アプリケーション通信に内在する脅威リスクを排除、安全なネットワーク運用を実現
検証機による1カ月のテストを経て採用されたPA-4020は、テスト環境および運用系ネットワークで約1年をかけて段階的に移行作業を行い、本格運用に入った。従来、機器のリプレースに際しては既存システムのルールを移植してきたが、「斬新なシステムであるPAシリーズは、既存ルールを移植しても本来の価値を活かせません。ポリシー、ルールを再定義して、機能を段階的にPAシリーズに移行、統合するのに1年を費やしました」(大江氏)という。国立天文台ではさまざまな研究分野の研究者が、それぞれ運用ニーズに従ったルールを必要としているため、そのルールを再定義し、対応しなければならないからだ。ルールの適用については、研究者が自ら運用ルールをWebサイトで申請し、データベース化して、そこから自動的にPA-4020にインポートする利用登録システムを構築している。
国立天文台が導入したPA-4020
PA-4020の導入によるセキュリティ対策上の最も大きな効果を大江氏は、アプリケーションの可視化・制御によって、アプリケーション通信が脅威の下地になるリスクを極少化することができ、国立天文台のネットワークが他のネットワークの加害者になる危険性を回避できるようになった点を挙げている。
従来のファイアウォールやIPSの判定だけでは不審なトラフィックを阻止できず、ログ解析やTCP Dumpツールを使った調査は多大な労力を必要とします。PAシリーズのアプリケーション可視化・制御機能によるリアルタイムのトラフィック検出は通信に潜在する脅威リスクを排除でき、われわれのネットワークが加害者にならないよう組織の責任として安全なネットワーク運用が可能になりました(大江氏)。
また、従来のファイアウォールやルータ、IPSなどの機能をPA-4020に統合化したことにより、ライセンス費や保守コストの約30%削減を実現、各機器のオペレーション技術の習得にかかわるコストも削減できたという。
現在、国立天文台では、他拠点とのIP-SecVPN機能をPA-4020に移管する作業を進めているが、今後は平行運用しているIPSも統合化して、さらに運用効率を高めていく。
ネットワーク構成概要図
