ランキング＊において、実就職率97.5％で第1位、「本当に強い大学2017」（東洋経済新報社・2017年発行）の3年間就職率ランキング理工系部門で全国2位にランキングされるなど、高い評価を得ている。

　工業大学の講義には通信環境やITデバイスは欠かせないが、従来は無線LAN環境に課題があったという。

　「アクセスポイントの数が少なく、学生全員が同時に使うには厳しい状態でした」と、情報サービスセンター平宏幸氏は当時を思い返す。ネットワークへ接続するための認証は、事前共有キーとパスワードの二つを都度入力する必要があり「ユーザーからは面倒くさいという声が多く出ていました」と振り返る。校内では学習用ツールとしてLMS（ラーニングマネジメントシステム）を導入しており、資料の配布、テストなどをオンライン上で実施できるようになっている。学生の多くはスマートフォンでアクセスするが、無線LANにつなぎにくい環境のため、各自で契約している携帯キャリアの通信を使用していた。しかし通信の頻度が高いためキャリアの通信速度制限がかかってしまい、学習に支障をきたす事態が頻発したという。

　「そのため無線LAN環境の整備が急務でした」と平氏は語る。またセキュリティ対策にも課題があった。従来、ファイアウォールとIPSは設置してあり、学内のすべての端末にはアンチウイルスソフトを導入していたが、ネットワークの内部で何が起きているのかがわからない状態だったという。「潜在的に何かが起きているのではないかという懸念が常にありました」と平氏は話す。

　当時のシステムは2018年8月末にリースアップとなるため、そのタイミングで無線LANの拡張とセキュリティの強化をベースにした新システムに刷新することにした。
＊卒業生数500人～1000人未満の大学において

通信監視機器と連携して不正通信端末を自動ログアウト

東北工業大学
情報サービスセンター副センター長
情報サービスセンター事務室
事務長
半澤勝之氏

　情報サービスセンターでは2017年3月から新システムの情報収集を本格的に開始し、4月に検討ワーキング・グループを立ち上げた。6月に開催されたネットワーク技術の展示会を見学する時点では、すでに認証サーバーの候補としてエイチ・シー・ネットワークスのAccount@Adapter+に狙いを定めていたという。

　「すでに多くの大学でAccount@Adapter+を導入されていたので、文教分野での利用に適しているのだろうと感じていました。またSIerの提案の中にもAccount＠Adapter+の名前を見ることが多く、プロからの信頼も高いのだろうと想像できました」と平氏は言う。

　コストダウンも新システムに求める要件のひとつだった。「コスト面を考えると、できるだけ機器の数は少ないほうがよいと考えていました。Account@Adapter+は、RADIUSサーバーとDHCPサーバーが統合されているので、コスト削減にも寄与すると思いました」（平氏）とコスト面での優位性に言及する。セキュリティ強化の点では検疫システムの導入も候補に挙がったというが、学生は私有端末で接続するため、セキュリティポリシーを徹底することが難しかったという。

　そこで、提案されたのが、エイチ・シー・ネットワークス製のLOG@Adapterだ。この製品は、その名の通りログを可視化するアプライアンスだが、IPSやスイッチと連携して不正通信端末を強制的にログアウトする機能を備えている。

　新システムの仕様が決まったのは2017年11月、翌年の9月には稼働をスタートさせた。構築されたシステムは、Account@Adapter+2台、LOG@Adapter2台とコアセキュリティ社の通信監視アプライアンスDamballa Network Insight、APRESIA Systems社のスイッチAPRESIA®110台と連携し、学生・職員約3500名、約4000アカウントを管理するという高度なものだ。機器との連携に関しては、設計から運用保守まで請け負ったアルファシステムズ社が事前に検証を行い、問題のないことを確認したという。各機器の働きは、Damballa NetworkInsightが校内ネットワーク上でマルウエアに感染した端末の、異常な振る舞いを検知すると、LOG＠Adapterへsyslogを送信。LOG＠Adapterは登録されている情報から端末を特定し、認証スイッチであるAPRESIAと連携して該当する端末をログアウトする。これであれば、危険を察知した時だけ端末の通信を遮断するので、学生ユーザーの利便性を阻害することが少ないという。

リスクの可視化に成功管理者の休日出勤も不要に

　新システム導入後、実際に端末遮断された事案は二十数件発生したという。従来のシステムでは、IPSが不正通信を検知するとログを人力で調べて端末を特定し、ユーザーへ連絡して通信を遮断するというフローだった。そのため数時間のタイムロスが生じてしていたという。ウイルスならその間に拡散する恐れがあった。「休日にこのような事象が発生すると対応のために学校へ急行する必要がありました」と平氏は苦笑する。新システムでは、不正通信を検知した時点で人の手を介すことなく端末を自動遮断するので、管理の負担が格段に少なくなった。「休日に発生したとしても、取りあえず通信は遮断されているから対応に余裕が出ました」と平氏は言う。いつ、どこで誰の端末が遮断されたのかがログとして残るため「今まで見えていなかったリスクを可視化できました」と情報サービスセンター副センター長半澤勝之氏は言葉を続ける。

　また意外な効果として、ユーザーのセキュリティ意識の向上も感じるという。「通信遮断された端末のユーザーへ詳しく調査させてほしいと依頼すると、みんな協力的に応じてくれるようになりました。人から指摘されるより機械的に止められるほうが、危機を感じるのかもしれません」と、半澤氏は言及する。

　最新のネットワーク環境を整備した東北工業大学は、ますます講義の質が向上し、これからも社会に貢献する優秀な人材を輩出し続けるだろう。

お客様情報