同志社女子大学は、ロードバランサやファイアウォール、SSL-VPNの各ネットワーク機能を集約すると同時に、学内のシングルサインオン(SSO)基盤を構築し、ユーザーの利便性とセキュリティのさらなる向上を実現した。
同志社女子大学では、教務システムなど学内システムがハウジングを利用したプライベートクラウドで運用される一方、ロードバランサなどのネットワーク機器は学内のサーバルームに設置されていた。今回、学内システムの仮想化に伴い、これらのネットワーク機器もプライベートクラウドに移設することとなったが、そのまま移設するにはラックスペースが不足するため、集約することにしたという。
並行して学内メールをOffice 365へ移行するプロジェクトも進んでおり、既存の学内認証システムとOffice 365のユーザー認証を連携させることが求められていた。学内認証システムは機器の更新時期が迫っていたため、全体を見直し、新たなSSO基盤を構築することにしたという。
採用したのはF5の製品群だった。具体的には、「F5 BIG-IP」でネットワーク機器を集約し、「BIG-IP Access Policy Manager」(APM)を用いてSSO基盤を構築している。
BIG-IP APMによるSSOイメージ図
システム構築は2016年7月に開始。それまで使用していたファイアウォールやロードバランサ、SSL VPNの機能を全てBIG-IPに集約した。さらに、BIG-IP APMを活用した新たな学内ポータルも構築され、ユーザー認証をこのポータルで行うことで、Office 365や無線LANのIEEE802.1X認証も含む学内各システムへのログインをBIG-IP APMから自動的に行う仕組みを確立した。
BIG-IP APMのカスタマイズにより、ポータル画面へのRSSフィードの表示や、大学キャラクター「VIVI」の画像表示も実現しているという。これらの仕組みはわずか2カ月で構築し、9月にはネットワークサービスをリリースさせた。
BIG-IPへの機器集約によって、設置スペースを大幅に削減し、ネットワーク機器管理の負担も軽減された。サポートも一元化し、疑問が生じた時の問い合わせも単純化したという。またBIG-IP APMによるSSO基盤は、すでに教務システムや図書館システム、WebDAV環境、ウェブメールで利用されており、他のシステムのSSO化も段階的に進めていく計画としている。
また、これらに加えて「BIG-IP Advanced Firewall Manager」(AFM)も導入し、DoS/DDoS対策も可能にした。今後は、「BIG-IP DNS」の導入によるBindの脆弱性回避や、IPインテリジェンスやWeb Application Firewall(WAF)機能の活用によるさらなるセキュリティ強化も視野に入れているとのこと。
同志社女子大学 経理部 ネットワークインフラ課 課長の長南敏彦氏は、以下のようにコメントしている。
「BIG-IPであれば機器集約が可能なだけでなく、多様なシステムをカバーしたSSOも実現でき、WAFなどのセキュリティ機能も実装可能。これらを徹底的に使い倒すことが、このプロジェクトの要だと考えています」