筑波大学は、約1万5000人の学生と教職員が利用する高度なセキュリティを備えた大規模なキャンパス情報ネットワークを構築。2015年10月から稼働を開始している。ネットワンシステムズが4月8日に発表した。
外部境界と内部に2段階で設置したファイアウォールで多層防御すると同時に、既存の部局単位での管理から学術情報メディアセンターでの集中管理へと体制変更して運用面でのセキュリティ強化も図った。
- TechRepublic
Japan関連記事:今必要なのはセキュリティコックピット--再注目されるSIEMの意義
- インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン
- スキーマ不要でログを収集、検索、分析するSIEMの次世代性--Splunk
- 検知後の行動も定義、“グレー”な振る舞いを見極めるSIEMの分析力--HPE
- “マグニチュード”で危険度を数値化するSIEMのインテリジェンス--日本IBM
- セキュリティ対策をライフサイクルで捉えるこれからのSIEM--マカフィー
筑波大学では、2007年にギガビットイーサネットを用いた高速なキャンパス情報ネットワークを導入していた。しかし、導入から8年が経過したことで、さらなるネットワーク速度の向上に加え、近年急増しているサイバー攻撃へのセキュリティ対策が求められていた。
運用管理面でも、これまでは部局ごとにネットワーク管理者を立てて個別に管理していた。だが、運用開始から約30年が経過して管理担当者の退官が多数発生していることから、可用性の向上とセキュリティ強化のために学術情報メディアセンターでの集中管理に切り替えた。
今回構築したネットワークでは、外部との境界に設置したF5ネットワークスの負荷分散装置「BIG-IP 7200v」でサービス拒否(DoS)攻撃を防ぎ、外部通信と内部通信を経由する場所にパロアルトネットワークスのファイアウォール「PA-7050」を導入し、不正侵入検知システム(IDS)と不正侵入防御システム(IPS)、サンドボックス、ウイルス対策、スパイウェア対策、URLフィルタリング、利用するプリケーションとユーザーを識別した通信制御を実現した。セキュリティ機能は今後、徐々に追加展開していくという。
また、集中管理体制における運用負荷を軽減するために、PA-7050の機能によって、クライアント端末や外部公開サーバなど接続機器の種別ごとにセキュリティゾーンを大きく6つに分け、それぞれのカテゴリに応じたファイアウォールポリシーをテンプレート化して一括適用しているとのこと。
その他の主な導入製品は以下の通り。
- フロアスイッチ、コアスイッチ:Juniper EXシリーズ
- 端末認証装置:日立電線ネットワークス Account@Adapter(仮想アプライアンス版)
- サーバ仮想化ソフト:VMware vSphere
- 仮想基盤用共有ストレージ:NetApp FASシリーズ
キャンパス情報ネットワークの構成図(ネットワンシステムズ提供)
なお、今回導入した全機器は自動監視ツールと、ネットワンシステムズの遠隔運用監視センターから監視しているほか、ネットワークとセキュリティの設定変更などの各種運用もネットワンシステムズが支援している。