学修機会を「阻止しない」セキュリティを目指して ――同志社大学のネットワークを守る、ITサポートオフィス職員の取り組み

京都の今出川・京田辺を中心に、14学部16研究科で2万9000名あまりの学生が学ぶ同志社大学。その学内で提供されているネットワーク環境は、学生・教職員を合わせユーザー数が4万に迫る大規模なもので、リテラシーや利用内容も多種多様なユーザーが安全にネットワークを利用するためのセキュリティ管理にはさまざまな困難がある。同大学ではそうした困難をどのように乗り越え、教育・研究活動を支えているのだろうか。サポートの窓口となっているITサポートオフィスの方々に話を聞いた。

まざまなユーザーが多様な端末で利用する大学ネットワーク

 「ITサポートオフィス」は、総務部情報企画課と教務部情報支援課によって構成され、教育・研究活動に必要な学内情報インフラの整備やユーザーのサポートを担当する組織だ。契約職員なども含め約40名のスタッフで、学内の全ユーザーをサポートしており、部課横断的な組織体制を採用することで従来の縦割り組織では不可能だった連携を実現し、ユーザーの利便性を向上している。

 同志社大学では現在、学内LAN接続や学外Web接続、外部からのVPN接続、電子メール、オンラインストレージ、仮想PCなど、さまざまなICTサービスを学生および教職員向けに提供している。こうして列挙していくと企業が従業員に提供しているものに似ているようだが、実は大学のネットワークには企業のネットワークと大きく異なる要件がいくつか存在している。

加藤 久仁明 氏
同志社大学 総務部 情報企画課
情報ネットワーク係長
ITサポートオフィス
加藤 久仁明 氏

 「大学は公共性が高く、セキュリティにおいても社会的な責任が伴います。そのうえ、毎年多数の新入生を迎えますが、ユーザーのリテラシーに関しては、ICTに全く興味を持たないユーザーから、高度な知識を有するユーザーまで、実に幅が広いと言えます。ユーザーが持ち込む情報端末もOS・メーカをはじめ、環境・設定や導入済のソフトウェアも千差万別なため、エンドポイントにインストールする形のセキュリティ製品を採用するのは事実上困難です。」と説明するのは、総務部 情報企画課 情報ネットワーク係長 ITサポートオフィスの加藤久仁明氏だ。

 ユーザーや端末だけでなくその利用内容も多種多様だ。幅広い教育・研究活動を実現するためには、企業のようにネットワーク管理者がプロトコル等を指定・制限することが困難であり、自由度の高いネットワーク環境を提供する必要があるのが大学のネットワークの特徴でもある。例えば特殊なアプリケーションやプロトコルでの通信が必要となる研究も多いため、それらを制約すると研究の妨げになることもある。とはいえマルウェア感染や踏み台、遠隔操作、標的型攻撃などの被害に遭った教育機関も数多く、こうした攻撃手法は高度化する一方だ。高い自由度を確保しながら、いかにユーザーが安全に利用できるネットワークを提供していくかが大きなポイントなのだ。

 そのほかに、組織としての制約要因もある。例えば情報部門の職員も専門職ではなく、数年ごとに人事異動で部署を移るため、期待できる技術・知識レベルには限界がある。機能的に優れていても、運用において極端にレベルの高い知識が要求される製品は導入が困難だ。

由度を担保しつつも、クリティカルな脅威は確実に防ぎたい

 自由度を担保しながら安全なネットワークの利用を実現するという課題に対する、取り組みの一つが、同志社大学が独自に実施している学生を対象とした「ネットワーク利用資格認定試験」だ。この試験は授業とは別に設けられた試験制度で、合格しないとネットワークの安全な利用に必要なリテラシーを有していないと判断され、利用できるネットワークサービスが制限される。そのため、ほぼ全ての学生がこの試験を受験し、不合格となった学生はテキストで学習しなおして合格を目指すことにより安全にネットワークを利用するために必要なリテラシーを徹底的に身に付けている。

 「この試験に合格しないと、利用可能なサービスがかなり制限されます。例えば、PC教室の端末ログインや科目履修システム等は利用できますが、電子メールや学外Webサイトへのアクセス、VPN接続など他のユーザーや組織に悪影響を及ぼしかねないネットワークサービスは利用できなくなります。『権限は与えられるべき人に』という考え方です。利用できるサービスの権限は、この試験結果に加え、各ユーザーの身分や用途に応じてLDAPサーバーでユーザーごとに細かく設定しています」と説明するのは、ITサポートオフィスの藤江悠五氏だ。

藤江 悠五 氏
同志社大学 総務部 情報企画課
情報ネットワーク係
ITサポートオフィス
藤江 悠五 氏

 ネットワーク利用資格認定試験に代表されるユーザー側の教育と同じく重視しているのがシステム側でのネットワークセキュリティだ。そのポリシーは、教育・研究活動を妨げないよう最大限の自由度を提供しつつも、外部からのクリティカルな脅威は回避する、ということだ。その要となっているのがファイアウォールやWebプロキシなど、ネットワークの出入口部分だ。同志社大学では十数年前から通信速度向上やユーザー権限の確認と利用ログ取得、ウィルスチェックなどのためにWebプロキシを導入してきた。

