日本の天文観測の中心となる国立天文台で最近の変化は「セキュリティ」だという。国立天文台 理論研究部 教授の牧野淳一郎氏が、セキュアコンピューティングジャパンが開催した「Secure Japan Forum 2008」で国立天文台のネットワークを説明し、その現状と課題について解説した。
牧野淳一郎氏
東京大学から分離して国立の天文台となったのが1988年。国立天文台は、ハワイのマウナケア山頂にある世界最大級の望遠鏡「すばる望遠鏡」や、野辺山の電波望遠鏡、その後継として南米チリに日米欧共同で電波望遠鏡を設置する「ALMA計画」など、国内外の宇宙探索や天文観測に貢献している。
その国立天文台には、さまざまな計算を行うためにスーパーコンピューターが設置されており、だいたい「東大の計算機センターの10分の1から100分の1の計算速度」(牧野教授)を備えているそうだ。
設置されているのは、2007年までは600Gflopsの演算性能を持つ富士通「VPP5000」、天文計算用の「GRAPE-5」(10Tflops)、PCクラスターとしては「Opteron 250」を20個使って96Gflopsという性能のシステムを使っていた。
これに対して今年から、ベクトル部分にNEC「SX-9」を、スカラー部分にCray「XT4」を採用。XT4は812の演算ノードで28.6Tflopsの演算性能を実現している。GRAPEも「GRAPE-6」+「GRAPE-7」の構成で20Tflops、PCクラスターも920Gflopsを達成した。
高性能なスパコンシステムを導入していることの目的は、さまざまな大規模数値計算を行うためだ。40年前はパンチカードでデータや計算式を投入し、磁気テープで帰ってきた結果を持ち帰るというやり方だったが、20年ぐらい前からはtelnetで計算機にアクセスして、結果がFTPで帰ってくる、というやり方に代わった。
いちいち天文台に行かなくてもネットワーク経由で計算でき、データを回収できるようになったのだが、telnetとFTPのころはパスワードが平文だった。そのため、現在はセキュリティを考慮してsshとVPNを利用しているという。
現状のセキュリティ対策としては、ユーザー認証に「RSA SecurID」のワンタイムパスワードを利用している。VPNとしてCisco Systemsの「ASA 5510」、ファイアウォールにセキュアコンピューティングジャパンの「Sidewinder」を採用した。
牧野教授は、「外部から侵入されない」「ユーザーレベルで侵入された時もほかのシステムに迷惑をかけない」という2点からセキュリティを検討し、現状で「割合堅いシステムになっている」との認識を示す。
現在は、外部からのアクセスはIPsec-VPNを基本とし、ASA 5510をVPN専用に利用して、SSL-VPNでのアクセスも許可している。認証はSecurIDを使い、VPN以外はSidewinder G2で管理。SSHもSidewinderで対応している。
ネットワーク構成としては、VPNで計算機にアクセスする場合は学術情報ネットワークの「SINET」からルーターを通ってASA 5510を通り、Sidewinderを経由する。天文台内でのアクセスでは、天文台ファイアウォールとSidewinderを通過する仕組みだという。
国立天文台のネットワーク概念図。CfCAとあるのは、牧野氏が所属する天文シミュレーションプロジェクト
ネットワーク構成自体は天文台の歴史的な経緯から必要以上に複雑になってしまっているそうで、しかも2003年ごろまではネットワークの専門家がいなかったという。現状でも管理者の数が少なく、予算も足りていないのが課題だそうだ。
また、CiscoのVPNクライアントがサポートしていないLinuxディストリビューションを使うユーザーがいるのが問題の1つだそうで、大学などの研究室でLinuxが使われる例が多いせいかもしれない、と牧野教授は推察する。加えて、VPNが利用する外向きのポートを開放していない機関が多いのも悩みだという。
ちなみに、天文台では高速通信の必要性があまりないという。例えば望遠鏡は一晩に多くても数十枚の画像を撮影し、それも1枚あたり大きくて1GB程度。1日でそれだけの量を送れればいいため、現状の速度で問題ないのだそうだ。衛星から地上に送られるデータは、早くても数Mbps程度なので、地上の通信が早くても意味がないという。
逆に超長基線電波干渉計(VLBI)は、リアルタイムの合成に数Gbps以上の速度が必要なため、「まだテープを輸送している」(同)状態であり、グリッド計算も10Gbpsですら足りない。つまり、「(牧野教授が所属する)天文シミュレーションプロジェクトでしか(高速通信は)使わない」(同)という。
