天文学を研究する日本の研究所・大学共同利用機関である大学共同利用機関法人自然科学研究機構の国立天文台は、ファイアウォールやIPS、IP-SecVPNなどのセキュリティ製品の統合化による運用コスト削減、アプリケーション可視化・制御機能による安全なネットワークサービス提供を目的にPA-4020を導入、本格的な運用を開始した。
世界最先端の観測施設を持つ日本の天文学の要衝
大学共同利用機関法人
自然科学研究機構 国立天文台
世界最先端の観測施設を擁する日本の天文学のナショナルセンターである国立天文台は、理論・観測の両面から天文学を研究する研究所であり、大学共同利用機関として全国の研究者の共同利用を進めるとともに、国際協力の窓口として天文学および関連分野の発展のために活動している。東京都三鷹市に本部を置き、水沢VLBI 観測所(岩手県奥州市)、野辺山宇宙電波観測所/太陽電波観測所(長野県南佐久郡)、岡山天体物理観測所(岡山県浅口市)、すばる望遠鏡があるハワイ観測所など国内外に主要な観測所を持ち、地球・太陽系から恒星・銀河・銀河団・大規模構造・膨張宇宙へとつながる宇宙のさまざまな現象の観測と理論研究を推進している。
国立天文台のネットワークは、主要拠点間通信はデジタル高速専用線によるネットワークが、対外ネットワークとしては学術情報ネットワーク「SINET4」に接続されており、研究の重要なインフラになっている。「研究者間の研究資源や研究成果の共有、あるいは社会に対する研究成果の発信・啓発などでネットワークは不可欠な存在。研究者の要求を満たす性能を確保しつつ、セキュリティレベ ルを高く保たなければなりません」。天文データセンターに所属し、情報ネットワークやネットワークセキュリティを研究する大江将史氏は、ネットワークインフラの重要性をこう述べる。
アプリケーションレベルで制御するコンセプトの価値は大きい
国立天文台のネットワークでは、ステートフルインスペクション型ファイアウォール、ステートレスファイアウォールとして利用するマルチサービスルータ、IPSなど、複数の装置を運用してきた。こうした装置を統合化し、運用・保守コストを削減するとともに、インバウンド/ アウトバウンドのトラフィックを可視化してセキュリティリスクを低減することを目的にシステムを更改、そこで採用されたのが"次世代ファイアウォール"を標榜するPAシリーズだった。
ネットワークやセキュリティを研究分野としている大江氏は、PAシリーズが発売された当初から興味を持ち、カタログでコア技術や仕様を見た時点で導入してみようという考えを持っていたという。その理由を大江氏は次のように述べる。
大江 将史 氏
国立天文台
天文データセンター 工学博士・助教パロアルトネットワークスが"次世代ファイアウォール"と称して、真のアプリケーションファイ アウォールまで踏み込んだコンセプトで、ポートでなくアプリケーションで止めると言い切って製品化していることを高く評価していました。Webを許可するのであって80番ポートを許可するのではないというコンセプトの価値は大きく、脅威のシグネチャーフォーマットとストリームベースのスキャンニング、URLフィルタリングを融合することでアプリケーションの可視化・制御を実現し、インバウンド/ アウトバウンドの両方の脅威を極めて高い確率で止める能力を有していると考えています。トラフィックを解析し、制御することは、さまざまなアプローチやツールを組み合わせれば可能ですが、PAシリーズは単体で実現できる高いコストパフォーマンスを持っています(大江氏)。
また、通常ファイアウォールはreject、accept、drop/deny をポリシーに従って実行するのに対し、PAシリーズはトラフィックのアプリケーションや文字列などを識別し、本当にそのサイトにアクセスしていいのか、利用していいのか"確認"するという機能がエンドユーザーにわかりやすい点も評価しているという。さらに、IP-SecVPN機能が他社製品との互換性が高く、PAシリーズに統合・移行する際のコストが低いことも採用した理由の1つに挙げた。