 2014年、ネットワークシステムの一斉更新に伴い、プロキシ製品も同様に提案を募ることになった。

 「近年のインターネットアクセスにおける最低限のセキュリティとして、既知のマルウェア付きファイルやC&Cサーバーとの通信は確実にブロックしたいと考えています。しかし、導入していたプロキシ製品・ライセンスではインターネット上のDBと連携したリアルタイムのURLフィルタリングは利用できず、アクセス先Webページの安全性の判断はユーザーのリテラシーに委ねざるを得ませんでした。また、ウィルスチェックの点でもいくつかの制約を感じていました。そこで今回、従来のセキュリティ機能に加え、URLレピュテーションやC&Cサーバーへの通信ブロック、コンテンツフィルタリング、管理者による通信制御などのWebセキュリティ機能が充実したソリューションを有するプロキシを要求仕様に掲げました」と、加藤氏は振り返る。

初の不安を払拭した、担当者の熱心な提案

 比較検討・入札を経て、新たに採用されることになったのが、シスコシステムズの「Cisco Web セキュリティ アプライアンス(WSA)」だった。しかしWSAの提案を受けた当初は不安もあったという。

 「正直に言うと、『ベンダーを変えて大丈夫か?』という気持ちもありました。プロキシは特に重要な通信機器の一つです。多少の不満を感じてはいたものの、既存プロキシも大手ベンダーの製品で、実績も豊富、安定稼働していました。その状況で未知の機種を選定することは一種の冒険です。諸元表ではWSAが我々の要求機能を備えているとは思えましたが、大学や大規模サイトへの導入事例がほとんどなく、一般企業とは異なる大学のネットワーク要件や細かな通信制御に対応できるのか、我々のネットワーク・ユーザー規模での実スループットは問題ないのか、といった不安が残っていました」(加藤氏)

 その不安を払拭し、採用に至ったのは、シスコシステムズ担当者に加え、代理店であるネットワンシステムズの製品担当者たちの熱意ある説明だった。ネットワンシステムズのWSA担当SEは、「ASAなどさまざまなネットワーク機器を私費購入し自宅で使い込むほどのネットワーク好き」(藤江氏)で、今回の提案時にも大学側が求めた機能要件を、WSA実機を用いて詳細に検証・説明してくれたとのことだ。

 「毎日のように来訪しては熱心に機能や性能を説明してくれただけでなく、できないことはできないと明言してくれる点もありがたいと感じました。さらには、プロキシ以外のさまざまなソリューションとの複合的な機能連携についても熟知されており、我々が想像していなかった先進的な導入方法など先々の展開まで提案くださいました。総合ネットワークベンダーの優位性とその技術力に強みを感じました。また、導入して2年になりますが、コンテンツフィルタリングやL4トラフィックモニタなどのセキュリティ機能についても、本学職員の技術レベルでも持ち腐れに終わることなく、効果的に運用できていると実感しています。」(加藤氏)

藤堂 慈 氏
同志社大学 総務部 情報企画課
情報ネットワーク係
ITサポートオフィス
藤堂 慈 氏

 スループットについても、同志社大学が示した対外接続10Gbpsという要件に対し、提案当時の最上位モデル「WSA S670」ではなく、新規リリースが決定していた新たな最上位モデルとなる「S680」による4台構成とし、更なる付加機能の提示もあり、要求要件以上の提案があった。

 「また、実機での模擬環境を用意してくれました。本番環境での検証が困難な設定も、この模擬環境で実際に試行できたのは、不安を払拭する上でとても大きかったです。また、シスコシステムズ社に関しては以前から別の製品を導入しており、ブランドとしての信頼感は十分です。ネットワンシステムズの担当者が見せてくれたような10歩先の展開を実現できる、先進的な製品やソリューションを提供されていることを実感しました」(加藤氏)

大する脅威に対し、さらなるセキュリティ強化につとめる

 ITサポートオフィスでは今後、このWSAをさらに活用すべく、ネットワーク管理者としてL4トラフィックモニタやレポート機能から得られる情報の把握・分析を徹底し、セキュリティの確保とインシデント発生時の早期発見を強化する方針だ。同時に、エンドユーザー側に対しても、より一層の情報リテラシー教育を進めたいと考えている。

 「最近はフィッシングメールが頻発しており、その被害も生じています。今後はより一層の危機感を持ってもらうため、学生に限らず教職員も含めて、幅広いエンドユーザーに対して講義や講演、説明会などを通じてセキュリティ意識の向上を図っていければと考えています。その際は、シスコさんにも講師として講義をご担当いただければうれしいですね」と、藤堂慈氏は顔をほころばせた。


「ユーザーの端末やネットワーク環境にあまり制限がかけられない中で、どのようにセキュリティを担保し、安全かつ快適なネットワーク環境を提供できるかが私たちの仕事のやりがいです」(加藤氏)
提供:シスコシステムズ合同会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2016年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]