京都産業大学は、BYOD(私物端末の業務利用)を推進するためのネットワーク環境を構築することを目的に、IPv4枯渇対策とIPv6移行に特化したゲートウェイ「A10 Thunder CGN」を導入した。A10ネットワークスが4月7日に発表した。
京都産業大学では、全ての学生と教職員が自由に往来できる「ワンキャンパス」の強みを最大限に発揮し、特色ある学びの場を提供している。その一環として、私物の端末からレポートを提出したり、評価を確認したり、テストを受講したりできる学習支援システムを運営していた。
- TechRepublic Japan関連記事:今必要なのはセキュリティコックピット--再注目されるSIEMの意義
- インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン
- スキーマ不要でログを収集、検索、分析するSIEMの次世代性--Splunk
- 検知後の行動も定義、“グレー”な振る舞いを見極めるSIEMの分析力--HPE
- “マグニチュード”で危険度を数値化するSIEMのインテリジェンス--日本IBM
- セキュリティ対策をライフサイクルで捉えるこれからのSIEM--マカフィー
学習支援システムには、ネットワークアドレス変換(NAT)によってIPアドレスを変換することでグローバルIPからもアクセスできる。しかし、システムの構成上、1つのグローバルIPアドレスあたりの同時接続数が限定されており、単一のグローバルIPアドレスから一定以上のアクセスがあると、サービス拒否(DoS)攻撃と判断して通信を遮断するようになっていた。
例えば、授業中のアクセスなど、1つのグローバルIPアドレスをNATで共有する機器が多い場合、通信が遮断されてしまう問題があったという。持ち込みの私物端末が増えるにつれて状況が深刻化していた。
A10 Thunder CGNのキャリアグレードNAT(CGNAT)機能は、大量の同時セッション数と新規セッション数に対応している。通信事業者で多くの導入実績がある。NAT変換の対象となるグローバルIPアドレスをより多く確保する一方、それにひもづくプライベートIPアドレス数を拡張することで、1つのグローバルIPアドレスへのアクセス集中を分散する。
導入効果としては、(1)1つのグローバルIPアドレスあたりにひもづくプライベートIPアドレス数を低減、グローバルIPあたりの同時接続数を分散させることにより通信遮断を回避、(2)端末数の増加に耐えうる、BYOD推進のためのネットワーク環境を構築、(3)保有するグローバルIPアドレスを有効活用――を挙げる。
BYODの普及を見込み、学生1人あたり5台のデバイスまで利用できる想定で新しいネットワークインフラを設計。IPアドレスの範囲を分散設定する必要がなくなったため、無線LAN用に確保した6万5000件のプライベートIPアドレスも有効活用している。
京都産業大学ネットワーク構成図(A10ネットワークス提供)
今後はIPv6への移行を計画しているほか、A10 Thunder CGNの活用範囲をSSL処理の高速化やウェブプロキシサーバ、クラウドサービスの負荷分散にも拡大する予定。